Может ли СПО обеспечить безопасность «облаков»?

1. Может ли СПО обеспечить безопасность «облаков»? Russian Open Source Summit 2012 Секция 7. СПО в облачных вычислениях Александр Соколов Руководитель Комитета по вопросам информационной безопасности АП КИТ Председатель Совета директоров ЗАО «Лаборатория «СКАТ» Москва, 12 апреля 2012 г.

2. Технологии облачных вычислений Облачные вычисления (cloud computing) - модель предоставления пользователям по их требованию удобного сетевого доступа к совместно используемому пулу настраиваемых вычислительных ресурсов. Ресурсы оперативно выделяются и освобождаются при минимальных усилиях, затрачиваемых пользователями на организацию управления и на взаимодействие с поставщиком услуг. Основные характеристики On-demand self-service – Самообслуживание по мере необходимости Broad network access – Широковещательный сетевой доступ Resource pooling – Объединение ресурсов в пул Rapid elasticity – Оперативная гибкость Measured Service – Измеряемость услуги Модели обслуживания SaaS – ПОкУ – программное обеспечение PaaS – ПкУ - платформа IaaS – ИкУ - инфраструктура Модели развертывания Private Cloud – Частное (корпоративное) облако Community cloud – Коллективное облако Public Cloud – Публичное облако Hybrid Cloud – Смешанное облако

3. Условия внедрения технологий облачных вычислений 1: Определение стратегических задач по развитию и внедрению облачных технологий 2: Разработка требований обеспечения безопасности информации 3: Подготовка технические требований для разработки высококачественных Соглашений об уровне обслуживания 4: Формирование набора четко определенных и качественно категорированных облачных услуг 5: Реализация инфраструктуры для прозрачного использования широкомасштабной облачной среды 6: Разработка технических решений обеспечения безопасности, не зависящих от организационных решений 7: Разработка нормативных требований, технологических рекомендаций 8: Разработка стандартов (желательно, международных) взаимодействия, переносимости и безопасности, принятых на основе добровольного всеобщего признания 9: Определение и реализация задач обеспечения надежности предоставления услуг 10: Разработка и внедрение оценочных количественных характеристик облачных услуг

4. Актуально для потребителя 1. Удобство и эффективность пользования 2. Безопасность и защита информации информации (его и его клиентов) 3. Соответствие законодательству 4. Вопросы соответствия юридическим и контрактным требованиям

5. Основные требования к услугам Доступность услуги Реакция на инциденты Гибкость услуги и оптимальное обеспечение нагрузки Управление информацией в течение всего жизненного цикла Управление технической совместимостью и уязвимостями Управление изменениями Изоляция данных Управление контрольными записями и анализом проблем

6. What is inhibiting adoption of the cloud (SaaS)? Security remains the top concern but integration is often underestimated Jennifer Bélissent, Senior Analyst, Forrester Research, March 17, 2011

7. Gartner: 60% ВС менее безопасны Задачи ИБ не включаются в проекты виртуализации на начальном этапе Компрометация облачного слоя виртуализации приводиткомпрометация всех ресурсов облака Отсутствие прозрачности и управления внутренней виртуальной сетью, предназначенной для обеспечения коммуникаций ВМ  ВМ,нарушает применение существующих механизмов применения политик ИБ Задачи различных уровней безопасности загружаются на физический сервер без достаточной изоляции Отсутствует достаточное управление административным доступом к гипервизору и инструментарию Отсутствует разделение между сетевым управлением и управлением ИБ

8. Что нужно защищать? Гипервизор Виртуальные машины Трафик управления инфраструктурой виртуализации Трафик ВМ  ВМ Трафик гипервизор  гипервизор Трафик гипервизор  СХД Трафик ВМ  гипервизор Учетные данные администраторов виртуализации Физическая безопасность инфраструктуры

9. Ключевые угрозы облачных вычислений Источник: Benefits, risks and recommendations for Information security, ноябрь 2009

10. Облачные законодатели мод European Network and Information SecurityAgency Cloud Security Alliance National Institute of Standards and Technology Institute of Electrical and Electronics Engineers International Organization for Standartization

11. Облака и СПО • OPEN SOURCE или OPEN STANDARDS ? • СПО обеспечивает большую безопасность? Как убедить пользователя?

12. СПО и Облака сегодня • Eucalyptus - (Elastic Utility Computing Architecture for Linking Your Programs to Useful Systems). • OpenNebula • Nimbus • Xen Cloud Platform • OpenQRM

13. Open Networking Foundation (ONF) • Deutsche Telekom, Facebook, Google, Microsoft, Verizon, Yahoo! • Broadcom, Brocade, Ciena, Cisco, Citrix, Dell, Ericsson, Force10, HP, IBM, Juniper Networks, Marvell, NEC, Netgear, NTT, Riverbed Technology, VMware Цели: - развитие стандартов OpenFlow - развитие интерфейсов глобального управления

14. Вместо заключения Какую роль будет играть OPEN SOURCE в будущем мире облаков? Ответ может дать только сообщество OPEN SOURCE

15. Ассоциация Предприятий Компьютерных и Информационных Технологий приглашает

16. Спасибо за внимание ! Вопросы? WWW.APKIT.RU WWW.LAB-SKAT.RU +7 (985) 766-46-79 alexndr.sokolov@gmail.com