Upload
nguyenkhuong
View
213
Download
0
Embed Size (px)
Citation preview
Andreas Wisler
CEO goSecurity GmbH
Dipl. Ing FH, CISSP, CISA, ECSA
ISO 22301 + 27001 Lead Auditor
Cloud Security
Der sichere Weg in die Cloud
Unsere Werte und Besonderheiten
• Wir sind Hersteller und Produkte-Neutral
• Unsere Empfehlungen basieren zwar auf Standards, sind aber auf Sie und Ihre
Bedürfnisse zugeschnitten
• Wir sind keine Nerds. Wir sind technische Security-Experten mit sehr hohem
Business-Verständnis
• Klare und faire Preispolitik
• Wir haben viel Erfahrung und Kompetenz, weil wir nur das machen
• Unsere Mitarbeiter sind Stolz auf goSecurity und auf ihre Arbeit
2
Cloud überall
3Quelle: www.dotnetwise.com
Cloud Computing
4
Quelle: digital.guide
Cloud Computing
• Charakteristika
– Selbstzuweisung von Leistungen aus der Cloud
– Entkopplung von Nutzungsschwankungen und Infrastrukturbeschränkungen
– Zuverlässigkeit und Fehlertoleranz garantiert permanent definierte
Qualitätsstandards der IT-Infrastruktur für den Nutzer
– Optimierung und Konsolidierung bietet Effizienz und Ökonomie
– Qualitätssicherung und -kontrolle kann fortlaufend durch den Dienstanbieter
überwacht und sichergestellt werden
5
Arten
6
Quelle: www.krtya.com/images
Arten - Vergleich
7Quelle: Microsoft
Arten - Vergleich
8Quelle: www.itsm.hr
Arten - Vergleich
9Quelle: episerver.com
Risiken
• Verletzung der Vertraulichkeit und Integrität der Daten
• Löschung von Daten
• Ungenügende Mandantentrennung
• Verletzung der Compliance
• Verletzung von Datenschutzgesetzen
• Insolvenz des Providers
• Problematik der Subunternehmer
• Beschlagnahmung von Hardware
• Handel mit Ressourcen
• Erpressungsversuche
10
Risiken
11
Daten werden kopiert,
nicht gestohlen – sie
sind immer noch da!
Cloud-Ausfälle 2015
• Amazon Webservices
– 56 Ausfälle, 2.5 Stunden
• Microsoft Azure
– 71 Ausfälle, 10 Stunden 49 Minuten
– 167 Ausfälle, 11 Stunden 34 Minuten
• IBM Softlayer
– 17 Stunden
• Salesforces
– NAS14 für mehrere Stunden ausgefallen (13. Mai 2016)
• Quelle Zahlen 2015: CloudHarmony, https://cloudharmony.com/status
12
Fragen
• Gibt es ein dokumentiertes Sicherheitskonzept für den Betrieb der ICT-
Infrastruktur und wie wird mit Kundenanforderungen umgegangen?
• Wie erfolgt die physische und logische Kundenseparierung?
• Kann die Einhaltung der Sicherheitsrichtlinien durch den/die Kunden
regelmässig und audit-fähig geprüft werden?
• Ist die Verschlüsselung von Daten ein zentraler Service oder muss dies
kundenspezifisch einzeln implementiert werden?
13
Fragen
• Wie werden Zugriffe durch Administratoren reglementiert?
• Kann sichergestellt werden, dass einmal gelöschte Daten auch auf allen
operativen Backups etc. zuverlässig und permanent gelöscht werden?
• Wie wird mit ungeplanten ICT-Lastveränderungen umgegangen?
• Kann sichergestellt werden, dass alle Daten, Zugriffe usw. entfernt
werden, wenn ein Kunde den Provider verlässt?
14
Vorgehen
• Planung
• Vertrag
– Auditrechte einfordern
– Kennzahlen festlegen
– Schnittstellen definieren
– Regelungen für die Beendigung
• Migration der Daten / Anwendungen / Systeme
• Betrieb
– Logging sicherstellen
15
Schutzmöglichkeiten
• Verschlüsseln der Daten
– BoxCryptor
16
Schutzmöglichkeiten
• Zertifizierung
– ISO 27001 / ISO 27017:2015
• Information technology - Security techniques - Code of practice for information security
controls based on ISO/IEC 27002 for cloud services
• Erweiterte Kontrollen:
– 6.3.1 Shared roles and responsibilities within a cloud computing environment
– 8.1.5 Removal of cloud service customer assets
– 9.5.1 Segregation in virtual computing environments
– 9.5.2 Virtual machine hardening
– 12.1.5 Administrator’s operational security
– 12.4.5 Monitoring of cloud services
– 13.1.4 Alignment of security management for virtual and physical networks
17
Schutzmöglichkeiten
• Zertifizierung
– ISO 27001 / ISO 27017:2015
• 5 Information security policies Moderate
• 6 Organization of information security Moderate
• 7 Human resource security Moderate/Low
• 8 Asset management Moderate/Low
• 9 Access control High
• 10 Cryptography Moderate
• 11 Physical and environmental security Moderate/Low
18Quelle: http://advisera.com/27001academy/blog/2015/11/30/iso-27001-vs-iso-27017-information-security-controls-for-cloud-services/
Schutzmöglichkeiten
• Zertifizierung
– ISO 27001 / ISO 27017:2015
• 12 Operations security Moderate/High
• 13 Communications security Moderate/High
• 14 System acquisition, development and maintenance Moderate
• 15 Supplier relationships Moderate/High
• 16 Information security incident management Moderate
• 17 Information security aspects of business continuity management Low
• 18 Compliance Moderate/High
19Quelle: http://advisera.com/27001academy/blog/2015/11/30/iso-27001-vs-iso-27017-information-security-controls-for-cloud-services/
Schutzmöglichkeiten
• Weitere Zertifizierungen:
• Guidelines / Hilfen:
– Cloud Computing Information Assurance Framework der enisa
– Cloud Security Alliance
– eBooks von CloudComputing-Insider.de
– BSI Grundschutzhandbücher (vier Bausteine)
20
Fazit
Nutzung von Cloud-Diensten nicht mehr wegzudenken
Mit Konzept vorgehen Planung notwendig
Mögliche geeignete Partner im Vorfeld prüfen
Datenschutzaspekte berücksichtigen
Kontrolle, Kontrolle, Kontrolle
21
Unser Wissen für Ihre Sicherheit
22
Power Audit Review
IT-Security Konzepte
Schulung / Awareness
Premium Audit
Penetration Test
Unsere Experten für Ihre IT-Sicherheit
23
A. Wisler Th. Furrer S. Müller
A. Kulhanek M. Hamborgstrøm M. Hennet C. Wehrli S. Walser