ИКС № 09 2011

Денис БЕЗКОРОВАЙНЫЙ	13 сентября 2011

13 сентября 2011

Security as a Service. Что должен уметь провайдер

В терминологии облачных вычислений услуга информационной безопасности называется Security as a Service, что подразумевает перевод антивирусов, спам-фильтров и других программ либо в частное облако самой компании, либо на аутсорсинг провайдеру, предоставляющему соответствующий сервис. При этом главные факторы, сдерживающие переход организаций к «облакам», – вопросы безопасности данных, хранимых в облачных средах. Как провайдер облачных услуг может защитить данные клиента? Чем для пользователя интересна эта услуга? Попробуем разобраться, что же должен уметь провайдер

Денис БЕЗКОРОВАЙНЫЙ, технический консультант Trend Micro Россия В обеспечении безопасности клиентских данных должны в той или иной мере участвовать и клиент (потребитель), и провайдер облачных услуг. «Распределение обязанностей» будет сильно зависеть от используемой модели – SaaS, PaaS или IaaS.

Как следует из свойств самих облачных моделей, провайдер несет тем большую ответственность за выполнение требований по защите данных, чем большую часть инфраструктуры облачного сервиса он контролирует. Например, в IaaS-модели провайдер контролирует лишь физическую и виртуальную среду, в которой работают виртуальные машины клиентов; он не занимается обслуживанием ОС и приложений, функционирующих внутри самих виртуальных машин.

Совсем иначе обстоит дело с SaaS-моделью, при которой провайдер облачной услуги полностью контролирует физическую и логическую инфраструктуру приложения, занимается его разработкой и обслуживанием, оставляя пользователю лишь возможность загружать свои данные и работать с ними. В этом случае на плечи провайдера ложится самая существенная часть задач информационной безопасности, а клиенту достается лишь разграничение и контроль доступа к приложению и данным.

В PaaS-модели разделение задач ИБ представляет собой нечто среднее между IaaS и SaaS – провайдер не только контролирует физическую и логическую среды выполнения программного кода, но и предоставляет разработчикам инструменты и механизмы создания собственных приложений. PaaS-провайдеру необходимо удостовериться, что инструментарий и API платформы разрабатываются с учетом требований и стандартов безопасности и не являются дополнительным источником уязвимостей. При этом сервис-провайдер должен обеспечивать комплекс организационных и технических мер, направленных на построение, поддержание и улучшение системы защиты своих активов и системы управления ИБ.

Наиболее экономически эффективным для провайдеров может оказаться использование решений, сочетающих в себе несколько подсистем ИБ: например, реализующих антивирусную защиту, межсетевое экранирование, обнаружение и предотвращение атак, виртуальный патчинг и управление уязвимостями, подсистему контроля целостности и модуль анализа журналов событий. С точки зрения оптимизации затрат на технические средства ИБ владельцам коммерческих облаков следует обратить внимание на те компании, которые предлагают модели лицензирования, учитывающие специфику бизнеса провайдеров.

М е р ы о б е с п е ч е н и я И Б д л я о б л а ч н ы х п р о в а й д е р о в
Т е х н и ч е с к и е	О р г а н и з а ц и о н н ы е
• Логическое разделение данных разных клиентов • Шифрование данных клиентов на разных ключах при хранении, а также их шифрование при передаче по сети • Использование систем обнаружения и предотвращения атак, в том числе позволяющих обнаруживать атаки на инфраструктуру виртуализации • Антивирусная защита и использование других средств выявления вредоносной активности • Межсетевое экранирование • Контроль физического доступа и усиленная аутентификация сотрудников при доступе в помещения • Управление логическим доступом сотрудников провайдера к информации клиентов, а также к инструментам, позволяющим манипулировать данными (например, клонировать диски виртуальных машин) • Использование систем предотвращения утечек данных (DLP) • Управление уязвимостями и своевременная установка патчей для всех ОС и систем	• Наличие политики ИБ и прочих документов по управлению ИБ • Регулярные внутренние и внешние аудиты в соответствии с лучшими практиками, доступность их результатов клиентам провайдера • Регулярное проведение тестов на проникновение и сканирования на наличие уязвимостей, доступность их результатов клиентам провайдера • Поддержание контактов с правоохранительными органами в соответствии с требованиями законодательства • Инвентаризация активов и установление владельцев активов • Документирование процесса предоставления и авторизации доступа сотрудников к данным клиентов • Разделение и документирование обязанностей персонала • Проведение тренингов по осведомленности в области ИБ для персонала • Наличие плана реагирования на инциденты ИБ, отражающего разделение обязанностей между провайдером и клиентами • Наличие плана непрерывности бизнеса и восстановления после катастроф • Инвентаризация внешних поставщиков и проверка на наличие дублирующих поставщиков • Проверки (скрининг) персонала, имеющего доступ к данным клиентов

М е р ы о б е с п е ч е н и я И Б д л я о б л а ч н ы х п р о в а й д е р о в

Т е х н и ч е с к и е

О р г а н и з а ц и о н н ы е

• Логическое разделение данных разных клиентов

• Шифрование данных клиентов на разных ключах при хранении, а также их шифрование при передаче по сети

• Использование систем обнаружения и предотвращения атак, в том числе позволяющих обнаруживать атаки на инфраструктуру виртуализации

• Антивирусная защита и использование других средств выявления вредоносной активности

• Межсетевое экранирование

• Контроль физического доступа и усиленная аутентификация сотрудников при доступе в помещения

• Управление логическим доступом сотрудников провайдера к информации клиентов, а также к инструментам, позволяющим манипулировать данными (например, клонировать диски виртуальных машин)

• Использование систем предотвращения утечек данных (DLP)

• Управление уязвимостями и своевременная установка патчей для всех ОС и систем

• Наличие политики ИБ и прочих документов по управлению ИБ

• Регулярные внутренние и внешние аудиты в соответствии с лучшими практиками, доступность их результатов клиентам провайдера

• Регулярное проведение тестов на проникновение и сканирования на наличие уязвимостей, доступность их результатов клиентам провайдера

• Поддержание контактов с правоохранительными органами в соответствии с требованиями законодательства

• Инвентаризация активов и установление владельцев активов

• Документирование процесса предоставления и авторизации доступа сотрудников к данным клиентов

• Разделение и документирование обязанностей персонала

• Проведение тренингов по осведомленности в области ИБ для персонала

• Наличие плана реагирования на инциденты ИБ, отражающего разделение обязанностей между провайдером и клиентами

• Наличие плана непрерывности бизнеса и восстановления после катастроф

• Инвентаризация внешних поставщиков и проверка на наличие дублирующих поставщиков

• Проверки (скрининг) персонала, имеющего доступ к данным клиентов

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!

<< Предыдущая статья Вернуться к содержанию Следующая статья >>

Телеком	ТВ и медиа	Облака	ПО	Кадры
ИТ	Информационная безопасность	IP-сервисы	Аналитика	Регулирование
Интернет	ЦОД	Оборудование	Аутсорсинг	M&A
ИТ в образовании	ИТ в медицине	Big Data	E-commerce	Спутниковая связь
Блокчейн

Security as a Service. Что должен уметь провайдер

Читайте также: