© Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Megbízható felhő - garanciák a biztonságos cloudszolgáltatáshozKrasznay CsabaHP Magyarország
© Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.2
A CIO igényei és aggodalmai
1,4 Goldman Sachs Equity Research, January 20112,3 IDC, Enterprise Panel Survey, November 2010
© Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.3
A felhő kockázataiSzabályz
ati és szervezet
i
•Függőség• Irányítás elvesztése
•Megfelelőségi problémák
Technológiai
•Erőforrások túllépése
• Izolációs hiba•Kiemelt jogosultsággal való visszaélés
•Menedzsment interfész támadása
•Átvitel lehallgatása•Adatszivárgás
Jogi
•Lefoglalás•Különböző joghatóságok
•Adatvédelem•Licencelés
Közvetett
•Hálózati hiba•Hálózatmenedzsment
•Hálózati forgalom módosítása
• Jogosultság kiterjesztése
•Social Engineering
• Megosztott erőforrások miatti problémák• Cloud szolgáltatás befejezése• Cloud szolgáltató felvásárlása• Szállítási lánc megszakadása
• Nem megfelelő törlés• DDoS• EDoS (Gazdasági DoS)• Titkosító kulcs elvesztése• Külső támadási próbálkozások• Kompromittált szolgáltatási
motor• Nem megfelelő hardening
• Üzemeltetési naplók sérülése• Biztonsági naplók elvesztése• Mentések elvesztése• Nem jogosult fizikai hozzáférés• Lopás• Természeti katasztrófa
Forrás: ENISA, Cloud Computing:Benefits, risks and recommendationsfor information security
© Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.4
A bizalom betűszavai
© Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.5
Mit jelent a bizalom?A Bizalom Elv: Legyen a bizalom elemi összetevője a felhő szolgáltatásnak úgy, hogy a bizalom minden cloud alapú üzleti folyamat részévé kell, hogy váljon! ISACA: Guiding Principles for Cloud Computing Adoption and Use
Legyenek tiszta CIA
elvek!
Cloud jelentette különleges
bizalmi követelmén
yek legyenek
azonosítva!
A követelmén
yek legyenek
ismertek és teljesítettek szervezeten
kívül és belül!
Legyen a monitorozva
a cloud használata biztonsági
szempontból is!
Ellenőrizzük a
követelmények
teljesítését a cloud
szolgáltatónál is!
Folyamatosan
biztosítsuk a
rendszerek megbízható
ságát!
© Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.6
Védelmi követelmények
Cloud Security Alliance: Security Guidance for Critical Areas of Focus in Cloud Computing v3.0
© Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.7
Iparág Hatókör Kötelező/ önkéntes
Felelős
Cloud Security Alliance (CSA) Consensus Assessments Initiative Questionnaire
Cloud szolgáltatók
Cloud szolgáltatások Önkéntes CSA
EU Safe Harbor Személyes adatokat kezelők
Személyes adatok Önkéntes US Department of
Trade
The Federal Information Security Management Act of 2002 (FISMA) USA közigazgatás
Szövetségi intézmények IT rendszerei
KötelezőOffice of Management and Budget
Federal Information Processing Standard (FIPS) 140-2
USA közigazgatás, hadsereg
Kriptográfiai termékek Önkéntes
National Institute of Standards and Technology
The Gramm–Leach–Bliley Act (GLBA) Pénzintézetek Ügyfelek üzleti adatai Kötelező Federal Trade
Commission
The Health Insurance Portability and Accountability Act (HIPAA) Egészségügy Betegek adatai Kötelező
Department of Health and Human Services
International Traffic in Arms Regulations (ITAR) Hadiipar
Hadianyagokkal kapcsolatos adatok
Kötelező
The Department of State Directorate of Defense Trade Controls
Tanúsítók, tanúsítványok
© Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.8
Iparág Hatókör Kötelező/ önkéntes
Felelős
The International Standards for Assurance Engagements No. 3402 (ISAE 3402)
Szolgáltatást nyújtók
Szolgáltatói kontrollok Önkéntes
International Federation of Accountants
ISO 27001 Bárki IBIR ÖnkéntesInternational Organization for Standardization
Payment Card Industry Data Security Standard (PCI DSS)
Bankkártyát kezelők
Bankkártya adatok Kötelező PCI Security
Council
Statement on Auditing Standards No. 70 (SAS 70) Szolgáltatást nyújtók
Szolgáltatói kontrollok Önkéntes
American Institute of Certified Public Accountants
Statement on Standards for Attestation Engagements No. 16 (SSAE 16)
Szolgáltatást nyújtók
Szolgáltatói kontrollok Önkéntes
American Institute of Certified Public Accountants
SysTrust Szolgáltatást nyújtók
Szolgáltatói kontrollok Önkéntes
American Institute of Certified Public Accountants
Tanúsítók, tanúsítványok
© Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.9
Audit területek
ISO 27002IBIR audit• Az IBIR kialakítása
kockázatelemzéssel kezdődik!!!• Szabályzati rendszer• Biztonsági szervezet• Vagyontárgyak kezelése• Személyi biztonság• Fizikai és környezeti biztonság• Kommunikáció és üzemeltetés
biztonsága• Hozzáférés-ellenőrzés• Információs rendszerek beszerzése,
fejlesztése és karbantartása• Incidenskezelés• Üzletmenet-folytonosság• Megfelelőség
PCI DSSBankkártya adatok • 1. követelmény: A kártyabirtokos adatainak
védelméért tűzfalat kell telepíteni és üzemeltetni.• 2. követelmény: Nem szabad a gyártók által használt
alapbeállítású rendszerjelszavakat és biztonsági paramétereket használni.
• 3. követelmény: Védeni kell a kártyabirtokosok tárolt adatait.
• 4. követelmény: A nyílt hálózatokon történő adatátvitel során titkosítani kell a kártyabirtokos adatait.
• 5. követelmény: Vírusvédelmi megoldásokat kell használni, és rendszeresen frissíteni.
• 6. követelmény: Biztonságos rendszereket és alkalmazásokat kell fejleszteni és üzemeltetni.
• 7. követelmény: A kártyabirtokos adataihoz csak az férhessen hozzá, akire az tartozik.
• 8. követelmény: Minden olyan ember, aki hozzáférhet a rendszerhez, rendelkezzen egyedi azonosítóval.
• 9. követelmény: A kártyabirtokos adataihoz való fizikai hozzáférést meg kell akadályozni.
• 10. követelmény: A hálózati erőforrásokhoz és a kártyabirtokos adataihoz való minden hozzáférést követni és monitorozni kell.
• 11. követelmény: A biztonsági rendszereket és folyamatokat rendszeresen tesztelni kell.
• 12. követelmény: Információbiztonsági szabályzatot kell fenntartani.
CSA CAIQCloud szolgáltatások • Megfelelőség• Adatkezelés• Létesítménybiztonság• Humán biztonság• Információbiztonság• Jogi megfelelőség• Üzemeltetés-biztonság• Kockázatkezelés• Kibocsátások kezelése• Üzletmenet-folytonosság• Biztonsági architektúra
© Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.10
SAS 70/SOC 1/SSAE 16/ISAE 3402/SysTrust• A legfontosabb cloud tanúsítványok halmaza• Egy forrásból építkeznek, céljuk egyértelműen
az informatikai szolgáltatók által nyújtott szolgáltatások kontrolljainak ellenőrzése bizonyos szempontok alapján.
• Kezdetben volt a SAS 70.• Ennek a helyét vette át az SSAE 16 az USA-ban.• Ennek nemzetközi változata az ISAE 3402.• A SysTrust pedig egy SAS 70 alapú célzott CIA
audit, mely kimondottan a rendszer megbízhatóságára kíváncsi.
• A SOC 1 Report – Report on Controls at a Service Organization Relevant to User Entities’ Internal Control over Financial Reporting az audit riportolásának elfogadott formája
• Audit területek:− Biztonság szervezete− Hozzáférés-kontroll− Logikai biztonság− Biztonságos adatkezelés− Fizikai és környezeti biztonság− Változáskezelés− Adatok integritása, rendelkezésre állása
és redundanciája− Incidenskezelés
© Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.11
Safe Harbor egyezmény
• Hivatalos neve International Safe Harbor Privacy Principles
• Célja az EU 95/46/EC számú adatvédelmi direktívájának betartatása az USA-ban működő szervezeteknél
• 7 alapelvet fogalmat meg:− Tájékoztatás− Választási lehetőség− Személyes adatok továbbítása− Hozzáférés− Biztonság− Adatok sértetlensége− Érvényesíthetőség és felügyelet
Click icon to add picture
© Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.12
Információ vs. infrastruktúra
KOCKÁZAT
© Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.13
A mérleg két oldala
Ellene Mellette
Köszönöm szépen!Web: www.krasznay.huE-mail: [email protected]: www.twitter.com/csabika25Tumblr: csabika25.tumblr.com