Какие последствия для информационной безопасности влечет за собой повсеместный переход на облачную модель потребления ИТ-сервисов? Особый интерес представляет использование публичных облаков (Google, Amazon, Salesforce и т.п.), а также гибридных облаков на их основе.
Вопросы экспертного сообщества
- Каким образом облачные модели предоставления информационных сервисов влияют на подходы к обеспечению информационной безопасности?
- Как делается виртуализация? Как обеспечить доверие к новым виртуальным машинам, клонируемых на различных серверах? Как контролировать клоны?
- Как создать защищенную (доверенную) виртуальную машину? Возможна ли реализация безопасного (точнее доверенного) облака?
- Каким образом должна распределяться ответственность за безопасность в облачной архитектуре?
- Готовящиеся требований регуляторов для облачных инфраструктур и как их реализовать?
- Нужна ли аккредитация провайдеров облачных сервисов или достаточно ли имеющейся системы лицензирования и аттестации в области защиты информации?
- Как обеспечить доверенную среду функционирования криптографических средств в облаке (не имеющем физических границ)?
Облака – это не новые технологии, а новая модель предоставления сервиса
С технологической точки зрения облачные вычисления (точнее облачный аутсорсинг) не являются какой-то принципиально новой технологией, а лишь продолжают развитие используемых уже на протяжении 20 лет ASP, IT аутсорсинга и виртуализации. Однако все это стало намного сложнее в плане обеспечения ИБ.
Основные источники информации по безопасности облаков
Публикации NIST:
- SP 800-145 Определения понятия облачных вычислений
- SP 800-146 Краткий обзор и рекомендации по облачным вычислениям.
Публикации Cloud Security Alliance. CSA занимается в том числе разработкой требований для аккредитации провайдеров облачных сервисов.
Роскомнадзор разрабатывает нормативные документы по использованию персональных данных в облачных инфраструктурах.
Мероприятия:
Точка зрения регулятора
С точки зрения официального представителя ФСТЭК“Облако это тот же мейнфрейм с удаленным доступом и протоколом TCP/IP. Поэтому к облакам применимы старые руководящие документы ФСТЭК (Гостехкомиссии). Надо сосредоточится на юридических аспектах заключения договоров с провайдером на предоставление облачных сервисов”.
Законодательные ограничения на использование криптографии
Государственное регулирование криптографии носит жесткий характер во многих странах. Не разрешается использовать симметричную криптографию с длиной ключа более 40 бит (Индия), 56 бит (Россия), 64 бит (США и Великобритания) без специального разрешения (лицензии). В случае использования более длинных ключей, правительства (в интересах национальной безопасности) требуют от разработчиков (поставщиков или пользователей) ПО предоставлять им копии ключей.
Обеспечение соответствия в области персональных данных и интеллектуальной собственности
Облачная модель не считается с искусственно установленными физическими государственными границами и предполагает размещение и обработку данных в распределенных по всему миру дата-центрах. Подписываясь на облачные сервисы, пользователи в общем случае не имеют представления о том, в каких юрисдикциях оказывается их информация и что с этим делать, ведь, в каждой стране свои законы. Вряд ли какой-либо иностранец способен разобраться в нормативной базе РФ в области защиты информации и персональных данных.
Развивающиеся страны обычно заимствуют свое законодательство с более развитых стран, привнося в него свой национальный колорит. В одной стране взлом компьютерной системы может караться смертной казнью, а в другой вообще не считаться преступлением.
Передача рисков ИБ
Для открытия, например, книжного интернет-магазина в техническом плане делать ничего не надо, т.к. Amazon предоставляет этот сервис в законченном виде, но при этом не гарантирует безопасность. И вообще ни один провайдер не гарантирует безопасность данных.
При использовании облаков контроль информационных активов организации передается провайдеру. При этом организация фактически утрачивает контроль за ИБ и отдает его на откуп провайдеру. Страховщики не идут на страхование информационных рисков.
Вопросы передачи рисков:
- Готовы ли провайдеры нести ответственности за ИБ и возмещать соответствующие ущербы?
- Как и из какой страны выбирать провайдера?
- Как составлять SLA?
- Как и в какой степени организация может сохранить контроль за ИБ?
- Как оценить риски ИБ при использовании конкретного облачного сервиса?
Направления деятельности регуляторов и экспертного сообщества
- создание доверенной среды в облаках
- расширение и адаптация существующих требований регуляторов в сторону облаков, разделение требований к частным и публичным облакам
- создание национальной системы аккредитации операторов облачных сервисов