вторник, 4 марта 2014 г.

Трудная дорога в "облака". Часть 3: доказательства.

Безопасность всегда субъективна. В ее основе лежат эмоции, ощущения того, что с защищаемым объектом ничего плохого не случится. Именно поэтому ее нельзя измерить никакими цифрами: любые меры, любая аналитика, статистика, расчеты и показатели предназначены лишь для того, чтобы снизить уровень внутренней паранойи до приемлемого. Любая оценка эффективности мер безопасности всегда субъективна потому, что вместо реального, прямого, предотвращенного ущерба, в ней присутствует условный, труднодоказуемый, прогнозируемый. Любой безопасник это прекрасно знает, и его без того зашкаливающее ощущение опасности в отношение чужих, но ставших ему такими родными информационных активов, при одной мысли о передаче их супостату-провайдеру в "облако" усиливается многократно.

В условиях, когда ущерб нельзя компенсировать, безопаснику, словно в страшном сне, самые плохие и невероятные варианты развития событий кажутся реальными и он, уже наяву, стремится контролировать провайдера "облака" больше, чем себя самого. Провайдер, взывая к разуму безопасника демонстрацией кипы маркетинговых материалов, портфолио с "историями успеха", сертификатов и толстых отчетов с результатами "независимых" аудитов, идет в эмоциональное контрнаступление с одной-единственной целью: вызвать у безопасника чувство доверия к "облаку". Всеми силами провайдер стремится доказать, что с данными, защищаемыми безопасником, ничего плохого никогда не случится, и поэтому никакого ущерба, никаких исков и судебных разбирательств не будет. Но слепо доверять народная мудрость не рекомендует: нужно еще и проверять и, учитывая необходимость сбора доказательств вины провайдера в нанесенном ущербе, делать это тщательно. А с этим у провайдеров имеются определенные проблемы.

Классический анекдот про столкновение мерседеса с запорожцем учит тому, что если ты - владелец запорожца, именно тебе придется рассказывать "как обгонял, как подрезал". В случае судебных "разборок" с "облачным" провайдером происходит абсолютно то же самое и мне, как клиенту, помимо обоснования размера ущерба нужно будет доказать, что я а) передал информацию, промаркировав ее как "конфиденциальную" в соответствии с требованиями договора б) провайдер получил эту информацию и принял на себя обязанности по охране ее конфиденциальности в соответствие с требованиями договора в) действия или бездействие провайдера в отношение моей информации действительно привели к нанесению ущерба.

По словам специалистов по международному праву, для принятия судом представленных доказательств нужно "поймать провайдера за руку" - без разницы, в какой юрисдикции. Выходит, клиент облачного провайдера имеет такие же шансы на успех, как и владелец "запорожца". Хорошо, если у "запорожца" есть регистратор и свидетели - в противном случае дело может оказаться "трубой". Что может помочь клиенту "облачного" провайдера? Ровно то же самое - свидетели и регистратор "логов", работающий параллельно с системами сбора и регистрации, имеющимися в инфраструктуре провайдера. Идеальный вариант - включить инфраструктуру провайдера "в части касающейся" в SIEM клиента. Ну и неплохо было бы периодически проводить технический аудит (возможно и pentest) с помощью каких-нибудь сканеров защищенности, определить и контролировать порядок предоставления доступа сотрудников провайдера к данным клиента, совместно расследовать инциденты, ну и в принципе приехать пару раз в год и посмотреть на все своими, подозрительными клиентскими глазами.

Иными словами - как ни крути, а сунуться в чужой монастырь со своим уставом, все же, придется. Да только кто тебя туда пустит, товарищ безопасник? Нет, конечно логи ты собирать можешь, и вообще вправе делать все, что угодно - но исключительно в рамках выбранной модели предоставляемого "облачного" сервиса и только для своих собственных сотрудников. Например, если твой бизнес купил IaaS - значит ты можешь со своих виртуальных машин и с приложений, на них развернутых, "снимать" все, что тебе заблагорассудится, и интегрировать в какой угодно SIEM если получится, конечно. Если бизнес купил PaaS, твои возможности по сбору логов будут ограничены уровнем операционной системы, а в случае SaaS - уровнем приложения.

В предыдущей части я отыскал одного "уникума", самостоятельно изъявившего желание компенсировать любой ущерб без каких-либо ограничений, в том числе в досудебном порядке, при одном условии: если клиент докажет, что виноват именно провайдер. Последний, при этом, не давал ровным счетом никаких возможностей для организации контроля. Лог-файлы? Пожалуйста, в соответствии с вашей моделью "облачного" сервиса, больше - ни в коем случае. Кто имеет доступ к данным? Да кто угодно, если это необходимо нам для выполнения договорных обязательств. Контролировать не дадим, инциденты тоже сами будем расследовать, в лучшем случае уведомим вас о факте. Аудит? О чем вы говорите - нет, конечно. Шифрование данных собственными ключами? Забудьте. Да и зачем вам это? Вы должны доверять нашей компании, так что спокойно передавайте данные, платите деньги и все будет в порядке.

Как и на любом другом "базаре", на рынке "облаков" сарафанное радио работает отменно, и через некоторое время другие "претенденты" буквально засыпали меня презентациями на тему "какие средства безопасности и контроля мы предоставляем в сравнении с остальными". Продираясь через дебри маркетинга, я попытался договориться с несколькими провайдерами о предоставлении полных логов "клиентского" куска инфраструктуры. Я обсуждал с ними возможности аудита (в том числе технического), вопросы контроля доступа и совместного расследования инцидентов. Знаете, к какому выводу я пришел?

Чем меньше ответственности берет на себя провайдер, тем больше возможностей для контроля и, соответственно, для сбора доказательств он предоставляет.

Самый "безответственный" провайдер, ограничивший свою ответственность в договоре суммой в 5000$ и только за прямой ущерб, был готов пойти на включение своей инфраструктуры в SIEM чуть ли не целиком, почти согласился на регулярный технический аудит, совместное расследование инцидентов и даже начал рассматривать техническую возможность интеграции с удостоверяющим центром - только деньги плати.

Если вы помните, вся эта "облачная" эпопея затевалась с целью разработки неких общих вопросов и параметров, проработав и оценив которые, можно было бы вынести вердикт о применении того или иного "облачного" предложения. И я, с трудом запихнув весь маркетинг в помойку, уселся за писанину.

Окончание следует...

Комментариев нет :

Отправить комментарий