Rambler's Top100
 
Статьи ИКС № 09 2011
Денис БЕЗКОРОВАЙНЫЙ  13 сентября 2011

Security as a Service. Что должен уметь провайдер

В терминологии облачных вычислений услуга информационной безопасности называется Security as a Service, что подразумевает перевод антивирусов, спам-фильтров и других программ либо в частное облако самой компании, либо на аутсорсинг провайдеру, предоставляющему соответствующий сервис. При этом главные факторы, сдерживающие переход организаций к «облакам», – вопросы безопасности данных, хранимых в облачных средах. Как провайдер облачных услуг может защитить данные клиента? Чем для пользователя интересна эта услуга? Попробуем разобраться, что же должен уметь провайдер

Денис БЕЗКОРОВАЙНЫЙ, технический консультант Trend Micro РоссияВ обеспечении безопасности клиентских данных должны в той или иной мере участвовать и клиент (потребитель), и провайдер облачных услуг. «Распределение обязанностей» будет сильно зависеть от используемой модели – SaaS, PaaS или IaaS.

Как следует из свойств самих облачных моделей, провайдер несет тем большую ответственность за выполнение требований по защите данных, чем большую часть инфраструктуры облачного сервиса он контролирует. Например, в IaaS-модели провайдер контролирует лишь физическую и виртуальную среду, в которой работают виртуальные машины клиентов; он не занимается обслуживанием ОС и приложений, функционирующих внутри самих виртуальных машин.

Совсем иначе обстоит дело с SaaS-моделью, при которой провайдер облачной услуги полностью контролирует физическую и логическую инфраструктуру приложения, занимается его разработкой и обслуживанием, оставляя пользователю лишь возможность загружать свои данные и работать с ними. В этом случае на плечи провайдера ложится самая существенная часть задач информационной безопасности, а клиенту достается лишь разграничение и контроль доступа к приложению и данным.

В PaaS-модели разделение задач ИБ представляет собой нечто среднее между IaaS и SaaS – провайдер не только контролирует физическую и логическую среды выполнения программного кода, но и предоставляет разработчикам инструменты и механизмы создания собственных приложений. PaaS-провайдеру необходимо удостовериться, что инструментарий и API платформы разрабатываются с учетом требований и стандартов безопасности и не являются дополнительным источником уязвимостей. При этом сервис-провайдер должен обеспечивать комплекс организационных и технических мер, направленных на построение, поддержание и улучшение системы защиты своих активов и системы управления ИБ.

Наиболее экономически эффективным для провайдеров может оказаться использование решений, сочетающих в себе несколько подсистем ИБ: например, реализующих антивирусную защиту, межсетевое экранирование, обнаружение и предотвращение атак, виртуальный патчинг и управление уязвимостями, подсистему контроля целостности и модуль анализа журналов событий. С точки зрения оптимизации затрат на технические средства ИБ владельцам коммерческих облаков следует обратить внимание на те компании, которые предлагают модели лицензирования, учитывающие специфику бизнеса провайдеров.

 
 

М е р ы   о б е с п е ч е н и я   И Б   д л я   о б л а ч н ы х   п р о в а й д е р о в

Т е х н и ч е с к и е 

О р г а н и з а ц и о н н ы е

• Логическое разделение данных разных клиентов

• Шифрование данных клиентов на разных ключах при хранении, а также их шифрование при передаче по сети

• Использование систем обнаружения и предотвращения атак, в том числе позволяющих обнаруживать атаки на инфраструктуру виртуализации

• Антивирусная защита и использование других средств выявления вредоносной активности

• Межсетевое экранирование

• Контроль физического доступа и усиленная аутентификация сотрудников при доступе в помещения

• Управление логическим доступом сотрудников провайдера к информации клиентов, а также к инструментам, позволяющим манипулировать данными (например, клонировать диски виртуальных машин)

• Использование систем предотвращения утечек данных (DLP)

• Управление уязвимостями и своевременная установка патчей для всех ОС и систем

• Наличие политики ИБ и прочих документов по управлению ИБ

• Регулярные внутренние и внешние аудиты в соответствии с лучшими практиками, доступность их результатов клиентам провайдера

• Регулярное проведение тестов на проникновение и сканирования на наличие уязвимостей, доступность их результатов клиентам провайдера

• Поддержание контактов с правоохранительными органами в соответствии с требованиями законодательства

• Инвентаризация активов и установление владельцев активов

• Документирование процесса предоставления и авторизации доступа сотрудников к данным клиентов

• Разделение и документирование обязанностей персонала

• Проведение тренингов по осведомленности в области ИБ для персонала

• Наличие плана реагирования на инциденты ИБ, отражающего разделение обязанностей между провайдером и клиентами

• Наличие плана непрерывности бизнеса и восстановления после катастроф

• Инвентаризация внешних поставщиков и проверка на наличие дублирующих поставщиков

• Проверки (скрининг) персонала, имеющего доступ к данным клиентов

Поделиться:
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!