Data Centric Security Strategy

© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public COCSEC-2985 1

Использование решений Cisco в

ИТ-инфраструктуре Cisco:

стратегия обеспечения

безопасности, ориентированная

на защиту данных


План презентации

Причины разработки стратегии ИБ, ориентированной на защиту данных:

• Отраслевые тенденции

• Особенности Cisco

Изменения стратегий ИБ: план Cisco

Система обеспечения ИБ, ориентированная на защиту данных, в Cisco

• Политика

• Обучение

• Архитектура

• Методики

Резюме


Отраслевые тенденции

Исследование Cisco – «Connected World Report»

59% сотрудников хотят использовать для работы личные устройства

7 млрд новых беспроводных устройствах к 2015 году, 22 млрд к 2020 году [данные IDC]

40% организаций планируют использовать облачные сервисы

Оценки роста объема данных

35 Зеттабайт к 2020 году

Источник: Cisco Connected World Report 2010, статья в журнале Economist: Leaky Corporation

Данные присутствуют

повсюду– на устройствах

сотрудников, в

корпоративной сети

и в облаке

http://newsroom.cisco.com/dlls/2010/ts_101910.html

http://www.economist.com/node/18226961

http://www.economist.com/node/18226961


Утечки/утери данных

Информацию в цифровом виде просто хранить. Но ее также легко потерять или украсть!

Datalossdb.org

Нарушения безопасности персональных данных

Секретные проекты, финансовые данные и т. п...

Wikileaks

Организациям необходимо принять 2 решения: что действительно необходимо защищать

и как обеспечить оптимальную защиту ценных ресурсов

http://datalossdb.org/index/latest

http://www.privacyrights.org/data-breach

:/www.economist.com/node/18226961




http://en.wikipedia.org/wiki/WikiLeaks


Особенности Cisco

Глобальная компания, мобильные сотрудники, большая экосистема сотрудников, партнеров, поставщиков, заказчиков

Программа доступа с любого устройства запущена в 2009 году

Активная поддержка сред совместной работы - WebEx, корпоративные социальные сети – как внутренних, так и с доступом заказчиков/партнеров

Cisco поддерживает облачные решения – SaaS, IaaS – как для внутреннего использования, так и общедоступные

Постоянно растет популярность решений для мобильных устройств

К чему это приводит?

Корпоративные данные

в закрытой корпоративной

ИТ-инфраструктуре

Корпоративные данные повсюду

(неконтролируемые устройства/

облако)


Время

Ри

ски

Приоритет: ЦОД

Мобильность и доступ

Приложения и СУБД

Защита периметра

ЭТАП 1

Защита оконечных устройств

ЭТАП 2

Защита приложений

ЭТАП 3

Информация

ЭТАП 4

Совместная работа/виртуализация

Принятые в Cisco методики защиты информации:

реализация концепция многоуровневой защиты

2010 2000 1990 1980


2010 2013

Встроенные средства + Anyconnect + MDM

Различные средства Оконечные устр-ва

Сертификаты устройств,

TrustSec, федерация,

учет контекста

Аутентификация пользователей

Сущности, политика

Сеть, облако (IPS, WSA, WAF,

Scansafe, DLP, VSG)

Оконечные устройства, инфраструктура,

приложения

Сервисы ИБ

Доверенное устройство,

PlatformV, ContentV

Управляемая (Windows, Blackberry) Платформа

Направления развития


Источник: статья IBM “Data-Centric Security”, декабрь 2006 г.

Модель безопасности, ориентированная

на защиту данных (DCSM)

Сопоставление бизнес-стратегии и стратегии обеспечения ИБ на основании общего множества данных

Переход от защиты сети и хостов к защите данных при использовании, передаче и хранении

Оценка значимости данных, последующее применение мер обеспечения ИБ в рамках их жизненного цикла

Решения на основе данных

Владение

Классификация

Управление/защита определяются классом данных


Реализация стратегии обеспечения ИБ, ориентированной на защиту данных

Данный подход необходимо внедрить в масштабах всей организации:

Политики и стандарты

Обучение и информированность пользователей

Архитектура

Методики


Политики и стандарты, ориентированные на защиту данных

Принятие решения на основе данных – идентификация, классификация, проверка

Идентификация владельца данных

Классификация данных в соответствии с уровнем конфиденциальности

Проверка существования средств управления/защиты в соответствии с результатами классификации

Классификация

Управление/защита

Носитель


Стандарты, ориентированные на защиту данных: примеры

Категория Cisco Confidential Cisco Highly

Confidential

Cisco Restricted

Примеры: Большая часть

документов компании

Сведения о

безопасности, ПДн

Сведения о сделках,

медицинские данные,

финансовые сведения

Контроль доступа и

распространение:

любой носитель

Доступны сотрудникам

Cisco, кроме того, доступ

может предоставляться

посторонним лицам, для

решения легитимной

бизнес-задачи

Доступны

ограниченному кругу

сотрудников Cisco,

доступ может

предоставляться

посторонним лицам, для

решения легитимной

бизнес-задачи; доступ

предоставляет по

решению владельца

данных

Доступ ограничен явно

перечисленным кругом

лиц; доступ предоставляет

по решению владельца

данных

Способ передачи:

электронная почта

Шифрование

рекомендуется при

передаче документов и

сообщений электронной

почты по открытым

сетям общего

пользования; средства:

WinZip или CRES

Шифрование

обязательно при

передаче документов и

сообщений электронной

почты по открытым

сетям общего

пользования; средства:

WinZip или CRES

Шифрование обязательно

при любой передаче

данных; средства: WinZip

или CRES

Хранение: носитель

(DVD, USB-

накопитель)

Нет требований Шифрование данных

рекомендуется

Шифрование данных

обязательно


Обучение и информированность пользователей Обеспечение безопасности – обязанность всех сотрудников Cisco

Пример: серия видеороликов Genoodle

Повышение информированности и вовлечение сотрудников путем активного и поощряемого участия в проекте

Использование платформ социальных сетей и мультимедийных средств

Разрушения языковых и культурных барьеров с помощью кукол

Демонстрация решений Cisco


Архитектуры,

ориентированные на защиту

данных: опыт Cisco


Архитектура, ориентированная на защиту данных: пример № 1 Репозиторий данных Crown-Jewel

Критерии:

• Данные уровня не ниже Highly Confidential

• Поддержка критически важных бизнес-

процессов

• Данные, регламентируемые нормативными

требованиями

• Данные для аутентификации/авторизации

пользователей


Архитектура, ориентированная на защиту данных: пример № 1 Репозиторий данных Crown-Jewel (продолжение)

Средства управления безопасностью в среде Crown-Jewel

Аутентификация и авторизация пользователей и приложений/операций доступа к хостам

Целостность DBlink и жизненного цикла приложений

Аудит и журналирование доступа

Поддержка актуальности версий СУБД и патчей в сфере безопасности

Формализованный и контролируемый доступ в рамках защищенного сегмента сети

Принятые стандарты повышения уровня защищенности СУБД и операционных систем

Повышение управляемости и расширение возможностей мониторинга партнерского доступа к экстранету

Умышленное искажение или маскирование данных при репликации в тестовых целях

Шифрование данных

http://qwiki/wiki/NDCSDesign:DC:SubnetSecurityType




Архитектура, ориентированная на защиту данных: пример № 2 Анализ данных

ACL

Доку-

менты

Cisco

Прил.

B

Прил.

C

Шлюз

Фильтрация

по URL

“All or Nothing”

Ineffective with portlets

Пользователь

экстранета

ACL

Доку-

менты

Cisco

Прил.

B

Прил.

C

Шлюз

“All or Nothing”

Пользователь

экстранета

Анализ

данных

Фильтрация

по URL

Работа на основе

доверия с проверкой

Работа на

основе доверия

По мере увеличения количества партнеров, пользующихся экстранетом,

и расширения способов доступа к экстранету анализ данных становится

критически важным механизмом поддержания требуемого уровня

защищенности ИТ-инфраструктуры


Архитектура, ориентированная на защиту данных: пример № 3 Облачная система хранения данных

Приложение Приложение

ДМЗ

Внешний

пользователь

Оператор

системы

хранения

Внутренний

пользователь

Ключи

шифрования

Внутренняя

сеть

Метаданные

приложений

• Данные в облаке

всегда зашифрованы

• Ключи шифрования

защищены и

хранятся в

собственной ИТ-

инфраструктуре

организации

• Оптимизация

производительности

Интернет


Используемые в Cisco

методики, ориентированные



Крити-ческий Анализ

экспертами

Средний риск Базовый анализ

Самообслу-живание

Низкий риск Базовый анализ

Самообслуживание

Методики, ориентированные на защиту данных: пример № 1 Оценка уязвимости приложений (AVA) на основании рисков

Приложения с известными

уязвимостями

Устаревшие приложения

Новые приложения

Архитектор

безопасности

Выделенные

специалисты -

аналитики

в сфере ИБ

Средства AVA

Самооб-служи-вание

Оценка рисков

(показатель)

Разработчики

Специалисты по

QA-тестированию

Факторы классификации данных

для расчета показателей рисков


Методики, ориентированные на защиту данных: пример № 2 Анализ безопасности системы оператора облачной системы/провайдера услуг

Уровень осмотрительности в соответствии с профилем риска

Данные, регламентируемые нормативными требованиями, или конфиденциальные данные приводят к автоматическому присвоению оператору облачной системы/провайдеру услуг высокого уровня риска

Анализ при высоком уровне риска включает периодическую оценку уязвимости систем и регулярное проведение аудита безопасности


Методики, ориентированные на защиту данных: пример № 3 Внедрение технологий обеспечения ИБ

Развертывание технологических решений для обеспечения ИБ в крупной компании, такой как Cisco, может занять долгие годы

Развертывание выполняется поэтапно, при этом учитываются типы пользователей, категории данных и типы угроз –

• Шифрование файлов на рабочих ПК сотрудников отдела кадров/бухгалтерии/инженеров – первый приоритет

• Внедрение TrustSec в средах высокого риска (определенные регионы, офисы, расположенные в бизнес-центрах, зоны общего доступа)

• Внедрение Web Application Firewall для систем электронного размещения заказов и приложений Cisco.com


Интеграция в сфере ИБ Выбор поставщика • Анализ облака

• Анализ продукта

Оценка архитектуры • Стандарты и политики ИБ, принятые в Cisco

• Модели интеграции

Соотв. нормативн. требован. • Норм. докум.

• Обработка данных заказчиков

• ИС Cisco

• Экспорт

• Юридич. док.

Анализ уязвим. • Приложение

• Инфраструк-тура

• Схема сети

Монито-ринг • IPD/IDS

• DLP

Эксплуатация (ИБ) Опросник по ИБ для заказчиков

• Реакция на вопросы заказчиков в сфере ИБ

Мониторинг и реакция на инциденты

• Анализ журналов и событий

• Уведомления о критически важных патчах

Периодическая оценка в сфере ИБ

• Анализ уязвимостей

• Приложения

• Инфраструктура

• Оценка рисков

• Пентестинг

Бизнес-стимулы: конфиденциальность, защита данных заказчиков,

защита интеллектуальной собственности, нормативные требования

Определение политик и стандартов, ориентированных


Обнаружение и защита с использованием

ориентированных на защиту данных архитектур и методик

Обеспечение ИБ, основанной на защите данных


Основные тезисы презентации

Трансформация подхода вызвана не только привычными бизнес-стимулами

• Необходимость доступа с любого устройства, развитие облачных систем и рост популярности сред совместной работы требуют пересмотра модели управления безопасностью.

• Модификация архитектуры безопасности – сущности, политики, данные, сеть

Основными особенностями являются фокус на данных как на ключевом объекте и изменение политик

• Необходимо учитывать эти особенности при изменении подхода к эксплуатации систем обеспечения ИБ и анализе новых технологических решений

• Решения по защите должны приниматься в соответствии с типом данных

• Обращайтесь за помощью к экспертам в сфере ИБ


http://www.twitter.com/ciscoit

http://www.facebook.com/ciscoit

http://www.youtube.com/cisco

http://blogs.cisco.com/ciscoit

http:/www.cisco.com/go/ciscoit

Использование решений Cisco в ИТ-инфраструктуре Cisco

Будни ИТ-подразделения Cisco


Спасибо за внимание.

Data Centric Security Strategy

Self Improvement

Transcript of Data Centric Security Strategy