среда, 17 июля 2013 г.

МТС против Skype (много ссылок)


Давно наблюдаю за темой: МТС против Skype. Наряду со Skype, есть и другие подобные сервисы: Google Talk,  ooVoo, Gizmo, Jego. Мотив понятен – всё больше людей для голосовых коммуникаций начинают использовать IP-телефонию, чтобы не платить за национальный роуминг.  Интересна причина обращения: «Поставщики интернет-сервисов, не инвестируя в инфраструктуру связи, пользуются сетями, в сооружение которых операторы вложили огромные средства» (далее). А разве сотовые операторы везде используют только свои сети, а не гоняют трафик через сети интернет-провайдеров? (далее). Есть отличный комментарий: «А еще это все равно, что Почта России сейчас будет брать деньги с МТС, что они забирают часть писем от них» (далее). А вот еще фрагмент раннего договора на оказание услуг: «Абоненту запрещается…
использовать Услуги для целей передачи голосовой информации по сети передачи данных, в том числе по сети Интернет, то есть Абоненту запрещается использовать такие программы, как Skype и ей подобные, для передачи голосовой информации по сети Интернет» (далее).
Само по себе понятие национального внутрисетевого роуминга это пережиток прошлого, от которого уже пора отказываться. Если сотовый оператор ведет свой бизнес от Балтийска до Анадыря, то «перемещение трубки» внутри страны должно быть так же бесплатным.
Вот список «длинных» стран, которые занимают больше всего часовых поясов: Россия – 9 часовых зон, США – 4 континентальных часовых поясов, Канада – 6 часовых поясов, Китай – страна живет по Пекинскому времени. Так вот, почти ни у кого нет такого понятия как национальный внутрисетевой роуминг.
Как это относится к безопасности, спросите вы? Skype после вливания в Microsoft перестал быть безопасным сервисом, так как ни для кого не секрет взаимодействие Microsoft с АНБ США. Может имеет смысл изобрести и начать использовать что-то подобное, но российское? А вот по вопросу МТС на государственном уровне уже есть подвижки - есть высказывания Никифорова и есть законопроект.
А вы еще пользуетесь Skype?

вторник, 2 июля 2013 г.

Про RISSPA о виртуализации


Попался мне документ по защите виртуальной инфраструктуры, который разработали Мария Сидорова и Евгений Родыгин при участии нескольких рецензентов. Красной нитью всего документа проходит мысль о том, что нужно использовать правильные СЗИ.
Приводятся актуальные угрозы виртуальной инфраструктуры:
·         НСД к ВМ через гипервизор;
·         НСД к ВМ через управление;
·         прямой доступ к файлам ВМ;
·         изменение конфигураций ВМ;
·         модификация команд управления;
·         модификация гипервизора в т.м. вирусом;
·         потеря производительности, отказ в обслуживании гипервизора.

Угрозы правильные, на их основе и должна строиться защита. А вот и нет!

Далее приводится стандартный список требований из 21 Приказа ФСТЭК, и сразу возникают вопросы, как это многочисленные МСЭ могут парировать чуть ли не все угрозы:


Требование
МСЭ
1
Идентификация и аутентификация субъектов доступа и объектов доступа в виртуализированной инфраструктуре, в том числе администраторов управления средствами виртуализации
Х
2
Управление доступом субъектов доступа к объектам доступа в виртуализированной инфраструктуре, в том числе внутри виртуальных машин
Х
3
Регистрация событий безопасности в виртуализированной инфраструктуре
Х
4
Управление (фильтрация, маршрутизация, контроль соединения, однонаправленная передача) потоками информации между компонентами виртуализированной инфраструктуры, а также по периметру виртуализированной инфраструктуры
Х
5
Доверенная загрузка серверов виртуализации, виртуальной машины (контейнера), серверов управления виртуализацией

6
Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных
Х
7
Контроль целостности виртуализированной инфраструктуры и ее конфигураций
Х
8
Резервное копирование данных, резервирование технических средств, программного обеспечения виртуализированной инфраструктуры, а также каналов связи внутри виртуализированной инфраструктуры
Х

9
Реализация и управление антивирусной защитой в виртуализированной инфраструктуре

10
Разбиение виртуализированной инфраструктуры на сегменты (сегментирование виртуализированной инфраструктуры) для обработки персональных данных отдельным пользователем и (или) группой пользователей
Х

Понятно, что МСЭ будет располагаться перед входом в виртуальную инфраструктуру, но совершенно не понятно как его использование будет выполнять выделенные мною требования.

Было бы куда интереснее, если авторы прошлись по этим требованиям и рассмотрели возможность их реализации штатными средствами или же доказали невозможность этого подхода в принципе.
А теперь, берем Уровень защищенности 3, к которому придут большинство операторов ПДн, размышлением и последующим написанием правильной Модели угроз. Сертифицированные СЗИ также учитываться не будут в виду постоянной размытости формулировок «в том числе посредством», «в случаях, когда применение таких средств необходимо».

Требований по защите получается всего пять и с ними прекрасно справляются штатные средства:


Требование
Штатные средства
1
Идентификация и аутентификация субъектов доступа и объектов доступа в виртуализированной инфраструктуре, в том числе администраторов управления средствами виртуализации
VMware/Hyper-V
2
Управление доступом субъектов доступа к объектам доступа в виртуализированной инфраструктуре, в том числе внутри виртуальных машин
VMware/Hyper-V
3
Регистрация событий безопасности в виртуализированной инфраструктуре
VMware/Hyper-V
9
Реализация и управление антивирусной защитой в виртуализированной инфраструктуре
Любой антивирус
10
Разбиение виртуализированной инфраструктуры на сегменты (сегментирование виртуализированной инфраструктуры) для обработки персональных данных отдельным пользователем и (или) группой пользователей
Любой МСЭ

Коллеги, если кто-то считает, что высказанная точка зрения не имеет право на существование, прошу закидать меня комментариями.