Кращі практики керування ризиками хмарних технологій DIGITAL SPACE 2016 Гліб Пахаренко, CISA, CISSP
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Кращі практики керування ризиками хмарних технологій
DIGITAL SPACE 2016Гліб Пахаренко, CISA, CISSP
Визначення хмарних технологій:• максимальна автоматизація керування ресурсами• доступ до послуги з різних платформ та з усіх точок світу• швидка зміна конфігурації• сплата лише за спожиті ресурси• та ін. (згідно NIST)
Для чого ми запроваджуємо хмарні технології:• оптимізувати споживання ресурсів• зберегти кошти організації• отримати більш швидкі послуги (• і більш якісні?!)• отримати інноваційні послуги які не доступні нам • в стандартній моделі • ІТ• знизити час на впровадження послуг• забезпечити відмовостійкість
Головне: Перехід у хмару не дозволить навести лад в ІТ, якщо його нема наразі!
Успадковані ризики в залежності від моделі хмарної послуги:
Розділення відповідальності в залежності від типу хмарної послуги
Ризик №1: Публічні хмари (спільний хостінг, віртуальні сервери, і т.д.)• Має низький рівень безпеки;• Перше, що атакують хакери якщо не вийшло зламати Ваш сайт чи
облікові записи розробників;
Ризик №2: Анті-ДОС сервіси не завжди працюють• легко знайти реальний ІР сайту (чи Вашого офісу)• не захищає від ДОС на рівні додатку (важкі запити)
Ризик №3: Доступність сервісу може бажати кращого• регулярно отримуємо новини про недоступність відомих хмарних
сервісів
Ризик №4: Різні агенства з 3-х літер, та їх кооперація• регулярно отримуємо новини про доступ спецслужб до хмар
Ризик №5: Важкість міграції• Не всі сервіси можна взяти і просто мігрувати у хмару• Велике число проектів з міграції не виправдали початкові бізнес-кейси• Потенційні причини змін у проектах:
• на старому залізі та зі старим адміністратором може бути трохи дешевше ніж хмарі
• зміни в недокументованій мережевій адресацій між системами• затримки в мережі• апаратні токени• зміна звичного програмного забезпечення користувачів• сервіс-деск для хмарних сервісів
Ризик №6: Важкість компьютерної криміналістики • В хмарі може бути не просто провести власне розслідування
компьютерного злочину
Ризик №7: Важкість керування доступом• Інтеграція корпоративного процесу керування доступом (Identity
Management) може бути дорогою та складною процедурою
Ризик №8: Важкість тестів на проникнення• Хмарний провайдер може обмежити Ваші можливості по незалежному
аудиту безпеки
Ризик №9: Міграція між хмарними провайдерами• Міграція між хмарними провайдерами може бути не продумана та не
закладена в бізнес кейс початкового переходу на хмарні технології
Ризик №10: Фізична безпека • В хмарі дуже важко організувати контроль за фізичною безпекою, і це
дуже великий виклик моделі безпеки для традиційної інфраструктури
Ризик №11: Персональні дані Хмарні технології потребують більше уваги щодо додержання
законодавства про персональні дані
Дія №1: Закласти витрати на безпеку в бізнес-кейсах при міграції• Частина зекономлених коштів має йти на зниження хмарних ризиків,
аудити, навчання тощо.
Дія №2: Поєднати перехід на хмарні технології із підвищенням зрілості процесів керування ІТ та ІБ• Без підвищення зрілості та якості керування ІТ старі ризики можуть
додатися із новими – хмарними.
Дія №3: Залучити службу ІБ на всі етапи життєвого циклу хмарних ІТ послуг• Фахівці ІБ мають брати участь в усіх ключових процесах пов'язаних із
використанням хмарних технологій (від ідеї до відмови від сервісу).
Дія №4: Відобразити хмарні технології в усіх політиках• Адаптувати ключові документи до використання хмарних технологій:
план безперервної діяльності, політику класифікації активів, і т.д.
Дія №5: Відпрацювати аудити безпеки та розслідування • Оновити процедури проведення аудитів безпеки та компьютерної
криміналістики для хмарних активів
Дія №6: Закласти суворі угоди щодо налаштувань безпеки у хмарного провайдера • Хмарний провайдер має застосовувати кращі практики безпеки в зоні
його відповідальності
Корисні посилання:• http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pa
ges/Security-Considerations-for-Cloud-Computing.aspx
• http://www.isaca.org/knowledge-center/research/pages/cloud.aspx
• http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/Controls-and-Assurance-in-the-Cloud-Using-COBIT-5.aspx
• https://cloudsecurityalliance.org/
А які ризики та заходи безпеки бачите Ви?
Дякую за увагу. Гліб Пахаренко, CISA, CISSP.
Related Documents
