infosecurity 2014 - cloud trust

Доверие в облаке

Антон ЖбанковРуководитель группы

виртуализации

Информационная безопасность

Что такое информационная безопасность?

•Сохранение конфиденциальности, целостности и доступности информации.

•Могут быть включены такие свойства, как аутентичность, подотчетность, неотказуемость и надежность

Зачем мы это делаем?

Меньшеоперационных

расходов

Больше доходов

Облачныевычисления

У провайдера те же проблемы

Меньшеоперационных

расходов

Больше доходов

Облачныевычисления

Что же выбрать?

Множественная арендаMultitenancy

• Способность облака сочетать нагрузку от множества заказчиков с полной изоляцией их друг от друга

• Каждый заказчик изолирован и живет в своем кусочке облака

• Различные (даже конкурирующие) компании:• Красная «Cola» и Синяя «Cola»• Автозавод ABC и автозавод XYZ

X Y

Конфиденциальность данных

• Data-at-Rest•Шифрование – единственный способ, но 20-30% потери

производительности

• Data-in-Fly• Способы защиты только организационные и реактивные

Конфиденциальность данныхВопросы провайдеру

• Кто имеет доступ к оборудованию?• Каковы права администраторов?• Кто следит за ними?• Делаются ли резервные копии?• Кто имеет доступ к ним?•Мы разорвали контракт – что с нашими данными?

Целостность и доступность данных

Целостность и доступность данных

Множественная арендаВопросы провайдеру

• Как выстроена изоляция арендаторов?• Кто выдает права администратора арендатора?• Кто следит за ними?• Каковы политики контроля?• Как контролируется и удостоверяется личность

администратора арендатора?•Мы разорвали контракт – что с нашими данными?

С чем сравниваем?

• Со старой доброй классической инфраструктурой.

•Мы строили ее годы, мы все про нее знаем.

•Мы контролируем все.

• Да?

14

Доверие

Доверие

•Доверие — это уверенность, в поступке другого человека определённым образом.

•Иными словами, доверие = уверенность в низких рисках.

•Но как мы начинаем доверять?•Опыт

ДовериеОпыт

•«Опыт – такая вещь, которая появляется сразу после того, как была нужна»

•Опыт приходит со временем и проблемами.

•Время и проблемы – это деньги.

ДовериеСторонняя экспертиза

• 3я сторона подтверждает качество/безопасность услуг/товара.

• Пример: СанЭпид Надзор.

Независимая сертификация

Cloud security allianceCSA

•Глобальная некоммерческая организация•Разрабатывает рекомендации по безопасности для ИТ

нового поколения•Исследовательские и образовательные программы•Сертификация облачный провайдеров•Пользовательская сертификация

Так что же все-таки делать?

Что же делать?Наведите порядок

•Мы все знаем про нашу инфраструктуру

•Мы все знаем про наши данные

•Мы все знаем про…

•Правда?

Что же делать?Наведите порядок

•Ключевой аспект облачной инфраструктуры - автоматизация

•Не надо автоматизировать бардак, получите автоматизированный бардак

Что же делать?Классифицируйте свои данные

•Полиция Нидерландов провела классификацию

•95% их данных НЕ КОНФИДЕНЦИАЛЬНЫ

•Лишь 5% действительно надозащищать

Что же делать?Начните с второстепенных процессов

•Начните размещать в облаке- второстепенные процессы- новые неконфиденциальные данные

•Тестовое окружение•Сезонную пиковую нагрузку

•НЕ переносите в облако существующие процессы

И облака станут мягкими и шелковистыми

Спасибо за внимание!

• Антон Жбанков– VCP 3/4/5– VMware vExpert 2009-2014– MCITP: SA + VA– EMC Cloud Architect Expert

• azhbankov@mont.com• http://blog.vadmin.ru