Облачно, с прояснениями… Взгляд на организацию защиты облачной ИТ-инфраструктуры::БИТ 03.2013
 
                 
Поиск по сайту
 bit.samag.ru     Web
Рассылка Subscribe.ru
подписаться письмом
Вход в систему
 Запомнить меня
Регистрация
Забыли пароль?

Календарь мероприятий
ноябрь    2024
Пн
Вт
Ср
Чт
Пт
Сб
Вс
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30

показать все 

Новости партнеров

14.11.2024

Обновление BI.ZONE Secure DNS: гибкая настройка фильтрации и максимальная скорость

Читать далее 

14.11.2024

RED Security: в октябре количество DDoS-атак на ТЭК выросло в 3 раза

Читать далее 

14.11.2024

Falcongaze представила новую версию DLP-системы — SecureTower 7 Helium

Читать далее 

14.11.2024

ИСП РАН покажет результаты 30-ти лет работы на Открытой конференции в Москве

Читать далее 

08.11.2024

Юбилейная конференция ЭОС: ЭОС: 30 лет лидерства на рынке автоматизации документооборота и обсуждение актуальных трендов

Читать далее 

показать все 

Статьи

22.11.2024

Тандем технологий – драйвер инноваций.

Читать далее 

21.11.2024

ИИ: маршрут не построен, но уже проектируется

Читать далее 

18.11.2024

Глеб Шкрябин: «Надежные и масштабируемые системы — основа стабильной работы бизнеса в условиях больших нагрузок»

Читать далее 

14.10.2024

Елена Ситдикова: «На разработчиках программного обеспечения для транспорта лежит большая ответственность перед пассажирами»

Читать далее 

11.10.2024

Технологический ИИ-арсенал

Читать далее 

13.06.2024

Взгляд в перспективу: что будет двигать отрасль информационной безопасности

Читать далее 

18.04.2024

5 способов повысить безопасность электронной подписи

Читать далее 

18.04.2024

Как искусственный интеллект изменит экономику

Читать далее 

18.04.2024

Неочевидный САПР: выход ПО за рамки конструкторской деятельности

Читать далее 

18.04.2024

Скоро некому будет делать сайты и заниматься версткой

Читать далее 

показать все 

Облачно, с прояснениями… Взгляд на организацию защиты облачной ИТ-инфраструктуры

Главная / Архив номеров / 2013 / Выпуск №3 (26) / Облачно, с прояснениями… Взгляд на организацию защиты облачной ИТ-инфраструктуры

Рубрика: Тема номера /  Защита информации компании


Владимир Шибановгенеральный директор производственной компании «Аквариус»

Облачно, с прояснениями…
Взгляд на организацию защиты облачной ИТ-инфраструктуры

Одним из ключевых трендов в развитии ИТ-индустрии вообще и виртуализации в частности вот уже несколько лет являются облачные технологии. По оценкам Microsoft, больше половины отечественных владельцев среднего и малого бизнеса считают, что данный вид технологий станет основой ИТ-инфраструктуры их компаний в самом ближайшем будущем. Крупный бизнес и государственные органы на региональном уровне, очевидно, также будут придерживаться этой тенденции, но с некоторой задержкой

Однако при столь оптимистичных оценках перспектив развития облаков вопросы их безопасной эксплуатации по-прежнему вызывают беспокойство у пользователей. Мнение о том, что облако не может быть безопасным, настолько укоренилось в сознании потенциальных потребителей, что переубедить их крайне сложно. Можно вспомнить 2011 год, когда из-за дефицита вычислительных мощностей на два дня была парализована работа сервиса EC2 от Amazon. Этот случай красноречиво продемонстрировал возможность аварий даже у крупнейших производителей, с большими финансовыми и инфраструктурными решениями.

Возникают логичные вопросы: что происходит с данными, когда облачный сервис вдруг становится недоступным, и как минимизировать ущерб? В этом материале хотелось бы рассмотреть специфику организации защиты облачной ИТ-инфраструктуры и постараться найти возможные пути решения возникающих при этом проблем.

Новые облачные платформы не обязательно являются уязвимыми по умолчанию, однако полноценных решений для обеспечения безопасности и защиты персональных данных по-прежнему действительно не хватает. По мере внедрения сервисов, предоставляемых через облачные среды, организации сталкиваются с необходимостью соблюдать баланс между очевидными выгодами и множеством проблем. Эти проблемы появляются в тот момент, когда конфиденциальная информация проходит через большое количество сервис-провайдеров, сетей и сторонних организаций, а потом попадает на устройства, не входящие в состав корпоративной инфраструктуры.

В последнее время многие организации активно используют технологию Bring Your Own Device (BYOD), которая не требует от работодателя дополнительных затрат на приобретение и содержание средств удаленного доступа и связи, таких как смартфоны и планшетные ПК. Однако подобный подход диктует особые требования к защите данных, доступ к которым ограничивается в соответствии с российским законодательством. Это могут быть конфиденциальная информация, персональные данные и данные, обрабатываемые в государственных информационных системах.

Для минимального обеспечения безопасности информации на облаке должен быть выполнен ряд обязательных требований:

  • железо, на котором будет реализована облачная ИТ-инфраструктура, должно находиться в помещении, доступ в которое ограничен с помощью системы контроля доступа; обязательно применение систем кондиционирования воздуха и ИБП; должны быть приняты необходимые противопожарные меры и обеспечено круглосуточное обслуживание всей инфраструктуры;
  • инфраструктура, в которой обрабатываются критически важные и конфиденциальные данные, должна быть физически сегментирована отдельно от общей, усиленная безопасность которой не предполагается;
  • наличие средств антивирусной защиты и брандмауэров для виртуальных машин, а также брандмауэров для всех операционных систем, которые будут использоваться в облачной инфраструктуре;
  • наличие системы обнаружения атак и вторжений;
  • доступ к данным, хранящимся в специализированных хранилищах и базах данных, должен быть ограничен, и все обращения к хранилищу должны отражаться в специальном журнале;
  • наличие аутентификации по логину и паролю и шифрование процесса аутентификации обязательны, также желательно наличие автоматического сброса данных аутентификации пользователя при его бездействии некоторое время;
  • пользователи и администратор облачной инфраструктуры должны быть в курсе происходящих изменений как на стороне облачного провайдера, так и на собственных платформах, поэтому не лишним будет некий журнал, в котором отражались бы все последние изменения;
  • важная и конфиденциальная информация, располагающаяся в облаке, должна быть зашифрована с применением таких средств и методов, которые обеспечили бы наилучшую защиту в каждом конкретном случае;
  • хранение и обработка персональных данных должны соответствовать требованиям ФЗ-152.

Виртуализация добавляет технологический уровень, который может усложнить управление рисками, выступая дополнительным вектором атаки. Кроме того, объединение нескольких систем на одной аппаратной платформе повышает риски, связанные с компрометацией и отказом оборудования. Некоторые системы виртуализации упрощают обмен информацией между системами, однако этот момент может стать дополнительным слабым звеном, если не обеспечить должный контроль.

Безопасность облачной инфраструктуры в большой степени зависит от безопасности каждого из ее отдельно взятых элементов, включая гипервизор, хостовый компьютер и хостовую ОС, гостевые ОС, приложения и хранилище. Организации должны защищать все эти элементы и поддерживать их безопасность, основываясь на описанных методах безопасности, таких как:

  • ограничение доступа к административным интерфейсам;
  • обновление программного обеспечения;
  • использование шаблонов с безопасной конфигурацией;
  • выполнение мониторинга и учета событий на всех уровнях решения;
  • использование размещенных на хосте межсетевых экранов, антивирусного ПО или других соответствующих механизмов обнаружения и предотвращения атак.

Основой любой виртуальной среды является система управления виртуализацией, которая контролирует гипервизор и позволяет оператору запускать гостевые ОС, создавать новые образы гостевых ОС и выполнять иные действия. Доступ к системе управления виртуализацией должен быть разделен на основе ролей администраторов:

  • доступ только для чтения к административному интерфейсу гостевых ОС;
  • управление выделенными гостевыми ОС;
  • полный административный контроль.

Большинство гипервизоров в настоящее время использует однофакторную аутентификацию для разграничения доступа – пароль, однако это может не соответствовать серьезным политикам безопасности некоторых организаций и потребовать использования компенсационных средств контроля, таких как отдельная система аутентификации, применяемая для ограничения доступа к хосту, на котором установлена система управления виртуализацией.

Гипервизорные системы, объединяющие множество
гостевых ОС в виртуальную сеть, должны обеспечивать необходимый уровень безопасности, который является некой «золотой серединой» при разработке политик безопасности в организации. В частности, она предполагает, что всеми сетевыми коммутаторами, соединяющими множество серверов, нужно управлять и что трафик между серверами должен контролироваться на предмет подозрительных активностей.

Однако у сетевых коммутаторов в большинстве виртуальных систем нет такой возможности. Некоторые виртуальные коммутаторы поддерживают VLAN и возможности межсетевого экрана, чтобы обеспечить разделение и изоляцию сетевого трафика виртуальных машин. В некоторых средах могут быть применены дополнительные средства обеспечения безопасности для централизованной проверки, контроля, конфигурирования и мониторинга сетевых взаимодействий виртуальных машин.

Когда мы говорим о создании безопасной виртуальной инфраструктуры, нужно учитывать ряд факторов, влияющих впоследствии на сохранность данных. Процесс создания облачной информационной системы должен быть структурирован и содержать в себе следующие основные этапы:

  • Подготовка. На данном этапе стоит понять, для чего создается виртуальная инфраструктура, какие задачи она будет решать и какова ее конечная цель.
  • Разработка. Позволяет определить, какие технические и организационные меры необходимо предпринять для создания действенной системы защиты создаваемого облака, насколько система защиты отвечает требованиям законодательства, и каков ее потенциал по расширению функциональности при изменении компонентов виртуальной инфраструктуры с течением времени.
  • Внедрение. Запроектированные решения и приобретенные средства необходимо должным образом установить и настроить. Итогом данного этапа должны стать корректно функционирующая (согласно проектным решениям) виртуальная инфраструктура и система ее защиты. На этапе внедрения также проводится тестирование всех систем в целях оптимизации или корректировки конечного решения.
  • Эксплуатация. Главное, для чего и разрабатывается система, – корректное и бесперебойное функционирование всей системы, ее поддержка и развитие.

***

Подводя итог, можно сказать, что процесс создания системы защиты виртуальной инфраструктуры должен быть строго регламентирован и выполнять все возложенные на него функции, при этом отвечать всем требованиям законодательства в сфере защиты той или иной информации ограниченного доступа.

В начало⇑

 

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи

Выпуск №06 (139) 2024г.
Выпуск №06 (139) 2024г. Выпуск №05 (138) 2024г. Выпуск №04 (137) 2024г. Выпуск №03 (136) 2024г. Выпуск №02 (135) 2024г. Выпуск №01 (134) 2024г.
Вакансии на сайте Jooble

БИТ рекомендует

           

Tel.: (499) 277-12-41  Fax: (499) 277-12-45  E-mail: sa@samag.ru

 

Copyright © Системный администратор

  Яндекс.Метрика