2. 2
• Безопасность облачной платформы КРОК
(KVM, ESXi и Hyper-V)
• Некоторые аспекты защиты персональных данных в облаке
КРОК
СОДЕРЖАНИЕ
3. 3
БЕЗОПАСНОСТЬ ПЛАТФОРМЫ – KVM
Реализован комплекс механизмов безопасности:
Защита от DDoS-атак - Radware DefencePro
Обнаружение сетевых атак (IDS) - Suricata IDS, OSSEC
Межсетевое экранирование – Netfilter
Выявление уязвимостей - OpenVAS
Защищенный удаленный доступ - OpenVPN
Мониторинг и управление событиями ИБ - Alien Vault
4. 4
БЕЗОПАСНОСТЬ ПЛАТФОРМЫ – ESXi (Vblock)
Реализован комплекс механизмов безопасности:
Межсетевое экранирование – Cisco ASAv
Предотвращение сетевых атак (IPS) – NGIPSv
IPSec VPN и защищенный удаленный доступ – Cisco ASAv
Контроль сетевого трафика – Cisco CSR 1000v
Создание защищенных зон для виртуальных машин – Cisco VSG
Изоляция сетевого трафика виртуальных машин – Cisco Nexus
1000v
Централирозованный мониторинг активности сетевого трафика –
Infosim Stablenet
5. 5
БЕЗОПАСНОСТЬ ПЛАТФОРМ KVM & ESXi
• Внедрены необходимые процессы обеспечения безопасности:
Управление изменениями
Обновление компонентов облака и компонентов системы защиты
Резервное копирование и восстановление
Физическая защита и управление доступом
• Проводятся внутренние и внешние аудиты защищенности
6. 6
БЕЗОПАСНОСТЬ ПЛАТФОРМ KVM & ESXi
Платформы KVM и ESXi обеспечивают достаточный уровень
защищенности размещаемых пользовательских данных, но:
средства защиты не сертифицированы
механизмы виртуализации не сертифицированы
Платформы KVM и ESXi не подходят для обеспечения безопасности
данных в соответствии с действующим законодательством РФ (в том
числе, ПДн)
7. 7
БЕЗОПАСНОСТЬ ПЛАТФОРМЫ – HYPER-V
• Изначально проектировалась под задачи обеспечения
безопасности ПДн 3-го и 4-го уровней защищенности
• Использует сертифицированные средства защиты:
Обнаружение сетевых атак (IDS) – ViPNet IDS
Межсетевое экранирование – Check Point NG FW
Выявление уязвимостей - XSpider
VPN и защищенный удаленный доступ – С-Терра CSP
Защита от вредоносного ПО – Kaspersky Endpoint Security, Kaspersky
Security для виртуализации
• Построена на базе гипервизора из состава сертифицированной
ОС Microsoft Windows Server Datacenter 2012 R2
8. 8
БЕЗОПАСНОСТЬ ПЛАТФОРМЫ – HYPER-V
• На сегодняшний день платформа Hyper-V – целевой сегмент для
размещения данных, защищаемых в соответствии с действующим
законодательством РФ
• Одной только безопасной платформы недостаточно, требуется
использование дополнительных средств защиты на уровне гостевой
ИС
• Не все данные можно размещать в облаке - для данных высокого
уровня защищенности (например, ПДн УЗ-1) виртуализация может
быть недопустима
9. 9
БЕЗОПАСНОСТЬ ДАННЫХ
• Безопасность – один из предоставляемых SaaS-сервисов
• Состав сервисов безопасности:
Защита от DDoS-атак
Защита Web-приложений
Защита от спама
…
Обеспечение безопасности персональных данных
10. 10
БЕЗОПАСНОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ
• ИСПДн размещается в плече Hyper-V облака КРОК
• Заказчику предоставляется набор сертифицированных средств
защиты:
Разграничение и контроль доступа – SecretNet (LSP)
Межсетевое экранирование – Check Point NG FW
VPN и защищенный удаленный доступ – С-Терра CSP
Защита от вредоносного ПО – Kaspersky Security
Анализ уязвимостей - XSpider
• Разрабатывается пакет дополнительных документов в части защиты
ПДн (модель угроз, акт классификации)
• Ответственность КРОК может быть прописана в договоре на оказание
услуг
11. 11
НАШИ ПРЕИМУЩЕСТВА
• Необходимый набор лицензий ФСТЭК и ФСБ в области
защиты информации
• Сеть дата-центров в Москве, в т/ч сертифицированный в
Uptime Institute по уровню TIER III
• ЦОД и Облако КРОК сертифицированы по требованиям
стандарта ISO/IEC 27001:2013
• Ведутся работы по сертификации по PCI DSS
12. СПАСИБО
ЗА ВНИМАНИЕ!
Антон Трегубов
Менеджер по продвижению
решений направления
информационной
безопасности
111033, Москва, ул. Волочаевская, д.5, к.1
Т: (495) 974 2274 | Ф: (495) 974 2277
E-mail: ATregubov@croc.ru
croc.ru