Abstract image of a woman sitting on books and studying on a laptop

Гибридные облака как средство защиты персональных данных

R
RISSPA_SPb

Документ охватывает ключевые аспекты использования гибридных облаков для защиты персональных данных и изменений в IT-бюджетах на протяжении последних 10 лет. Обсуждаются риски, связанные с облачными услугами, такие как безопасность данных и соблюдение нормативных требований, а также важность классификации данных. В документе также рассматриваются стратегии развертывания облачных решений и их влияние на бизнес-процессы.

Technology
1 of 33
Downloaded 18 times
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
Бешков Андрей Менеджер программ ИБ Microsoft abeshkov@microsoft.com ГИБРИДНЫЕ ОБЛАКА КАК СРЕДСТВО ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
Мировой ИТ бюджет Последние 10 лет бюджет в среднем 5% 14% 12% 12% 12% 10% WW IT Spending 8% ИТ бюджеты уменьшаются 10% 9% 9% 7% 6% 7% 4% 5% 5% 6% 6% 6% 5% 5% 2011 2012 3% 2% 2% 0% 1996 -2% 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 -2% 2010 -4% Источник: IDC's Worldwide Black Book
Безопасность Гибридных облаков ► В чем проблема с облаками? – При чем тут трансграничная передача? ► Как с этим жить – Что делать если облачные ЦОДы не на территории страны. ► Проблемы – Какие у решения недостатки и как с ними бороться
Один тип облака не может всем подойти ► Некоторые облачные провайдеры хотят чтобы верили что: – Вам не нужно частное облако. Все должно быть в публичном облаке. – Публичные облака это миф. Все должно быть в частных облаках. – Бери что дают и будь счастлив. Мы лучше знаем что нужно. Мы прогрессивнее! Мы появились в век Интернета! ► Так получается потому что они не могу удовлетворить нужды разных категорий клиентов
Риски в соответствии с Gartner… Privileged User Access • Получите как можно больше данных об уровне доступа персонала провайдера к вашим данным. Regulatory Compliance • Многие не понимают что клиент в ответе за безопасность и целостность своих данных. Data location (Data Sovereignty) Data Segregation Recovery Investigative support Long-term viability • Можно ли проводить обработку данных только в определенных странах? • Как изолируются данные разных клиентов? • Как делается резервное копирование и восстановление? • Какой тип поддержки доступен при расследовании инцидентов? • Останется ли это провайдер на рынке? 5
Если булавки и бриллианты защищаете одинаково, то скоро у вас будет много булавок и мало бриллиантов. Дин Раск
Начните с классификации данных ► Если вы не знаете что у вас есть, то как вы будете это защищать? ► Вы должны быть способны сказать что можно вынести в облако, а что останется в инфраструктуре предприятия. ► Классификация должна быть проста. В Microsoft всего 3 типа данных. ► Почти все что не HBI можно разместить в облаке.
Начните с классификации данных Старт PII Разрешение на исключения? Нет Классификац ия по ПДН HSPII Не храним Non-PII MBI HBI Расчет рисков Да LBI Храним и защищаем Конец
Модель взаимосвязей информации Модернизация ИТ| Cloud | BYOD | Big Data Инициативы и проекты организации High Business Impact Medium Business Impact Company Confidential | Client Confidential | Employee Confidential | Management Restricted | Board Restricted | Private | Public Чувствительности информации Low Business Impact PII | HSPII | NonPII ПДН SOX | PIC | FTC | HIPPA | Etc. Требования регулятора Фреймворк классификации информации Структурированная информация Не структурированная информация
Dynamic access и Data classification в Windows Server 2012
Приложения и облачные топологии Из Windows Azure Снаружи ЦОД Microsoft Из Windows Azure и снаружи ЦОД Microsoft ЦОД Microsoft ЦОД Microsoft SQL Azure SQL Azure Windows Azure SQL Azure Windows Azure SQL Azure Data Sync Приложения / утилиты Приложение / Браузер Приложения / утилиты Код близко Код далеко Гибрид
Пристальный взгляд на гибридные облака ►Комбинация кода и данных расположенные в облаках и инфраструктуре предприятия ►Код из облака может получить доступ к системам предприятия и наоборот ►Наиболее гибкий подход в отношении безопасности данных и инфраструктуры ЦОД Microsoft SQL Azure Windows Azure SQL Azure Data Sync Приложения / утилиты Гибрид
Типовые способы развертывания ►UI в облаке включая статический контент в (CDN) ►Хорошо для приложений с небольшой нагрузкой на бэкэнд ►Веб сервисы и бизнес логика в инфраструктуре предприятия ►Не пускаем клиентов и злоумышленников к себе в инфраструктуру ЦОД Microsoft Windows Azure UI Client Бизнес логика Инфраструктура предприятия Гибрид – UI как граница
Типовые способы развертывания ►UI и бизнес логика в облаке ►Хорошо для приложений с заполнением форм или интенсивными вычислениями ►Веб сервисы бизнес логики в облаке ►Не пускаем клиентов, злоумышленников и их запросы к себе в инфраструктуру ЦОД Microsoft UI Windows Azure Web Roles Client Бизнес логика Windows Azure Worker Roles Инфраструктура предприятия Гибрид – UI и бизнес логика как граница
Типовые способы развертывания ►UI, бизнес логика и некритичные данные в облаке ►Хорошо для приложений с заполнением форм или интенсивными вычислениями ►Веб сервисы бизнес логики в облаке ►Не пускаем клиентов, злоумышленников и их запросы к себе в инфраструктуру Microsoft Datacenter UI Windows Azure Web Roles Business Layer Windows Azure Worker Roles Client SQL Azure Data Sync On Premises Гибрид – UI и бизнес логика как граница
Как это помогает безопасности? ► Отличная защита от DDoS ► Изолирует инфраструктуру предприятия от злоумышленников ► Позволяет хранить и обрабатывать критичные данные в вашем ЦОД и пользоваться выгодами облаков ► Принимает входящие соединения только от доверенных системам
Защита коммуникаций Windows Azure Connect ► Защищает сетевой траффик между предприятием и облаком с помощью IPv6 и IPsec ► Дает доступ гибридным приложениям только к определенным объектам инфраструктуры предприятия ► Позволяет удаленное управление приложениями в Azure ► Легкое развертывание и управлениеt − Интегрирован с сервисной моделью Azure − Поддерживает Web, Worker и VM роли
Проблема: Задержки в сети ► Минимизация задержек для пользователей облачных сервисов Windows Azure AppFabric Cache Web Role On-Premise Systems Blob Content Delivery Network
Windows Azure Content Delivery Network (CDN) Северная Америка Европа Азия Seattle, WA Seoul, KR Bay Area, CA Ashburn, VA Tokyo, JP San Antonio, TX São Paulo, BR Sydney, AU Более 2 террабайт в секунду с уровнем доступности 99.95% из 22 точек. CDN масштабируется автоматически без вмешательства пользователя
Проблема: Зависимость систем ► Устаревшие системы (мейнфреймы) ► Другие системы и сервисы ► Данные и системы которые должны находиться в инфраструктуре предприятия для соответствия требованиям регулятора Web Role Service Bus Worker Role Windows Azure Connect VM Role
Проблема: Аутентификация и авторизация ► Управление и аутентификация пользователей в облаке ► Интеграция м Active Directory ► Федерация с партнерами или другими источниками идентификационных данных Facebook или Windows Live ID Trust ADFS ASP.NET Membership Database Web Role Trust Access Control Service Active Directory
Проблема: Очень большие базы ► Хранение >150GB данных в БД Blob Множественные БД SQL Azure Разделяемые БД SQL Azure Azure Storage
Проблема: Управление и мониторинг ► Microsoft обслуживает оборудование и ОС в облаке … но приложение обслуживаете вы! ► Как отслеживать производительность и выполнять поиск неисправностей? Visual Studio Remote Desktop System Center Operations Manager Trace Listeners, Instrumentation Web Role DiagnosticMonitor TraceListener Blob Azure Storage Сторонние приложения
Технические тонкости ► Какие приложения легче мигрировать в облако? – – – – – – Обладающие веб интерфейсами Способные к горизонтальному масштабированию Работающие на Windows Server 2008+ Построенные на самописном коде Использующие SQL Server Не зависящие от сохраненных состояний
Технические тонкости ► Каких приложений стоит избегать? − − − − − − С интерфейсом толстых клиентов (RDP) Требующих сложной топологии для масштабирования Не работающих на Windows Server 2008+ Требующих коробочных приложений Microsoft или сторонних производителей Требующих продвинутых функций Oracle/DB2/MySQL или SQL Server Требующих сохранения состояния за пределами БД
Гибридные облака как средство защиты персональных данных
Важно как вы реагируете “Вред бизнесу наносит не сам факт инцидента. В реальном мире невозможно избежать всех рисков. Важно лишь то как организация реагировала на инцидент” – Oxford Metrica Research
Model of Crisis Management Инцидент обнаружен Оценка размера и последствий Принимаем или игнорируем? Уведомление внутреннее Внешние/ внутренние обновления статуса Финальная коммуникация Постмортем
Внешние коммуникации
Постмортем инцидента
Безопасность данных – лучше? ► Конфиденциальность – Приблизительно такая же или лучше чем у вас сейчас. Сильно зависит от приложений и процедур организации. ► Целостность – Лучше чем у вас сейчас. ► Доступность – Возможно лучше чем у вас сейчас. Вряд ли вы превзойдете защиту провайдера облака от DDoS.
Ресурсы – Обезличивание ПДН с точки зрения РКН Information Classification Framework (Excel) – Forrester: The Data Security And Privacy Playbook – Forrester: Q&A: EU Privacy Regulations – Gartner - In a Diverse Europe, Cloud Adoption Will Be Slower – Cloud Security Alliance – Securing the Microsoft Cloud Infrastructure – Information Risk Executive Council: Security Strategy for Cloud Computing – Legal issues in the Cloud Part 1 | Part 2 | Part 3 | Part 4 – Whitepapers about data sovereignty – Microsoft Data Classification Toolkit – AD RMS File API
© 2010 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

More Related Content

PDF
Как построить систему управления информационными рисками
RISSPA_SPb
 
PDF
Cтандарт PCI DSS изменения в новой версии
RISSPA_SPb
 
PDF
Практический опыт специалиста по информационной безопасности
RISSPA_SPb
 
PDF
Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...
Cisco Russia
 
PDF
Кибербезопасность с точки зрения директоров
Cisco Russia
 
PDF
Устранение веб-угроз с помощью комплексных средств безопасности
Cisco Russia
 
PDF
Обеспечение защиты корпоративных ресурсов от DDoS-атак
КРОК
 
PDF
Консалтинг и аудит информационной безопасности
КРОК
 
Как построить систему управления информационными рисками
RISSPA_SPb
 
Cтандарт PCI DSS изменения в новой версии
RISSPA_SPb
 
Практический опыт специалиста по информационной безопасности
RISSPA_SPb
 
Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...
Cisco Russia
 
Кибербезопасность с точки зрения директоров
Cisco Russia
 
Устранение веб-угроз с помощью комплексных средств безопасности
Cisco Russia
 
Обеспечение защиты корпоративных ресурсов от DDoS-атак
КРОК
 
Консалтинг и аудит информационной безопасности
КРОК
 

What's hot (20)

PDF
Решения КРОК по обеспечению информационной безопасности банков
КРОК
 
PPTX
CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри...
Clouds NN
 
PDF
Pwc современные угрозы иб
Expolink
 
PPTX
Продуктовая линейка компании «Код Безопасности»
LETA IT-company
 
PDF
Решения КРОК для однократной и многофакторной аутентификации
КРОК
 
PDF
Информационная безопасность
КРОК
 
PDF
Cистемы для управления инцидентами и событиями информационной безопасности
КРОК
 
PDF
#Modern threats pwc
Expolink
 
PPT
Решения КРОК в области информационной безопасности
infoforum
 
PDF
Требования к межсетевому экрану нового поколения для предприятий малого и сре...
Cisco Russia
 
PDF
Межесетевой экран нового поколения Cisco Firepower
Cisco Russia
 
PDF
Получение максимальной отдачи от межсетевого экрана нового поколения
Cisco Russia
 
PDF
Сертификация системы управления информационной безопасностью
КРОК
 
PPTX
Безопасность гибридных облаков
Andrey Beshkov
 
PDF
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
Expolink
 
PPT
Vypolnenie trebovanij zakonodatel'stva po zawite personal'nyh dannyh pri ih o...
vGate R2
 
PDF
Обзор технологии обеспечения безопасности web-трафика
Cisco Russia
 
PPTX
иб Cti 2014
Tim Parson
 
PPTX
CloudsNN 2014. Юрий Бражников. Безопасность виртуализации Microsoft и выполне...
Clouds NN
 
PDF
Корпоративная мобильность и безопасность
Cisco Russia
 
Решения КРОК по обеспечению информационной безопасности банков
КРОК
 
CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри...
Clouds NN
 
Pwc современные угрозы иб
Expolink
 
Продуктовая линейка компании «Код Безопасности»
LETA IT-company
 
Решения КРОК для однократной и многофакторной аутентификации
КРОК
 
Информационная безопасность
КРОК
 
Cистемы для управления инцидентами и событиями информационной безопасности
КРОК
 
#Modern threats pwc
Expolink
 
Решения КРОК в области информационной безопасности
infoforum
 
Требования к межсетевому экрану нового поколения для предприятий малого и сре...
Cisco Russia
 
Межесетевой экран нового поколения Cisco Firepower
Cisco Russia
 
Получение максимальной отдачи от межсетевого экрана нового поколения
Cisco Russia
 
Сертификация системы управления информационной безопасностью
КРОК
 
Безопасность гибридных облаков
Andrey Beshkov
 
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
Expolink
 
Vypolnenie trebovanij zakonodatel'stva po zawite personal'nyh dannyh pri ih o...
vGate R2
 
Обзор технологии обеспечения безопасности web-трафика
Cisco Russia
 
иб Cti 2014
Tim Parson
 
CloudsNN 2014. Юрий Бражников. Безопасность виртуализации Microsoft и выполне...
Clouds NN
 
Корпоративная мобильность и безопасность
Cisco Russia
 
Ad

Viewers also liked (20)

PDF
История одного стартапа
RISSPA_SPb
 
PDF
JOBS Act Rulemaking Comments on SEC File Number S7-06-13 Regarding Mott
Jason Coombs
 
PPT
Presentazione luigi pugliese
Luigi Pugliese
 
DOCX
โครงร่างโครงงานคอมิวเตอร์
28801125399
 
PDF
Resume
Anuj Kumar
 
ODP
Workshop BI/DWH AGILE TESTING SNS Bank English
Marcus Drost
 
DOCX
Resume
Anuj Kumar
 
PPS
7
Baska789
 
PPTX
חרמון
susanake
 
PDF
RISSPA SPb
RISSPA_SPb
 
PDF
JOBS Act Rule 506(c) Federal Subpoena to Jason Coombs from Securities and Exc...
Jason Coombs
 
PPS
6
Baska789
 
PPSX
MRC Power Point.2012
JoAnne Breault
 
PPS
2
Baska789
 
PPT
Presentation1
carragan
 
PDF
Lounge up
cmaionaise
 
PDF
JOBS Act Rulemaking Comments on SEC File Number S7-06-13 Dated September 13, ...
Jason Coombs
 
PDF
JOBS Act Rulemaking Comments on SEC File Number S7-11-13 Dated June 6, 2014
Jason Coombs
 
PDF
JOBS Act Rulemaking Comments on SEC File Number S7-09-13 Dated July 16, 2014
Jason Coombs
 
DOCX
Road map to your success MKG Insurance Marketing Organization
MKG Enterprises Corp
 
История одного стартапа
RISSPA_SPb
 
JOBS Act Rulemaking Comments on SEC File Number S7-06-13 Regarding Mott
Jason Coombs
 
Presentazione luigi pugliese
Luigi Pugliese
 
โครงร่างโครงงานคอมิวเตอร์
28801125399
 
Resume
Anuj Kumar
 
Workshop BI/DWH AGILE TESTING SNS Bank English
Marcus Drost
 
Resume
Anuj Kumar
 
7
Baska789
 
חרמון
susanake
 
RISSPA SPb
RISSPA_SPb
 
JOBS Act Rule 506(c) Federal Subpoena to Jason Coombs from Securities and Exc...
Jason Coombs
 
6
Baska789
 
MRC Power Point.2012
JoAnne Breault
 
2
Baska789
 
Presentation1
carragan
 
Lounge up
cmaionaise
 
JOBS Act Rulemaking Comments on SEC File Number S7-06-13 Dated September 13, ...
Jason Coombs
 
JOBS Act Rulemaking Comments on SEC File Number S7-11-13 Dated June 6, 2014
Jason Coombs
 
JOBS Act Rulemaking Comments on SEC File Number S7-09-13 Dated July 16, 2014
Jason Coombs
 
Road map to your success MKG Insurance Marketing Organization
MKG Enterprises Corp
 
Ad

Similar to Гибридные облака как средство защиты персональных данных (20)

PPTX
Positive Hack Days. Козлов. Экономия при переходе в облака или безопасность!?
Positive Hack Days
 
PDF
Symantec (2)
S.E. CTS CERT-GOV-MD
 
PPT
Cloud Services Russia 2012, RISSPA
Denis Bezkorovayny
 
PDF
Взгляд на безопасность со стороны инфраструктуры
areconster
 
PDF
Государственное регулирование защиты данных в облаках - международный и каза...
Vsevolod Shabad
 
PPT
Cloud Computing
mmm07
 
PPT
Cloud Computing
Vinogradova
 
PPT
Cloud Computing
Vinogradova
 
PDF
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Expolink
 
PPT
Антон Петров "ЦОД во "времена перемен"
Anton Petrov
 
PDF
Три необходимых компонента для обеспечения безопасности при осуществлении пре...
Cisco Russia
 
PDF
Ландшафт технологий кибербезопасности 2025
Aleksey Lukatskiy
 
PPT
Развитие инфраструктуры ЦОД. Обзор альянса «Открытый Дата Центр»
pcweek_ua
 
PDF
Обеспечение безопасности для виртуальных серверов и приложений
Cisco Russia
 
PDF
Обеспечение и контроль качества услуг
Cisco Russia
 
PDF
ФРИИ интернет предпринимательство - Приложения и сервисы для бизнеса
Экосистемные Проекты Фрии
 
PDF
Сетевые решения и продукты Cisco для построения интеллектуальных облачных сетей
Cisco Russia
 
PPT
Опыт реализации систем электронного архива и документооборота на основе облач...
Sergey Poltev
 
PPT
Cloud Infodocum
EOS-soft
 
PDF
Подход CTI к информационной безопасности бизнеса, Максим Лукин
Yulia Sedova
 
Positive Hack Days. Козлов. Экономия при переходе в облака или безопасность!?
Positive Hack Days
 
Symantec (2)
S.E. CTS CERT-GOV-MD
 
Cloud Services Russia 2012, RISSPA
Denis Bezkorovayny
 
Взгляд на безопасность со стороны инфраструктуры
areconster
 
Государственное регулирование защиты данных в облаках - международный и каза...
Vsevolod Shabad
 
Cloud Computing
mmm07
 
Cloud Computing
Vinogradova
 
Cloud Computing
Vinogradova
 
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Expolink
 
Антон Петров "ЦОД во "времена перемен"
Anton Petrov
 
Три необходимых компонента для обеспечения безопасности при осуществлении пре...
Cisco Russia
 
Ландшафт технологий кибербезопасности 2025
Aleksey Lukatskiy
 
Развитие инфраструктуры ЦОД. Обзор альянса «Открытый Дата Центр»
pcweek_ua
 
Обеспечение безопасности для виртуальных серверов и приложений
Cisco Russia
 
Обеспечение и контроль качества услуг
Cisco Russia
 
ФРИИ интернет предпринимательство - Приложения и сервисы для бизнеса
Экосистемные Проекты Фрии
 
Сетевые решения и продукты Cisco для построения интеллектуальных облачных сетей
Cisco Russia
 
Опыт реализации систем электронного архива и документооборота на основе облач...
Sergey Poltev
 
Cloud Infodocum
EOS-soft
 
Подход CTI к информационной безопасности бизнеса, Максим Лукин
Yulia Sedova
 

More from RISSPA_SPb (8)

PDF
RISSPA SPb вчера, сегодня, завтра
RISSPA_SPb
 
PDF
Трудный путь к соответствию требованиям PCI DSS (путевые заметки)
RISSPA_SPb
 
PDF
PCI DSS как перейти с версии 2.0 на 3.0
RISSPA_SPb
 
PDF
Особенности взаимодействия организаций в рамках программы соответствия PCI DSS
RISSPA_SPb
 
PDF
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
RISSPA_SPb
 
PDF
Всесторонние аспекты защиты Mobile point of sale
RISSPA_SPb
 
PDF
Как одновременно соответствовать различным регуляторным требованиям
RISSPA_SPb
 
PDF
Заблуждения и стереотипы относительно анализа кода
RISSPA_SPb
 
RISSPA SPb вчера, сегодня, завтра
RISSPA_SPb
 
Трудный путь к соответствию требованиям PCI DSS (путевые заметки)
RISSPA_SPb
 
PCI DSS как перейти с версии 2.0 на 3.0
RISSPA_SPb
 
Особенности взаимодействия организаций в рамках программы соответствия PCI DSS
RISSPA_SPb
 
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
RISSPA_SPb
 
Всесторонние аспекты защиты Mobile point of sale
RISSPA_SPb
 
Как одновременно соответствовать различным регуляторным требованиям
RISSPA_SPb
 
Заблуждения и стереотипы относительно анализа кода
RISSPA_SPb
 

Гибридные облака как средство защиты персональных данных

  • 1. Бешков Андрей Менеджер программ ИБ Microsoft [email protected] ГИБРИДНЫЕ ОБЛАКА КАК СРЕДСТВО ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
  • 2. Мировой ИТ бюджет Последние 10 лет бюджет в среднем 5% 14% 12% 12% 12% 10% WW IT Spending 8% ИТ бюджеты уменьшаются 10% 9% 9% 7% 6% 7% 4% 5% 5% 6% 6% 6% 5% 5% 2011 2012 3% 2% 2% 0% 1996 -2% 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 -2% 2010 -4% Источник: IDC's Worldwide Black Book
  • 3. Безопасность Гибридных облаков ► В чем проблема с облаками? – При чем тут трансграничная передача? ► Как с этим жить – Что делать если облачные ЦОДы не на территории страны. ► Проблемы – Какие у решения недостатки и как с ними бороться
  • 4. Один тип облака не может всем подойти ► Некоторые облачные провайдеры хотят чтобы верили что: – Вам не нужно частное облако. Все должно быть в публичном облаке. – Публичные облака это миф. Все должно быть в частных облаках. – Бери что дают и будь счастлив. Мы лучше знаем что нужно. Мы прогрессивнее! Мы появились в век Интернета! ► Так получается потому что они не могу удовлетворить нужды разных категорий клиентов
  • 5. Риски в соответствии с Gartner… Privileged User Access • Получите как можно больше данных об уровне доступа персонала провайдера к вашим данным. Regulatory Compliance • Многие не понимают что клиент в ответе за безопасность и целостность своих данных. Data location (Data Sovereignty) Data Segregation Recovery Investigative support Long-term viability • Можно ли проводить обработку данных только в определенных странах? • Как изолируются данные разных клиентов? • Как делается резервное копирование и восстановление? • Какой тип поддержки доступен при расследовании инцидентов? • Останется ли это провайдер на рынке? 5
  • 6. Если булавки и бриллианты защищаете одинаково, то скоро у вас будет много булавок и мало бриллиантов. Дин Раск
  • 7. Начните с классификации данных ► Если вы не знаете что у вас есть, то как вы будете это защищать? ► Вы должны быть способны сказать что можно вынести в облако, а что останется в инфраструктуре предприятия. ► Классификация должна быть проста. В Microsoft всего 3 типа данных. ► Почти все что не HBI можно разместить в облаке.
  • 8. Начните с классификации данных Старт PII Разрешение на исключения? Нет Классификац ия по ПДН HSPII Не храним Non-PII MBI HBI Расчет рисков Да LBI Храним и защищаем Конец
  • 9. Модель взаимосвязей информации Модернизация ИТ| Cloud | BYOD | Big Data Инициативы и проекты организации High Business Impact Medium Business Impact Company Confidential | Client Confidential | Employee Confidential | Management Restricted | Board Restricted | Private | Public Чувствительности информации Low Business Impact PII | HSPII | NonPII ПДН SOX | PIC | FTC | HIPPA | Etc. Требования регулятора Фреймворк классификации информации Структурированная информация Не структурированная информация
  • 10. Dynamic access и Data classification в Windows Server 2012
  • 11. Приложения и облачные топологии Из Windows Azure Снаружи ЦОД Microsoft Из Windows Azure и снаружи ЦОД Microsoft ЦОД Microsoft ЦОД Microsoft SQL Azure SQL Azure Windows Azure SQL Azure Windows Azure SQL Azure Data Sync Приложения / утилиты Приложение / Браузер Приложения / утилиты Код близко Код далеко Гибрид
  • 12. Пристальный взгляд на гибридные облака ►Комбинация кода и данных расположенные в облаках и инфраструктуре предприятия ►Код из облака может получить доступ к системам предприятия и наоборот ►Наиболее гибкий подход в отношении безопасности данных и инфраструктуры ЦОД Microsoft SQL Azure Windows Azure SQL Azure Data Sync Приложения / утилиты Гибрид
  • 13. Типовые способы развертывания ►UI в облаке включая статический контент в (CDN) ►Хорошо для приложений с небольшой нагрузкой на бэкэнд ►Веб сервисы и бизнес логика в инфраструктуре предприятия ►Не пускаем клиентов и злоумышленников к себе в инфраструктуру ЦОД Microsoft Windows Azure UI Client Бизнес логика Инфраструктура предприятия Гибрид – UI как граница
  • 14. Типовые способы развертывания ►UI и бизнес логика в облаке ►Хорошо для приложений с заполнением форм или интенсивными вычислениями ►Веб сервисы бизнес логики в облаке ►Не пускаем клиентов, злоумышленников и их запросы к себе в инфраструктуру ЦОД Microsoft UI Windows Azure Web Roles Client Бизнес логика Windows Azure Worker Roles Инфраструктура предприятия Гибрид – UI и бизнес логика как граница
  • 15. Типовые способы развертывания ►UI, бизнес логика и некритичные данные в облаке ►Хорошо для приложений с заполнением форм или интенсивными вычислениями ►Веб сервисы бизнес логики в облаке ►Не пускаем клиентов, злоумышленников и их запросы к себе в инфраструктуру Microsoft Datacenter UI Windows Azure Web Roles Business Layer Windows Azure Worker Roles Client SQL Azure Data Sync On Premises Гибрид – UI и бизнес логика как граница
  • 16. Как это помогает безопасности? ► Отличная защита от DDoS ► Изолирует инфраструктуру предприятия от злоумышленников ► Позволяет хранить и обрабатывать критичные данные в вашем ЦОД и пользоваться выгодами облаков ► Принимает входящие соединения только от доверенных системам
  • 17. Защита коммуникаций Windows Azure Connect ► Защищает сетевой траффик между предприятием и облаком с помощью IPv6 и IPsec ► Дает доступ гибридным приложениям только к определенным объектам инфраструктуры предприятия ► Позволяет удаленное управление приложениями в Azure ► Легкое развертывание и управлениеt − Интегрирован с сервисной моделью Azure − Поддерживает Web, Worker и VM роли
  • 18. Проблема: Задержки в сети ► Минимизация задержек для пользователей облачных сервисов Windows Azure AppFabric Cache Web Role On-Premise Systems Blob Content Delivery Network
  • 19. Windows Azure Content Delivery Network (CDN) Северная Америка Европа Азия Seattle, WA Seoul, KR Bay Area, CA Ashburn, VA Tokyo, JP San Antonio, TX São Paulo, BR Sydney, AU Более 2 террабайт в секунду с уровнем доступности 99.95% из 22 точек. CDN масштабируется автоматически без вмешательства пользователя
  • 20. Проблема: Зависимость систем ► Устаревшие системы (мейнфреймы) ► Другие системы и сервисы ► Данные и системы которые должны находиться в инфраструктуре предприятия для соответствия требованиям регулятора Web Role Service Bus Worker Role Windows Azure Connect VM Role
  • 21. Проблема: Аутентификация и авторизация ► Управление и аутентификация пользователей в облаке ► Интеграция м Active Directory ► Федерация с партнерами или другими источниками идентификационных данных Facebook или Windows Live ID Trust ADFS ASP.NET Membership Database Web Role Trust Access Control Service Active Directory
  • 22. Проблема: Очень большие базы ► Хранение >150GB данных в БД Blob Множественные БД SQL Azure Разделяемые БД SQL Azure Azure Storage
  • 23. Проблема: Управление и мониторинг ► Microsoft обслуживает оборудование и ОС в облаке … но приложение обслуживаете вы! ► Как отслеживать производительность и выполнять поиск неисправностей? Visual Studio Remote Desktop System Center Operations Manager Trace Listeners, Instrumentation Web Role DiagnosticMonitor TraceListener Blob Azure Storage Сторонние приложения
  • 24. Технические тонкости ► Какие приложения легче мигрировать в облако? – – – – – – Обладающие веб интерфейсами Способные к горизонтальному масштабированию Работающие на Windows Server 2008+ Построенные на самописном коде Использующие SQL Server Не зависящие от сохраненных состояний
  • 25. Технические тонкости ► Каких приложений стоит избегать? − − − − − − С интерфейсом толстых клиентов (RDP) Требующих сложной топологии для масштабирования Не работающих на Windows Server 2008+ Требующих коробочных приложений Microsoft или сторонних производителей Требующих продвинутых функций Oracle/DB2/MySQL или SQL Server Требующих сохранения состояния за пределами БД
  • 27. Важно как вы реагируете “Вред бизнесу наносит не сам факт инцидента. В реальном мире невозможно избежать всех рисков. Важно лишь то как организация реагировала на инцидент” – Oxford Metrica Research
  • 28. Model of Crisis Management Инцидент обнаружен Оценка размера и последствий Принимаем или игнорируем? Уведомление внутреннее Внешние/ внутренние обновления статуса Финальная коммуникация Постмортем
  • 31. Безопасность данных – лучше? ► Конфиденциальность – Приблизительно такая же или лучше чем у вас сейчас. Сильно зависит от приложений и процедур организации. ► Целостность – Лучше чем у вас сейчас. ► Доступность – Возможно лучше чем у вас сейчас. Вряд ли вы превзойдете защиту провайдера облака от DDoS.
  • 32. Ресурсы – Обезличивание ПДН с точки зрения РКН Information Classification Framework (Excel) – Forrester: The Data Security And Privacy Playbook – Forrester: Q&A: EU Privacy Regulations – Gartner - In a Diverse Europe, Cloud Adoption Will Be Slower – Cloud Security Alliance – Securing the Microsoft Cloud Infrastructure – Information Risk Executive Council: Security Strategy for Cloud Computing – Legal issues in the Cloud Part 1 | Part 2 | Part 3 | Part 4 – Whitepapers about data sovereignty – Microsoft Data Classification Toolkit – AD RMS File API
  • 33. © 2010 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.