Evaluation of ITP 296 (Fred och Säkerhet i Afrika (Peace ...
SäKerhet I Molnen
-
Upload
predrag-mitrovic -
Category
Technology
-
view
1.423 -
download
1
Transcript of SäKerhet I Molnen
Säkerheten i molnen
Predrag Mitrovic, CISSP, CISM, Fö[email protected]
Hårdvara, kablage, komponenter
Lagring
Mjukvarukärna (OS & VM)
Virtualiserade resurser
Molnapplikationer
Virtuell
Image 1
Virtuell
Image.. n
Virtuell
Image 1
Säkerhet
Risk Governanc
e
Livscykel-hantering
Behörighet
Loggning
IT-säkerhet på djupet
Incident-hantering
Hantering
Rapporter
Taxameter
Kapacitets-planering
Övervakning
Automati-sering
Fakturering
www.cloudadvisor.se
Säkerhetstänk på djupet - anläggningen
Fysiska perimetern skyddad
Väktare Övervakningskamero
r Brandskydd Skydd mot
naturkatastrofer Säker logistik
(mottagning, leveranser)
www.cloudadvisor.se
Säkerhet på djupet - Hårdvaran
Hårdvara, kablage, komponenter
www.cloudadvisor.se
Miljö- & klimatsäkrat Åtkomstkontroll – fysisk Redundans Övervakning – CPU, minne, fläktar, diskar
Säkerhet på djupet – OS/VM
www.cloudadvisor.se
Patch management fysiskt & virtuellt Hostbaserade FW HIDS/HIPS Kryptering Härdning av OS och alla VM som körs
instansierade Säkerhetsmodell över fysiskt OS och alla VM Rutiner för provisionering och
avprovisionering av VM
Mjukvarukärna (OS & VM)
Säkerhet på djupet – virtualiserade resurser
www.cloudadvisor.se
DLP Integritetsloggning Kryptering Personliga FW Aktivitetsmonitor DB Härdning Behörighetskontroll & loggning
Lagring
Virtualiserade resurserVirtuell
Image
Säkerhet på djupet – applikationer
www.cloudadvisor.se
Behörighet
Molnapplikationer
Den mjuka sidan då? Security Practice
Statement – för vem? Hur kontrolleras
efterlevnad? Var mappar jag in mina
krav? Var gör vi ”damage
control”? Hur
Säkerhet
Risk Governance
Livscykelhantering
Behörighet
Loggning
IT-säkerhet på djupet
Incidenthantering
www.cloudadvisor.se
Generell ingång Insiderproblemet? För mycket ”administrator power” hos
leverantören? Stresstest av planer för business continuity
och disaster recovery
www.cloudadvisor.se
Riskhantering
www.cloudadvisor.se
Riskhantering Leverantörens KRI/KPI: Hur mappar det mot
min verksamhet? Genomgång av leverantörens säkerhetspolicy,
processer och rutiner: Mappar det mot min verksamhet?
Ägarförhållanden hos leverantören: Vilken påverkan har det på min verksamhet?
www.cloudadvisor.se
Governance
www.cloudadvisor.se
Governance Revisioner av oberoende tredje part mot
leverantörens SPS med rapport till kunder Deklaration av leverantörs förbindelser med
tredje part Hur stabilt finansierad är leverantören (hänger
ihop med ägarbilden under riskhanteringen)
www.cloudadvisor.se
Juridik
www.cloudadvisor.se
Juridik Planer för väntad och oväntad avslutad
förbindelse: Hur säkerställs säker leverans av data och säker radering hos motparten?
Klausul för att data aldrig lämnar uppsatta gränser: Efterlevnad?
Vem äger rätt att återanvända din information? Är det solklart?
www.cloudadvisor.se
Compliance & Audit
www.cloudadvisor.se
Compliance & audit Klassificering:
Vilka system är klassade för regleringar? Vilket data hanteras i systemen?
SAS 70 typ II audits? ISO 27001 certifieringskrav?
www.cloudadvisor.se
ILM
www.cloudadvisor.se
Information Lifecycle Management Logisk segregering av informationen – Vilka
kontrollmekanismer har vi för delarna som lever utanför våra system?
Testa backup & återställning av information som har segregerats och simulera hur informationen assimileras tillbaka ”in-house”
www.cloudadvisor.se
Portabilitet & Interop
www.cloudadvisor.se
P & I SaaS
Process för att kontinuerligt extrahera ut informationen i ”öppet” format
IaaS Utveckla ”binärer” inte knutna till virtuella
maskinbilder specifika för leverantören PaaS
Utvecklingsplattformen följer intern it-arkitektur för portabilitet
www.cloudadvisor.se
Identiteter
www.cloudadvisor.se
Identiteter Federation färdig?
SAML (version?) WS-Federation Liberty ID-FF
Flerfaktorsautentisering? Behörighetskontroll och styrning på
applikation/data?
www.cloudadvisor.se
Datacenterdrift
www.cloudadvisor.se
Datacenterdrift Fysiskt acceptabel miljö Underhållsscheman Skydd mot felkonfigureringar (fallback-planer) Versionshantering Automatiseringsgrad av övervakning &
processer för att hantera larm Helpdesk
www.cloudadvisor.se
Incidenthantering
www.cloudadvisor.se
Incidenthantering Gemensam definition av incident? Vad gör leverantören & vad får den göra? När/hur blir du notifierad & får du ta in eget
CSIRT? Polisanmälan? Dawn-raid mot leverantör pga annan
”hyresgäst” – påverkan?
www.cloudadvisor.se
Slutsatser
www.cloudadvisor.se
Molnen är inget nytt rent tekniskt – men riskerna är definitivt jungfrulig mark!
www.cloudadvisor.se
Det är spännande möjligheter som ligger helt öppna!
www.cloudadvisor.se
Verksamheten vill ha resultat och inte ”gnäll och skrämsel” – hantera eller bli överkörd?
www.cloudadvisor.se
Tack för att ni stod ut med mig!
Predrag Mitrovic, [email protected] – 200 350 eller på nätet: http://mynethouse.se Bloggar:
http://blogg.idg.se/itperspektiv http://cloudadvisor.se Delaktig i:
http://tlo-interop.se http://it-sakerhetshandboken.se
www.cloudadvisor.se