Dennis Moreau a Guido Appenzeller

back  Zpět...

Bezpečnost a compliance ve věku cloudu

Podniky se nachází uprostřed procesu přechodu z lokálních datových center na veřejný a privátní cloud. V počátcích byly rámce pro bezpečnost a compliance užívané v těchto cloudech převzaty ze známých konvenčních bezpečnostních technik a analytických postupů. V poslední době však můžeme pozorovat zrod nového modelu cloudové bezpečnosti a compliance, který se výrazně odlišuje od tradičního přístupu IT.

Vzhledem k dynamické povaze cloudu se zabezpečení svázané s hardwarovými konstrukty jako servery, sítě nebo disky ukázalo jako nepraktické. Namísto toho je bezpečnost stále úžeji spjata s virtuálními entitami, např. virtuálními stroji, překryvnými sítěmi a virtualizovanými úložišti. Klasické zabezpečení velkou měrou využívalo identifikátory jako IP adresy, MAC adresy nebo systémová SID k řízení přístupu a záznamu auditních stop. Oddělením fyzické a virtuální infrastruktury se tyto identifikátory stávají z hlediska bezpečnostní analýzy neefektivní. Pomíjivost cloudových entit, např. bezserverových funkcí nebo krátkodobých kontejnerů, znamená, že bezpečnostní opatření, aby byla účinná, budou muset pracovat s identifikátory a jinými závislostními metadaty, která nejsou dynamikou cloudu ovlivňována.

Cloud rovněž nabízí z hlediska bezpečnosti řadu jednoznačných výhod. Na rozdíl od tradičních datových center mívá cloud rich APIs a jednoznačně definované stavové modely, které lze využít k definování bezpečnostních pravidel i k ověřování compliance. Zachytáváním vztahů mezi entitami a identifikátory v okamžiku přidělení zdrojů a jejich sledováním v průběhu životního cyklu aplikace dokážeme získat komplexní auditní stopu, která popisuje záměr, abstrakce a vztahy napříč infrastrukturou.

V tomto příspěvku, představujeme praktickou ukázku toho, jak nám tento přístup umožňuje dosáhnout bezpečnosti a compliance u cloudové aplikace, která podléhá regulaci podle mezinárodních bezpečnostních standardů PCI pro transakce platebními kartami. V okamžiku zavedení šablona aplikace přidělí logický kontejnment (izolaci) a aplikační firewall, což umožní zamýšlené chování a zároveň zajistí ochranu proti zranitelnostem pro veškeré datové toky přes rozhraní aplikace. Tento kontext je zaznamenáván, uchováván a předáván prostřednictvím důvěryhodného značkovacího mechanismu na hostitelské platformě, takže veškeré relevantní abstrakce (tj. pody, segmenty, kontejnery, virtuální stroje, bezpečnostní prvky a virtuální bezpečnostní zařízení) mají pohotový přístup k identickým kontextovým informacím o aplikaci, její regulatorní klasifikaci a očekávaném chování.

Za běhu tento očekávaný kontext umožňuje jak automatické vymezení žádoucího chování aplikace, tak prevenci zneužití známých zranitelností její běžící instance. Dojde-li k narušení bezpečnostní politiky (při útoku), tentýž kontext, zaznamenávaný v protokolech aktivity, okamžitě poskytne prakticky využitelné informace pro procesy prioritizace, neutralizace a nápravy spouštěné upozorněním na narušení bezpečnosti.

Obecněji tato práce demonstruje, že odkryjeme-li očekávaný kontext a založíme bezpečnostní politiku na logických kontextuálních abstrakcích namísto nestálých infrastrukturních identifikátorech dokážeme zajistit účinné zabezpečení, reakci a analýzu v dynamickém cloudovém prostředí. Přechod do cloudu sice vyžaduje odlišnou bezpečnostní architekturu, ale domníváme se, že je ve výsledku možné ve veřejném cloudu vytvářet stejně bezpečné, ne-li bezpečnější aplikace, než jaké dokážeme dnes vytvářet v lokálním prostředí.Obecněji tato práce demonstruje, že odkryjeme-li očekávaný kontext a založíme bezpečnostní politiku na logických kontextuálních abstrakcích namísto nestálých infrastrukturních identifikátorech dokážeme zajistit účinné zabezpečení, reakci a analýzu v dynamickém cloudovém prostředí. Přechod do cloudu sice vyžaduje odlišnou bezpečnostní architekturu, ale domníváme se, že je ve výsledku možné ve veřejném cloudu vytvářet stejně bezpečné, ne-li bezpečnější aplikace, než jaké dokážeme dnes vytvářet v lokálním prostředí.

Dennis R. Moreau

moreauDennis R Moreau v současné době zastává pozici Senior Engineering Architect v společnosti VMware, kde se věnuje problematice využití kontextu aplikace a platformy pro vysoce odolné, škálovatelné a adaptivní zabezpečení a compliance v cloudech a softwarově definovaných datových centrech. Spolupracoval s konsorciem pro otevřené standardy OASIS, americkým Národním institutem pro standardy a technologie (NIST), Ministerstvem obrany USA a společností Mitre Corporation na vývoji informačních a automatizačních standardů pro bezpečnost a compliance. Má rozsáhlé zkušenosti s návrhem řešení pro správu zabezpečení/compliance. Před nástupem do společnosti VMware pracoval jako Senior Technology Strategist ve společnosti RSA, kde se specializoval na bezpečnost utility computingu, technologie pokročilých hrozeb a modelování důvěry. Byl spoluzakladatelem a technickým ředitelem společnosti Configuresoft (kterou později převzala společnost EMC) a technickým ředitelem zdravotnické vysoké školy Baylor College of Medicine. Získal doktorský titul v oboru počítačových věd a zastával výzkumné a pedagogické pozice v oboru informatiky a kybernetiky. Jeho výzkum podporovaly NASA, Caltech/Jet Propulsion Laboratories, Ministerstvo obchodu USA, Národní zdravotní institut, Národní zdravotnická knihovna, AT&T Bell Laboratories a IBM. Často přednáší na bezpečnostních konferencích po celém světě.

Guido Appenzeller

man speakerGuido Appenzeller v současné době ve společnosti VMware zastává pozici technického ředitele pro cloud a sítě, kde je odpovědný za přechod firmy na veřejný cloud a SaaS. Před nástupem do společnosti VMware spoluzaložil společnost Big Switch Networks a 4 roky ji vedl jako generální ředitel. Předtím založil společnost Voltage Security (později převzatou HP), kde zastával pozici technického ředitele a pomáhal ji rozvíjet a dosáhnout ziskovosti s více než 1000 firemními zákazníky. V letech 2008 až 2010 působil jako odborný asistent na Stanfordské univerzitě, kde vedl tým, který vyvinul standard OpenFlow. Byl zařazen mezi nejvýznamnější technické lídry v žebříčku MIT TR35, vyhlášen technickým průkopníkem na Světovém ekonomickém fóru a banka Goldman Sachs jej označila za jednoho ze 100 nejpozoruhodnějších podnikatelů. Získal doktorát na Stanfordské univerzitě a titul diplomovaného inženýra na Technické univerzitě v Karlsruhe.

 

back  Zpět...

is2 banner bw

 

Chcete nás kontaktovat?

TATE International s.r.o.
Hořejší nábřeží 21, 150 00 Praha 5
IČO: 25148125 , DIČ: CZ25148125

phone  Tel: +420 737 215 220
email  E-mail: Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.

 
 
Back to top

Na naší webové stránce používáme cookies. Některé z nich jsou nutné pro běh stránky, zatímco jiné nám pomáhají vylepšit vlastnosti stránky na základě uživatelských zkušeností (tracking cookies). Sami můžete rozhodnout, zda cookies povolíte. Mějte prosím na paměti, že při odmítnutí, nemusí být stránka zcela funkční.