Облачно, с прояснениями… Взгляд на организацию защиты облачной ИТ-инфраструктуры::БИТ 03.2013
 
                 
Поиск по сайту
 bit.samag.ru     Web
Рассылка Subscribe.ru
подписаться письмом
Вход в систему
 Запомнить меня
Регистрация
Забыли пароль?

Календарь мероприятий
июль    2022
Пн
Вт
Ср
Чт
Пт
Сб
Вс
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31

показать все 

Новости партнеров

06.07.2022

MERLION IT Summit 2022: новый уровень важного отраслевого события

Читать далее 

05.07.2022

Учиться для жизни: специалисты в Оренбургской области решат задачу для образовательной компании

Читать далее 

04.07.2022

Запущена единая база знаний по работе с кириллическими доменными именами и email адресами

Читать далее 

27.06.2022

Три миллиона за искусственный интеллект: в Москве стартовал всероссийский чемпионат по искусственному интеллекту 

Читать далее 

показать все 

Статьи

29.04.2022

Можно ли продолжать цифровую трансформацию сегодня?

Читать далее 

23.03.2022

Дата-центры – 2022

Читать далее 

04.01.2022

Ваш рейтинг перспективных технологий

Читать далее 

11.12.2021

Что повысит конкурентоспособность?

Читать далее 

02.11.2021

Парадокс инвесторов

Читать далее 

13.02.2020

Чат-бот CallShark не требует зарплаты, а работает круглосуточно

Читать далее 

24.12.2019

До встречи в «Пьяном Сомелье»!

Читать далее 

21.12.2019

Искусство как награда Как изготавливали статуэтки для премии IT Stars им. Георгия Генса в сфере инноваций

Читать далее 

04.12.2019

ЛАНИТ учредил премию IT Stars памяти основателя компании Георгия Генса

Читать далее 

04.06.2019

Маркетолог: привлекать, продавать, продвигать?

Читать далее 

показать все 

Облачно, с прояснениями… Взгляд на организацию защиты облачной ИТ-инфраструктуры

Главная / Архив номеров / 2013 / Выпуск №3 (26) / Облачно, с прояснениями… Взгляд на организацию защиты облачной ИТ-инфраструктуры

Рубрика: Тема номера /  Защита информации компании


Владимир Шибановгенеральный директор производственной компании «Аквариус»

Облачно, с прояснениями…
Взгляд на организацию защиты облачной ИТ-инфраструктуры

Одним из ключевых трендов в развитии ИТ-индустрии вообще и виртуализации в частности вот уже несколько лет являются облачные технологии. По оценкам Microsoft, больше половины отечественных владельцев среднего и малого бизнеса считают, что данный вид технологий станет основой ИТ-инфраструктуры их компаний в самом ближайшем будущем. Крупный бизнес и государственные органы на региональном уровне, очевидно, также будут придерживаться этой тенденции, но с некоторой задержкой

Однако при столь оптимистичных оценках перспектив развития облаков вопросы их безопасной эксплуатации по-прежнему вызывают беспокойство у пользователей. Мнение о том, что облако не может быть безопасным, настолько укоренилось в сознании потенциальных потребителей, что переубедить их крайне сложно. Можно вспомнить 2011 год, когда из-за дефицита вычислительных мощностей на два дня была парализована работа сервиса EC2 от Amazon. Этот случай красноречиво продемонстрировал возможность аварий даже у крупнейших производителей, с большими финансовыми и инфраструктурными решениями.

Возникают логичные вопросы: что происходит с данными, когда облачный сервис вдруг становится недоступным, и как минимизировать ущерб? В этом материале хотелось бы рассмотреть специфику организации защиты облачной ИТ-инфраструктуры и постараться найти возможные пути решения возникающих при этом проблем.

Новые облачные платформы не обязательно являются уязвимыми по умолчанию, однако полноценных решений для обеспечения безопасности и защиты персональных данных по-прежнему действительно не хватает. По мере внедрения сервисов, предоставляемых через облачные среды, организации сталкиваются с необходимостью соблюдать баланс между очевидными выгодами и множеством проблем. Эти проблемы появляются в тот момент, когда конфиденциальная информация проходит через большое количество сервис-провайдеров, сетей и сторонних организаций, а потом попадает на устройства, не входящие в состав корпоративной инфраструктуры.

В последнее время многие организации активно используют технологию Bring Your Own Device (BYOD), которая не требует от работодателя дополнительных затрат на приобретение и содержание средств удаленного доступа и связи, таких как смартфоны и планшетные ПК. Однако подобный подход диктует особые требования к защите данных, доступ к которым ограничивается в соответствии с российским законодательством. Это могут быть конфиденциальная информация, персональные данные и данные, обрабатываемые в государственных информационных системах.

Для минимального обеспечения безопасности информации на облаке должен быть выполнен ряд обязательных требований:

  • железо, на котором будет реализована облачная ИТ-инфраструктура, должно находиться в помещении, доступ в которое ограничен с помощью системы контроля доступа; обязательно применение систем кондиционирования воздуха и ИБП; должны быть приняты необходимые противопожарные меры и обеспечено круглосуточное обслуживание всей инфраструктуры;
  • инфраструктура, в которой обрабатываются критически важные и конфиденциальные данные, должна быть физически сегментирована отдельно от общей, усиленная безопасность которой не предполагается;
  • наличие средств антивирусной защиты и брандмауэров для виртуальных машин, а также брандмауэров для всех операционных систем, которые будут использоваться в облачной инфраструктуре;
  • наличие системы обнаружения атак и вторжений;
  • доступ к данным, хранящимся в специализированных хранилищах и базах данных, должен быть ограничен, и все обращения к хранилищу должны отражаться в специальном журнале;
  • наличие аутентификации по логину и паролю и шифрование процесса аутентификации обязательны, также желательно наличие автоматического сброса данных аутентификации пользователя при его бездействии некоторое время;
  • пользователи и администратор облачной инфраструктуры должны быть в курсе происходящих изменений как на стороне облачного провайдера, так и на собственных платформах, поэтому не лишним будет некий журнал, в котором отражались бы все последние изменения;
  • важная и конфиденциальная информация, располагающаяся в облаке, должна быть зашифрована с применением таких средств и методов, которые обеспечили бы наилучшую защиту в каждом конкретном случае;
  • хранение и обработка персональных данных должны соответствовать требованиям ФЗ-152.

Виртуализация добавляет технологический уровень, который может усложнить управление рисками, выступая дополнительным вектором атаки. Кроме того, объединение нескольких систем на одной аппаратной платформе повышает риски, связанные с компрометацией и отказом оборудования. Некоторые системы виртуализации упрощают обмен информацией между системами, однако этот момент может стать дополнительным слабым звеном, если не обеспечить должный контроль.

Безопасность облачной инфраструктуры в большой степени зависит от безопасности каждого из ее отдельно взятых элементов, включая гипервизор, хостовый компьютер и хостовую ОС, гостевые ОС, приложения и хранилище. Организации должны защищать все эти элементы и поддерживать их безопасность, основываясь на описанных методах безопасности, таких как:

  • ограничение доступа к административным интерфейсам;
  • обновление программного обеспечения;
  • использование шаблонов с безопасной конфигурацией;
  • выполнение мониторинга и учета событий на всех уровнях решения;
  • использование размещенных на хосте межсетевых экранов, антивирусного ПО или других соответствующих механизмов обнаружения и предотвращения атак.

Основой любой виртуальной среды является система управления виртуализацией, которая контролирует гипервизор и позволяет оператору запускать гостевые ОС, создавать новые образы гостевых ОС и выполнять иные действия. Доступ к системе управления виртуализацией должен быть разделен на основе ролей администраторов:

  • доступ только для чтения к административному интерфейсу гостевых ОС;
  • управление выделенными гостевыми ОС;
  • полный административный контроль.

Большинство гипервизоров в настоящее время использует однофакторную аутентификацию для разграничения доступа – пароль, однако это может не соответствовать серьезным политикам безопасности некоторых организаций и потребовать использования компенсационных средств контроля, таких как отдельная система аутентификации, применяемая для ограничения доступа к хосту, на котором установлена система управления виртуализацией.

Гипервизорные системы, объединяющие множество
гостевых ОС в виртуальную сеть, должны обеспечивать необходимый уровень безопасности, который является некой «золотой серединой» при разработке политик безопасности в организации. В частности, она предполагает, что всеми сетевыми коммутаторами, соединяющими множество серверов, нужно управлять и что трафик между серверами должен контролироваться на предмет подозрительных активностей.

Однако у сетевых коммутаторов в большинстве виртуальных систем нет такой возможности. Некоторые виртуальные коммутаторы поддерживают VLAN и возможности межсетевого экрана, чтобы обеспечить разделение и изоляцию сетевого трафика виртуальных машин. В некоторых средах могут быть применены дополнительные средства обеспечения безопасности для централизованной проверки, контроля, конфигурирования и мониторинга сетевых взаимодействий виртуальных машин.

Когда мы говорим о создании безопасной виртуальной инфраструктуры, нужно учитывать ряд факторов, влияющих впоследствии на сохранность данных. Процесс создания облачной информационной системы должен быть структурирован и содержать в себе следующие основные этапы:

  • Подготовка. На данном этапе стоит понять, для чего создается виртуальная инфраструктура, какие задачи она будет решать и какова ее конечная цель.
  • Разработка. Позволяет определить, какие технические и организационные меры необходимо предпринять для создания действенной системы защиты создаваемого облака, насколько система защиты отвечает требованиям законодательства, и каков ее потенциал по расширению функциональности при изменении компонентов виртуальной инфраструктуры с течением времени.
  • Внедрение. Запроектированные решения и приобретенные средства необходимо должным образом установить и настроить. Итогом данного этапа должны стать корректно функционирующая (согласно проектным решениям) виртуальная инфраструктура и система ее защиты. На этапе внедрения также проводится тестирование всех систем в целях оптимизации или корректировки конечного решения.
  • Эксплуатация. Главное, для чего и разрабатывается система, – корректное и бесперебойное функционирование всей системы, ее поддержка и развитие.

***

Подводя итог, можно сказать, что процесс создания системы защиты виртуальной инфраструктуры должен быть строго регламентирован и выполнять все возложенные на него функции, при этом отвечать всем требованиям законодательства в сфере защиты той или иной информации ограниченного доступа.

В начало⇑

 

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи

Выпуск №04 (117) 2022г.
Выпуск №04 (117) 2022г. Выпуск №03 (116) 2022г. Выпуск №01 (114) 2022г. Выпуск №02 (115) 2022г.
Вакансии на сайте Jooble

           

Tel.: (499) 277-12-41  Fax: (499) 277-12-45  E-mail: sa@samag.ru

 

Copyright © Системный администратор

  Яндекс.Метрика