Интервью с Андреем Ивановым про обеспечение ИБ в Yandex.Cloud

Дата: 27.01.2021. Автор: CISO CLUB. Категории: Главное по информационной безопасности, Интервью с экспертами по информационной безопасности
Интервью с Андреем Ивановым про обеспечение ИБ в Yandex.Cloud

Мы пообщались с Ивановым Андреем Вячеславовичем, руководителем направления развития облачных сервисов безопасности Yandex.Cloud про обеспечение информационной безопасности в облаке, продуктовую линейку маркетплейса Yandex.Cloud, возможность переноса собственных средств защиты информации в облако, узнали, что эффективнее для бизнеса — собственная инфраструктура или облачная платформа.

Решения каких зарубежных и отечественных вендоров ИБ доступны в маркетплейсе Yandex.Cloud?

На данный момент в маркетплейсе Yandex.Cloud доступны следующие классы решений:

  • Web Application Firewall;
  • сетевые средства защиты, включая NGFW;
  • антивирусное ПО.

Их состав постоянно пополняется. Только за последний месяц в маркетплейсе появились продукты трех производителей. Продукты в маркетплейсе предоставляются по двум основным моделям оплаты: bring your own license и pay as you go. В первой модели сервис маркетплейса упрощает установку продукта в облачной среде клиента, а лицензию клиент должен приобрести и активировать самостоятельно. При использовании второй модели необходимость в закупке лицензии отпадает, так как платформа включает счет за использование продукта из маркетплейса в общий счет за использование всех облачных сервисов. Модель pay as you go обычно более удобна клиентам: «единое окно» для платежей, экономятся время и ресурсы, необходимые на закупку лицензии.

Инструменты SAST/DAST доступны для клиента? Возможно ли выстроить процесс безопасной разработки в Yandex.Cloud?

На данный момент средства SAST/DAST не предоставляются из коробки, но клиенты могут установить их самостоятельно и использовать в рамках собственной облачной среды. Также возможен вариант интеграции развернутого в облаке CI/CD с собственными средствами SAST/DAST, установленными в собственном ЦОД.

Доступно ли в Yandex.Cloud шифрование по ГОСТ?

Технически нет никаких ограничений на использование шифрования ГОСТ в рамках облачной среды. Например, криптошлюзы многих российских вендоров, реализующие защиту канала с шифрованием ГОСТ, были протестированы самими вендорами и архитекторами облака.

Возможно ли перенести СЗИ клиента в Yandex.Cloud?

Если речь идет о виртуальном образе СЗИ, который развернут у клиента локально, то достаточно перевести этот образ в формат, который поддерживается облаком, для импорта. Далее, следуя процедуре, которая описывает загрузку собственного образа, можно будет воссоздать СЗИ в облачной среде. Также для миграции решений есть специализированное решение в маркетплейсе — Hystax Acura. Насколько данное решение сможет помочь именно с СЗИ, надо разбираться отдельно, но в тех случаях, когда у пользователя СЗИ есть полноценный доступ на уровне ОС, решение от Hystax должно быть полезно.

Возможно ли использовать в Yandex.Cloud собственные средства управления доступом (IDM/IAM) и контроля привилегированных пользователей (PAM)?

В облаке аутентификацией управляет сервис IAM (identity and access management). Зайти в облако можно либо под учетной записью Яндекс.Паспорт, либо под корпоративной учетной записью, если настроена федерация. Механизм федерации удостоверений — это возможность передать аутентификацию стороннему (по отношению к облаку) Identity Provider’у. В Yandex.Cloud, как во многих других облаках, этот механизм реализован с помощью протокола SAML. Таким образом, при использовании федерации управление доступом и контроль привилегированных пользователей возможны с помощью стандартных средств на стороне клиента.

Возможно ли интегрировать СЗИ заказчика с Yandex.Cloud? Например, настроить отправку событий в SIEM, находящийся в инфраструктуре заказчика.

Любыми средствами защиты, развернутыми клиентом в облачном окружении, управляет клиент. В связи с этим возможность передать логи на сторону корпоративного SIEM зависит лишь от функциональности, которую СЗИ предлагают для управления логами. Для большинства решений отгрузка логов в сторону SIEM возможна, и размещение в облачной среде никак не влияет на эту возможность.

Инцидентами ИБ управляет Центр операционной безопасности (SOC) в Yandex.Cloud. Предоставляете ли вы услугу SOCaaS для своих клиентов?

Ответственность за безопасность системы, использующей ресурсы облачной платформы, распределяется между облачным провайдером и пользователем облака. В зависимости от сервисов, которые используются, это разделение смещается в ту или иную сторону. Например, при использовании сервиса Compute Cloud пользователь отвечает за настройку безопасности операционных систем виртуальных машин, обновления, бэкапы и так далее. Но если используются managed-сервисы, такие как Managed Database, то патч-менеджмент и бэкапирование уже переходит в зону ответственности провайдера.

С точки зрения управления инцидентами ответственность также распределяется. Облачный провайдер отвечает за все инциденты на уровне облачной инфраструктуры и использует собственный SOC для эффективного управления безопасностью платформы. А клиент отвечает за управление инцидентами на уровне системы, расположенной в облачной среде. При этом все события с этого уровня могут поступать в собственный SOC клиента и там обрабатываться. Что касается SOCaaS, то на данный момент такая услуга предоставляется в режиме закрытого превью в партнерстве с одним из лидеров российского рынка в этом направлении.

Свой УЦ в облаке — миф или реальность? Могут ли ваши клиенты использовать Yandex.Cloud для развертывания облачного УЦ?

На базе облачного IaaS можно развернуть практически любое решение, и корпоративный УЦ не исключение. Если компании нужен УЦ для собственных нужд, то серьезных препятствий для переноса его в облако нет. Более тонкий вопрос — развернуть в облаке УЦ, чтобы предоставлять услуги сторонним компаниям и/или физическим лицам. Из коробки такая услуга нами не предоставляется, но мы готовы обсуждать этот сценарий с теми, кто заинтересован предоставлять такой сервис, размещая его в облаке. На всякий случай отмечу, что в облаке представлен сервис управления сертификатами (https://cloud.yandex.ru/docs/certificate-manager/ ),  с помощью которого можно получать и обновлять TLS-сертификаты от Let’s Encrypt. Безусловно, это не является полноценной альтернативой корпоративному УЦ, но упрощает управление сертификатами в ряде сценариев.

Возможно ли интегрировать инструменты для защиты данных в облаке с Yandex.Cloud? Например, Check Point CloudGuard, FortiGate Cloud. Каким образом?

Безусловно. Примеры использования сторонних СЗИ были приведены в более ранних ответах. Если говорить о сетевых средствах защиты класса NGFW, то достаточно развернуть образ соответствующего вендора в виде виртуальной машины и подключить к этой ВМ определенные виртуальные сети. Далее с помощью настроек статических маршрутов сервиса VPC такая ВМ становится шлюзом для передачи трафика из одной виртуальной сети в другую. Это, в свою очередь, позволяет классическим NGFW реализовывать свой потенциал таким же образом, как и при использовании этих средств в собственных периметрах.

Yandex.Cloud проводит периодические внутренние и внешние аудиты и тесты на проникновение. Предоставляете ли сервис тестирования на проникновение для своих клиентов?

Совершенно верно, мы достаточно часто проводим внутренние и внешние аудиты информационной безопасности и тесты на проникновение. Это связано с тем, что наша облачная платформа соответствует большому набору требований как с точки зрения общепризнанных международных стандартов безопасности, так и с точки зрения требований регуляторов различных стран. Например, у нас есть сертификаты ISO 27001, ISO 27017, ISO 27018, PCI DSS, и вместе с этим мы соответствуем требованиям ФЗ 152, включая требования 21-го приказа ФСТЭК, а также требованиям европейского GDPR. Законодательное регулирование персональных данных, а также требование стандартов в области ИБ обязывает нас регулярно проводить как аудиты ИБ, так и тесты на проникновение. Помимо внутренних пентестов, мы также обязаны заказывать внешние. Такие услуги клиентам мы на данный момент не предоставляем — кажется, это не сильно связано с облачным бизнесом. При необходимости клиент всегда может сделать пентест системы, расположенной в облаке, либо самостоятельно, либо с помощью сторонней компании. При этом важно тестировать именно собственные сервисы в облаке, а не сервисы самого облака.

Информация ограниченного доступа в Yandex.Cloud

  • Информацию ограниченного доступа (ПДн, коммерческая тайна) легитимно размещать в Yandex.Cloud?

Платформа облака соответствует требованиям законодательства в области ПД, поэтому размещение клиентами ПД не должно вызывать никаких сложностей. Но необходимо помнить, что клиент на уровне своей системы, расположенной в облаке, должен выполнить соответствующие требования по безопасности персональных данных. Мы же, как инфраструктура, закрываем эти требования на своем уровне. Наши партнеры регулярно помогают клиентам с выполнением норм для клиентских систем в облаке. С коммерческой тайной тоже не возникает никаких проблем. Как уже упоминалось, мы уделяем значительное внимание практическим аспектам безопасности нашей инфраструктуры, и эффективность наших подходов регулярно подтверждают аудиты. При этом важно помнить, что на уровне своей системы клиент должен реализовать меры, которые обеспечивают ИБ, и уметь отслеживать выполнение этих мер.

  • Как разграничить данные с разной степенью защищенности?

Облачная среда мало чем отличается здесь от собственного ЦОД. Для точной архитектуры таких разграничений требуется больше вводных, и лучше заниматься проектированием исходя из конкретной задачи, но в общем случае достаточно разместить данные, требующие разграничения, в разных облаках. В парадигме Yandex.Cloud облако — это отдельное рабочее пространство, которое изолировано от других облаков. Это не единственный способ, но один из них. Если же обработка данных различной степени защищенности требуется в рамках одного облака, то весьма полезным будет инструкция (https://storage.yandexcloud.net/yc-compliance/certificates/YC_PCI_DSS_Guide.pdf)  по защите PCI DSS данных посредством встроенного в платформу функционала безопасности. Приведенные в документе рекомендации можно распространить и на другие категории данных.

  • Кто несет ответственность за конфиденциальность, целостность, доступность информации ограниченного доступа при размещении ее в Yandex.Cloud?

С точки зрения обеспечения информационной безопасности главное отличие использования облака от работы в собственной инфраструктуре — это разделяемая ответственность. Модель разделяемой ответственности однозначно подразумевает, что физическая безопасность, безопасность предоставляемых сервисов и доступность всей инфраструктуры — это всегда ответственность провайдера, которую он не может переложить на клиентов. С другой стороны, клиент должен контролировать права доступа к ресурсам, например к виртуальным машинам, — управлять ими таким образом, чтобы не допустить несанкционированного доступа. Как в локальных, так и в облачных моделях компании сами несут ответственность за то, чтобы их решение и данные были надежно идентифицированы, маркированы и правильно классифицированы для выполнения любых обязательств по соответствию нормативным требованиям.

Что эффективнее для бизнеса — собственная инфраструктура или облачная платформа? По каким критериям стоит подходить к выбору безопасного места хранения данных и как обосновать руководству переход в облако?

Вопрос немного провокационный. Конечно, я, как сотрудник организации, предоставляющей облачные услуги, считаю, что эффективней облачная платформа. Но если постараться взглянуть на ситуацию объективно, то есть следующие соображения:

  • Если бы облачная платформа как инструмент не приносила никаких преимуществ бизнесу, то вряд ли облака стали бы весьма заметным сегментом рынка.
  • В каждом конкретном проекте нужно оценивать эффективность, но при этом не просто сравнивать стоимость аппаратных средств и стоимость облачных ресурсов, а учитывать такие параметры, как потребность в более быстром выводе цифровых продуктов на рынок, текущие проблемы (или их отсутствие) с собственной инфраструктурой, опыт работы с облачной инфраструктурой у организации и ее сотрудников и много дополнительных аспектов.
  • Чем больше организация работает с облачными платформами, тем эффективнее их использует, что в конечном счете дает определенные преимущества бизнесу.

С точки зрения выбора безопасных мест для хранения данных важно:

  • Уметь оценивать надежность провайдера и его подходы к безопасности. Именно поэтому мы стараемся быть открытыми в этих вопросах и всегда достаточно подробно рассказываем о наших процессах и некоторых инструментах.
  • Защищать данные на уровне прикладной логики, которая их обрабатывает в облаке. Это можно делать полностью самостоятельно, а можно использовать функциональность облака. Например, интеграция сервиса Yandex Key Management Service с Object Storage (Шифрование бакета | Yandex.Cloud — Документация)  обеспечивает шифрование данных на ключах, которыми управляет клиент.

Ну и насчет обоснования перехода в облако — здесь тоже вряд ли есть общие рецепты, всё же все ситуации уникальны. Стандартный подход к данной теме — это согласовать с руководством тестирование облачной платформы под какую-то конкретную задачу и в зависимости от результатов тестирования решить, работать ли дальше. В рамках такого тестирования важно не забывать о безопасности и сразу планировать контроль безопасности, который целесообразно использовать для обеспечения свойств безопасности, актуальных для конкретной системы. Как было сказано, чем больше организация знакомится с облачной платформой, тем лучше и лучше понимает, в каких случаях ее использование эффективно решает задачи.

Какие возможности Yandex.Cloud открывает для интеграторов и разработчиков в области ИБ?

Облачные технологии открывают массу возможностей и для компаний, занимающихся интеграцией, и для разработчиков, в том числе компаний из области ИБ. Из того, что лежит на поверхности: интеграторы теперь могут оказывать новые виды услуг — настраивать безопасность развернутых в облаке окружений или безопасно переносить данные. То есть добавить к своему бизнесу новую бизнес-модель на рынке, который агрессивно растет. Для разработчиков же облако — это, с одной стороны, технологическая платформа, позволяющая быстро и без капитальных затрат запускать свои сервисы, а с другой стороны, дополнительное пространство для творчества в создании сервисов безопасности для облака. Такие примеры уже есть, например, сервис нашего партнера Cloud Advisor (http://cloudadvisor.ru ). Более подробно о партнерских программах можно узнать здесь: Партнёрская программа | Yandex.Cloud

Какими преимуществами обладает Yandex.Cloud по сравнению с западными облачными провайдерами?

Платформа Yandex.Cloud создавалась с опорой на опыт и мощности большого Яндекса.

Это дает ряд преимуществ — уникальные разработки, собственная сетевая инфраструктура и дата-центры, в которых “живут” и другие продукты компании. К тому же, мы преимущественно сфокусированы на решении задач локального рынка. Для некоторых сервисов это принципиально важно — например, когнитивные технологии (Speech, Voice, Translate) заточены под работу с русским языком. 

Помимо этого, в Yandex.Cloud прозрачное ценообразование. То есть пользователи платят только за использованные ресурсы, а долгосрочный прогноз позволяет компаниям оптимизировать затраты с помощью резервов — с экономией до 49%.

И конечно, соответствие российскому законодательству и требованиям локальных регуляторов – является еще одним важным преимуществом облачной платформы Yandex.Cloud

CISO CLUB

Об авторе CISO CLUB

Редакция портала cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора CISO CLUB

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *