Your SlideShare is downloading. ×
0
SäKerhet I Molnen
SäKerhet I Molnen
SäKerhet I Molnen
SäKerhet I Molnen
SäKerhet I Molnen
SäKerhet I Molnen
SäKerhet I Molnen
SäKerhet I Molnen
SäKerhet I Molnen
SäKerhet I Molnen
SäKerhet I Molnen
SäKerhet I Molnen
SäKerhet I Molnen
SäKerhet I Molnen
SäKerhet I Molnen
SäKerhet I Molnen
SäKerhet I Molnen
SäKerhet I Molnen
SäKerhet I Molnen
SäKerhet I Molnen
SäKerhet I Molnen
SäKerhet I Molnen
SäKerhet I Molnen
SäKerhet I Molnen
SäKerhet I Molnen
SäKerhet I Molnen
SäKerhet I Molnen
SäKerhet I Molnen
SäKerhet I Molnen
SäKerhet I Molnen
SäKerhet I Molnen
SäKerhet I Molnen
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

SäKerhet I Molnen

1,391

Published on

Published in: Technology, Business
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,391
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
3
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Säkerheten i molnen Predrag Mitrovic, CISSP, CISM, Författare [email_address]
  • 2. Lagring Virtualiserade resurser Virtuell Image 1 Virtuell Image.. n Virtuell Image 1 Säkerhet Hantering www.cloudadvisor.se Hårdvara, kablage, komponenter Mjukvarukärna (OS & VM) Molnapplikationer Risk Governance Livscykel-hantering Behörighet Loggning IT-säkerhet på djupet Incident-hantering Rapporter Taxameter Kapacitets-planering Övervakning Automati-sering Fakturering
  • 3. Säkerhetstänk på djupet - anläggningen <ul><li>Fysiska perimetern skyddad </li></ul><ul><li>Väktare </li></ul><ul><li>Övervakningskameror </li></ul><ul><li>Brandskydd </li></ul><ul><li>Skydd mot naturkatastrofer </li></ul><ul><li>Säker logistik (mottagning, leveranser) </li></ul>www.cloudadvisor.se
  • 4. Säkerhet på djupet - Hårdvaran www.cloudadvisor.se <ul><li>Miljö- &amp; klimatsäkrat </li></ul><ul><li>Åtkomstkontroll – fysisk </li></ul><ul><li>Redundans </li></ul><ul><li>Övervakning – CPU, minne, fläktar, diskar </li></ul>Hårdvara, kablage, komponenter
  • 5. Säkerhet på djupet – OS/VM www.cloudadvisor.se <ul><li>Patch management fysiskt &amp; virtuellt </li></ul><ul><li>Hostbaserade FW </li></ul><ul><li>HIDS/HIPS </li></ul><ul><li>Kryptering </li></ul><ul><li>Härdning av OS och alla VM som körs instansierade </li></ul><ul><li>Säkerhetsmodell över fysiskt OS och alla VM </li></ul><ul><li>Rutiner för provisionering och avprovisionering av VM </li></ul>Mjukvarukärna (OS &amp; VM)
  • 6. Säkerhet på djupet – virtualiserade resurser www.cloudadvisor.se <ul><li>DLP </li></ul><ul><li>Integritetsloggning </li></ul><ul><li>Kryptering </li></ul><ul><li>Personliga FW </li></ul><ul><li>Aktivitetsmonitor DB </li></ul><ul><li>Härdning </li></ul><ul><li>Behörighetskontroll &amp; loggning </li></ul>Lagring Virtualiserade resurser Virtuell Image
  • 7. Säkerhet på djupet – applikationer www.cloudadvisor.se <ul><li>Behörighet </li></ul>Molnapplikationer
  • 8. Den mjuka sidan då? <ul><li>Security Practice Statement – för vem? </li></ul><ul><li>Hur kontrolleras efterlevnad? </li></ul><ul><li>Var mappar jag in mina krav? </li></ul><ul><li>Var gör vi ”damage control”? </li></ul><ul><li>Hur </li></ul>Säkerhet www.cloudadvisor.se Risk Governance Livscykelhantering Behörighet Loggning IT-säkerhet på djupet Incidenthantering
  • 9. Generell ingång <ul><li>Insiderproblemet? </li></ul><ul><li>För mycket ”administrator power” hos leverantören? </li></ul><ul><li>Stresstest av planer för business continuity och disaster recovery </li></ul>www.cloudadvisor.se
  • 10. Riskhantering www.cloudadvisor.se
  • 11. Riskhantering <ul><li>Leverantörens KRI/KPI: Hur mappar det mot min verksamhet? </li></ul><ul><li>Genomgång av leverantörens säkerhetspolicy, processer och rutiner: Mappar det mot min verksamhet? </li></ul><ul><li>Ägarförhållanden hos leverantören: Vilken påverkan har det på min verksamhet? </li></ul>www.cloudadvisor.se
  • 12. Governance www.cloudadvisor.se
  • 13. Governance <ul><li>Revisioner av oberoende tredje part mot leverantörens SPS med rapport till kunder </li></ul><ul><li>Deklaration av leverantörs förbindelser med tredje part </li></ul><ul><li>Hur stabilt finansierad är leverantören (hänger ihop med ägarbilden under riskhanteringen) </li></ul>www.cloudadvisor.se
  • 14. Juridik www.cloudadvisor.se
  • 15. Juridik <ul><li>Planer för väntad och oväntad avslutad förbindelse: Hur säkerställs säker leverans av data och säker radering hos motparten? </li></ul><ul><li>Klausul för att data aldrig lämnar uppsatta gränser: Efterlevnad? </li></ul><ul><li>Vem äger rätt att återanvända din information? Är det solklart? </li></ul>www.cloudadvisor.se
  • 16. Compliance &amp; Audit www.cloudadvisor.se
  • 17. Compliance &amp; audit <ul><li>Klassificering: </li></ul><ul><ul><li>Vilka system är klassade för regleringar? </li></ul></ul><ul><ul><li>Vilket data hanteras i systemen? </li></ul></ul><ul><li>SAS 70 typ II audits? </li></ul><ul><li>ISO 27001 certifieringskrav? </li></ul>www.cloudadvisor.se
  • 18. ILM www.cloudadvisor.se
  • 19. Information Lifecycle Management <ul><li>Logisk segregering av informationen – Vilka kontrollmekanismer har vi för delarna som lever utanför våra system? </li></ul><ul><li>Testa backup &amp; återställning av information som har segregerats och simulera hur informationen assimileras tillbaka ”in-house” </li></ul>www.cloudadvisor.se
  • 20. Portabilitet &amp; Interop www.cloudadvisor.se
  • 21. P &amp; I <ul><li>SaaS </li></ul><ul><ul><li>Process för att kontinuerligt extrahera ut informationen i ”öppet” format </li></ul></ul><ul><li>IaaS </li></ul><ul><ul><li>Utveckla ”binärer” inte knutna till virtuella maskinbilder specifika för leverantören </li></ul></ul><ul><li>PaaS </li></ul><ul><ul><li>Utvecklingsplattformen följer intern it-arkitektur för portabilitet </li></ul></ul>www.cloudadvisor.se
  • 22. Identiteter www.cloudadvisor.se
  • 23. Identiteter <ul><li>Federation färdig? </li></ul><ul><ul><li>SAML (version?) </li></ul></ul><ul><ul><li>WS-Federation </li></ul></ul><ul><ul><li>Liberty ID-FF </li></ul></ul><ul><li>Flerfaktorsautentisering? </li></ul><ul><li>Behörighetskontroll och styrning på applikation/data? </li></ul>www.cloudadvisor.se
  • 24. Datacenterdrift www.cloudadvisor.se
  • 25. Datacenterdrift <ul><li>Fysiskt acceptabel miljö </li></ul><ul><li>Underhållsscheman </li></ul><ul><li>Skydd mot felkonfigureringar (fallback-planer) </li></ul><ul><li>Versionshantering </li></ul><ul><li>Automatiseringsgrad av övervakning &amp; processer för att hantera larm </li></ul><ul><li>Helpdesk </li></ul>www.cloudadvisor.se
  • 26. Incidenthantering www.cloudadvisor.se
  • 27. Incidenthantering <ul><li>Gemensam definition av incident? </li></ul><ul><li>Vad gör leverantören &amp; vad får den göra? </li></ul><ul><li>När/hur blir du notifierad &amp; får du ta in eget CSIRT? </li></ul><ul><li>Polisanmälan? </li></ul><ul><li>Dawn-raid mot leverantör pga annan ”hyresgäst” – påverkan? </li></ul>www.cloudadvisor.se
  • 28. Slutsatser www.cloudadvisor.se
  • 29. Molnen är inget nytt rent tekniskt – men riskerna är definitivt jungfrulig mark! www.cloudadvisor.se
  • 30. Det är spännande möjligheter som ligger helt öppna! www.cloudadvisor.se
  • 31. Verksamheten vill ha resultat och inte ”gnäll och skrämsel” – hantera eller bli överkörd? www.cloudadvisor.se
  • 32. Tack för att ni stod ut med mig! <ul><li>Predrag Mitrovic, predrag@mynethouse.se </li></ul><ul><li>0709 – 200 350 eller på nätet: </li></ul><ul><li>http://mynethouse.se </li></ul><ul><li>Bloggar: </li></ul><ul><ul><li>http://blogg.idg.se/itperspektiv </li></ul></ul><ul><ul><li>http://cloudadvisor.se </li></ul></ul><ul><ul><li>Delaktig i: </li></ul></ul><ul><ul><ul><li>http://tlo-interop.se </li></ul></ul></ul><ul><ul><ul><li>http://it-sakerhetshandboken.se </li></ul></ul></ul>www.cloudadvisor.se

×