Tror du stadig du kan sige nej tak til Web 2.0 og skyen?
Muligheder for sikker cloud computing
1. Mulighederne for at få en sikker sky Lars Neupart DI ITEK: It-sikkerhedsudvalg og bestyrelse Cloud Security Alliance medlem Neupart A/S: Direktør og stifter LN@neupart.com
2. DI ITEK’s sikkerhedsarbejde Siden 2001 Uafhængig af enkeltinteresser Brugere (600) og leverandører (35) i fællesskab giver afbalancerede anbefalinger Vejledning om informationssikkerhed til erhvervslivet - f.eks.: Ledelse, Trusler, Standarder, Spam, Spyware, Phishing, Privacy, Cloud Politisk indsats på området Offentlig awareness om emnet Repræsentation i mange sammenhænge
3. Cloud Security Alliance En non profit organisation, startet i USA, med chapters i flere lande http://cloudsecurityalliance.org The Cloud Security Alliance is a non-profit organization formed to promote the use of best practices for providing security assurance within Cloud Computing, and provide education on the uses of Cloud Computing to help secure all other forms of computing.
4. Om Neupart Vi hjælper jer med at leve op til it-sikkerhedskrav på en tryg og effektiv måde Krav fra kunder, samarbejdspartnere, danske og internationale standarder, ”almindelig god skik”, lovgivning m.m. ISO27001-certificeret Første it-virksomhed og eneste it-sikkerhedsleverandør i DK Gazelle 2009 198% vækst i bruttofortjeneste 2005 - 2008
6. DI ITEK Opsummering Cloud computing er ikke revolutionerende! Det er bare outsourcing på en anden måde, end vi er vant til. Cloud Computing kan være en udmærket ting for mindre virksomheder. Det gør det let at starte op, og har man ikke fokus på sikkerhed, kan det ofte give en bedre sikkerhed, end man selv er i stand til at præstere. Små virksomheder bør absolut overveje at kigge på cloud computing. Har man sin egen sikkerhedsafdeling og god styr på sikkerheden, er cloud computing nok ikke så interessant, men kan måske bruges på delområderi lighed med andre former for outsourcing. Bruger man cloud computing skal man være opmærksom på, hvordan ens data og applikationer er beskyttet hos serviceudbyderen, hvad der sker hvis udbyderen går fallit, hvilket land data hostes i m.v. Der er altså behov for en særlig sikkerheds- og kontrolindsats.
7. IDC IDC’s worldwide forecast for cloud services : 2009 2013 Verden $17 MIA. $44 MIA EU €971m €6,005m KildeEnisa, dec ´09
8. What is Cloud Computing? Compute as a utility: third major era of computing Mainframe PC Client/Server Cloud computing: On demand model for allocation and consumption of computing Cloud enabled by Moore’s Law: Costs of compute & storage approaching zero Hyperconnectivity: Robust bandwidth from dotcom investments Service Oriented Architecture (SOA) Scale: Major providers create massive IT capabilities
9. Defining Cloud On demand provisioning Elasticity Multi-tenancy Key types Infrastructure as a Service (IaaS): basic O/S & storage Platform as a Service (PaaS): IaaS + rapid dev Software as a Service (SaaS): complete application Public, Private, Community & Hybrid Cloud deployments
10. S-P-I Framework You “RFP” security in SaaS Software as a Service You build security in PaaS Platform as a Service IaaS Infrastructure as a Service
11. Is Cloud Computing Working? Eli Lilly New drug research project IT promised system in 3 months, > $100,000 USD Scientist completed in one day in cloud, < $500 USD Japanese government agencies RFP for custom software development Chose PaaS for 25% of cost and deployment time over traditional software house
12. How will Cloud Computing play out? Much investment in private clouds for 3-5 years Compliance use cases being developed Cloud assurance ecosystem being built Public clouds will eventually dominate Virtual private clouds compromise between public and private All IT professions impacted
13. CSA Guidance Domains I : 1:Understand Cloud Architecture II: Governing in the Cloud 2: Governance and Enterprise Risk Management 3: Legal and Electronic Discovery 4: Compliance and Audit 5: Information Lifecycle Management 6: Portability and Interoperability III: Operating in the Cloud. 7: Traditional Security, Business Continuity, and Disaster Recovery 8: Data Center Operations. 9: Incident Response, Notification, and Remediation 10: Application Security 11: Encryption and Key Management 12: Identity and Access Management 13: Virtualization
15. Cloud Controls Matrix Tool Controls derived from guidance Rated as applicable to S-P-I Customer vs Provider role Mapped to ISO 27001, COBIT, PCI, HIPAA Help bridge the gap for IT & IT auditors
16. Masser af problemer Cloud-leverandørkonkurs – dine data og din forretning? Leverandør lever ikke op tilSLA’er Leverandør med ringe “business continuity planning” Datacentreilande med “uvenlig” lovgivning Leverandør-lock-in med proprietæreteknologierog data formater Ressourcer deles med andrekunder– måskeenddakonkurrenter Leverandør-fejlfårmegetstørrekonsekvenser end fejl I intern-it-afdeling. Ogmeget, meget mere……
17. Persondata i skyen? EU betragtes sikkert. Sikre 3. lande: Schweiz Canada (begrænset anvendelsesområde - se Kommissionens) Argentina Guernsey USA (kun vedr. flypassagerer - se Kommissionens hjemmeside) Isle of Man Jersey Safe Harbor – ca. 2.000 virksomheder Liste hos Export.gov Datatilsynet Udtalelse hvis data omfattet af persondatalovens §§ 7-8 Datatilsynets vejledning
18. Persondata i skyen? Bolig, bil, eksamen, ansøgning, CV ansættelsesdato, stilling, arbejdsområde, arbejdstelefon CPR-nummer, økonomi, skat, gæld, sygedage, tjenstlige forhold, familieforhold Race, religion, helbred, sex, politik, fagforening, strafbare forhold, væsentlige sociale problemer, andre rent private forhold som f.eks. selvmordsforsøg, registreret partner, bortvisning fra jobbet, personlighedstest Stamoplysninger: Navn, adresse, fødselsdato
19. Summary Cloud Computing is real and transformational Challenges for People, Process, Technology, Organizations and Countries Broad governance approach needed Tactical fixes needed Combination of updating existing best practices and creating completely new best practices Common sense not optional
21. Tak – og mere info: http://itek.di.dk/Shop/Produktside/Pages/produktside.aspx?productid=8036 http://cloudsecurity.org/2009/11/20/enisa-cloud-security-risk-assessment/ www.cloudsecurityalliance.org www.linkedin.com/groups?gid=1864210 www.neupart.dk
23. DI ITEK: Sikkerhedsovervejelser Risikobilledet ændres Behov for dataklassifikation øges Omkostninger (spar, spredt, kontrol) Specialister og nye muligheder Døgnservice Egenkontrol mistes Tilgængelighed, fortrolighed og integritet Business continuity / disaster recovery
24. DI ITEK Kontrolovervejelser Kontrol med leverandøren (certificeringer politikker, procedurer, økonomi hos leverandør) Kontrol med data og compliance med lovgivning samt logning Risikostyring (risici hos leverandør og underleverandør) Funktionsadskillelse, backup og datasletning hos leverandør Kontrol med håndtering af sikkerhedshændelser Krypteringskontrol Adgangskontrol Lagring
Notas del editor
Nej det hele forsvinder ikke, men noget af det gør temmeligt sikkert.
Dansk vejledning Gennemgår bl.a. Fordele og ulemper med CCENISA:In-depth and independent analysis benefits and key security risks of cloud computing. Practical recommendations.Non-profit org for brugere, leverandørerogalle med interesse I at gøreskyen mere sikker
The NIST diagram provides a good visualization of what it is, what types of services are delivered and how it is deployed.
The security approach and role varies depending on the delivery model
Bank stævner Google for at få oplyst Gmail-brugers identitet: Banken havde sendt lånedokument til forkert modtager og ved en fejl vedhæftet et dokument med fortrolige oplysninger om 1.325 virksomheder og personer. Banken bad bruger slette – ingen reaktionBad Google om information om brugeren.Google nægtede uden retskendelse. Dommerkendelse pålagde Google at oplyse, om kontoen var aktiv, og om mailen havde været åbnet. Ville også pålægge at lukke kontoen. Mailen var aldrig blevet åbnetKilde: The Registerflere artikler