апрель    2024

Пн	Вт	Ср	Чт	Пт	Сб	Вс
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30

показать все 

18.04.2024

Ассоциация разработчиков «Отечественный софт» отметила 15-летие

Читать далее 

17.04.2024

РДТЕХ представил Технологическую карту российского ПО 2023

Читать далее 

16.04.2024

RAMAX Group получила партнерский статус уровня Gold по продукту Tarantool

Читать далее 

12.04.2024

На RIGF 2024 обсудили ключевые вопросы цифрового развития России

Читать далее 

показать все 

18.04.2024

5 способов повысить безопасность электронной подписи

Читать далее 

18.04.2024

Как искусственный интеллект изменит экономику

Читать далее 

18.04.2024

Неочевидный САПР: выход ПО за рамки конструкторской деятельности

Читать далее 

18.04.2024

Скоро некому будет делать сайты и заниматься версткой

Читать далее 

18.04.2024

Цифровая трансформация в энергетике: как запустить проект с максимальным финансовым эффектом?

Читать далее 

05.04.2024

Мотивируй, не то проиграешь!

Читать далее 

22.03.2024

В 2024 году в России и мире вырастут объемы применения AR/VR 

Читать далее 

25.02.2024

Цифровые технологии: надежды и риски

Читать далее 

05.02.2024

Будут ли востребованы услуги технической поддержки софта Oracle в России в ближайшие годы?  

Читать далее 

31.01.2024

Здания с признаками интеллекта. Как Сергей Провалихин автоматизирует дома и производства

Читать далее 

показать все 

Главная / Архив номеров / 2013 / Выпуск №3 (26) / Облачно, с прояснениями… Взгляд на организацию защиты облачной ИТ-инфраструктуры

Рубрика: Тема номера /  Защита информации компании

Владимир Шибанов, генеральный директор производственной компании «Аквариус»

Облачно, с прояснениями…
Взгляд на организацию защиты облачной ИТ-инфраструктуры

Одним из ключевых трендов в развитии ИТ-индустрии вообще и виртуализации в частности вот уже несколько лет являются облачные технологии. По оценкам Microsoft, больше половины отечественных владельцев среднего и малого бизнеса считают, что данный вид технологий станет основой ИТ-инфраструктуры их компаний в самом ближайшем будущем. Крупный бизнес и государственные органы на региональном уровне, очевидно, также будут придерживаться этой тенденции, но с некоторой задержкой

Однако при столь оптимистичных оценках перспектив развития облаков вопросы их безопасной эксплуатации по-прежнему вызывают беспокойство у пользователей. Мнение о том, что облако не может быть безопасным, настолько укоренилось в сознании потенциальных потребителей, что переубедить их крайне сложно. Можно вспомнить 2011 год, когда из-за дефицита вычислительных мощностей на два дня была парализована работа сервиса EC2 от Amazon. Этот случай красноречиво продемонстрировал возможность аварий даже у крупнейших производителей, с большими финансовыми и инфраструктурными решениями.

Возникают логичные вопросы: что происходит с данными, когда облачный сервис вдруг становится недоступным, и как минимизировать ущерб? В этом материале хотелось бы рассмотреть специфику организации защиты облачной ИТ-инфраструктуры и постараться найти возможные пути решения возникающих при этом проблем.

Новые облачные платформы не обязательно являются уязвимыми по умолчанию, однако полноценных решений для обеспечения безопасности и защиты персональных данных по-прежнему действительно не хватает. По мере внедрения сервисов, предоставляемых через облачные среды, организации сталкиваются с необходимостью соблюдать баланс между очевидными выгодами и множеством проблем. Эти проблемы появляются в тот момент, когда конфиденциальная информация проходит через большое количество сервис-провайдеров, сетей и сторонних организаций, а потом попадает на устройства, не входящие в состав корпоративной инфраструктуры.

В последнее время многие организации активно используют технологию Bring Your Own Device (BYOD), которая не требует от работодателя дополнительных затрат на приобретение и содержание средств удаленного доступа и связи, таких как смартфоны и планшетные ПК. Однако подобный подход диктует особые требования к защите данных, доступ к которым ограничивается в соответствии с российским законодательством. Это могут быть конфиденциальная информация, персональные данные и данные, обрабатываемые в государственных информационных системах.

Для минимального обеспечения безопасности информации на облаке должен быть выполнен ряд обязательных требований:

• железо, на котором будет реализована облачная ИТ-инфраструктура, должно находиться в помещении, доступ в которое ограничен с помощью системы контроля доступа; обязательно применение систем кондиционирования воздуха и ИБП; должны быть приняты необходимые противопожарные меры и обеспечено круглосуточное обслуживание всей инфраструктуры;
• инфраструктура, в которой обрабатываются критически важные и конфиденциальные данные, должна быть физически сегментирована отдельно от общей, усиленная безопасность которой не предполагается;
• наличие средств антивирусной защиты и брандмауэров для виртуальных машин, а также брандмауэров для всех операционных систем, которые будут использоваться в облачной инфраструктуре;
• наличие системы обнаружения атак и вторжений;
• доступ к данным, хранящимся в специализированных хранилищах и базах данных, должен быть ограничен, и все обращения к хранилищу должны отражаться в специальном журнале;
• наличие аутентификации по логину и паролю и шифрование процесса аутентификации обязательны, также желательно наличие автоматического сброса данных аутентификации пользователя при его бездействии некоторое время;
• пользователи и администратор облачной инфраструктуры должны быть в курсе происходящих изменений как на стороне облачного провайдера, так и на собственных платформах, поэтому не лишним будет некий журнал, в котором отражались бы все последние изменения;
• важная и конфиденциальная информация, располагающаяся в облаке, должна быть зашифрована с применением таких средств и методов, которые обеспечили бы наилучшую защиту в каждом конкретном случае;
• хранение и обработка персональных данных должны соответствовать требованиям ФЗ-152.

Виртуализация добавляет технологический уровень, который может усложнить управление рисками, выступая дополнительным вектором атаки. Кроме того, объединение нескольких систем на одной аппаратной платформе повышает риски, связанные с компрометацией и отказом оборудования. Некоторые системы виртуализации упрощают обмен информацией между системами, однако этот момент может стать дополнительным слабым звеном, если не обеспечить должный контроль.

Безопасность облачной инфраструктуры в большой степени зависит от безопасности каждого из ее отдельно взятых элементов, включая гипервизор, хостовый компьютер и хостовую ОС, гостевые ОС, приложения и хранилище. Организации должны защищать все эти элементы и поддерживать их безопасность, основываясь на описанных методах безопасности, таких как:

• ограничение доступа к административным интерфейсам;
• обновление программного обеспечения;
• использование шаблонов с безопасной конфигурацией;
• выполнение мониторинга и учета событий на всех уровнях решения;
• использование размещенных на хосте межсетевых экранов, антивирусного ПО или других соответствующих механизмов обнаружения и предотвращения атак.

Основой любой виртуальной среды является система управления виртуализацией, которая контролирует гипервизор и позволяет оператору запускать гостевые ОС, создавать новые образы гостевых ОС и выполнять иные действия. Доступ к системе управления виртуализацией должен быть разделен на основе ролей администраторов:

• доступ только для чтения к административному интерфейсу гостевых ОС;
• управление выделенными гостевыми ОС;
• полный административный контроль.

Большинство гипервизоров в настоящее время использует однофакторную аутентификацию для разграничения доступа – пароль, однако это может не соответствовать серьезным политикам безопасности некоторых организаций и потребовать использования компенсационных средств контроля, таких как отдельная система аутентификации, применяемая для ограничения доступа к хосту, на котором установлена система управления виртуализацией.

Гипервизорные системы, объединяющие множество
гостевых ОС в виртуальную сеть, должны обеспечивать необходимый уровень безопасности, который является некой «золотой серединой» при разработке политик безопасности в организации. В частности, она предполагает, что всеми сетевыми коммутаторами, соединяющими множество серверов, нужно управлять и что трафик между серверами должен контролироваться на предмет подозрительных активностей.

Однако у сетевых коммутаторов в большинстве виртуальных систем нет такой возможности. Некоторые виртуальные коммутаторы поддерживают VLAN и возможности межсетевого экрана, чтобы обеспечить разделение и изоляцию сетевого трафика виртуальных машин. В некоторых средах могут быть применены дополнительные средства обеспечения безопасности для централизованной проверки, контроля, конфигурирования и мониторинга сетевых взаимодействий виртуальных машин.

Когда мы говорим о создании безопасной виртуальной инфраструктуры, нужно учитывать ряд факторов, влияющих впоследствии на сохранность данных. Процесс создания облачной информационной системы должен быть структурирован и содержать в себе следующие основные этапы:

• Подготовка. На данном этапе стоит понять, для чего создается виртуальная инфраструктура, какие задачи она будет решать и какова ее конечная цель.
• Разработка. Позволяет определить, какие технические и организационные меры необходимо предпринять для создания действенной системы защиты создаваемого облака, насколько система защиты отвечает требованиям законодательства, и каков ее потенциал по расширению функциональности при изменении компонентов виртуальной инфраструктуры с течением времени.
• Внедрение. Запроектированные решения и приобретенные средства необходимо должным образом установить и настроить. Итогом данного этапа должны стать корректно функционирующая (согласно проектным решениям) виртуальная инфраструктура и система ее защиты. На этапе внедрения также проводится тестирование всех систем в целях оптимизации или корректировки конечного решения.
• Эксплуатация. Главное, для чего и разрабатывается система, – корректное и бесперебойное функционирование всей системы, ее поддержка и развитие.

***

Подводя итог, можно сказать, что процесс создания системы защиты виртуальной инфраструктуры должен быть строго регламентирован и выполнять все возложенные на него функции, при этом отвечать всем требованиям законодательства в сфере защиты той или иной информации ограниченного доступа.

В начало⇑

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи