Muligheder for sikker cloud computing
-
date post
19-Oct-2014 -
Category
Technology
-
view
700 -
download
1
description
Transcript of Muligheder for sikker cloud computing
www.neupart.com
Mulighederne for at få en sikker skyLars NeupartDI ITEK: It-sikkerhedsudvalg og bestyrelseCloud Security Alliance medlemNeupart A/S: Direktør og [email protected]
www.neupart.com
DI ITEK’s sikkerhedsarbejde
Siden 2001
Uafhængig af enkeltinteresser
Brugere (600) og leverandører (35) i fællesskab giver afbalancerede anbefalinger
Vejledning om informationssikkerhed til erhvervslivet - f.eks.:
Ledelse, Trusler, Standarder, Spam, Spyware, Phishing, Privacy, Cloud
Politisk indsats på området
Offentlig awareness om emnet
Repræsentation i mange sammenhænge
www.neupart.com
Cloud Security Alliance
En non profit organisation, startet i USA, med chapters i flere lande
http://cloudsecurityalliance.org
The Cloud Security Alliance is a non-profit organization formed to promote the use of best practices for providing security assurance within Cloud Computing, and provide education on the uses of Cloud Computing to help secure all other forms of computing.
www.neupart.com
Om Neupart
Vi hjælper jer med at leve op til it-sikkerhedskrav på en tryg og effektiv måde
Krav fra kunder, samarbejdspartnere, danske og internationale standarder, ”almindelig god skik”, lovgivning m.m.
ISO27001-certificeretFørste it-virksomhed og eneste it-sikkerhedsleverandør i DK
Gazelle 2009198% vækst i bruttofortjeneste 2005 - 2008
www.neupart.com
Anbefalede vejledninger:
www.neupart.com
DI ITEK Opsummering
1. Cloud computing er ikke revolutionerende! Det er bare outsourcing på en anden måde, end vi er vant til.
2. Cloud Computing kan være en udmærket ting for mindre virksomheder. Det gør det let at starte op, og har man ikke fokus på sikkerhed, kan det ofte give en bedre sikkerhed, end man selv er i stand til at præstere. Små virksomheder bør absolut overveje at kigge på cloud computing.
3. Har man sin egen sikkerhedsafdeling og god styr på sikkerheden, er cloud
computing nok ikke så interessant, men kan måske bruges på delområder i lighed med andre former for outsourcing.
4. Bruger man cloud computing skal man være opmærksom på, hvordan ens data og applikationer er beskyttet hos serviceudbyderen, hvad der sker hvis udbyderen går
fallit, hvilket land data hostes i m.v. Der er altså behov for en særlig sikkerheds- og kontrolindsats.
www.neupart.com
IDC
IDC’s worldwide forecast for cloud services :
2009 2013
Verden $17 MIA. $44 MIA
EU €971m €6,005m
Kilde Enisa, dec ´09
www.neupart.com
What is Cloud Computing?
Compute as a utility: third major era of computing
Mainframe
PC Client/Server
Cloud computing: On demand model for allocation and consumption of computing
Cloud enabled by
Moore’s Law: Costs of compute & storage approaching zero
Hyperconnectivity: Robust bandwidth from dotcom investments
Service Oriented Architecture (SOA)
Scale: Major providers create massive IT capabilities
www.neupart.com
www.neupart.com
Defining Cloud
On demand provisioning
Elasticity
Multi-tenancy
Key types
Infrastructure as a Service (IaaS): basic O/S & storage
Platform as a Service (PaaS): IaaS + rapid dev
Software as a Service (SaaS): complete application
Public, Private, Community & Hybrid Cloud deployments
www.neupart.com
www.neupart.com
S-P-I Framework
IaaSInfrastructure as a
Service
You build
security in
You “RFP”
security in
PaaS
Platform as a Service
SaaS
Software as a Service
www.neupart.com
Is Cloud Computing Working?
Eli LillyNew drug research projectIT promised system in 3 months, > $100,000 USDScientist completed in one day in cloud, < $500 USD
Japanese government agenciesRFP for custom software developmentChose PaaS for 25% of cost and deployment time over traditional software house
www.neupart.com
How will Cloud Computing play out?
Much investment in private clouds for 3-5 yearsCompliance use cases being developedCloud assurance ecosystem being builtPublic clouds will eventually dominateVirtual private clouds compromise between public and privateAll IT professions impacted
www.neupart.com
CSA Guidance Domains
II: Governing in the Cloud 2: Governance and Enterprise Risk Management 3: Legal and Electronic Discovery 4: Compliance and Audit 5: Information Lifecycle Management 6: Portability and Interoperability
III: Operating in the Cloud. 7: Traditional Security, Business Continuity, and Disaster Recovery 8: Data Center Operations. 9: Incident Response, Notification, and Remediation 10: Application Security 11: Encryption and Key Management 12: Identity and Access Management 13: Virtualization
I : 1: Understand Cloud Architecture
www.neupart.com
www.neupart.com
Survey Results
Top Ranked Threats
RANK THREAT PERCENT
1) Data Loss/Leakage 28.8%
2) Abuse and Nefarious use of Cloud Computing
17.8%
3) Insecure API’s 15.1%
4) Malicious Insiders 11.0%
5) Account/Service and Traffic Hijacking
9.6%
6) Unknown Risk Profile 9.6%
7) Shared Technology Vulnerabilities 8.2%
www.neupart.com
Cloud Controls Matrix Tool
Controls derived from guidanceRated as applicable to S-P-ICustomer vs Provider roleMapped to ISO 27001, COBIT, PCI, HIPAAHelp bridge the gap for IT & IT auditors
www.neupart.com
Masser af problemer
Cloud-leverandør konkurs – dine data og din forretning?Leverandør lever ikke op til SLA’erLeverandør med ringe “business continuity planning”Datacentre i lande med “uvenlig” lovgivningLeverandør-lock-in med proprietære teknologier og data formaterRessourcer deles med andre kunder– måske endda konkurrenterLeverandør-fejl får meget større konsekvenser end fejl I intern-it-afdeling.Og meget, meget mere……
www.neupart.com
Persondata i skyen?
EU betragtes sikkert.Sikre 3. lande:
Schweiz Canada (begrænset anvendelsesområde - se Kommissionens)Argentina Guernsey USA (kun vedr. flypassagerer - se Kommissionens hjemmeside) Isle of Man Jersey
Safe Harbor – ca. 2.000 virksomhederListe hos Export.gov
DatatilsynetUdtalelse hvis data omfattet af persondatalovens §§ 7-8Datatilsynets vejledning
www.neupart.com
Persondata i skyen?
Race, religion, helbred,
sex, politik, fagforening, strafbare forhold, væsentlige sociale problemer,
andre rent private forhold som f.eks. selvmordsforsøg, registreret partner,
bortvisning fra jobbet,
personlighedstest
CPR-nummer, økonomi, skat, gæld,
sygedage, tjenstlige forhold, familieforhold
Stamoplysninger: Navn, adresse,
fødselsdato
Bolig, bil, eksamen, ansøgning, CV
ansættelsesdato, stilling, arbejdsområde, arbejdstelefon
www.neupart.com
Anbefalinger
Vi, der arbejder med sikkerhed,
skal stille
sikkerhedspørgsmål
Vi skal ikke sige nej,
nej, nej og nej
Forbered dig og
dine kollegaer på
mere sky. (Nu)
Vi smider ikke de gamle
dyder overbord (fx ISO27000
og DS484)
Ikke kun hype &
buzz.
CC er ikke et alt-eller-
intet-valg
www.neupart.com
Tak – og mere info:
http://itek.di.dk/Shop/Produktside/Pages/produktside.aspx?productid=8036http://cloudsecurity.org/2009/11/20/enisa-cloud-security-risk-assessment/ www.cloudsecurityalliance.org www.linkedin.com/groups?gid=1864210www.neupart.dk