Облачно, с прояснениями… Взгляд на организацию защиты облачной ИТ-инфраструктуры::БИТ 03.2013

Поиск по сайту

bit.samag.ru

Web

Рассылка Subscribe.ru

подписаться письмом

Вход в систему


Запомнить меня
Регистрация Забыли пароль?

О журнале

Ваше мнение

Редакционная подписка

Через подписные агентства

Статьи

Общие тенденции и тренды

Архив

Мероприятия

Календарь мероприятий

июль

2024

показать все

Новости партнеров

11.07.2024

Конференция «Практическая польза региональных информационных систем в сфере здравоохранения» собрала организаторов здравоохранения и экспертов из 44 регионов страны

02.07.2024

Ай-Форс принимает участие в пилотном проекте по тестированию технологии контроля симптомов при болезни Паркинсона

21.06.2024

RAMAX Group расскажет об инструментах повышения операционной эффективности на «RPA Connect: Магия притяжения»

21.06.2024

Коллаборация ARZip с DLP-системой InfoWatch Traffic Monitor позволяет компаниям повысить свою защищенность

показать все

Статьи

13.06.2024

Взгляд в перспективу: что будет двигать отрасль информационной безопасности

18.04.2024

5 способов повысить безопасность электронной подписи

18.04.2024

Как искусственный интеллект изменит экономику

18.04.2024

Неочевидный САПР: выход ПО за рамки конструкторской деятельности

18.04.2024

Скоро некому будет делать сайты и заниматься версткой

05.04.2024

Мотивируй, не то проиграешь!

22.03.2024

В 2024 году в России и мире вырастут объемы применения AR/VR

показать все

Облачно, с прояснениями… Взгляд на организацию защиты облачной ИТ-инфраструктуры

Главная / Архив номеров / 2013 / Выпуск №3 (26) / Облачно, с прояснениями… Взгляд на организацию защиты облачной ИТ-инфраструктуры

Рубрика: Тема номера / Защита информации компании

Владимир Шибанов, генеральный директор производственной компании «Аквариус»

Облачно, с прояснениями…
Взгляд на организацию защиты облачной ИТ-инфраструктуры

Одним из ключевых трендов в развитии ИТ-индустрии вообще и виртуализации в частности вот уже несколько лет являются облачные технологии. По оценкам Microsoft, больше половины отечественных владельцев среднего и малого бизнеса считают, что данный вид технологий станет основой ИТ-инфраструктуры их компаний в самом ближайшем будущем. Крупный бизнес и государственные органы на региональном уровне, очевидно, также будут придерживаться этой тенденции, но с некоторой задержкой

Однако при столь оптимистичных оценках перспектив развития облаков вопросы их безопасной эксплуатации по-прежнему вызывают беспокойство у пользователей. Мнение о том, что облако не может быть безопасным, настолько укоренилось в сознании потенциальных потребителей, что переубедить их крайне сложно. Можно вспомнить 2011 год, когда из-за дефицита вычислительных мощностей на два дня была парализована работа сервиса EC2 от Amazon. Этот случай красноречиво продемонстрировал возможность аварий даже у крупнейших производителей, с большими финансовыми и инфраструктурными решениями.

Возникают логичные вопросы: что происходит с данными, когда облачный сервис вдруг становится недоступным, и как минимизировать ущерб? В этом материале хотелось бы рассмотреть специфику организации защиты облачной ИТ-инфраструктуры и постараться найти возможные пути решения возникающих при этом проблем.

Новые облачные платформы не обязательно являются уязвимыми по умолчанию, однако полноценных решений для обеспечения безопасности и защиты персональных данных по-прежнему действительно не хватает. По мере внедрения сервисов, предоставляемых через облачные среды, организации сталкиваются с необходимостью соблюдать баланс между очевидными выгодами и множеством проблем. Эти проблемы появляются в тот момент, когда конфиденциальная информация проходит через большое количество сервис-провайдеров, сетей и сторонних организаций, а потом попадает на устройства, не входящие в состав корпоративной инфраструктуры.

В последнее время многие организации активно используют технологию Bring Your Own Device (BYOD), которая не требует от работодателя дополнительных затрат на приобретение и содержание средств удаленного доступа и связи, таких как смартфоны и планшетные ПК. Однако подобный подход диктует особые требования к защите данных, доступ к которым ограничивается в соответствии с российским законодательством. Это могут быть конфиденциальная информация, персональные данные и данные, обрабатываемые в государственных информационных системах.

Для минимального обеспечения безопасности информации на облаке должен быть выполнен ряд обязательных требований:

железо, на котором будет реализована облачная ИТ-инфраструктура, должно находиться в помещении, доступ в которое ограничен с помощью системы контроля доступа; обязательно применение систем кондиционирования воздуха и ИБП; должны быть приняты необходимые противопожарные меры и обеспечено круглосуточное обслуживание всей инфраструктуры;
инфраструктура, в которой обрабатываются критически важные и конфиденциальные данные, должна быть физически сегментирована отдельно от общей, усиленная безопасность которой не предполагается;
наличие средств антивирусной защиты и брандмауэров для виртуальных машин, а также брандмауэров для всех операционных систем, которые будут использоваться в облачной инфраструктуре;
наличие системы обнаружения атак и вторжений;
доступ к данным, хранящимся в специализированных хранилищах и базах данных, должен быть ограничен, и все обращения к хранилищу должны отражаться в специальном журнале;
наличие аутентификации по логину и паролю и шифрование процесса аутентификации обязательны, также желательно наличие автоматического сброса данных аутентификации пользователя при его бездействии некоторое время;
пользователи и администратор облачной инфраструктуры должны быть в курсе происходящих изменений как на стороне облачного провайдера, так и на собственных платформах, поэтому не лишним будет некий журнал, в котором отражались бы все последние изменения;
важная и конфиденциальная информация, располагающаяся в облаке, должна быть зашифрована с применением таких средств и методов, которые обеспечили бы наилучшую защиту в каждом конкретном случае;
хранение и обработка персональных данных должны соответствовать требованиям ФЗ-152.

Виртуализация добавляет технологический уровень, который может усложнить управление рисками, выступая дополнительным вектором атаки. Кроме того, объединение нескольких систем на одной аппаратной платформе повышает риски, связанные с компрометацией и отказом оборудования. Некоторые системы виртуализации упрощают обмен информацией между системами, однако этот момент может стать дополнительным слабым звеном, если не обеспечить должный контроль.

Безопасность облачной инфраструктуры в большой степени зависит от безопасности каждого из ее отдельно взятых элементов, включая гипервизор, хостовый компьютер и хостовую ОС, гостевые ОС, приложения и хранилище. Организации должны защищать все эти элементы и поддерживать их безопасность, основываясь на описанных методах безопасности, таких как:

ограничение доступа к административным интерфейсам;
обновление программного обеспечения;
использование шаблонов с безопасной конфигурацией;
выполнение мониторинга и учета событий на всех уровнях решения;
использование размещенных на хосте межсетевых экранов, антивирусного ПО или других соответствующих механизмов обнаружения и предотвращения атак.

Основой любой виртуальной среды является система управления виртуализацией, которая контролирует гипервизор и позволяет оператору запускать гостевые ОС, создавать новые образы гостевых ОС и выполнять иные действия. Доступ к системе управления виртуализацией должен быть разделен на основе ролей администраторов:

доступ только для чтения к административному интерфейсу гостевых ОС;
управление выделенными гостевыми ОС;
полный административный контроль.

Большинство гипервизоров в настоящее время использует однофакторную аутентификацию для разграничения доступа – пароль, однако это может не соответствовать серьезным политикам безопасности некоторых организаций и потребовать использования компенсационных средств контроля, таких как отдельная система аутентификации, применяемая для ограничения доступа к хосту, на котором установлена система управления виртуализацией.

Гипервизорные системы, объединяющие множество
гостевых ОС в виртуальную сеть, должны обеспечивать необходимый уровень безопасности, который является некой «золотой серединой» при разработке политик безопасности в организации. В частности, она предполагает, что всеми сетевыми коммутаторами, соединяющими множество серверов, нужно управлять и что трафик между серверами должен контролироваться на предмет подозрительных активностей.

Однако у сетевых коммутаторов в большинстве виртуальных систем нет такой возможности. Некоторые виртуальные коммутаторы поддерживают VLAN и возможности межсетевого экрана, чтобы обеспечить разделение и изоляцию сетевого трафика виртуальных машин. В некоторых средах могут быть применены дополнительные средства обеспечения безопасности для централизованной проверки, контроля, конфигурирования и мониторинга сетевых взаимодействий виртуальных машин.

Когда мы говорим о создании безопасной виртуальной инфраструктуры, нужно учитывать ряд факторов, влияющих впоследствии на сохранность данных. Процесс создания облачной информационной системы должен быть структурирован и содержать в себе следующие основные этапы:

Подготовка. На данном этапе стоит понять, для чего создается виртуальная инфраструктура, какие задачи она будет решать и какова ее конечная цель.
Разработка. Позволяет определить, какие технические и организационные меры необходимо предпринять для создания действенной системы защиты создаваемого облака, насколько система защиты отвечает требованиям законодательства, и каков ее потенциал по расширению функциональности при изменении компонентов виртуальной инфраструктуры с течением времени.
Внедрение. Запроектированные решения и приобретенные средства необходимо должным образом установить и настроить. Итогом данного этапа должны стать корректно функционирующая (согласно проектным решениям) виртуальная инфраструктура и система ее защиты. На этапе внедрения также проводится тестирование всех систем в целях оптимизации или корректировки конечного решения.
Эксплуатация. Главное, для чего и разрабатывается система, – корректное и бесперебойное функционирование всей системы, ее поддержка и развитие.

***

Подводя итог, можно сказать, что процесс создания системы защиты виртуальной инфраструктуры должен быть строго регламентирован и выполнять все возложенные на него функции, при этом отвечать всем требованиям законодательства в сфере защиты той или иной информации ограниченного доступа.

В начало⇑

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи