mobility and cloud security

1/55 © Cisco, 2010. Все права защищены.

О двух аспектах реальной безопасности

© Cisco, 2010. Все права защищены. 2/55

Быть свободным от границ рабочего стола, рабочего телефона, персонального компьютера и переговорных


Чтобы рабочее место следовало за работником, а не наоборот – к заказчикам, к партнерам, в пути


Работать вместе с тем, кто нужен, не взирая на его местонахождение и часовой пояс

Организатор Наставник

Директор

Технолог

Исследователь

Сын (в школе)

Мама

Дизайнер

Маша Петрова

ЗАЩИЩЕНО

Ася Букина Статус: Предпочтение:

Вася Пупкин Статус: Предпочтение:


Когда все что нужно, это защищенное подключение к сети, какое бы подключение вы не использовали


Любой пользователь С любого устройства

В любое время Отовсюду

Сеть без

границ

iPhone, Смартфон,

IP-телефон,

Лэптоп

Сотрудники,

Партнеры,

Заказчики,

Сообщества

На работе, дома,

в кафе, в аэропорту

на ходу…

Всегда на связи,

Мгновенный доступ,

Мгновенная реакция


66% 45% 59% 45% 57%

Согласятся на

снижение

компенсации

(10%), если

смогут работать

из любой точки

мира

Готовы

поработать на

2-3 часа в день

больше, если

смогут сделать

это удаленно

Хотят

использовать

на работе

личные

устройства

ИТ-

специалистов

не готовы

обеспечить

бóльшую

мобильность

сотрудников

ИТ-специалистов

утверждают, что

основной задачей

при повышении

мобильности

сотрудников

является

обеспечение

безопасности


z

Мир ПК

ОС

пользователя

ОС

Сервера

Клиентские


Приложения

Эра пост-ПК


**Gartner research prediction; Gartner Forecast: Tablet PCs, Worldwide, November, 2010

iPad + Mac = 12% рынка ПК

100+ миллионов

планшетников

70% студентов США используют Mac

2010

Мобильных устройств*

3.6Млрд

1.8Млрд … имеют

web-доступ*

Ежедневных активаций

Android

300,000


устройств подключенных к сети,

Один триллион Скоро будет

по сравнению с 3.6 МЛРД в 2010

2013

Cisco IBSG


0

1,800,000

3,600,000

2009 2010 2011 2012 2013 2014

TB

/mo

Source: Cisco Visual Networking Index (VNI) Global Mobile Data Forecast, 2009–2014

66%

8%

4% 5%

17%

Mobile VoIP Mobile Gaming

Mobile P2P

Mobile Web/Data

Mobile Video

39x


Бизнес вышел за рамки ПК


Мобильника

97%

Интернет

84%

Автомобиля

64%

Партнера

43%


Планшетники

2,454 iPads

70% рост

15,403

BlackBerry

0% рост

1,164

Android

76% рост

11,762

iPhones

20% рост

3,289

Другие устройства

-18% рост

Смартфоны (КПК)

Консьюмеризация Распространение устройств

Непрерывное соединение

Мобильность

Новый опыт ИТ-службы Cisco

Любое устройство, Везде, Всегда, Защищенно....

http://cache.gawkerassets.com/assets/images/4/2011/01/bestofplaybookxoom.jpg

http://www.dell.com/us/en/gen/df.aspx?refid=df&s=gen


• Не игнорируйте вопрос применения мобильных устройств

Да или нет?!

• Анализ рисков и модель угроз

Вредоносный код? Утечки? Посещение ненужных сайтов? Потеря устройства?

• Отношение у BYOD (Buy Your Own Device)

Если да, то какие требования надо соблюдать пользователям

• Мобильные платформы

• Доступ изнутри сети

• Доступ извне сети

Только через VPN? Применяется NAC? Доступ только к отдельным приложениям?


• Отношение к Jailbrake

Взломанное устройство – угроза ИБ

• Приложения

Есть ограничения? Собственная разработка? Контроль магазинов приложений? Собственные корпоративные магазины приложений? Процедура установки приложений?

• Антивор

Как искать украденное/потерянное устройство? Как дистанционно заблокировать устройство или удалить данные? Как защититься при смене SIM-карты?

• Слежение за устройствами

Контроль местонахождения устройства? Как? GPS?


Cisco

3rd Parties • Блокирование


• Очистка данных

• Pin enforcement

• Аудит


• Разрешенное

использование

• Контроль

доступа

• Защита от

вредоносного

кода


утечек (DLP)

• Аутентификация

пользователя

• Защищенное

соединение

• VPN-туннели

• Виртуальный

сейф

• Анализ

защищенности


доступа (NAC)


0% 10% 20% 30% 40% 50% 60%

Application monitoring and control

URL filtering

Anti-spam for messaging content

Back-up and restore

Firewall

Secure client and web-based VPN connectivity

Data-loss protection

Encryption

Loss and theft protection

Anti-virus

First choice

Second choice

Third choice

© Canalys

Source: Candefero survey results, June 2011 (87 respondents)


• Удаленное управление и контроль

Как организовать? Централизованно или через пользователя? Как отключать некоторые аппаратные элементы (Wi-Fi, Bluetooth, камера, диктофоно и т.д.)? Как ставить патчи? Как контролировать настройки? Как контролировать наличие нужных программ? Как удаленно «снять» конфигурацию? Как провести инвентаризацию? Troubleshooting?

• Compliance

Есть ли требования? Обязательные?

• Аутентификация

Только PIN? Логин/пароль? Одноразовые пароли? Аппаратные токены? Сертификаты? Аутентификация к локальным ресурсам устройствам? Доступ администратора к устройству (а если оно BYOD)?

• Личная защита

Черные списки телефонов? Скрытие от посторонних глаз SMS/номеров?


• Резервирование и восстановление

• Управление инцидентами

Как осуществляется расследование? Как собираются доказательства? Управление журналами регистрации событий?


• Встроенный функционал в мобильные устройства

Например, идентификация местоположения устройства в iPad или встроенный VPN-клиент в Nokia e61i на Symbian

• Функционал мобильных приложений Например, функция удаления данных в Good или Exchange ActiveSync

• Отдельные решения для мобильных устройств

В рамках портфолио – Cisco, Лаборатория Касперского, Sybase

Специализированные игроки - MobileIron, Mobile Active Defense, AirWatch, Zenprise и т.д.


Устройства

Приложения

Соединение

Управление Безопасность

Internal

Apps

Web

Apps

2G/3G WiFi VPN

ОС

Голос

Видео Сообщения

Конференции

Форм

Фактор Защищенное

соединение

Контроль

приложений

Защита Web

Защита


Шифрование

данных

Управление

устройством

Слежение за

устройством

Внедрение

приложений

Производите

льность &

Диагностика

Управление

затратами на

связь


Software-as-a-Service

Google Apps, Salesforce.com

Platform-as-a-

Service

MS Azure, Google App

Engine

Infrastruc-ture-as-a-

Service

Amazon EC2, co-location


• ERP

• Service Desk

• Управление контентом

• HRM

• Управление заказами (ORM)

• Управление затратами и поставщиками (SRM)

• Унифицированные коммуникации

• Управление проектами

• Управление цепочками поставок (SCM)

• Web 2.0


36

30

23

23

20

19

18

18

16

19

0 5 10 15 20 25 30 35 40

Вопросы цены

Безопасность и privacy

Нет нужных приложений

Вопросы интеграции

Сложное ценообразование

Зависимость от текущего …

Слабый каналы связи

Слабая кастомизация

Производительность

Другое

Почему вы не думаете об облаке/аутсорсинге?

Источник: Forrester Research


Своя ИТ-

служба

Хостинг-

провайдер IaaS PaaS SaaS

Данные Данные Данные Данные Данные

Приложения Приложения Приложения Приложения Приложения

VM VM VM VM VM

Сервер Сервер Сервер Сервер Сервер

Хранение Хранение Хранение Хранение Хранение

Сеть Сеть Сеть Сеть Сеть

- Контроль у заказчика

- Контроль распределяется между заказчиком и аутсорсером

- Контроль у аутсорсера


• Стратегия безопасности аутсорсинга

Пересмотрите свой взгляд на понятие «периметра ИБ»

Оцените риски – стратегические, операционные, юридические

Сформируйте модель угроз

Сформулируйте требования по безопасности

Пересмотрите собственные процессы обеспечения ИБ

Проведите обучение пользователей

Продумайте процедуры контроля аутсорсера

Юридическая проработка взаимодействия с аутсорсером

• Стратегия выбора аутсорсера

Чеклист оценки ИБ аутсорсера


• Финансовая устойчивость аутсорсера

• Схема аутсорсинга

SaaS, hosted service, MSS

• Клиентская база

• Архитектура

• Безопасность и privacy

• Отказоустойчивость и резервирование

• Планы развития новых функций


• Защита данных

• Управление уязвимостями

• Управление identity

• Объектовая охрана и персонал

• Доступность и производительность

• Безопасность приложений

• Управление инцидентами

• Privacy


• Непрерывность бизнеса и восстановление после катастроф

• Журналы регистрации

• Сompliance

• Финансовые гарантии

• Завершение контракта

• Интеллектуальная собственность


• Как мои данные отделены от данных других клиентов?

• Где хранятся мои данные?

• Как обеспечивается конфиденциальность и целостности моих данных?

• Как осуществляется контроль доступа к моим данным?

• Как данные защищаются при передаче от меня к аутсорсеру?

• Как данные защищаются при передаче от одной площадки аутсорсера до другой?

• Релизованы ли меры по контролю утечек данных?

• Может ли третья сторона получить доступ к моим данным? Как?

Оператор связи, аутсорсер аутсорсера

• Все ли мои данные удаляются по завершении предоставления сервиса?


• Как часто сканируется сеть и приложения?

• Можно ли осуществить внешнее сканирование сети аутсорсера? Как?

• Каков процесс устранения уязвимостей?


• Возможна ли интеграция с моим каталогом учетных записей? Как?

• Если у аутсорсера собственная база учетных записей, то

Как она защищается?

Как осуществляется управление учетными записями?

• Поддерживается ли SSO? Какой стандарт?

• Поддерживается ли федеративная система аутентификации? Какой стандарт?


• Контроль доступа осуществляется в режиме 24х7?

• Выделенная инфраструктура или разделяемая с другими компаниями?

• Регистрируется ли доступ персонала к данным клиентов?

• Есть ли результаты оценки внешнего аудита?

• Какова процедура набора персонала?


• Уровень доступности в SLA (сколько девяток)

• Какие меры обеспечения доступности используются для защиты от угроз и ошибок?

Резервный оператор связи

Защита от DDoS

• Доказательства высокой доступности аутсорсера

• План действия во время простоя

• Пиковые нагрузки и возможность аутсорсера справляться с ними


• Исполнение рекомендаций OWASP при разработке приложений

• Процедура тестирования для внешних приложений и исходного кода

• Существубт ли приложения третьих фирм при оказании сервиса?

• Используемые меры защиты приложений

Web Application Firewall

Аудит БД


• План реагирования на инциденты

Включая метрики оценки эффективности

• Взаимосвязь вашей политики управления инцидентами и аутсорсера


• Обезличивание критичных данных и предоставление к ним доступа только авторизованному персоналу

• Какие данные собираются о заказчике?

Где хранятся? Как? Как долго?

• Какие условия передачи данныех клиента третьим лицам?

Законодательство о правоохранительных органах, адвокатские запросы и т.п.

• Гарантии нераскрытия информации третьим лицам и третьими лицами?


• План обеспечения непрерывности бизнеса и восстановления после катастроф

• Где находится резервный ЦОД?

• Проходил ли аутсорсер внешний аудит по непрерывности бизнеса?

Есть ли сертифицированные сотрудники по непррывности бизнеса?


• Как вы обеспечиваете сбор доказательств несанкционированной деятельности?

• Как долго вы храните логи? Возможно ли увеличение этого срока?

• Можно ли организовать хранение логов во внешнем хранилище? Как?


• Подчиняется ли аутсорсер локальным нормативным требованиям? Каким?

Как локальные нормативные требования соотносятся с требованиями клиента?

• Проходил ли аутсорсер внешний аудит соответствия?

ISO 27001

PCI DSS

Аттестация во ФСТЭК


• Какая компенсация подразумевается в случае инцидента безопасности или нарушения SLA?


• Кому принадлежат права на информацию, переданную аутсорсеру?

А на резервные копии?

А на реплицированные данные?

А на логи?

• Удостоверьтесь, что ваш контракт не приводит к потере прав на информацию и иные ресурсы, переданные аутсорсеру?


• Процедура завершения контракта?

Возврат данных? В каком формате?

Как скоро я получу мои данные обратно?

Как будут уничтожены все резервные и иные копии моих данных? Как скоро? Какие гарантии?

• Какие дополнительные затраты на завершение контракта?


Периметр

Филиал

Приложения и

данные

Офис

Политика

Хакеры Заказчики Партнеры


Периметр

Филиал


данные

Офис

Политика

Хакеры Заказчики

Дом

Кафе

Аэропорт

Мобильный

пользователь Партнеры


Периметр

Филиал


данные

Офис

Политика

Хакеры

Дом

Кафе Заказчики

Аэропорт

Мобильный


Platform

as a Service

Infrastructure

as a Service X

as a Service Software

as a Service


Периметр

Филиал


данные

Офис

Политика

Хакеры

Дом

Кафе Заказчики

Аэропорт

Мобильный


Platform

as a Service

Infrastructure

as a Service X


as a Service


Bord

erle

ss

Da

ta C

en

ter

3

Bord

erle

ss

Inte

rnet

2

Bord

erle

ss

En

d Z

on

es

1

Политика

Периметр

Филиал


данные

Офис

Политика (Access Control, Acceptable Use, Malware, Data Security) 4

Дом

Хакеры Кафе

Заказчики

Аэропорт

Мобильный


Platform

as a Service

Infrastructure

as a Service X


as a Service

Спасибо

за внимание!

[email protected]

Praemonitus praemunitus!

mobility and cloud security

Technology