Säkerheten i molnen

Predrag Mitrovic, CISSP, CISM, Författarepredrag@mynethouse.se

Hårdvara, kablage, komponenter

Lagring

Mjukvarukärna (OS & VM)

Virtualiserade resurser

Molnapplikationer

Virtuell

Image 1

Virtuell

Image.. n

Virtuell

Image 1

Säkerhet

Risk Governanc

e

Livscykel-hantering

Behörighet

Loggning

IT-säkerhet på djupet

Incident-hantering

Hantering

Rapporter

Taxameter

Kapacitets-planering

Övervakning

Automati-sering

Fakturering

www.cloudadvisor.se

Säkerhetstänk på djupet - anläggningen

Fysiska perimetern skyddad

Väktare Övervakningskamero

r Brandskydd Skydd mot

naturkatastrofer Säker logistik

(mottagning, leveranser)

www.cloudadvisor.se

Säkerhet på djupet - Hårdvaran

Hårdvara, kablage, komponenter

www.cloudadvisor.se

Miljö- & klimatsäkrat Åtkomstkontroll – fysisk Redundans Övervakning – CPU, minne, fläktar, diskar

Säkerhet på djupet – OS/VM

www.cloudadvisor.se

Patch management fysiskt & virtuellt Hostbaserade FW HIDS/HIPS Kryptering Härdning av OS och alla VM som körs

instansierade Säkerhetsmodell över fysiskt OS och alla VM Rutiner för provisionering och

avprovisionering av VM

Mjukvarukärna (OS & VM)

Säkerhet på djupet – virtualiserade resurser

www.cloudadvisor.se

DLP Integritetsloggning Kryptering Personliga FW Aktivitetsmonitor DB Härdning Behörighetskontroll & loggning

Lagring

Virtualiserade resurserVirtuell

Image

Säkerhet på djupet – applikationer

www.cloudadvisor.se

Behörighet

Molnapplikationer

Den mjuka sidan då? Security Practice

Statement – för vem? Hur kontrolleras

efterlevnad? Var mappar jag in mina

krav? Var gör vi ”damage

control”? Hur

Säkerhet

Risk Governance

Livscykelhantering

Behörighet

Loggning

IT-säkerhet på djupet

Incidenthantering

www.cloudadvisor.se

Generell ingång Insiderproblemet? För mycket ”administrator power” hos

leverantören? Stresstest av planer för business continuity

och disaster recovery

www.cloudadvisor.se

Riskhantering

www.cloudadvisor.se

Riskhantering Leverantörens KRI/KPI: Hur mappar det mot

min verksamhet? Genomgång av leverantörens säkerhetspolicy,

processer och rutiner: Mappar det mot min verksamhet?

Ägarförhållanden hos leverantören: Vilken påverkan har det på min verksamhet?

www.cloudadvisor.se

Governance

www.cloudadvisor.se

Governance Revisioner av oberoende tredje part mot

leverantörens SPS med rapport till kunder Deklaration av leverantörs förbindelser med

tredje part Hur stabilt finansierad är leverantören (hänger

ihop med ägarbilden under riskhanteringen)

www.cloudadvisor.se

Juridik

www.cloudadvisor.se

Juridik Planer för väntad och oväntad avslutad

förbindelse: Hur säkerställs säker leverans av data och säker radering hos motparten?

Klausul för att data aldrig lämnar uppsatta gränser: Efterlevnad?

Vem äger rätt att återanvända din information? Är det solklart?

www.cloudadvisor.se

Compliance & Audit

www.cloudadvisor.se

Compliance & audit Klassificering:

Vilka system är klassade för regleringar? Vilket data hanteras i systemen?

SAS 70 typ II audits? ISO 27001 certifieringskrav?

www.cloudadvisor.se

ILM

www.cloudadvisor.se

Information Lifecycle Management Logisk segregering av informationen – Vilka

kontrollmekanismer har vi för delarna som lever utanför våra system?

Testa backup & återställning av information som har segregerats och simulera hur informationen assimileras tillbaka ”in-house”

www.cloudadvisor.se

Portabilitet & Interop

www.cloudadvisor.se

P & I SaaS

Process för att kontinuerligt extrahera ut informationen i ”öppet” format

IaaS Utveckla ”binärer” inte knutna till virtuella

maskinbilder specifika för leverantören PaaS

Utvecklingsplattformen följer intern it-arkitektur för portabilitet

www.cloudadvisor.se

Identiteter

www.cloudadvisor.se

Identiteter Federation färdig?

SAML (version?) WS-Federation Liberty ID-FF

Flerfaktorsautentisering? Behörighetskontroll och styrning på

applikation/data?

www.cloudadvisor.se

Datacenterdrift

www.cloudadvisor.se

Datacenterdrift Fysiskt acceptabel miljö Underhållsscheman Skydd mot felkonfigureringar (fallback-planer) Versionshantering Automatiseringsgrad av övervakning &

processer för att hantera larm Helpdesk

www.cloudadvisor.se

Incidenthantering

www.cloudadvisor.se

Incidenthantering Gemensam definition av incident? Vad gör leverantören & vad får den göra? När/hur blir du notifierad & får du ta in eget

CSIRT? Polisanmälan? Dawn-raid mot leverantör pga annan

”hyresgäst” – påverkan?

www.cloudadvisor.se

Slutsatser

www.cloudadvisor.se

Molnen är inget nytt rent tekniskt – men riskerna är definitivt jungfrulig mark!

www.cloudadvisor.se

Det är spännande möjligheter som ligger helt öppna!

www.cloudadvisor.se

Verksamheten vill ha resultat och inte ”gnäll och skrämsel” – hantera eller bli överkörd?

www.cloudadvisor.se

Tack för att ni stod ut med mig!

Predrag Mitrovic, predrag@mynethouse.se0709 – 200 350 eller på nätet: http://mynethouse.se Bloggar:

http://blogg.idg.se/itperspektiv http://cloudadvisor.se Delaktig i:

http://tlo-interop.se http://it-sakerhetshandboken.se

www.cloudadvisor.se