Может ли СПО обеспечить безопасность «облаков»? Александр Соколов Руководитель Комитета по вопросам информационной безопасности АП КИТ Председатель Совета директоров ЗАО «Лаборатория «СКАТ» Russian Open Source Summit 2012 Секция 7. СПО в облачных вычислениях Москва, 12 апреля 2012 г.

Технологии облачных вычислений Облачные вычисления (cloud computing) - модель предоставления пользователям по их требованию удобного сетевого доступа к совместно используемому пулу настраиваемых вычислительных ресурсов. Ресурсы оперативно выделяются и освобождаются при минимальных усилиях, затрачиваемых пользователями на организацию управления и на взаимодействие с поставщиком услуг. Основные характеристики On-demand self-service – Самообслуживание по мере необходимости Broad network access – Широковещательный сетевой доступ Resource pooling – Объединение ресурсов в пул Rapid elasticity – Оперативная гибкость Measured Service – Измеряемость услуги Модели обслуживания SaaS – ПОкУ – программное обеспечение PaaS – ПкУ - платформа IaaS – ИкУ - инфраструктура Модели развертывания Private Cloud – Частное (корпоративное) облако Community cloud – Коллективное облако Public Cloud – Публичное облако Hybrid Cloud – Смешанное облако

Условия внедрения технологий облачных вычислений 1: Определение стратегических задач по развитию и внедрению облачных технологий 2: Разработка требований обеспечения безопасности информации 3: Подготовка технические требований для разработки высококачественных Соглашений об уровне обслуживания 4: Формирование набора четко определенных и качественно категорированных облачных услуг 5: Реализация инфраструктуры для прозрачного использования широкомасштабной облачной среды 6: Разработка технических решений обеспечения безопасности, не зависящих от организационных решений 7: Разработка нормативных требований, технологических рекомендаций 8: Разработка стандартов (желательно, международных) взаимодействия, переносимости и безопасности, принятых на основе добровольного всеобщего признания 9: Определение и реализация задач обеспечения надежности предоставления услуг 10: Разработка и внедрение оценочных количественных характеристик облачных услуг

Актуально для потребителя 1. Удобство и эффективность пользования 2. Безопасность и защита информации информации (его и его клиентов) 3. Соответствие законодательству 4. Вопросы соответствия юридическим и контрактным требованиям

Основные требования к услугам Доступность услуги Реакция на инциденты Гибкость услуги и оптимальное обеспечение нагрузки Управление информацией в течение всего жизненного цикла Управление технической совместимостью и уязвимостями Управление изменениями Изоляция данных Управление контрольными записями и анализом проблем

What is inhibiting adoption of the cloud (SaaS)? Security remains the top concern but integration is often underestimated Jennifer Bélissent, Senior Analyst, Forrester Research, March 17, 2011

Gartner: 60% ВС менее безопасны Задачи ИБ не включаются в проекты виртуализации на начальном этапе Компрометация облачного слоя виртуализации приводит компрометация всех ресурсов облака Отсутствие прозрачности и управления внутренней виртуальной сетью, предназначенной для обеспечения коммуникаций ВМ ВМ, нарушает применение существующих механизмов применения политик ИБ Задачи различных уровней безопасности загружаются на физический сервер без достаточной изоляции Отсутствует достаточное управление административным доступом к гипервизору и инструментарию Отсутствует разделение между сетевым управлением и управлением ИБ

Что нужно защищать? Гипервизор Виртуальные машины Трафик управления инфраструктурой виртуализации Трафик ВМ ВМ Трафик гипервизор гипервизор Трафик гипервизор СХД Трафик ВМ гипервизор Учетные данные администраторов виртуализации Физическая безопасность инфраструктуры

Неполный контроль ИБ Зависимость от конкретного поставщика облачных сервисов Нарушение изолированности от других потребителей облачных сервисов Несоответствие поставщика облачных сервисов требованиям регуляторов Нарушение безопасности интерфейсов управления облачными сервисами Нарушение безопасности данных Неполное удаление данных Действия внутренних злоумышленников поставщика облачных сервисов Источник: Benefits, risks and recommendations for Information security, ноябрь 2009 Ключевые угрозы облачных вычислений

Облачные законодатели мод National Institute of Standards and Technology International Organization for Standartization Cloud Security Alliance European Network and Information Security Agency Institute of Electrical and Electronics Engineers

Облака и СПО OPEN SOURCE или OPEN STANDARDS ? СПО обеспечивает большую безопасность? Как убедить пользователя?

СПО и Облака сегодня Eucalyptus - (Elastic Utility Computing Architecture for Linking Your Programs to Useful Systems). OpenNebula Nimbus Xen Cloud Platform OpenQRM

Open Networking Foundation (ONF) Deutsche Telekom, Facebook, Google, Microsoft, Verizon, Yahoo! Broadcom, Brocade, Ciena, Cisco, Citrix, Dell, Ericsson, Force10, HP, IBM, Juniper Networks, Marvell, NEC, Netgear, NTT, Riverbed Technology, VMware Цели: - развитие стандартов OpenFlow - развитие интерфейсов глобального управления

Вместо заключения Какую роль будет играть OPEN SOURCE в будущем мире облаков? Ответ может дать только сообщество OPEN SOURCE

Ассоциация Предприятий Компьютерных и Информационных Технологий приглашает

(985) Спасибо за внимание ! Вопросы?