ݺߣ

ݺߣShare a Scribd company logo

Кращі практики керування ризиками хмарних технологій

Download as PPTX, PDF
Glib Pakharenko
Glib Pakharenko

Кращі практики керування ризиками хмарних технологій

1 of 13
Download to read offline
Кращі практики керування ризиками хмарних технологій DIGITAL SPACE 2016 Гліб Пахаренко, CISA, CISSP
Визначення хмарних технологій: • максимальна автоматизація керування ресурсами • доступ до послуги з різних платформ та з усіх точок світу • швидка зміна конфігурації • сплата лише за спожиті ресурси • та ін. (згідно NIST)
Для чого ми запроваджуємо хмарні технології: • оптимізувати споживання ресурсів • зберегти кошти організації • отримати більш швидкі послуги ( • і більш якісні?!) • отримати інноваційні послуги які не доступні нам • в стандартній моделі • ІТ • знизити час на впровадження послуг • забезпечити відмовостійкість Головне: Перехід у хмару не дозволить навести лад в ІТ, якщо його нема наразі!
Успадковані ризики в залежності від моделі хмарної послуги:
Розділення відповідальності в залежності від типу хмарної послуги
Ризик №1: Публічні хмари (спільний хостінг, віртуальні сервери, і т.д.) • Має низький рівень безпеки; • Перше, що атакують хакери якщо не вийшло зламати Ваш сайт чи облікові записи розробників; Ризик №2: Анті-ДОС сервіси не завжди працюють • легко знайти реальний ІР сайту (чи Вашого офісу) • не захищає від ДОС на рівні додатку (важкі запити) Ризик №3: Доступність сервісу може бажати кращого • регулярно отримуємо новини про недоступність відомих хмарних сервісів Ризик №4: Різні агенства з 3-х літер, та їх кооперація • регулярно отримуємо новини про доступ спецслужб до хмар
Ризик №5: Важкість міграції • Не всі сервіси можна взяти і просто мігрувати у хмару • Велике число проектів з міграції не виправдали початкові бізнес-кейси • Потенційні причини змін у проектах: • на старому залізі та зі старим адміністратором може бути трохи дешевше ніж хмарі • зміни в недокументованій мережевій адресацій між системами • затримки в мережі • апаратні токени • зміна звичного програмного забезпечення користувачів • сервіс-деск для хмарних сервісів
Ризик №6: Важкість компьютерної криміналістики • В хмарі може бути не просто провести власне розслідування компьютерного злочину Ризик №7: Важкість керування доступом • Інтеграція корпоративного процесу керування доступом (Identity Management) може бути дорогою та складною процедурою Ризик №8: Важкість тестів на проникнення • Хмарний провайдер може обмежити Ваші можливості по незалежному аудиту безпеки Ризик №9: Міграція між хмарними провайдерами • Міграція між хмарними провайдерами може бути не продумана та не закладена в бізнес кейс початкового переходу на хмарні технології
Ризик №10: Фізична безпека • В хмарі дуже важко організувати контроль за фізичною безпекою, і це дуже великий виклик моделі безпеки для традиційної інфраструктури Ризик №11: Персональні дані  Хмарні технології потребують більше уваги щодо додержання законодавства про персональні дані
Дія №1: Закласти витрати на безпеку в бізнес-кейсах при міграції • Частина зекономлених коштів має йти на зниження хмарних ризиків, аудити, навчання тощо. Дія №2: Поєднати перехід на хмарні технології із підвищенням зрілості процесів керування ІТ та ІБ • Без підвищення зрілості та якості керування ІТ старі ризики можуть додатися із новими – хмарними. Дія №3: Залучити службу ІБ на всі етапи життєвого циклу хмарних ІТ послуг • Фахівці ІБ мають брати участь в усіх ключових процесах пов'язаних із використанням хмарних технологій (від ідеї до відмови від сервісу).
Дія №4: Відобразити хмарні технології в усіх політиках • Адаптувати ключові документи до використання хмарних технологій: план безперервної діяльності, політику класифікації активів, і т.д. Дія №5: Відпрацювати аудити безпеки та розслідування • Оновити процедури проведення аудитів безпеки та компьютерної криміналістики для хмарних активів Дія №6: Закласти суворі угоди щодо налаштувань безпеки у хмарного провайдера • Хмарний провайдер має застосовувати кращі практики безпеки в зоні його відповідальності
Корисні посилання: • http://www.isaca.org/Knowledge- Center/Research/ResearchDeliverables/Pages/Security-Considerations-for- Cloud-Computing.aspx • http://www.isaca.org/knowledge-center/research/pages/cloud.aspx • http://www.isaca.org/Knowledge- Center/Research/ResearchDeliverables/Pages/Controls-and-Assurance-in- the-Cloud-Using-COBIT-5.aspx • https://cloudsecurityalliance.org/
А які ризики та заходи безпеки бачите Ви? Дякую за увагу. Гліб Пахаренко, CISA, CISSP.

More Related Content

Кращі практики керування ризиками хмарних технологій

  • 1. Кращі практики керування ризиками хмарних технологій DIGITAL SPACE 2016 Гліб Пахаренко, CISA, CISSP
  • 2. Визначення хмарних технологій: • максимальна автоматизація керування ресурсами • доступ до послуги з різних платформ та з усіх точок світу • швидка зміна конфігурації • сплата лише за спожиті ресурси • та ін. (згідно NIST)
  • 3. Для чого ми запроваджуємо хмарні технології: • оптимізувати споживання ресурсів • зберегти кошти організації • отримати більш швидкі послуги ( • і більш якісні?!) • отримати інноваційні послуги які не доступні нам • в стандартній моделі • ІТ • знизити час на впровадження послуг • забезпечити відмовостійкість Головне: Перехід у хмару не дозволить навести лад в ІТ, якщо його нема наразі!
  • 4. Успадковані ризики в залежності від моделі хмарної послуги:
  • 5. Розділення відповідальності в залежності від типу хмарної послуги
  • 6. Ризик №1: Публічні хмари (спільний хостінг, віртуальні сервери, і т.д.) • Має низький рівень безпеки; • Перше, що атакують хакери якщо не вийшло зламати Ваш сайт чи облікові записи розробників; Ризик №2: Анті-ДОС сервіси не завжди працюють • легко знайти реальний ІР сайту (чи Вашого офісу) • не захищає від ДОС на рівні додатку (важкі запити) Ризик №3: Доступність сервісу може бажати кращого • регулярно отримуємо новини про недоступність відомих хмарних сервісів Ризик №4: Різні агенства з 3-х літер, та їх кооперація • регулярно отримуємо новини про доступ спецслужб до хмар
  • 7. Ризик №5: Важкість міграції • Не всі сервіси можна взяти і просто мігрувати у хмару • Велике число проектів з міграції не виправдали початкові бізнес-кейси • Потенційні причини змін у проектах: • на старому залізі та зі старим адміністратором може бути трохи дешевше ніж хмарі • зміни в недокументованій мережевій адресацій між системами • затримки в мережі • апаратні токени • зміна звичного програмного забезпечення користувачів • сервіс-деск для хмарних сервісів
  • 8. Ризик №6: Важкість компьютерної криміналістики • В хмарі може бути не просто провести власне розслідування компьютерного злочину Ризик №7: Важкість керування доступом • Інтеграція корпоративного процесу керування доступом (Identity Management) може бути дорогою та складною процедурою Ризик №8: Важкість тестів на проникнення • Хмарний провайдер може обмежити Ваші можливості по незалежному аудиту безпеки Ризик №9: Міграція між хмарними провайдерами • Міграція між хмарними провайдерами може бути не продумана та не закладена в бізнес кейс початкового переходу на хмарні технології
  • 9. Ризик №10: Фізична безпека • В хмарі дуже важко організувати контроль за фізичною безпекою, і це дуже великий виклик моделі безпеки для традиційної інфраструктури Ризик №11: Персональні дані  Хмарні технології потребують більше уваги щодо додержання законодавства про персональні дані
  • 10. Дія №1: Закласти витрати на безпеку в бізнес-кейсах при міграції • Частина зекономлених коштів має йти на зниження хмарних ризиків, аудити, навчання тощо. Дія №2: Поєднати перехід на хмарні технології із підвищенням зрілості процесів керування ІТ та ІБ • Без підвищення зрілості та якості керування ІТ старі ризики можуть додатися із новими – хмарними. Дія №3: Залучити службу ІБ на всі етапи життєвого циклу хмарних ІТ послуг • Фахівці ІБ мають брати участь в усіх ключових процесах пов'язаних із використанням хмарних технологій (від ідеї до відмови від сервісу).
  • 11. Дія №4: Відобразити хмарні технології в усіх політиках • Адаптувати ключові документи до використання хмарних технологій: план безперервної діяльності, політику класифікації активів, і т.д. Дія №5: Відпрацювати аудити безпеки та розслідування • Оновити процедури проведення аудитів безпеки та компьютерної криміналістики для хмарних активів Дія №6: Закласти суворі угоди щодо налаштувань безпеки у хмарного провайдера • Хмарний провайдер має застосовувати кращі практики безпеки в зоні його відповідальності
  • 12. Корисні посилання: • http://www.isaca.org/Knowledge- Center/Research/ResearchDeliverables/Pages/Security-Considerations-for- Cloud-Computing.aspx • http://www.isaca.org/knowledge-center/research/pages/cloud.aspx • http://www.isaca.org/Knowledge- Center/Research/ResearchDeliverables/Pages/Controls-and-Assurance-in- the-Cloud-Using-COBIT-5.aspx • https://cloudsecurityalliance.org/
  • 13. А які ризики та заходи безпеки бачите Ви? Дякую за увагу. Гліб Пахаренко, CISA, CISSP.

Editor's Notes

  1. 2
  2. 6
  3. 7
  4. 8
  5. 9
  6. 10
  7. 11
  8. 12
  9. 13