Календарь мероприятий
ноябрь 2024
Пн |
Вт |
Ср |
Чт |
Пт |
Сб |
Вс |
| | | | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23 | 24 | 25 | 26 | 27 | 28 | 29 | 30 | |
показать все
Новости партнеров
Обновление BI.ZONE Secure DNS: гибкая настройка фильтрации и максимальная скорость
Читать далее
RED Security: в октябре количество DDoS-атак на ТЭК выросло в 3 раза
Читать далее
Falcongaze представила новую версию DLP-системы — SecureTower 7 Helium
Читать далее
ИСП РАН покажет результаты 30-ти лет работы на Открытой конференции в Москве
Читать далее
Юбилейная конференция ЭОС: ЭОС: 30 лет лидерства на рынке автоматизации документооборота и обсуждение актуальных трендов
Читать далее
показать все
Статьи
Тандем технологий – драйвер инноваций.
Читать далее
ИИ: маршрут не построен, но уже проектируется
Читать далее
Глеб Шкрябин: «Надежные и масштабируемые системы — основа стабильной работы бизнеса в условиях больших нагрузок»
Читать далее
Елена Ситдикова: «На разработчиках программного обеспечения для транспорта лежит большая ответственность перед пассажирами»
Читать далее
Технологический ИИ-арсенал
Читать далее
Взгляд в перспективу: что будет двигать отрасль информационной безопасности
Читать далее
5 способов повысить безопасность электронной подписи
Читать далее
Как искусственный интеллект изменит экономику
Читать далее
Неочевидный САПР: выход ПО за рамки конструкторской деятельности
Читать далее
Скоро некому будет делать сайты и заниматься версткой
Читать далее
показать все
|
Облачно, с прояснениями… Взгляд на организацию защиты облачной ИТ-инфраструктуры
Главная /
Архив номеров / 2013 / Выпуск №3 (26) / Облачно, с прояснениями… Взгляд на организацию защиты облачной ИТ-инфраструктуры
Рубрика:
Тема номера /
Защита информации компании
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
Владимир Шибанов, генеральный директор производственной компании «Аквариус»
Облачно, с прояснениями… Взгляд на организацию защиты облачной ИТ-инфраструктуры
Одним из ключевых трендов в развитии ИТ-индустрии вообще и виртуализации в частности вот уже несколько лет являются облачные технологии. По оценкам Microsoft, больше половины отечественных владельцев среднего и малого бизнеса считают, что данный вид технологий станет основой ИТ-инфраструктуры их компаний в самом ближайшем будущем. Крупный бизнес и государственные органы на региональном уровне, очевидно, также будут придерживаться этой тенденции, но с некоторой задержкой
Однако при столь оптимистичных оценках перспектив развития облаков вопросы их безопасной эксплуатации по-прежнему вызывают беспокойство у пользователей. Мнение о том, что облако не может быть безопасным, настолько укоренилось в сознании потенциальных потребителей, что переубедить их крайне сложно. Можно вспомнить 2011 год, когда из-за дефицита вычислительных мощностей на два дня была парализована работа сервиса EC2 от Amazon. Этот случай красноречиво продемонстрировал возможность аварий даже у крупнейших производителей, с большими финансовыми и инфраструктурными решениями.
Возникают логичные вопросы: что происходит с данными, когда облачный сервис вдруг становится недоступным, и как минимизировать ущерб? В этом материале хотелось бы рассмотреть специфику организации защиты облачной ИТ-инфраструктуры и постараться найти возможные пути решения возникающих при этом проблем.
Новые облачные платформы не обязательно являются уязвимыми по умолчанию, однако полноценных решений для обеспечения безопасности и защиты персональных данных по-прежнему действительно не хватает. По мере внедрения сервисов, предоставляемых через облачные среды, организации сталкиваются с необходимостью соблюдать баланс между очевидными выгодами и множеством проблем. Эти проблемы появляются в тот момент, когда конфиденциальная информация проходит через большое количество сервис-провайдеров, сетей и сторонних организаций, а потом попадает на устройства, не входящие в состав корпоративной инфраструктуры.
В последнее время многие организации активно используют технологию Bring Your Own Device (BYOD), которая не требует от работодателя дополнительных затрат на приобретение и содержание средств удаленного доступа и связи, таких как смартфоны и планшетные ПК. Однако подобный подход диктует особые требования к защите данных, доступ к которым ограничивается в соответствии с российским законодательством. Это могут быть конфиденциальная информация, персональные данные и данные, обрабатываемые в государственных информационных системах.
Для минимального обеспечения безопасности информации на облаке должен быть выполнен ряд обязательных требований:
- железо, на котором будет реализована облачная ИТ-инфраструктура, должно находиться в помещении, доступ в которое ограничен с помощью системы контроля доступа; обязательно применение систем кондиционирования воздуха и ИБП; должны быть приняты необходимые противопожарные меры и обеспечено круглосуточное обслуживание всей инфраструктуры;
- инфраструктура, в которой обрабатываются критически важные и конфиденциальные данные, должна быть физически сегментирована отдельно от общей, усиленная безопасность которой не предполагается;
- наличие средств антивирусной защиты и брандмауэров для виртуальных машин, а также брандмауэров для всех операционных систем, которые будут использоваться в облачной инфраструктуре;
- наличие системы обнаружения атак и вторжений;
- доступ к данным, хранящимся в специализированных хранилищах и базах данных, должен быть ограничен, и все обращения к хранилищу должны отражаться в специальном журнале;
- наличие аутентификации по логину и паролю и шифрование процесса аутентификации обязательны, также желательно наличие автоматического сброса данных аутентификации пользователя при его бездействии некоторое время;
- пользователи и администратор облачной инфраструктуры должны быть в курсе происходящих изменений как на стороне облачного провайдера, так и на собственных платформах, поэтому не лишним будет некий журнал, в котором отражались бы все последние изменения;
- важная и конфиденциальная информация, располагающаяся в облаке, должна быть зашифрована с применением таких средств и методов, которые обеспечили бы наилучшую защиту в каждом конкретном случае;
- хранение и обработка персональных данных должны соответствовать требованиям ФЗ-152.
Виртуализация добавляет технологический уровень, который может усложнить управление рисками, выступая дополнительным вектором атаки. Кроме того, объединение нескольких систем на одной аппаратной платформе повышает риски, связанные с компрометацией и отказом оборудования. Некоторые системы виртуализации упрощают обмен информацией между системами, однако этот момент может стать дополнительным слабым звеном, если не обеспечить должный контроль.
Безопасность облачной инфраструктуры в большой степени зависит от безопасности каждого из ее отдельно взятых элементов, включая гипервизор, хостовый компьютер и хостовую ОС, гостевые ОС, приложения и хранилище. Организации должны защищать все эти элементы и поддерживать их безопасность, основываясь на описанных методах безопасности, таких как:
- ограничение доступа к административным интерфейсам;
- обновление программного обеспечения;
- использование шаблонов с безопасной конфигурацией;
- выполнение мониторинга и учета событий на всех уровнях решения;
- использование размещенных на хосте межсетевых экранов, антивирусного ПО или других соответствующих механизмов обнаружения и предотвращения атак.
Основой любой виртуальной среды является система управления виртуализацией, которая контролирует гипервизор и позволяет оператору запускать гостевые ОС, создавать новые образы гостевых ОС и выполнять иные действия. Доступ к системе управления виртуализацией должен быть разделен на основе ролей администраторов:
- доступ только для чтения к административному интерфейсу гостевых ОС;
- управление выделенными гостевыми ОС;
- полный административный контроль.
Большинство гипервизоров в настоящее время использует однофакторную аутентификацию для разграничения доступа – пароль, однако это может не соответствовать серьезным политикам безопасности некоторых организаций и потребовать использования компенсационных средств контроля, таких как отдельная система аутентификации, применяемая для ограничения доступа к хосту, на котором установлена система управления виртуализацией.
Гипервизорные системы, объединяющие множество гостевых ОС в виртуальную сеть, должны обеспечивать необходимый уровень безопасности, который является некой «золотой серединой» при разработке политик безопасности в организации. В частности, она предполагает, что всеми сетевыми коммутаторами, соединяющими множество серверов, нужно управлять и что трафик между серверами должен контролироваться на предмет подозрительных активностей.
Однако у сетевых коммутаторов в большинстве виртуальных систем нет такой возможности. Некоторые виртуальные коммутаторы поддерживают VLAN и возможности межсетевого экрана, чтобы обеспечить разделение и изоляцию сетевого трафика виртуальных машин. В некоторых средах могут быть применены дополнительные средства обеспечения безопасности для централизованной проверки, контроля, конфигурирования и мониторинга сетевых взаимодействий виртуальных машин.
Когда мы говорим о создании безопасной виртуальной инфраструктуры, нужно учитывать ряд факторов, влияющих впоследствии на сохранность данных. Процесс создания облачной информационной системы должен быть структурирован и содержать в себе следующие основные этапы:
- Подготовка. На данном этапе стоит понять, для чего создается виртуальная инфраструктура, какие задачи она будет решать и какова ее конечная цель.
- Разработка. Позволяет определить, какие технические и организационные меры необходимо предпринять для создания действенной системы защиты создаваемого облака, насколько система защиты отвечает требованиям законодательства, и каков ее потенциал по расширению функциональности при изменении компонентов виртуальной инфраструктуры с течением времени.
- Внедрение. Запроектированные решения и приобретенные средства необходимо должным образом установить и настроить. Итогом данного этапа должны стать корректно функционирующая (согласно проектным решениям) виртуальная инфраструктура и система ее защиты. На этапе внедрения также проводится тестирование всех систем в целях оптимизации или корректировки конечного решения.
- Эксплуатация. Главное, для чего и разрабатывается система, – корректное и бесперебойное функционирование всей системы, ее поддержка и развитие.
***
Подводя итог, можно сказать, что процесс создания системы защиты виртуальной инфраструктуры должен быть строго регламентирован и выполнять все возложенные на него функции, при этом отвечать всем требованиям законодательства в сфере защиты той или иной информации ограниченного доступа. В начало⇑
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
Комментарии отсутствуют
Комментарии могут отставлять только зарегистрированные пользователи
|
Вакансии на сайте Jooble
|