Není cloud jako cloud, rozhodujte se podle bezpečnosti

Není cloud jako cloud, rozhodujte se podle bezpečnosti Marcel Jánský Manažer útvaru produktů a podpory prodeje 26. 2. 2013

České Radiokomunikace Vysílací služby

2

Profesionální telekomunikační operátor

Poskytovatel ICT a DC služeb

Infrastruktura jako cloud Požadavky zákazníků

3

Bezpečnostní hrozby

4

Technická závada

Interní – záměrný útok

Útok z internetu

Interní ohrožení - nezáměrné

Hlavní oblasti Data - Databázová úložiště   

5

Ochrana před odcizením Ochrana před únikem Ochrana před změnou nebo pozměněním

Komunikace   

Vyhrazená komunikace Šifrování Autentizace

Internet

Soulad s předpisy

  

 

Hrozby Útoky Obsah

Předpisy ČR Zahraniční standardy

FYZICKÁ BEZPEČNOST

PROVOZNÍ BEZPEČNOST

SÍŤOVÁ BEZPEČNOST

OCHRANA DAT

 Budova s ostrahou 24 hod. denně  Pokročilý identity management – vícefaktorová autentizace, autorizace  Vyloučen přístup neoprávněných osob  Monitoring všech prostor + záznam  Uzavřené prostory designované pro provoz IT infrastruktury

 Elektronický přístupový systém

6

FYZICKÁ BEZPEČNOST

PROVOZNÍ BEZPEČNOST

SÍŤOVÁ BEZPEČNOST

OCHRANA DAT

 Geograficky oddělené lokality provozu a zálohování  Vlastní zálohovaná datová síť  Ověřené technologie, garantované výrobcem  Dohled nad provozem 24x7x365  Zkušenosti s provozem kritických systémů a aplikací

 Certifikace, krizové plány pro řešení bezpečnostních incidentů a havárií  Možnost nasazení a provozu individuálních bezpečnostních technologií zákazníka

 Možnost provozu privátních cloudů na oddělené infrastruktuře

7

FYZICKÁ BEZPEČNOST

PROVOZNÍ BEZPEČNOST

SÍŤOVÁ BEZPEČNOST

 Správa zákaznických VDC z lokality zákazníka přes vyhrazené zabezpečené datové linky  Firewall vždy součástí datového připojení  Monitoring síťového provozu  Doplňkové bezpečnostní technologie

8

OCHRANA DAT

FYZICKÁ BEZPEČNOST

PROVOZNÍ BEZPEČNOST

SÍŤOVÁ BEZPEČNOST

 Disková pole v redundantním zapojení (RAID 5, RAID 10)  Dvojitý backup v záložní lokalitě vždy součástí služby  Volitelně synchronní replikace dat  Volitelně služba Archive

 Doplňkové bezpečnostní technologie

9

ZÁKLADNÍ OCHRANA DAT

Doplňkové bezpečnostní technologie – 1/3 Anti-Malware  

Ochrana proti virům, trojským koním a dalšímu malwaru, Nulové nároky na spotřebovaný prostor .

Web Reputation 

Nástroj pro vyhodnocování bezpečnosti webů (web reputation), které posilují ochranu serverů a virtuálních uživatelských počítačů.

Stateful Firewall 

10

Omezuje prostor pro potenciální útoky u fyzických, cloudových i virtuálních serverů pro všechny IP protokoly a typy rámců.

Doplňkové bezpečnostní technologie – 2/3 Integrity Monitoring 

Monitoruje kritické soubory operačního systému a aplikací, jako jsou adresáře, registrační klíče a hodnoty, s cílem detekovat a nahlásit škodlivé, nebo neočekávané změny, to vše v reálném čase.

Intrusion Detection and Prevention (IDP) 

Modul IDP (detekce a prevence narušení) chrání proti známým a zero-day útokům prostřednictvím ochrany známých zranitelných míst ze strany neomezeného počtu škodlivých programů (exploitů).

Log Inspection 

11

Modul pro inspekci protokolů shromažďuje a analyzuje protokoly (logy) operačního systému a aplikací vyhledává podezřelé chování bezpečnostní události a administrativní události.

Doplňkové bezpečnostní technologie – 3/3 Šifrování (Volume Encryption)    

Služba zajišťuje ochranu citlivých dat uložených ve virtuálním datacentru zákazníka. Disky takto chráněných VS jsou šifrovány AES standardem s délkou klíče 128, 192 nebo 256-bit. Přístup k šifrovanému disku má pouze ta virtuální instance, která jej vytvořila. Dešifrování načítaných dat probíhá v reálném čase, a to pouze za použití platného klíče.

Bezpečnostní management (SIEM)  Služba poskytující detailní bezpečnostní přehled o všech prvcích zákaznického virtuálního prostředí.  Monitorována jsou definovaná zákaznická zařízení v síti (síťové prvky, virtuální servery, software, doplňkový hardware).  V reálném čase shromažďuje a zpracovává data o událostech, výstrahách a bezpečnostních incidentech a provádí jejich analýzu.  Upozorňuje na nestandardní procesy a možné bezpečnostní hrozby. Poskytuje reporty, porovnává shodu se zákonnými či oborovými bezpečnostními předpisy a standardy.  Je základním nástrojem manažera bezpečnosti a poskytuje podklady pro bezpečnostní audit

12

Bezpečnostní řešení na míru  Zákazníci spravující citlivá data třetích stran  Zákazníci podléhající souladu s právními předpisy a standardy

Nejvyšší úroveň zabezpečení Implementace bezpečnosti

 Zákazníci s citlivými daty

Pokročilá úroveň zabezpečení Individuální bezpečnostní plán

 Všichni zákazníci

13

Základní zabezpečení

    

 Privátní cloud na plně oddělené infrastruktuře  Implementace bezpečnostního plánu zákazníka  Certifikace zákaznického bezpečnostního řešení

 Access Management, vícefaktorová autentizace  Šifrování na úrovni datového připojení a úložiště  Ochrana pomocí doplňkových bezpečnostních technologií

Zabezpečené datové připojení Vícefaktorová autentizace, Autorizace Firewall Zálohovací plán

Doplňkové bezpečnostní produkty  Poradenství v oblasti bezpečnosti  Analýza rizik  Bezpečnostní politiky  Implementace systému bezpečnosti  Soulad s předpisy  Certifikace systému bezpečnosti

14

Dohled  Dohled 24x7x365  Jednotné místo pro monitoring všech prvků provozu  Monitoring provozu

 Monitoring sítě  Monitoring bezpečnostních prvků  Okamžitý zásah v případě výpadku

 Okamžitý zásah v případě provozního incidentu  Okamžitý zásah v případě bezpečnostního incidentu

15

Děkuji za pozornost [email protected]