«Облачная криптография» crypto-as-a-service (caas)
DESCRIPTION
«Облачная криптография» Crypto-as-a-Service (Caas). Draft Recommendation ITU-T X.ncns « Guidance for creating National IP-based public network security center for developing countries”. - PowerPoint PPT PresentationTRANSCRIPT
«Облачная криптография» Crypto-as-a-Service (Caas)
Draft Recommendation ITU-T X.ncns
« Guidance for creating National IP-based public network security center for developing countries”
Рекомендация ITU-T X.ncns «Руководство по созданию Национального центра безопасности сети связи общего пользования, базирующейся на протоколе IP, для развивающихся стран» ориентирована на содействие обеспечению безопасного и устойчивого функционирования национальной ИКТ инфраструктуры.
Рекомендация описывает структуру национального центра и схему его внешних связей.
Составными элементами Рекомендации являются следующие архитектурные решения:
-организация функционирования межоператорской группы анализа инцидентов, -интеграция функциональных компонентов и компонентов обеспечения безопасности,-формирование координирующих воздействий для обеспечения непрерывности оказания услуг в рамках национальной ИКТ инфраструктуры гражданам, бизнесу и органам государственной власти как в повседневном режиме работы, так и в условиях чрезвычайных ситуаций (ЧС) природного и техногенного характера.
Национальная ИКТ – инфраструктура включает в себя сети операторов подвижной и фиксированной связи, а также национальный сегмент сети Интернет.
Данная Рекомендация описывает модели, которые могут быть использованы для обеспечения защищенности, стабильности и восстанавливаемости национальной ИКТ инфраструктуры развивающихся стран, работающей на основе IP протокола.
Данные модели могут быть федеративными, виртуальными и могут быть имплементированы по отдельности или комбинировано.
Модели применяются для создания защищенной, стабильной и восстанавливаемой национальной ИКТ инфраструктуры.
Концептуальный принцип Рекомендации – сотрудничество ради безопасности.
Последовательное применение принципа «Сотрудничество ради безопасности» приводит к формированию федеративной интеграционной среды или федеративного пространства доверия (ФПД), где размещаются сервисы, доступные всем участникам системы коллективной безопасности на национальном уровне.
Наличие такой единой интеграционной среды обеспечивает операторам возможность присоединения к Центру, размещение информации об услугах в Центре своих сервисов и получение доступа ко всем сервисам безопасности, развернутым другими доверенными операторами связи.
Интеграционная среда организуется в виде стека управляющих плоскостей (control planes):
-Security control plane,
-Information Exchange Plane,
-Service Exchange Plane.
Федеративное пространство доверия
МЕГА
Межоператорская группа анализа инцидентов (МЕГА) представляет собой архитектурную компоненту Центра, выделенную для обмена информацией об инцидентах и событиях безопасности между операторами связи, потребителями услуг связи, производителями оборудования, государственными органами.
Цель создания МЕГА - консолидация усилий по выявлению угроз информационной и сетевой безопасности национальной ИКТ инфраструктуры, обнаружению и локализации инцидентов, относящихся к сфере информационной и сетевой безопасности, принятию мер по устранению негативных последствий возникновения инцидентов и их недопущению.
Интеграционная среда организуется в виде стека трёх управляющих плоскостей (control planes).
Среда распространения информации о событиях безопасности описывается в качестве нового конструктивного элемента архитектуры – специализированной Security control plane - пронизывающей все пространство коллективной безопасности.
Эта плоскость служит в качестве среды распространения сигналов о событиях безопасности, регистрируемых в сетях, присоединенных к Центру.
Идентификация этих событий как инцидентов и/или угроз безопасности происходит в результате обработки сигналов, поступающих из многих сетей.
Интеграционная среда организуется в виде стека трёх управляющих плоскостей (control planes).
Для нормального функционирования систем безопасности каждой из сетей, а также для отражения возникающих угроз организуется информационное взаимодействие сетей в виде запросов статистических данных, накопленных в OSS/BSS каждой сети.
Такие запросы могут поступать и со стороны Центра на основании обработки данных базы инцидентов для формирования аналитики, отражающей состояние ресурсов и уровень предоставления услуг. Это взаимодействие осуществляется через Information Exchange Plane
Интеграционная среда организуется в виде стека трёх управляющих плоскостей (control planes).
Процессы сквозного взаимодействия операторов в ходе совместного обеспечения безопасности реализуются путем обращения к сервисам безопасности, которые участники коллективной системы безопасности могут предоставлять друг другу, а также к сервисам безопасности, предоставляемым Центра. Последовательность обращения к сервисам безопасности формируют регламенты, для исполнения которых используется общий ресурс сервиса исполнения регламентов. Все сервисы, доступные участникам системы, а также средства управления ими формируют Service Exchange Plane.
Для решения всего спектра задач обеспечения коллективной безопасности, описанных в данной Рекомендации, требуется разработка новых управляющих протоколов национального уровня.
Объектами информационного взаимодействия Центра являются:
1. центры управления безопасностью операторов связи;
2. другие национальные центры;
3. организации федеральных регуляторов в области безопасности и связи;
4. центры реагирования на инциденты безопасности (CERT, CSIRT, CIRT и т.д.);
5. организации, заинтересованные в повышении устойчивости сетей связи (вендоры, общественные организации и т.д.).
Объем и характер взаимодействия определяется Центром исходя из требований национального законодательства и построения национальной ИКТ инфраструктуры.
Взаимодействие
Для обеспечения информационного обмена NCNS с внешними объектами может быть использован весь спектр механизмов обмена информацией о событиях, в частности:
1. центры управления безопасностью операторов связи (протоколы взаимодействия, поддерживаемые системами управления операторов и автоматизированными системами управления инцидентами);
2.другие национальные центры (использование нового протокола обмена, отвечающего требованиям взаимодействия между центрами);
3.организации регуляторов в области безопасности и связи (в соответствии с национальным законодательством и особенностями технического оснащения регуляторов);
4.центры реагирования на инциденты безопасности (CERT, CSIRT, CIRT и т.д.). Для данного типа объектов взаимодействия используются механизмы обмена информацией указанные в Рекомендации X.1500 (CYBEX),
5.организации, заинтересованные в повышении устойчивости сетей связи (вендоры, общественные организации и т.д.) – протоколы обмена целесообразно определять по договоренности с данными организациями.
Спектр механизмов обмена информацией о событиях
Принцип федеративного пространства доверия (ФПД).
Цель федеративного пространства доверия — предоставить механизм для установления доверительных отношений между операторами связи (участниками сотрудничества ради безопасности), чтобы каждый оператор (представитель SOC) мог аутентифицироваться в своем в своей системе идентификации и в то же время получать доступ к информационным сервисам, принадлежащим к другому доверенному оператору.
Это позволяет реализовать такие процедуры, как единый вход (single sign-on), которые исключают необходимость в поддержке и управлении дубликатными записями.
В модели федеративной защиты провайдер идентификаций (Identity Provider, IdP) выполняет аутентификацию и предоставляет сервис идентификации.