Není cloud jako cloud, rozhodujte se podle bezpečnosti Marcel Jánský Manažer útvaru produktů a podpory prodeje 26. 2. 2013
České Radiokomunikace Vysílací služby Profesionální telekomunikační operátor Poskytovatel ICT a DC služeb 2
Infrastruktura jako cloud Požadavky zákazníků 3
Bezpečnostní hrozby Technická závada Interní záměrný útok Útok z internetu Interní ohrožení - nezáměrné 4
Hlavní oblasti Data - Databázová úložiště Ochrana před odcizením Ochrana před únikem Ochrana před změnou nebo pozměněním Komunikace Vyhrazená komunikace Šifrování Autentizace Internet Hrozby Útoky Obsah Soulad s předpisy Předpisy ČR Zahraniční standardy 5
FYZICKÁ PROVOZNÍ SÍŤOVÁ OCHRANA DAT Budova s ostrahou 24 hod. denně Pokročilý identity management vícefaktorová autentizace, autorizace Vyloučen přístup neoprávněných osob Monitoring všech prostor + záznam Uzavřené prostory designované pro provoz IT infrastruktury Elektronický přístupový systém 6
FYZICKÁ PROVOZNÍ SÍŤOVÁ OCHRANA DAT Geograficky oddělené lokality provozu a zálohování Vlastní zálohovaná datová síť Ověřené technologie, garantované výrobcem Dohled nad provozem 24x7x365 Zkušenosti s provozem kritických systémů a aplikací Certifikace, krizové plány pro řešení bezpečnostních incidentů a havárií Možnost nasazení a provozu individuálních bezpečnostních technologií zákazníka Možnost provozu privátních cloudů na oddělené infrastruktuře 7
FYZICKÁ PROVOZNÍ SÍŤOVÁ OCHRANA DAT Správa zákaznických VDC z lokality zákazníka přes vyhrazené zabezpečené datové linky Firewall vždy součástí datového připojení Monitoring síťového provozu Doplňkové bezpečnostní technologie 8
FYZICKÁ PROVOZNÍ SÍŤOVÁ ZÁKLADNÍ OCHRANA DAT Disková pole v redundantním zapojení (RAID 5, RAID 10) Dvojitý backup v záložní lokalitě vždy součástí služby Volitelně synchronní replikace dat Volitelně služba Archive Doplňkové bezpečnostní technologie 9
Doplňkové bezpečnostní technologie 1/3 Anti-Malware Ochrana proti virům, trojským koním a dalšímu malwaru, Nulové nároky na spotřebovaný prostor. Web Reputation Nástroj pro vyhodnocování bezpečnosti webů (web reputation), které posilují ochranu serverů a virtuálních uživatelských počítačů. Stateful Firewall Omezuje prostor pro potenciální útoky u fyzických, cloudových i virtuálních serverů pro všechny IP protokoly a typy rámců. 10
Doplňkové bezpečnostní technologie 2/3 Integrity Monitoring Monitoruje kritické soubory operačního systému a aplikací, jako jsou adresáře, registrační klíče a hodnoty, s cílem detekovat a nahlásit škodlivé, nebo neočekávané změny, to vše v reálném čase. Intrusion Detection and Prevention (IDP) Modul IDP (detekce a prevence narušení) chrání proti známým a zero-day útokům prostřednictvím ochrany známých zranitelných míst ze strany neomezeného počtu škodlivých programů (exploitů). Log Inspection Modul pro inspekci protokolů shromažďuje a analyzuje protokoly (logy) operačního systému a aplikací vyhledává podezřelé chování bezpečnostní události a administrativní události. 11
Doplňkové bezpečnostní technologie 3/3 Šifrování (Volume Encryption) Služba zajišťuje ochranu citlivých dat uložených ve virtuálním datacentru zákazníka. Disky takto chráněných VS jsou šifrovány AES standardem s délkou klíče 128, 192 nebo 256-bit. Přístup k šifrovanému disku má pouze ta virtuální instance, která jej vytvořila. Dešifrování načítaných dat probíhá v reálném čase, a to pouze za použití platného klíče. Bezpečnostní management (SIEM) Služba poskytující detailní bezpečnostní přehled o všech prvcích zákaznického virtuálního prostředí. Monitorována jsou definovaná zákaznická zařízení v síti (síťové prvky, virtuální servery, software, doplňkový hardware). V reálném čase shromažďuje a zpracovává data o událostech, výstrahách a bezpečnostních incidentech a provádí jejich analýzu. Upozorňuje na nestandardní procesy a možné bezpečnostní hrozby. Poskytuje reporty, porovnává shodu se zákonnými či oborovými bezpečnostními předpisy a standardy. Je základním nástrojem manažera bezpečnosti a poskytuje podklady pro bezpečnostní audit 12
Bezpečnostní řešení na míru Zákazníci spravující citlivá data třetích stran Zákazníci podléhající souladu s právními předpisy a standardy Nejvyšší úroveň zabezpečení Implementace bezpečnosti Privátní cloud na plně oddělené infrastruktuře Implementace bezpečnostního plánu zákazníka Certifikace zákaznického bezpečnostního řešení Zákazníci s citlivými daty Pokročilá úroveň zabezpečení Individuální bezpečnostní plán Access Management, vícefaktorová autentizace Šifrování na úrovni datového připojení a úložiště Ochrana pomocí doplňkových bezpečnostních technologií Všichni zákazníci Základní zabezpečení Zabezpečené datové připojení Vícefaktorová autentizace, Autorizace Firewall Zálohovací plán 13
Doplňkové bezpečnostní produkty Poradenství v oblasti bezpečnosti Analýza rizik Bezpečnostní politiky Implementace systému bezpečnosti Soulad s předpisy Certifikace systému bezpečnosti 14
Dohled Dohled 24x7x365 Jednotné místo pro monitoring všech prvků provozu Monitoring provozu Monitoring sítě Monitoring bezpečnostních prvků Okamžitý zásah v případě výpadku Okamžitý zásah v případě provozního incidentu Okamžitý zásah v případě bezpečnostního incidentu 15
Děkuji za pozornost m.jansky@radiokomunikace.cz