SäKerhet I Molnen

1,537 views
1,442 views

Published on

Published in: Technology, Business
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,537
On SlideShare
0
From Embeds
0
Number of Embeds
20
Actions
Shares
0
Downloads
3
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

SäKerhet I Molnen

  1. 1. Säkerheten i molnen Predrag Mitrovic, CISSP, CISM, Författare [email_address]
  2. 2. Lagring Virtualiserade resurser Virtuell Image 1 Virtuell Image.. n Virtuell Image 1 Säkerhet Hantering www.cloudadvisor.se Hårdvara, kablage, komponenter Mjukvarukärna (OS & VM) Molnapplikationer Risk Governance Livscykel-hantering Behörighet Loggning IT-säkerhet på djupet Incident-hantering Rapporter Taxameter Kapacitets-planering Övervakning Automati-sering Fakturering
  3. 3. Säkerhetstänk på djupet - anläggningen <ul><li>Fysiska perimetern skyddad </li></ul><ul><li>Väktare </li></ul><ul><li>Övervakningskameror </li></ul><ul><li>Brandskydd </li></ul><ul><li>Skydd mot naturkatastrofer </li></ul><ul><li>Säker logistik (mottagning, leveranser) </li></ul>www.cloudadvisor.se
  4. 4. Säkerhet på djupet - Hårdvaran www.cloudadvisor.se <ul><li>Miljö- & klimatsäkrat </li></ul><ul><li>Åtkomstkontroll – fysisk </li></ul><ul><li>Redundans </li></ul><ul><li>Övervakning – CPU, minne, fläktar, diskar </li></ul>Hårdvara, kablage, komponenter
  5. 5. Säkerhet på djupet – OS/VM www.cloudadvisor.se <ul><li>Patch management fysiskt & virtuellt </li></ul><ul><li>Hostbaserade FW </li></ul><ul><li>HIDS/HIPS </li></ul><ul><li>Kryptering </li></ul><ul><li>Härdning av OS och alla VM som körs instansierade </li></ul><ul><li>Säkerhetsmodell över fysiskt OS och alla VM </li></ul><ul><li>Rutiner för provisionering och avprovisionering av VM </li></ul>Mjukvarukärna (OS & VM)
  6. 6. Säkerhet på djupet – virtualiserade resurser www.cloudadvisor.se <ul><li>DLP </li></ul><ul><li>Integritetsloggning </li></ul><ul><li>Kryptering </li></ul><ul><li>Personliga FW </li></ul><ul><li>Aktivitetsmonitor DB </li></ul><ul><li>Härdning </li></ul><ul><li>Behörighetskontroll & loggning </li></ul>Lagring Virtualiserade resurser Virtuell Image
  7. 7. Säkerhet på djupet – applikationer www.cloudadvisor.se <ul><li>Behörighet </li></ul>Molnapplikationer
  8. 8. Den mjuka sidan då? <ul><li>Security Practice Statement – för vem? </li></ul><ul><li>Hur kontrolleras efterlevnad? </li></ul><ul><li>Var mappar jag in mina krav? </li></ul><ul><li>Var gör vi ”damage control”? </li></ul><ul><li>Hur </li></ul>Säkerhet www.cloudadvisor.se Risk Governance Livscykelhantering Behörighet Loggning IT-säkerhet på djupet Incidenthantering
  9. 9. Generell ingång <ul><li>Insiderproblemet? </li></ul><ul><li>För mycket ”administrator power” hos leverantören? </li></ul><ul><li>Stresstest av planer för business continuity och disaster recovery </li></ul>www.cloudadvisor.se
  10. 10. Riskhantering www.cloudadvisor.se
  11. 11. Riskhantering <ul><li>Leverantörens KRI/KPI: Hur mappar det mot min verksamhet? </li></ul><ul><li>Genomgång av leverantörens säkerhetspolicy, processer och rutiner: Mappar det mot min verksamhet? </li></ul><ul><li>Ägarförhållanden hos leverantören: Vilken påverkan har det på min verksamhet? </li></ul>www.cloudadvisor.se
  12. 12. Governance www.cloudadvisor.se
  13. 13. Governance <ul><li>Revisioner av oberoende tredje part mot leverantörens SPS med rapport till kunder </li></ul><ul><li>Deklaration av leverantörs förbindelser med tredje part </li></ul><ul><li>Hur stabilt finansierad är leverantören (hänger ihop med ägarbilden under riskhanteringen) </li></ul>www.cloudadvisor.se
  14. 14. Juridik www.cloudadvisor.se
  15. 15. Juridik <ul><li>Planer för väntad och oväntad avslutad förbindelse: Hur säkerställs säker leverans av data och säker radering hos motparten? </li></ul><ul><li>Klausul för att data aldrig lämnar uppsatta gränser: Efterlevnad? </li></ul><ul><li>Vem äger rätt att återanvända din information? Är det solklart? </li></ul>www.cloudadvisor.se
  16. 16. Compliance & Audit www.cloudadvisor.se
  17. 17. Compliance & audit <ul><li>Klassificering: </li></ul><ul><ul><li>Vilka system är klassade för regleringar? </li></ul></ul><ul><ul><li>Vilket data hanteras i systemen? </li></ul></ul><ul><li>SAS 70 typ II audits? </li></ul><ul><li>ISO 27001 certifieringskrav? </li></ul>www.cloudadvisor.se
  18. 18. ILM www.cloudadvisor.se
  19. 19. Information Lifecycle Management <ul><li>Logisk segregering av informationen – Vilka kontrollmekanismer har vi för delarna som lever utanför våra system? </li></ul><ul><li>Testa backup & återställning av information som har segregerats och simulera hur informationen assimileras tillbaka ”in-house” </li></ul>www.cloudadvisor.se
  20. 20. Portabilitet & Interop www.cloudadvisor.se
  21. 21. P & I <ul><li>SaaS </li></ul><ul><ul><li>Process för att kontinuerligt extrahera ut informationen i ”öppet” format </li></ul></ul><ul><li>IaaS </li></ul><ul><ul><li>Utveckla ”binärer” inte knutna till virtuella maskinbilder specifika för leverantören </li></ul></ul><ul><li>PaaS </li></ul><ul><ul><li>Utvecklingsplattformen följer intern it-arkitektur för portabilitet </li></ul></ul>www.cloudadvisor.se
  22. 22. Identiteter www.cloudadvisor.se
  23. 23. Identiteter <ul><li>Federation färdig? </li></ul><ul><ul><li>SAML (version?) </li></ul></ul><ul><ul><li>WS-Federation </li></ul></ul><ul><ul><li>Liberty ID-FF </li></ul></ul><ul><li>Flerfaktorsautentisering? </li></ul><ul><li>Behörighetskontroll och styrning på applikation/data? </li></ul>www.cloudadvisor.se
  24. 24. Datacenterdrift www.cloudadvisor.se
  25. 25. Datacenterdrift <ul><li>Fysiskt acceptabel miljö </li></ul><ul><li>Underhållsscheman </li></ul><ul><li>Skydd mot felkonfigureringar (fallback-planer) </li></ul><ul><li>Versionshantering </li></ul><ul><li>Automatiseringsgrad av övervakning & processer för att hantera larm </li></ul><ul><li>Helpdesk </li></ul>www.cloudadvisor.se
  26. 26. Incidenthantering www.cloudadvisor.se
  27. 27. Incidenthantering <ul><li>Gemensam definition av incident? </li></ul><ul><li>Vad gör leverantören & vad får den göra? </li></ul><ul><li>När/hur blir du notifierad & får du ta in eget CSIRT? </li></ul><ul><li>Polisanmälan? </li></ul><ul><li>Dawn-raid mot leverantör pga annan ”hyresgäst” – påverkan? </li></ul>www.cloudadvisor.se
  28. 28. Slutsatser www.cloudadvisor.se
  29. 29. Molnen är inget nytt rent tekniskt – men riskerna är definitivt jungfrulig mark! www.cloudadvisor.se
  30. 30. Det är spännande möjligheter som ligger helt öppna! www.cloudadvisor.se
  31. 31. Verksamheten vill ha resultat och inte ”gnäll och skrämsel” – hantera eller bli överkörd? www.cloudadvisor.se
  32. 32. Tack för att ni stod ut med mig! <ul><li>Predrag Mitrovic, predrag@mynethouse.se </li></ul><ul><li>0709 – 200 350 eller på nätet: </li></ul><ul><li>http://mynethouse.se </li></ul><ul><li>Bloggar: </li></ul><ul><ul><li>http://blogg.idg.se/itperspektiv </li></ul></ul><ul><ul><li>http://cloudadvisor.se </li></ul></ul><ul><ul><li>Delaktig i: </li></ul></ul><ul><ul><ul><li>http://tlo-interop.se </li></ul></ul></ul><ul><ul><ul><li>http://it-sakerhetshandboken.se </li></ul></ul></ul>www.cloudadvisor.se

×