Климов Евгений, RISSPA. Безопасность облачных

Безопасность облачных вычислений
Тенденции, мировая и российская практика
Евгений Климов, CISSP, CISM, PMP
Вице-президент, Ассоциация RISSPA
Преимущества облаков
Традиционная модель защиты
Внедрение «облачного» сервиса
Основные угрозы
 Злоупотребления и нечестная игра при использовании
облачных ресурсов
 Небезопасные интерфейсы и API
 Злоумышленники из числа сотрудников провайдера
 Совместное использование ресурсов
 Утрата или утечка данных
 Несанкционированное использование учетной записи
или сервиса
 Неизвестный уровень рисков
Cloud Security Alliance’s “Top Threats to Cloud Computing”, Version 1.0
Примеры
http://www.wired.com/gamelife/2011/04/playstation-network-hacked/
Примеры
http://www.businessinsider.com/amazon-lost-data-2011-4
Примеры
http://en.wikipedia.org/wiki/Operation_Aurora
Юридическая ответственность
В качестве примера:
Условия предоставления услуг Google
http://www.google.com/apps/intl/ru/terms/user_terms.html
«3. ПОЛИТИКА КОНФИДЕНЦИАЛЬНОСТИ GOOGLE
… Google может просматривать, сохранять и разглашать личную информацию …
7. ОБЩЕПРИНЯТАЯ ПРАКТИКА В ОТНОШЕНИИ ИСПОЛЬЗОВАНИЯ И ХРАНЕНИЯ
… Google не принимает на себя никакой ответственности или обязательств в связи
с удалением или невозможностью хранения ...
9. ВНЕСЕНИЕ ИЗМЕНЕНИЙ В СЛУЖБУ
… Google оставляет за собой право в любой момент периодически изменять, а
также временно или полностью прекращать работу … Google не будет нести
ответственности ни перед вами, ни перед любыми третьими сторонами ни за
какое изменение, приостановку или прекращение работы Служб Google.»
Cloud Security Alliance
Некоммерческая организация, созданная для
продвижения передового опыта в обеспечении
безопасности «облачных вычислений» и повышения
уровня осведомленности в этой области всех
заинтересованных сторон.
Свыше 17 000 участников
www.cloudsecurityalliance.org
Структура CSA
Основатели
Партнеры
Участники
Нормативные документы
 CSA (Cloud Security
Alliance) Security Guidance
for Critical Areas of Focus
in Cloud Computing
 Рекомендации по
снижению рисков ИБ
технологии cloud
computing
Подробнее: Текст документа
Нормативные документы
 ENISA (European Network
and Information Security
Agency) Cloud Computing
Risk Assessment
 Независимый анализ
рисков технологии cloud
computing
 Документ опубликован в
ноябре 2009 года
Подробнее: Текст документа
Обучение
CSA Certificate of Cloud Security Knowledge (CCSK)
• Программа сертификации
• Онлайн экзамен
• $295 USD
• Курсы по подготовке к сдаче в разработке
• www.cloudsecurityalliance.org/certifyme
О RISSPA
Russian Information Systems Security Professional
Association
Некоммерческое сообщество профессионалов в
области информационной безопасности
Тематические семинары
(Онлайн и оффлайн)
Дискуссионные группы
Свыше 800 участников
http://www.risspa.ru
Российское подразделение CSA
CSA Russian Chapter
Сайт:
http://www.risspa.ru
Группы LinkedIn:
http://www.linkedin.com/groups?gid=3772058
http://www.linkedin.com/groups?gid=3189141
Вопросы?
www.risspa.ru