21.10.10

О моделях угроз для виртуализации и облачных вычислений

Наткнулся недавно в каком-то интервью на высказывание о том, что для технологий виртуализации и облачных вычислений сегодня нет ни средств защиты ни общепризнанных и устоявшихся моделей угроз. Надо сразу заметить, что общепринятых и устоявшихся моделей угроз вообще нет, ни в какой области - каждый по своему понимает и этот термин и его наполнение. Есть методики моделирования угроз, но и тут об общепринятых подходах говорить тоже не приходится.

Но вернемся к виртуализации и облачным вычислениям. Действительно ли нет для них опубликованных моделей угроз? Оказывается все нет плачевно. Если не брать различные статьи по безопасности виртуализации (например, тут), то есть неплохой документ от NIST - "Guide to Security for Full Virtualization Technologies" (SP 800-125). Пока это проект (документ опубликован в июле 2010 года), но он очень неплохо описывает (без привязки к вендорам) и саму технологию виртуализации, и ее проблемы с безопасностью, и рекомендации по защите. Тем, кто сейчас разрабатывает требования/рекомендации по защите виртуализации (а такие шаги сейчас предпринимают даже регуляторы), я бы рекомендовал отталкиваться именно от этого документа.

С моделью угроз для облачных вычислений все обстоит еще проще - образованный в 2009-м году Cloud Security Alliance (Cisco является его членом) опубликовал 1-го марта 2010 года первую версию модели угроз для облачных вычислений. В конце этого года планируется опубликовать вторую версию этого документа. На сайте альянса много и другой полезной информации по информационной безопасности для участников облачных вычислений.

3 коммент.:

Svidin комментирует...

Алексей, а составление самой Модели угроз оператором - ТЗКИ? Я так понимаю, что выполнение любых документов ФСТЭКа по ПДн (БМУ, П 58) подпадает под ТЗКИ.

Алексей Лукацкий комментирует...

Ну раньше и покупка книг по криптографии была ограниченной ;-) Читать и писать нам пока никто запретить не может и лицензия на это не нужна. Иначе мне придется получать лицензию ФСТЭК на публикацию в блоге ;-)

pushkinist комментирует...

да, csa нормалек.
почитываю иногда