среда, 13 апреля 2016 г.

Программно-определяемые риски

    В последнее время все громче звучит рой голосов о внедрении "программно-определяемых" сетей и датацентров (SDN\SDDC). Черт бы с голосами, но не одна организация стала клиентом "облачных" инфраструктурных сервисов (например, AWS), основанных именно на такой идеологии.

    Идеология в 1-ом приближении стоит на 3-ех китах:

  1. Рутинные операции должны быть автоматизированы - все операции от открытия порта до выделения вычислительных ресурсов и места хранения под приложения должны выполняться по нажатию "одной кнопки".
  2. Управление всей инфраструктурой должно быть централизовано..
  3. Операции должны выполняться быстрее (для снижения TTM, time-to-market).

    Из семинара EMC узнаем в сколько раз быстрее будут выполняться операции:

    То бишь получивший контроль злоумышленник сможет успеть бОльше за тоже время, а учитывая максимально возможную автоматизацию сможет успевать и без личного управления. Что же он сможет успеть или сделать? Как минимум 5 сценариев:

  1. Похищать информацию по частям открывая сетевые доступы только на краткое время.
  2. В разы быстрее восстановить информацию из бекапа, и похитить часть ее.
  3. Воровать вычислительную мощность (на Хабре описаны 2 таких случая).
  4. Уничтожить сразу всю конфигурацию сети\DC (вторая жизнь logic bombs).
  5. Закрепиться в сети не через одну-две настройки и вредоносные программы а через десятки вредоносных программ и злонамеренных настроек, моментально распространенные по всей инфраструктуре нашим "облаком".

    Из приходящих на ум первоочередных мер контроля - строгая аутентификация, бекапы данных и конфигураций на внешние ресурсы (возможно DRaaS), аудит активности пользователей консолей управления SDN\SDDC.
    Из масштабных проблем - как реагировать на такие атаки с достаточной быстротой? Службы ИБ и от обычного ИТ часто отстают, не то что от такой фабрики ИТ-сервисов.
P.S. Администраторы SDN\SDDC - просьба оценить реалистичность конкретных сценариев

Комментариев нет:

Отправить комментарий