Хостинг, домены и облачные сервисы в Беларуси
  • +375 17 308 22 00

    Контактные телефоны:

    Общие вопросы: +375 17 308 22 00
    Продажи +375 17 308 22 22
    Тех. поддержка +375 17 308 22 11
    Velcom +375 44 760-30-30
    MTC +375 29 760-30-30
    life:) +375 25 730-30-30
    Обратиться в техподдержку
  • Почему выбирают нас
  • Личный кабинет
  • Обратная связь
Новости

Эксперт ActiveCloud рассказал журналу "Безопасность деловой информации" об архитектуре G-Cloud в облаках

27 сентября 2016
В свежем номере журнала "Безопасность деловой информации" (№ 15, III квартал 2016 года) опубликована статья Вячеслава Аксёнова, архитектора ИБ-систем разработки и внедрения облачных решений компании ActiveCloud. В данном материале он рассказал об архитектуре G-cloud в облаках, рассмотрев в качестве примера опыт создания облачной информационной системы (ИС) Республики Беларусь.

Журнал "Безопасность деловой информации" выпускается ассоциацией Business Information Security (BISA) с 2012 года в печатном и цифровом виде. В издании публикуются самые свежие статьи о трендах, знаниях и личном опыте от ведущих специалистов в области защиты информационных активов. Потому эксперт компании ActiveCloud Вячеслав Аксёнов, который недавно выступил на конференции BIS Summit Minsk-2016 с докладом с докладом о безопасности облачных вычислений, был подключен к созданию нового номера журнала "Безопасность деловой информации".



Вячеслав написал статью «Архитектура G-cloud в облаках», в которой рассказал о развитии государственных облачных платформ, защите информации в облаке и особенностях создания республиканской облачной платформы. Мы приводим данный материал в небольшом сокращении, а полностью со статьей можно ознакомиться в цифровой версии журнала "Безопасность деловой информации".

Архитектура G-cloud в облаках


Автор: Вячеслав Аксёнов, архитектор ИБ-систем разработки и внедрения облачных решений компании ActiveCloud.

Применение технологий облачных вычислений в сфере госуслуг становится мировой тенденцией: их используют или планируют это сделать более 20 европейских стран и члены Евразийского экономического союза. В качестве примера рассмотрим опыт создания облачной информационной системы (ИС) Республики Беларусь и перехода госорганизаций на республиканскую платформу в контексте законодательства об информатизации и защите информации.
В мире опубликовано свыше 40 стандартов и рекомендаций по обеспечению безопасности облачных вычислений; более 10 находятся в разработке. В развитии данного направления участвуют ISO, ITU-T, CSA, ENISA, NIST, ISACA, SNIA, CSI и др. Для использования облачных вычислений в госсекторе необходимо:
• создание системы защиты информации облачной ИС и облачных услуг;
• распределение ответственности между участниками информационных отношений;
• подтверждение соответствия системы защиты информации требованиям законодательства об информатизации и защите информации.

Защита информации в облаке

Безопасность облачной ИС связана с ее архитектурой и атрибутами. В NIST SP 800-145 атрибуты облака описываются так:
• ключевые характеристики – самообслуживание по запросу (on-demand self-service), повсеместный доступ (broad network access), объединение облачных ресурсов в единый пул (resource pooling), оперативная реакция (rapid elasticity), измеримость (measured Service);
• сервисные модели – инфраструктура как услуга (infrastructure as a service, IaaS), платформа как услуга (platform as a service, PaaS), ПО как услуга (software as a service, SaaS);
• модель развертывания – общественное облако (public cloud), коллективное облако (community cloud), частное облако (private cloud), гибридное облако (hybrid cloud).

Облачная ИС имеет многоуровневую архитектуру (рис. 1).



В ней учитываются подходы, описанные в ISO/IEC 17789:2014 и NIST SP 500-292. Безопасность информации в облаке должна комплексно обеспечиваться на все уровнях архитектуры. Рассмотрим систему защиты информации облака в привязке к многоуровневой архитектуре (рис. 2).



Создание облачной ИС

Рекомендации по созданию государственной облачной ИС в привязке к PDCA-циклу содержатся в ENISA – Security Framework for Governmental Clouds. В Республике Беларусь облачная ИС должна создаваться с учетом стадий жизненного цикла автоматизированных систем, определенных ГОСТ 34.601-90, и требований законодательства к защите информации. Комплексный подход к проектированию, вводу в действие и эксплуатации облачных ИС, учитывающий рекомендации международных организаций, включает в себя:
проектирование (PLAN, этапы 1-4) – формирование требований, разработка технического задания, техпроекта и рабочей документации;
ввод в действие (DO, этапы 5-9) – разработка организационно-распорядительной документации, внедрение технических средств, ПО и средств защиты информации, опытная эксплуатация, приемочные испытания, аттестация (опционально) и ввод в действие;
сопровождение (CHECK, этапы 10-12) – сопровождение и техническая поддержка, регистрация, мониторинг и анализ событий, аудит;
модернизация (ACT, этапы 13-14) – управление изменениями, вывод из эксплуатации.
Данный подход применим к созданию государственных облачных ИС как в РБ, так и в РФ и Казахстане – из-за сходства законодательств этих стран. В рекомендациях ITU-X.1601 указаны следующие субъекты информационных отношений при использовании облака (рис. 3,1):



• потребитель (cloud service customer),
• партнер (cloud service partner),
• поставщик (cloud service provider),
• пользователь (cloud service user) облачной услуги.
При создании «гособлака» к ним может добавиться владелец облака (государство). При размещении ИС в облаке с использованием услуги «инфраструктура как сервис» список может увеличиться, как на рис. 3,2.



В ИБ-политике переносимой в облако ИС должны быть учтены все субъекты и распределение между ними ответственности за безопасность информации. В Беларуси система защиты информации ИС, размещаемой в облаке, должна пройти аттестацию в порядке, который установлен Оперативно-аналитическим центром при Президенте РБ. При этом в Законе РБ от 10 ноября 2008 г. № 455-З требование аттестации распространяется на все виды информации ограниченного распространения, а в Указе Президента РБ №196 утверждено Положение о технической и криптографической защите информации, в котором определены конкретные виды такой информации.

Республиканская платформа

В Беларуси о создании республиканской платформы (РП), действующей на основе технологий облачных вычислений, говорится в Указе Президента от 23 января 2014 г. № 46. РП – это программно-технический комплекс распределенной обработки данных, реализующий технологии облачных вычислений и обеспечивающий взаимодействие с внешней средой.


Белорусский республиканский центр обработки данных BeCloud

Его основные характеристики таковы:
размещение программно-технических средств, информационных ресурсов и ИС;
модель развертывания – гибридное облако (hybrid cloud);
архитектура – программно-аппаратный комплекс, основанный на технологиях виртуализации (VMware vSphere, CloudStack, MS Hyper-V) и автоматизации предоставления облачных услуг (ActivePlatform);
базовые услуги – ЦОД (Data Center as a Service, DCaaS), инфраструктура (Infrastructure as a Service, IaaS), ПО (Software as a Service, SaaS);
дополнительные услуги – перенос ИТ-систем в РП, перенос основной и резервной ИТ-инфраструктуры, данных и приложений в РП, защита информации;
потребители – госорганы и организации, чьи решения могут определять РБ либо административно-территориальные единицы, обладающие долями в их уставных фондах;
оператор – совместное ООО «Белорусские облачные технологии». В сферу его ответственности входят проектирование, ввод в действие и эксплуатация платформы, предоставление услуг облачных вычислений;
базовые требования к защите информации – доступность государственных ИС для пользователей; хранение информации и мониторинг работоспособности ИС; защита информации (с момента поступления на РП до передачи в ИС) от неправомерного доступа, уничтожения, модификации, копирования, распространения, блокирования правомерного доступа и др.
Переход госорганов и госорганизаций на РП должен состояться до 31 декабря 2018 г. Определены четыре этапа перехода:
подготовительный – на основе запросов оператора осуществляются сбор, обобщение и анализ информации об используемом ИКТ-оборудовании, текущих и планируемых потребностях государственных органов и организаций в ИКТ-оборудовании;
пилотный – пробный переход на республиканскую платформу государственных органов и организаций;
переход госорганов на РП в приоритетном порядке при соблюдении технической совместимости имеющегося ИКТ-оборудования с требованиями РП;
переход на РП госорганизаций, оформивших заявку на такой переход.

Проекты по созданию систем защиты информации, а тем более по переносу информационных систем в «облако», являются комплексными и сложными. При управлении такими проектами не обойтись без подхода, определенного в ГОСТ 34.601-90, определяющего стадии создания автоматизированных систем. В своей практике я использую различные самостоятельно подготовленные инструменты, которые мне помогают в реализации таких проектов.


Вячеслав Аксёнов выступает на BIS Summit Minsk-2016.

31 мая на BIS Summit Minsk-2016 был представлен один такой инструмент, позволяющий разложить проект создания информационной системы на мелкие кирпичики – задачи, и распределить ответственность за их выполнение. Инструмент был специально адаптирован под задачу переноса информационной системы на облачную платформу, решением которой я уже имел возможность заниматься и решить успешно, и позволяет выявить пробелы (зоны безответственности), на ранней стадии, еще до начала проекта. Ссылка для скачивания инструмента: http://itsec.by/responsibility-matrix/

Уточним, что даже в журнале «Безопасность деловой информации» был опубликован не полный вариант статьи Вячеслава Аксёнова «G-cloud: архитектура, защита информации и выполнение требование законодательства при переносе информационных систем в «облако»». Ознакомиться с полной версией работы можно по ссылке.




Поделиться:



  • Заказать