Upload
expolink
View
287
Download
0
Embed Size (px)
Citation preview
1C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены.
Проблема защиты информации в современном ЦОДе и способы ее решения
ТЕНДЕНЦИИ ЦОД
ОБЛАЧНЫЕ СРЕДЫВИРТУАЛИЗАЦИЯ
СООТВЕТСТВИЕ ТРЕБОВАНИЯМ
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 3
При изменении ландшафта ЦОДДавление со всех сторон
Глобальная доступность
Использованиересурсов
Защита окружающей
среды
Соответствие нормативным требованиям
Оптимизацияэксплуатации
ЦОДГибкость сервисов
Быстрое выделение ресурсов
Производительностьприложений
Доступк сервисам
Совместно работающиеприложения
Пользователи
Внутренние пользователи
Мобильные пользователи
Атакующие
Внешние пользователи
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 4
Где бы мы не находились
ВиртуализацияОблачная среда
Традиционный центр обработки
данных
Виртуализованный центр
обработки данных (VDC)
Виртуализо-ванные
настольные системы
Внутренние, частные облачные среды
Виртуальные частные облачные среды (VPC)
Общедоступные облачные среды
ВЫНАХОДИТЕСЬ
ЗДЕСЬ?
Консолидация ресурсов
Виртуализация среды
Автоматизация предоставления
услуг
Стандартизация операций
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 5
Сложности обеспечения ИБ в ЦОД• Сегментация физических и виртуальных ресурсов
• Виртуализация и различные гипервизоры
• Защита в сетях хранения данных
• Контроль приложений
• Утечки данных
• Соответствие требованиям
• Доступность и обеспечениебесперебойногофункционирования
• Переход к облачным вычислениям
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 6
Начинать надо не с технологий и продуктов!
• Потребности бизнеса
Какие операции хочет осуществлять ваша организация с сетью?
• Анализ риска
Каково соотношение риска и затрат?
• Политика безопасности
Каковы политические правила, стандарты и рекомендации по удовлетворению потребностей бизнеса и снижению риска?
• Лучший отраслевой практический опыт
Каковы надежные, хорошо понятные и рекомендуемые лучшие практические приемы обеспечения безопасности?
• Операции обеспечения безопасности
Реакция на инциденты, мониторинг, сопровождение и аудит соответствия системы.
Технологии безопасности
Операции безопасностиРазрешение инцидентов, мониторинг
и сопровождение, проверки соответствия
Лучший отраслевой
опыт
Нужды бизнеса
Анализ риска
Политика безопасностиПолитические правила, принципы,
стандарты
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 7
ЦОД – это часть целого!
• Множество продуктов, политик, неуправляемых и чужих устройств, а также доступ в облака
Бизнес-контекст
УП
РА
ВЛ
ЕН
ИЕ
ВычисленияВычисления
Сеть
Хранение
Сеть Хранение УправлениеУНИФИЦИРОВАННЫЙ
ЦЕНТР ОБРАБОТКИ ДАННЫХ
БЕЗОПАСНОСТЬСегментация Защита от угроз Прозрачность
АПРОБИРОВАННАЯ АРХИТЕКТУРА
Data Center Security CVD
Виртуальный мультисервисный центр обработки данных
Правильный подход к защите ЦОД
Физическая | Виртуальная | Облачная среда
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 9
Основные приоритеты обеспечения безопасности ЦОД
Сегментация
• Установление границ: сеть, вычисления, виртуальные ресурсы
• Реализация политики по функциям, устройствам, организациям
• Контроль доступа к сетям, ресурсам. приложениям
Защита от угроз
• Блокирование внутренних и внешних атак
• Контроль границ зоны и периметра
• Доступ к управляющей информации и ее
использование
Прозрачность
• Обеспечение прозрачности использования
• Применение бизнес-контекста к работе сети
• Упрощение отчетности по операциям и соответствию
нормативным требованиям
На всех уровнях ЦОД
Периметр ЦОД
Сеть хранения данных (SAN)
Виртуализация
1
2
4
Инфраструктура ЦОД3
Сервера и приложения5
Облака6
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 11
• Одно приложение на сервер• Статическая• Выделение ресурсов вручную
• Множество приложений на сервер• Мобильная• Динамическое выделение
ресурсов
• Множество пользователей на сервер
• Адаптивная• Автоматическое масштабирование
ГИПЕРВИЗОРVDC-1 VDC-2
Соответствие продуктов потребностямНАГРУЗКА В
ФИЗИЧЕСКОЙ СРЕДЕ
НАГРУЗКА В ВИРТУАЛЬНОЙ
СРЕДЕ
НАГРУЗКАВ ОБЛАЧНОЙ
СРЕДЕ
Cisco Nexus® 1000V, Nexus 1010, VM-FEXUCS для виртуализованных сред
NetApp, EMC
СетьВычисленияХранение
Cisco Nexus 7K/6K/5K/4K/3K/2KCisco UCS для оборудования без
установленного ПОEMC, NetApp
Мультиконтекстные МСЭ, виртуальные МСЭ,
виртуальное устройство защиты приложений
VSG
ПериметрЗона
Традиционные МСЭ и IPS
Защита приложений
Проекты Data Center Security CVD Виртуальный мультисервисный центр обработки данных (VMDC)
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 12
Сегментация
Сегментация с помощью матрицы коммутации
UCS Fabric Interconnect
Сегментация сетиФизическая средаВиртуальная среда (VLAN, VRF)Виртуализованная среда (зоны)
Сегментация с помощью межсетевого экрана
Динамический аварийный/рефлективный список ACL
Мультиконтекстнаясеть VPN
Сегментация с учетомконтекста
Метки для групп безопасности (SGT) Протокол безопасной передачи (SXP)
ACL-списки для групп безопасности
TrustSec
Реализация согласованных политик независимо от физических и виртуальных границ для защиты данных стационарных и мобильных систем.
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 13
Сегментация с помощью межсетевого экрана
Фи
зич
еска
я с
ред
а
Физическиймежсетевой экран
Модуль МСЭ для коммутатора
• Проверка всего трафика центра обработки данных в устройстве обеспечения безопасности периметра сети
• Высокая скорость для всех сервисов, включая всю систему предотвращения вторжений (IPS), благодаря единой среде передачи данных между зонами доверия
• Разделение внешних и внутренних объектов сети (трафик «север-юг»)
Трафик «север - юг». Проверка всего входящего и исходящего трафика центра обработки данных
Ви
рту
аль
на
я /
м
но
гоп
ол
ьзо
ва
тел
ьск
ая
сред
а
Виртуальный межсетевой экран контролирует границы сети
Виртуальный шлюз безопасности контролирует зоныВиртуальный шлюз
безопасности (VSG)
Виртуальный межсетевой экран
Трафик «восток-запад». Создание безопасных зон доверия между приложениями и пользователями в центре обработки данных
• Разделение пользователей в многопользовательских средах
• Разделяет приложения или виртуальные машины у одного пользователя
Сегментация
Безопасность в виртуальной среде
Контроль виртуальной сети
Контроль трафика между ВМ
Безопасность виртуального уровня доступа
Сохранение контроля за уровнем доступа
Обеспечение выполнения виртуальных политик
Обеспечение выполнения политик контроля доступа в виртуальной среде
Выполнение политик в физической и виртуальной средах
Эксплуатация и управление
Единая среда для управления физической и виртуальной ИТ-инфраструктурами
Защита виртуальной среды
OS
App
Виртуальный сервер
Зона 1 Зона 2
OS
App
OS
App
OS
App
OS
App
OS
App
Виртуальныйкоммутатор
Физические МСЭ и IPS
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 15
Можно и через физический МСЭ
• Маппирование зон в виртуальные контексты
• Сегментация виртуальной инфраструктуры
• Направление трафика VM в контексты МСЭ
• Сегментация сетевоготрафика внутри зоны
Системный трафик
Трафик VM
Трафик управления
6100 Fabric A6100 Fabric B
Physical Firewall
Context B
Context C
Nexus1000v VEM
Nexus1000v VEM
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 16
Место виртуального шлюза ИБ
SecurityAdmin
Hypervisor
HypervisorPort Group
ServiceAdmin
Virtual Network Management Center• Консоль управления VSG• Запуск на одной из VMs
Virtual Security Gateway• Программный МСЭ• Запускается на одной из VMs• Сегментация и политики для
всех VMs
Виртуальный коммутатор• Распределенный virtual switch• Запускается как часть
гипервизора
Физический сервер• UCS или• Другой x86
server
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 17
Защита пользовательского периметра сети с помощью виртуального МСЭ• Проверенная безопасность,
обеспечиваемая Cisco®: согласованность физической и виртуальной безопасности
• Модель объединенной безопасности
�̶ Виртуальный шлюз безопасности Virtual Secure Gateway (VSG) для пользовательских защищенных зон
�̶ Виртуальный МСЭ для управления периметром пользовательской сети
• Прозрачная интеграция
�̶ С помощью виртуального коммутатора
• Гибкость масштабирования для удовлетворения потребностей в облачных средах
�̶ Внедрение нескольких экземпляров для развертывания в масштабе ЦОД
Пользователь БПользователь А
VDCВиртуальное приложение vApp
Виртуальное приложение vApp
Гипервизор
Nexus® 1000V
vPath
VDC
Центр управления виртуальными сетями (VNMC)
VMware vCenter
VSGVSG VSG
vFWvFW
VSG
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 18
Сегментация с учетом контекста
Динамический контент
Пользователи и устройства
Ресурсы и запросы
Маркировка трафика данными о контексте в рамках единой политики(устройство, группа, роль), невосприимчивая к изменениям сети
Несвязанная политика
Бизнес-политика
X
Распределенная реализация
Метка групп безопасностиМЕТКА
Сегментация
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 19
Маркировка в рамках политики
Идентификация Классификация Назначение Распространение
Идентификатор: Пользователь, устройство
Роль: Кадровая служба компании
Метка: SGT 5 Совместное использование: сетевые переходы
Приложения, данные и сервисы
Отсутствие привязки политики, в результате чего определение отделяется от реализации
Классификация объектов: системы и пользователи
Контекст: роль системы или роль пользователя, устройство, местоположение и метод доступа
Распространение классификации на основе контекста с использованием меток групп безопасности
Межсетевые экраны, маршрутизаторы и коммутаторы используют метки групп в интеллектуальной политике
Коммутатор Маршрутизатор Межсетевой
экран ЦОДКоммутатор ЦОД Серверы
Сегментация
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 20
Контроль доступа с использованием групп безопасности
• Контроль доступа основанный на Группах Безопасности позволяет:Сохранять существующий логический дизайн на уровне доступа
Изменять / применять политику для соответствия текущим бизнес-требованиями
Распределять политику с центрального сервера управления
SGACL802.1X/MAB/Web Auth.
Финансы(SGT=10)
Кадры(SGT=11)
Я контракторМоя группа ИТ
Контрактор& ИТ
SGT = 5
SGT = 100
Сегментация
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 21
Защита от угроз
Защита
Недовольные сотрудники
- Системы предотвращения вторжений- Контроль приложений
Хакеры
Киберпреступники
Организованная преступность
Защита компаний от внешних и внутренних угроз
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 22
IPS Защита для критически важных центров обработки данных• Обеспечивает аппаратное ускорение проверки,
производительность, соответствующую реальным условиям эксплуатации, высокую плотность портов и энергоэффективность в расширяемом шасси
• Обеспечивает защиту от внешних и внутренних атак
FWNG / App FW Межсетевой экран с учетом приложений и контекста• Обеспечивает проверку с аппаратным ускорением,
производительность, соответствующую реальным условиям эксплуатации, высокую плотность портов и энергоэффективность в расширяемом шасси
• Обеспечивает защиту от внешних и внутренних атак
Варианты защиты от угроз
Защита от угроз
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 23
МСЭ нового поколения (FW NG)
FW NG
Оборудование Интеграция Программное обеспечение
Несколько форм-факторов
Учет контекста
• Наиболее полный контроль: приложения, пользователи и устройства
• Наиболее широко развернутый удаленный доступ
• Веб-безопасность бизнес-класса
Учет угроз
• Защита от совершенно новых угроз• Анализ глобальных данных из нескольких
источников угроз• Анализ репутации с помощью
человеческого и компьютерного интеллекта
Надежный анализ с учетом состояния и широчайший набор элементов управления с учетом контекста
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 24
Known Attackers
Bots
Web Attacks
Undesirable Countries
Web Fraud
App DDoS
Scrapers
Phishing Sites
Comment Spammers
Vulnerabilities
© Copyright 2012 Imperva, Inc. All rights reserved. 24
А что с угрозами на прикладном уровне?
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 25
Dynamic Profiling
Сигнатуры атак
HTTP Protocol Validation
Защита Cookie
Web Fraud DetectionПредотвращение мошенничества
Защита от технических
атак
Защита от атак на бизнес-логикуК
ор
рел
яц
ия
ата
к
Геолокация IP
Репутация IP
Anti-Scraping Policies
Bot Mitigation Policies
Механизмы защиты WAF
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 26
WebApplicationFirewall
Сервер управления (MX)
Пользователи
Web сервера
Web сервера
WebApplicatio
nFirewall
Web сервера
WebApplicatio
nFirewall
Как контролировать атаки между виртуальными машинами?
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 27
Прозрачность
Управление и отчетность• Центр управления ИБ• Центр управления виртуальными сетями
Сбор информации• NetFlow / sFlow
Координация политик• Identity Services Engine (ISE)• Маркировка для групп безопасности (SGT)
Поддержание соответствия нормативным требованиям и получение информации об операциях внутри центра обработки данных
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 28
Что объединяет всех?!
СЕТЬ
Видимость всего трафика
Маршрутизация всех запросовИсточники всех данных
Контроль всех потоков
Управление всеми устройствами
Контроль всех пользователей
Контроль всех потоков
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 29
NetFlow – это редко используемый источник данных ИБ
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 30
Поведенческий анализ
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 31
sFlow\NetFlow:Cisco Switches, Routers, и
ASA 5500
Сенсоры NetFlow/sFlowСенсоры NetFlow/sFlow
Консоль управления
• Наблюдаемость и управление• Агрегация от 25 FlowCollector-ов —
До 1.5 миллионов потоков в секунду
NetFlow генерируется на:• Cisco switches, routers, ASA 5500• FlowSensors на участках, которые не имеют Netflow
FlowCollector
Identity:ISE
Приложения:NBAR/AVC наCisco Routers
• Агрегация потоков, анализ, разбор содержания
• Хранит и анализирует до 2,000 источников потоков и до 120K потоков в секунду
• ISE, NBAR/AVC обеспечивают контекст
SMC
FCКонтекст угроз
Анализ сетевых аномалий
Контроль сетевой и виртуальной инфраструктуры
© 2013 Lancope, Inc. All rights reserved.
ИнтернетМосква
Казань
Тверь
ASR-1000
Cat6k
UCS сNexus 1000v
ASACat6k
3925 ISR
3560-X
3850Stack(s)
Cat4kЦОД
WAN
DMZ
Доступ
Xen, VMware, Hyper-V
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 33
Просто анализ аномалий: без контекста
Что делает 10.10.101.89?
Политика Время начала
Тревога Источник Source Host Groups
Цель Детали
Desktops & Trusted Wireless
Янв 3, 2013 Вероятная утечка данных
10.10.101.89 Атланта, Десктопы
Множество хостов
Наблюдается 5.33 Гб. Политика позволяет максимум до 500 Мб
© 2013 Lancope, Inc. All rights reserved.
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 34
Получение контекста
Политика Время старта
Тревога Источник Группа хостов источника
Имя пользователя
Тип устройства
Цель
Desktops & Trusted Wireless
Янв 3, 2013
Вероятная утечка данных
10.10.101.89 Атланта, Десктопы
Джон Смит Apple-iPad Множество хостов
© 2013 Lancope, Inc. All rights reserved.
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 35
Получение контекста от МСЭ / роутера
• Проверка настроек межсетевых экранов и сетевого оборудования
• Расследование инцидентов
• Troubleshooting
© 2013 Lancope, Inc. All rights reserved.
36C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены.
Соответствие требованиям по ИБ: 4-й приоритет!
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 37
Классификация требований
Общие требовани
яКонкретные требования
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 38
Новый приказ ФСТЭК по ПДн• №21 от 18.02.2013 «Об утверждении
Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
• Отменяет Приказ ФСТЭК от 05.02.2010 №58
• Меры по защите ПДн в ГИС принимаются в соответствии с требованиями о защите информации, содержащейся в ГИС
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 39
Новый приказ ФСТЭК по ГИС• №17 от 12.02.2013 «О защите
информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»
• Все новые и модернизируемые системы должны создаваться по новому приказу, а не по СТР-К
Старые системы «живут» по СТР-К
• Меры по защите ПДн в ГИС принимаются в соответствии с требованиями о защите информации, содержащейся в ГИС
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 40
ЗСВ: Защита среды виртуализации • Меры по защите среды виртуализации должны исключать
несанкционированный доступ к персональным данным, обрабатываемым в виртуальной инфраструктуре, и к компонентам виртуальной инфраструктуры и (или) воздействие на них, в том числе к средствам управления виртуальной инфраструктурой, монитору виртуальных машин (гипервизору), системе хранения данных (включая систему хранения образов виртуальной инфраструктуры), сети передачи данных через элементы виртуальной или физической инфраструктуры, гостевым операционным системам, виртуальным машинам (контейнерам), системе и сети репликации, терминальным и виртуальным устройствам, а также системе резервного копирования и создаваемым ею копиям
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 41
ЗСВ: набор мерСодержание мер УЗ4 УЗ3 УЗ2 УЗ1
ЗСВ.1 Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации
+ + + +
ЗСВ.2 Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин
+ + + +
ЗСВ.3 Регистрация событий безопасности в виртуальной инфраструктуре + + +ЗСВ.4 Управление (фильтрация, маршрутизация, контроль соединения, однонаправленная
передача) потоками информации между компонентами виртуальной инфраструктуры, а также по периметру виртуальной инфраструктуры
ЗСВ.5 Доверенная загрузка серверов виртуализации, виртуальной машины (контейнера), серверов управления виртуализацией
ЗСВ.6 Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных
+ +ЗСВ.7 Контроль целостности виртуальной инфраструктуры и ее конфигураций + +ЗСВ.8 Резервное копирование данных, резервирование технических средств, программного
обеспечения виртуальной инфраструктуры, а также каналов связи внутри виртуальной инфраструктуры
+ +
ЗСВ.9 Реализация и управление антивирусной защитой в виртуальной инфраструктуре + + +ЗСВ.10 Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной
инфраструктуры) для обработки персональных данных отдельным пользователем и (или) группой пользователей
+ + +
42C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены.
В качестве заключения
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 43
А мы не забыли про сети хранения?• Коммутаторы SAN
Ролевое управление доступом (RBAC)
Защищенное управление
Контроль доступа
Зонирование FC
Поддержка VSAN
Поддержка FC-SP и FCIP
Port Security
Поддержка SLAP, FCAP, FCPAP и RFC3723
iSCSI
• Storage Media Encryption
Безопасность управления SAN
Протокол безопасности
SAN
Безопасность доступа к SAN
Целостность и безопасность данных
Безопасность доступа к системам хранения
Безопасность IP SAN
(iSCSI/FCIP)
Сеть Хранения
iSCSI
Target
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 44
Подходы одинаковые везде• Безопасность сетей хранения
VLAN VSAN
ACL hard/soft zoning
Ethernet Port Security FC Port Security
IPSec FCSec, как часть FC-SP
• Безопасность виртуализации
VLAN виртуальные контексты (virtual device context)
ACL атрибуты виртуальных машин
Ethernet Port Virtual PortChannel
• Есть нюанс – сертифицированные СЗИ
Ориентироваться на них или нет?
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 45
Единый подход к решению задачИнтернет-периметр
РАСПРЕДЕЛЕНИЕСеть
храненияASA 5585-X ASA 5585-X
VDCNexus 7018 Nexus 7018
ЯДРО
= вычисления
= сеть
= безопасность
Nexus серии7000
Nexus серии5000
Nexus серии2100
Зона
Унифицированнаявычислительная
система
Nexus 1000V VSG
Многозонная структура
Catalyst 6500
СЕРВИСЫ
VSS
Межсетевой экран ACE
Модуль анализа сети
(NAM)
Система предотвращения вторжений (IPS)
VSSVPCVPCVPCVPCVPCVPCVPCVPC
Серверная стойка 10G Серверная стойка 10 G Унифицированные вычисления
Унифицированный доступ
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 46
Зрелость перехода к внешнему ЦОД
Самостоятельные некритичные сервисы
Управляющие некритичные сервисы
Управляющие критичные сервисы
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 47
При аутсорсинге меньше контроля!
Своя ИТ-служба
Хостинг-провайдер
IaaS PaaS SaaS
Данные Данные Данные Данные Данные
Приложения Приложения Приложения Приложения Приложения
VM VM VM VM VM
Сервер Сервер Сервер Сервер Сервер
Хранение Хранение Хранение Хранение Хранение
Сеть Сеть Сеть Сеть Сеть
- Контроль у заказчика
- Контроль распределяется между заказчиком и владельцем внешнего ЦОД
- Контроль у владельца внешнего ЦОД
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 48
Если вы решились• Стратегия безопасности во внешнем ЦОД
Пересмотрите свой взгляд на понятие «периметра ИБ»
Оцените риски – стратегические, операционные, юридические
Сформируйте модель угроз
Сформулируйте требования по безопасности
Пересмотрите собственные процессы обеспечения ИБ
Проведите обучение пользователей
Продумайте процедуры контроля аутсорсера
Юридическая проработка взаимодействия с аутсорсером
• Стратегия выбора внешнего ЦОД-партнера
Чеклист оценки ИБ для внешнего ЦОД
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 49
Критерии выбора внешнего ЦОД• Финансовая устойчивость аутсорсера
• Схема аутсорсинга
XaaS, hosted service, MSS
• Клиентская база
• Архитектура
• Безопасность и privacy
• Отказоустойчивость и резервирование
• Планы развития новых функций
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 50
А где гарантии?!• Финансовые гарантии
• Завершение контракта
• Интеллектуальная собственность
Стратегия развития
Формирование доверительных отношений
Защищенная инфраструктура распределенных сетевых сервисов
Защищенные подключения и доступ
Защищенное увеличение емкости
Защищенный доступ для пользователей, работающих в офисе, и мобильных пользователей
Защищенные приложения на распределенной платформе
Защита от угроз
Подтверждение соответствия нормативным требованиям
Безопасное расширение в среды XaaS
SaaS
IaaS
PaaS
Защищенный доступ
Филиал
Мобильные пользователи
Внутренние пользователи
Защищенное подключение
51
Игроки рынка ИБ ЦОДов
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 53
Основные результаты
Структура и технологии ЦОД меняютсяЭти изменения сильно сказываются на системе обеспечения безопасности
Необходимо выстраивать долговременнуюстратегию создания защищенных ЦОД без границ
Нормативные требования регуляторов по ИБ непросто применить к современным подходам построения распределенных ЦОДов
1
2
3
C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 54
Где вы можете узнать больше?
Участвуйте в наших семинарах
Пишите на [email protected]
Позвоните или приходите к нам
… а также подпишитесь на
http://www.facebook.com/CiscoRu
http://twitter.com/CiscoRussia
http://www.youtube.com/CiscoRussiaMedia
http://www.flickr.com/photos/CiscoRussia
http://vkontakte.ru/Cisco
http://blog.cisco.ru/
Благодарим за внимание!