Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

Архитектура G-Cloud в облаках

Вячеслав Аксенов, архитектор ИБ-систем разработки и внедрения облачных решений компании ActiveCloud

Применение технологий облачных вычислений в сфере госуслуг становится мировой тенденцией: их используют или планируют это сделать более 20 европейских стран и члены Евразийского экономического союза. В качестве примера рассмотрим опыт создания облачной информационной системы (ИС) Республики Беларусь и перехода госорганизаций на республиканскую платформу в контексте законодательства об информатизации и защите информации.

В мире опубликовано свыше 40 стандартов и рекомендаций по обеспечению безопасности облачных вычислений; более 10 находятся в разработке. В развитии данного направления участвуют ISO, ITU-T, CSA, ENISA, NIST, ISACA, SNIA, CSI и др. Термины и определения, применяемые в сфере облачных вычислений, описаны в ISO/IEC 17788:2014 «Information technology — Cloud computing — Overview and vocabulary», NIST Special Publication 800-145 «The NIST Definition of Cloud Computing» и в проекте ГОСТ РФ «Защита информации. Требования к защите информации, обрабатываемой с использованием технологий облачных вычислений. Общие положения».

В международных стандартах под «облачными вычислениями» подразумевается «обеспечение сетевого доступа к масштабируемому и гибкому набору совместно используемых физических или виртуальных ресурсов с их предоставлением и администрированием на основе самообслуживания по запросу». «Облачная услуга» – это «возможности использования облачных вычислений, которые активируются с помощью заявленного интерфейса». «Облачную ИС» («облако») можно определить как информационную систему, автоматизирующую реализацию облачных услуг. Наконец, «гособлако» – это ИС, автоматизирующая реализацию облачных услуг государственными органами и организациями какой-либо страны.

Для использования облачных вычислений в госсекторе необходимо:

  • создание системы защиты информации облачной ИС и облачных услуг;
  • распределение ответственности между участниками информационных отношений;
  • подтверждение соответствия системы защиты информации требованиям законодательства об информатизации и защите информации.

Защита информации в облаке

Безопасность облачной ИС связана с ее архитектурой и атрибутами. В NIST SP 800-145 атрибуты облака описываются так:

  • ключевые характеристики – самообслуживание по запросу (on-demand self-service), повсеместный доступ (broad network access), объединение облачных ресурсов в единый пул (resource pooling), оперативная реакция (rapid elasticity), измеримость (measured Service);
  • сервисные модели – инфраструктура как услуга (infrastructure as a service, IaaS), платформа как услуга (platform as a service, PaaS), ПО как услуга (software as a service, SaaS);
  • модель развертывания – общественное облако (public cloud), коллективное облако (community cloud), частное облако (private cloud), гибридное облако (hybrid cloud).

Облачная ИС имеет многоуровневую архитектуру (рис. 1), в которой учитываются подходы, описанные в ISO/IEC 17789:2014 и NIST SP 500-292.

Безопасность информации в облаке должна комплексно обеспечиваться на все уровнях архитектуры. Рассмотрим систему защиты информации облака в привязке к многоуровневой архитектуре (рис. 2). Состав системы на каждом из уровней архитектуры представлен в таблице.

Комплексная система защиты информации облачной ИС

Управление безопасностью Нормативные правовые акты; процессы управления и обеспечения ИБ (PLAN, DO, CHECK, ACT); локальные нормативные правовые акты (политики, процедуры, инструкции), направленные на реализацию процессов
Защита периметра Контроль и управление доступом, видеонаблюдение, охранная сигнализация
Безопасность среды функционирования Пожарная сигнализация, автоматика здания, мониторинг ресурсов, кабельная система, электроснабжение, распределение питания, охлаждение, освещение, связь
Безопасность ИТ-инфраструктуры Высокая доступность, непрерывность функционирования, резервное копирование и восстановление, доверенные вычисления (RoT, TPM, TXT)
Защита периметра сети Защита от DDoS-атак, межсетевое экранирование, обнаружение и предотвращение вторжений, поточный антивирус, защита данных от утечек (DLP), фильтрация web-трафика и защита web-приложений, защита каналов передачи данных
Защита среды виртуализации Защита от несанкционированного доступа, контроль целостности, резервное копирование, антивирусная защита, межсетевые экраны, системы обнаружения и предотвращения вторжений
Безопасность систем/приложений Контроль целостности, антивирусная защита, межсетевые экраны, управление уязвимостями, системы обнаружения и предотвращения вторжений
Защита данных Защита от несанкционированного доступа, контроль целостности, криптографическая защита, защита от утечек
Защита системы автоматизации и средств управления Идентификация, аутентификация, управление доступом, доверенный канал связи, защита данных пользователя, регистрация событий, мониторинг и оповещение
Безопасность как услуга Identity and Access Management. Data Leakage Prevention, Web Security, Email Security, Security Assessments, Intrusion Management, Encryption, BCDR, Network Security, Security Information and Event Management

Создание облачной ИС

Рекомендации по созданию государственной облачной ИС в привязке к PDCA-циклу содержатся в ENISA – Security Framework for Governmental Clouds.

В Республике Беларусь (РБ) облачная ИС должна создаваться с учетом стадий жизненного цикла автоматизированных систем, определенных ГОСТ 34.601-90, и требований законодательства к защите информации. Комплексный подход к проектированию, вводу в действие и эксплуатации облачных ИС, учитывающий рекомендации международных организаций, включает в себя следующие этапы и стадии:

  • Проектирование (PLAN, этапы 1–4) – формирование требований, разработка технического задания, техпроекта и рабочей документации;
  • Ввод в действие (DO, этапы 5–9) – разработка организационно-распорядительной документации, внедрение технических средств, ПО и средств защиты информации, опытная эксплуатация, приемочные испытания, аттестация (опционально) и ввод в действие;
  • Сопровождение (CHECK, этапы 10–12) – сопровождение и техническая поддержка, регистрация, мониторинг и анализ событий, аудит;
  • Модернизация (ACT, этапы 13–14) – управление изменениями, вывод из эксплуатации.

Данный подход применим к созданию государственных облачных ИС как в РБ, так и в РФ и Казахстане – из-за схожести законодательств этих стран.

В рекомендациях ITU-X.1601 указаны следующие субъекты информационных отношений при использовании облака (рис. 3, а): потребитель (cloud service customer), партнер (cloud service partner), поставщик (cloud service provider) и пользователь (cloud service user) облачной услуги. При создании «гособлака» к ним может добавиться владелец облака (государство). При размещении ИС в облаке с использованием услуги «инфраструктура как сервис» список может увеличиться, как на рис. 3, б. В ИБ-политике переносимой в облако ИС должны быть учтены все субъекты и распределение между ними ответственности за безопасность информации.

В РБ система защиты информации ИС, размещаемой в облаке, должна пройти аттестацию в порядке, который установлен Оперативно-аналитическим центром при Президенте РБ. При этом в Законе РБ от 10 ноября 2008 г. № 455-З требование аттестации распространяется на все виды информации ограниченного распространения, а в Указе Президента РБ №196 утверждено Положение о технической и криптографической защите информации, в котором определены конкретные виды такой информации.

Республиканская платформа

В РБ о создании республиканской платформы (РП), действующей на основе технологий облачных вычислений, говорится в Указе Президента от 23 января 2014 г. № 46.

РП – это программно-технический комплекс распределенной обработки данных, реализующий технологии облачных вычислений и обеспечивающий взаимодействие с внешней средой. Его основные характеристики таковы:

  • назначение – размещение программно-технических средств, информационных ресурсов и ИС;
  • модель развертывания – гибридное облако (hybrid cloud);
  • архитектура – программно-аппаратный комплекс, основанный на технологиях виртуализации (VMware vSphere, CloudStack, MS Hyper-V) и автоматизации предоставления облачных услуг (ActivePlatform);
  • базовые услуги – ЦОД (Data Center as a Service, DCaaS), инфраструктура (Infrastructure as a Service, IaaS), ПО (Software as a Service, SaaS);
  • дополнительные услуги – перенос ИТ-систем в РП, перенос основной и резервной ИТ-инфраструктуры, данных и приложений в РП, защита информации;
  • потребители – госорганы и организации, чьи решения могут определять РБ либо административно-территориальные единицы, обладающие долями в их уставных фондах;
  • оператор – совместное ООО «Белорусские облачные технологии». В сферу его ответственности входят проектирование, ввод в действие и эксплуатация платформы, предоставление услуг облачных вычислений;
  • базовые требования к защите информации – доступность государственных ИС для пользователей; хранение информации и мониторинг работоспособности ИС; защита информации (с момента поступления на РП до передачи в ИС) от неправомерного доступа, уничтожения, модификации, копирования, распространения, блокирования правомерного доступа и др.

Переход госорганов и госорганизаций на РП должен состояться до 31 декабря 2018 г. Определены четыре этапа перехода:

  • подготовительный – на основе запросов оператора осуществляются сбор, обобщение и анализ информации об используемом ИКТ-оборудовании, текущих и планируемых потребностях государственных органов и организаций в ИКТ-оборудовании;
  • пилотный – пробный переход на республиканскую платформу государственных органов и организаций;
  • перехода госорганов на РП в приоритетном порядке при соблюдении технической совместимости имеющегося ИКТ-оборудования с требованиями РП;
  • переход на РП госорганизаций, оформивших заявку на такой переход.
Тэги: 
Оцените материал:
Total votes: 52

Другие статьи
Поделиться:
 
 
Комментарии в Facebook
 

Рассылка BISA

Подпишитесь на новости информационной безопасности и актуальные статьи экспертов

Ищите нас также:
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.