Cloud pro utajované informace. OIB BO MV 2012, Karel Šiman



Podobné dokumenty
Zabezpečená videokonference a hlas v IP a GSM komunikačním prostředí. Jiří DOUŠA Červen 2014

Bezpečná výměna souborů mezi vnitřní a vnější sítí organizace. Autor: Martin Hanzal, CTO SODATSW spol. s r. o., Horní 32, Brno, Czech Republic

(2) Zásady bezpečnostní politiky jsou rozpracovány v návrhu bezpečnosti informačního systému

Více úrovňové informační systémy a jejich certifikace podle zákona č.412/2005 Sb., ve znění pozdějších předpisů

Zákon o kybernetické bezpečnosti

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Není cloud jako cloud, rozhodujte se podle bezpečnosti

Technická opatření dle zákona o kybernetické bezpečnosti verze 1.0

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Bezpečnostní politika společnosti synlab czech s.r.o.

Cloud Slovník pojmů. J. Vrzal, verze 0.9

Více úrovňové informační systémy a jejich certifikace podle zákona č.412/2005 Sb.

Kybernetická bezpečnost

Technická a organizační opatření Českých Radiokomunikací

LINUX - INSTALACE & KONFIGURACE

Zákon o kybernetické bezpečnosti Obecný přehled ZKB se zaměřením na technická opatření

Policejní akademie ČR. Bezpečnostní seminář JUDr. Josef Veselý 1

ISMS. Síťová bezpečnost. V Brně dne 7. a 14. listopadu 2013

Masarykova střední škola zemědělská a Vyšší odborná škola, Opava, příspěvková organizace

Správce IT pro malé a střední organizace

Technologický seminář Simac Technik ČR, a.s. Praha,

Zákon o kybernetické bezpečnosti

Úvod - Podniková informační bezpečnost PS1-2

Příklad druhý, Politika používání mobilních PC (mpc)

ICZ - Sekce Bezpečnost

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

Co se skrývá v datovém provozu?

Bezpečnostní aspekty informačních a komunikačních systémů PS2-1

Fyzická bezpečnost z hlediska ochrany utajovaných informací

Zajištění provozu multifunkčních, multimediálních elektronických zařízení určených pro zpracování utajovaných informací

Připojení městských částí do infrastruktury MepNET. Dotazníkové šetření Bohdan Keil,

Nástroje IT manažera

ZÁKON O KYBERNETICKÉ BEZPEČNOSTI A NAVAZUJÍCÍ PROVÁDĚCÍ PŘEDPISY

Zabezpečení citlivých dat informačních systémů státní správy. Ing. Michal Vackář Mgr. Boleslav Bobčík

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

Nový přístup k bezpečnosti v budování výpočetní a komunikační infrastruktury

Implementace ZKB. Ing. Miroslav Jaroš. Energetický regulační úřad.

Virtualizace. Lukáš Krahulec, KRA556

Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P

Nástroje IT manažera

Centrální správa PC na MU. Pavel Tuček

Představujeme KASPERSKY ENDPOINT SECURITY FOR BUSINESS

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant

Důvěryhodná výpočetní základna v prostředí rozsáhlých IS státní správy

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Jako příklady typicky ch hrozeb pro IT lze uvést: Útok

Přechod na virtuální infrastrukturu

Jak spustit provoz v DR lokalitě snadno a rychle

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

Obrana sítě - základní principy

Správa stanic a uživatelského desktopu

IT 3. Projekt centrálního zálohovacího systému v ČSOB Pojišťovně. Michal Mikulík. špička v každém směru

Proč ochrana dat a informací není běžnou součástí každodenního života? Martin HANZAL SODATSW spol. s r.o.

Fyzická bezpečnost. Druhy zajištění ochrany utajovaných informací (OUI) Ing. Oldřich Luňáček, Ph.D.

Penetrační test & bezpečnostní audit: Co mají společného? V čem se liší?

DODATEČNÉ INFORMACE K ZADÁVACÍM PODMÍNKÁM Č. 4

Správce operačních systémů pro malé a střední organizace

Bezepečnost IS v organizaci

Zákon o kybernetické bezpečnosti: kdo je připraven?

Bezpečnost informací Ve specifických případech

BEZPEČNOST (BEZ)DRÁTU. Martin Macek,

2. setkání interních auditorů ze zdravotních pojišťoven

Monitorování datových sítí: Dnes

Virtualizace jako nástroj snížení nákladů. Periodické opakování nákladů nové verze Licence na pevný počet klientů

Zkušenosti s budováním základního registru obyvatel

NÁVRH ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI Tisk 81. Mgr. Jiří Malý duben 2014, PRAHA

Bezpečná autentizace nezaměnitelný základ ochrany

Z internetu do nemocnice bezpečně a snadno

1. Organizace dokumentu. 2. Zabezpečení jako priorita. 3. Cloudová infrastruktura Hybrid Ads

egc tým Bezpečnost Hodnocení dopadů a zařazování do bezp. úrovní Závazná bezpečnostní opatření pro dodavatele

10. VÝZVA IROP KYBERNETICKÁ BEZPEČNOST

Jak být online a ušetřit? Ing. Ondřej Helar

PREZENTACE PRO ŽADATELE K 10. VÝZVĚ IROP KYBERNETICKÁ BEZPEČNOST BRNO Ing. Andrea Jonštová, konzultace dotačních programů

TIA Portal Cloud Connector. Práce v privátním cloudu od TIA Portal V14

Nejbezpečnější prostředí pro vaše data

Akceptace platebních karet je specifická činnost a v souvislosti s ní je třeba si z hlediska zájemce vyjasnit řadu otázek, např.:

Novela zákona o kybernetické bezpečnosti Směrnice NIS. Jan Zahradníček

Elektronický podpis. Základní princip. Digitální podpis. Podpis vs. šifrování. Hashování. Jednosměrné funkce. Odesílatel. Příjemce

Vzdálená správa v cloudu až pro 250 počítačů

Michal Andrejčák, Klub uživatelů ŘS MicroSCADA, Hotel Omnia Janské Lázně, Cyber security Novinky / Statistiky.

Dohledové centrum egovernmentu. Aplikace ZoKB v praxi

Příloha č. 3: Technické zadání zakázky Instalace a služby pro technologické centrum MÚ Pohořelice

GDPR Modelová Situace z pohledu IT

Virtualizace síťových prvků

Bezpečnostní politika společnosti synlab czech s.r.o.

Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva?

Technická specifikace předmětu zakázky

Koncept BYOD. Jak řešit systémově? Petr Špringl

Návrh sítě LAN část III.

Big Data a bezpečnost. Andrea Kropáčová, andrea@cesnet.cz CESNET, z. s. p. o.

Monitoring uživatelů zkušenosti z praxe Proč monitorovat? Kde monitorovat? Příklady z praxe.

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Bezpečnostní technologie a jejich trendy. Simac Technik ČR, a.s.

TECHNICKÁ SPECIFIKACE VEŘEJNÉ ZAKÁZKY

Technická specifikace předmětu zakázky

Pokročilé architektury počítačů

Výzva č. 19 IOP Služby TCK. Ing. Tomáš Kuba Plzeňský kraj

Část 1. Technická specifikace. Posílení ochrany demokratické společnosti proti terorismu a extremismu

Cloud Computing pro státní správu v praxi. Martin Vondrouš - Software602, a.s. Pavel Kovář - T-Systems Czech Republic a.s.

Transkript:

Cloud pro utajované informace OIB BO MV 2012, Karel Šiman

Utajované informace (UI) Zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti Vyhláška č. 523/2005 Sb., o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o certifikaci stínicích komor, ve znění vyhlášky č. 453/2011 Sb. Informační systém pro zpracování UI (IS) = systém pro zpracování UI (jeden nebo více počítačů, programové vybavení, periferní zařízení, správa tohoto IS, vztahující procesy nebo prostředky schopné provádět sběr, tvorbu, zpracování, ukládání, zobrazení nebo přenos utajovaných informací ). IS musí být certifikován NBÚ. Komunikační systém pro zpracování UI (KS) = systém zajišťující přenos UI mezi koncovými uživateli (koncové komunikační zařízení, přenosové prostředí, kryptografické prostředky, obsluhu a provozní podmínky a postupy ) KS musí mít projekt bezpečnosti KS schválený NBÚ. KS NBÚ necertifikuje ( jádro KS je certifikovaný kryptografický prostředek).

CLOUD Klíčovým problémem pro bezpečnost CLOUDu je použití VIRTUALIZACE Tradiční přístup vybudovaný na stabilní HW a SW infrastruktůře umožňuje relativně jednoduché, transparentní zajištění bezpečnosti vybudování obranného perimetru, nacílení bezpečnostních opatření na konkrétní místa. Využívají se ověřené metodiky apostupy. Virtualizace přechod od fyzických serverů k virtuálním. Nelze postupovat v zajištění bezpečnosti tradičním způsobem - mizí(rozmývá se) jasně definovaný obranný perimetr, cílená statická bezpečnostní opatření. V rámci fyzických serverů většina komunikace probíhá mezi virtuálními stroji (VS). Kriticky důležitá pro sdílení zdrojů (multitenancy )je přísná kontrola přístupu pro správce, uživatele, stejně jako kontrola změn na úrovni systému. Současně mohou pracovat uživatelé iadministrátoři. Při využití cloudu vis pro zpracování UI není nutńé vynalézat už vynalezené. Je možné použít standardní postupy ametodiky, ale je nutné brát do úvahy specifické provozní a bezpečnostní vlastnosti technologie cloudu zejména použití virtualizace.

Bezpečnostní problémy virtualizace Absence ochrany hypervizoru. Neoprávněné získání přístupu k řízení systému virtuálních serverů. Při slabé izolaci VS může VS útočníka proniknout přes hypervizor a získat řízení fyzického serveru (VM Escape) Neoprávněné interakce mezi VS útočníka a fyzickým serverem obvykle přes sdílené paměťové zdroje (např. přes sdílenou paměť (shared clipboard) apod.) Neoprávněný síťový přístup VS útočníka dovnitř virtuální infrastruktury a monitorování síťového provozu mezi VS. Útoky na jiné VS prostřednicvím VS útočníka (VM Hopping) Monitorování činnosti VS ze strany fyzicického serveru. Neoprávněný přístup uživatelů k virtuálním strojům (VS) a instalace škodlivého SW. Chybějící kontrola činností uživatelů a jimi prováděných změn konfigurace virtuálního prostředí.

Bezpečnostní problémy virtualizace Dynamika provozu virtuálních strojů jednoduchost a rychlost vytvoření, spuštění,zastavení, zrušení, klonování a migrace mezi fyzickými servery. Variabilita infrastruktury sebou nese problémové vytvoření konzistentního bezpečnostního prostředí, nekontrolovatelnou, časově nesynchronizovanou migraci bezpečnostních rizik (např. při opětovném spuštění VS). Prostor pro hrozby a útoky se použitím VS podstatně zvětšuje, zejména proto, že se pro fyzické a virtuální prostředí používá tentýž software (OS a aplikace). Zastavené (vypnuté) VSjsou napadnutelné ). Na zastavené VS není možné spustit bezpečnostní mechanismy. Je možná neoprávněná modifikace vypnutých VS akompromitace uložených obrazů VS. Vliv tradičních bezpečnostních opatření na výkon. Spuštění bezpečnostních opatření (např. antivirového skenování) na několika VS (na jednom fyzickém serveru) může rapidně snížit výkon. Zajištění integrity akontrola aktivity aplikací adat, zejména pokud v cloudu sdílejí různé fyzické prostředí. Obranný perimetr a segmentace sítě. Tradiční způsoby obrany s využitím firewallů nefungují v prostředí virtuálních serverů cloudu.

Požadavky na bezpečnostní mechanizmy Je nutné mít spolehlivý okamžitý přehled o stavu systému bezpečnosti cloudu nezávisle na stavu a umístění cloudu. Bezpečnostní systém musí být schopen detekovat útok nebo hrozbu na úrovni VS nezávisle na tom, kde je fyzicky spuštěna. Bezpečnostní mechanizmy musí být implementovány na úrovni hypervizoru (např. aby se zamezilo útokům na zastavené VS) Bezpečnostní mechanizmy musí být určeny a certifikovány speciálně pro prostředí cloudu. Musí existovat kontrola integrity a audit aktivity dat a aplikací na různých úrovních (systémové i užívatelské) Obranný perimetr je nutné realizovat už na úrovni VS. Pro zabezpečení přístupu ksystému, datům aaplikacím vmnoho uživatelském prostředí, je nutné použít silnou antentizaci (více faktorovou, jednorázová hesla, autentizaci na bázi analýzy historie, aktuálního kontextu a dalších rizik spojených s požadavkem na přístup.

Návrh IS pro zpracování UI s využitím cloudu Celý IS musí být řešen tak, aby ho bylo možné certifikovat pro požadovaný stupeň utajení. Použijeme soukromý (private) cloud, v tomto případě provozováný pouze pro organizaci a to organizací samotnou. Síťová propojení mezi lokalitami kde jsou umístěny fyzické servery jsou realizovaná jako KS s šifrováním end-to-end. Koncové stanice jsou řešeny jako certifikované IS s šifrovaným připojením Fyzická bezpečnost, Tempest apod. Jsou řešeny v souladu se zákonem č. 412/2005 Sb. Bezpečnostní mechanizmy jsou realizovány SW třetích stran certifikovaným pro použitý virtualizační SW.

Děkuji za pozornost!

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář