• Like
MolnsäKerhet (Symposia 2009)
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

MolnsäKerhet (Symposia 2009)

  • 2,172 views
Published

Presentation on Cloud Security from Symposia Nordic 2009 (in swedish)

Presentation on Cloud Security from Symposia Nordic 2009 (in swedish)

Published in Technology , Business
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
2,172
On SlideShare
0
From Embeds
0
Number of Embeds
1

Actions

Shares
Downloads
6
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Molnsäkerhet Per Hägerö, CTO 1
  • 2. Agenda •  Vad är molnet? •  Strategi för molnsäkerhet •  PortWise Moln erbjudande 2
  • 3. • För några • Skräddarsytt • Lokal produktion och kontroll • Balans- och resultaträkning 3
  • 4. • För alla • Standardiserat • On-demand • Resultaträkning 4
  • 5. • Valfrihet • Komplement • Personligt • Skräddarsytt • Lokal leverans och kontroll • Balans- och resultaträkning 5
  • 6. 6
  • 7. 7
  • 8. 400,000 användare Säkerhet (Privacy) Kostnad 8
  • 9. VAD ÄR MOLNET? 9
  • 10. 10
  • 11. 11
  • 12. 12
  • 13. 834 •  8 egenskaper –  Agilt, Opex, Oberoende, Fler-familjshus, Pålitlighet, Skalbarhet, Säkerhet, Uthållighet •  3 servicemodeller –  IaaS, PaaS, SaaS •  4 spridningssätt –  Privat, Grupp, Publik, Hybrid 13
  • 14. Kriterier för molntjänster • Publikt åtkomligt • Administrationsgränssnitt via API • Stöd för flera hyresgäster • Rätt kostnad för kunden • Skalbarhet och elastisitet • Webbaserad administration • Snabb tilldelning och självbetjäning • Virtualisering och hårdvaruoberoende 14
  • 15. Virtualisering och hårdvaruoberoende •  Användare kan använda tjänsten oberoende av vad andra gör •  Obegränsat med kapacitet (?) •  Ingen hårdvarubegränsning 15
  • 16. Snabb tilldelning och självbetjäning •  Det ska gå snabbt att få tillgång till nya resurser (minuter…istället för dagar och veckor) •  Det bör vara möjligt för kunden att själv kunna lägga till och ta bort resurser 16
  • 17. Administration •  Administrationen sker genom en tunn klient •  Standardiserade gränssnitt (?) –  Utmaning: Admistrera fler moln från samma gränssnitt 17
  • 18. Skalbarhet och elasticitet •  Enkel och dynamisk skalbarhet –  Skala upp men också skala ner •  Minne, lagring, CPU kapacitet •  I run-time 18
  • 19. Rätt kostnad för kunden •  Kunden ska endast betala för det som kunden “konsumerar” •  Idag finns det en flora av betalningsmodeller •  Leverantörer måste erbjuda modeller som är relevanta för kunden 19
  • 20. Stöd för flera hyresgäster •  För att nå fördelarna måste tjänsten hantera flera hyresgäster •  Låter enkelt men; –  Tänk på att olika kunder inte ska påverka varandra –  Säkerheten 20
  • 21. Administrationsgränssnitt via API •  Måste tillhandahålla gränssnitt för administration för bl a; –  Användare –  Tilldelning av rättigheter –  Integration •  Webadmin = API Admin 21
  • 22. Publikt åtkomligt •  En molntjänst ska vara möjlig att använda och adminnistrera över Internet. •  (Gäller inte privat moln och grupp moln) 22
  • 23. Servicemodeller SaaS PaaS IaaS 23
  • 24. Infrastruktur som tjänst (IaaS) •  Hyr processor-, nätverks-, lagrings- och andra fundamentala IT-resurser •  Kör egen programvara som inkluderar operativsystem och applikationer •  Ingen kontroll över hårdvaran men har kontroll över övriga delar och kan t ex själv välja nätverkskomponenter som brandväggar och VPN 24
  • 25. Plattform som tjänst (PaaS) •  Kör egna applikationer i moln infrastrukturen genom att använda programspråk och verktyg som tjänsteleverantören stödjer (t ex Java, .Net) •  Ingen kontroll över den underliggande infrastrukturen •  Kontroll över applikationen och eventuellt konfigurationsmiljön för applikationen 25
  • 26. Applikation som tjänst (SaaS) •  Kör tjänsteleverantörens applikationer som är tillgängliga via tunna klienter helst över flera olika typer av enheter •  Ingen kontroll över något egentligen förutom applikationsspecifika inställningar 26
  • 27. Cirrus eller Altocumulus SaaS PaaS IaaS 27
  • 28. 28
  • 29. Tillämpning och använding Privat moln (internt eller Grupp moln Publikt Hybrid hostat) Moln moln 29
  • 30. STRATEGI FÖR MOLNSÄKERHET 30
  • 31. Innebär det något nytt? •  Visst det adderar ett antal frågetecken…. –  Tillit till leverantör –  Flera hyresgäster –  Kryptering –  Compliance –  Vem har åtkomst till mitt data? –  Lagras det säkert? –  Data recovery? –  Lösenord? –  Inlåsningseffekter? 31
  • 32. Men ärligt….? •  Är det inte så att molntjänster till viss del redan belyser svagheter och sårbarheter som redan finns in nuvarande “Enterprise Architecture”? –  Full koll på data åtkomst? –  Säker lagring? –  Data recovery? –  Lösenord? –  Micros, förlåt inlåsning? 32
  • 33. Men visst… •  det finns ingen anledning att göra om samma misstag flera gånger •  det är lättare (?) att känna till egna brister och svårare att upptäcka dem hos tjänsteleverantören (det krävs tillit till leverantören) •  det senare kan förstås vara skönt men kan vara extremt stressande vid kontrollbehov •  Glöm inte vem som äger varumärket för din organisation eller ditt företag (ett fel hos leverantören är ditt fel) 33
  • 34. Vissa saker är förstås ännu tydligare •  Skalskydd –  Brandväggsförsvaret satt ur spel (kanske inte helt sant för IaaS) •  Identitetshantering –  Tydligare behov av en fungerande livscykelshantering och provisioning (om framför allt de-provisioning) •  Behovet av att värdera ur ett informationsvärdesperspektiv och sedan tillämpa rätt skydd (floskeltoppen ?) 34
  • 35. Generella säkerhetsfördelar •  Separering av publik data och känslig data innebär reducerad risk om det publika läggs I molnet •  Molnet är mer definierat och homogent vilket underlättar revision och testning •  Molnet skapar förutsättning för automatiserad “security management” •  Inbyggt stöd för redundans och återskapning 35
  • 36. Generella säkerhetsutmaningar •  Tillit till leverantörens säkerhetslösning(ar) •  Kundens svårigheter att kunna “handla” på saker som framkommer i en revision •  Möjligheten att göra undersökningar i leverantörens miljö •  Indirekta administratörer (superadmin) •  Ingen möjlighet att undersöka egentillverkade / slutna lösningar •  Ingen fysisk kontroll 36
  • 37. Fördelar vs. Utmaningar •  OBS! Dessa måste värderas unikt för varje leverantör och dessutom ur perspektivet vad tjänsten ska lösa 37
  • 38. Fördelar med molnsäkerhet •  Större IT-säkerhetsbudget (t ex dedikerat säkerhetsteam) •  Bättre feltolerans, högre tillgänglighet •  Tillgång till för-akrediterade miljöer •  On-demand säkerhet 38
  • 39. Utmaningar med molnsäkerhet •  Data utspridning och internationell lagstiftning –  EU’s direktiv för data skydd, PUL, U.S. Safe Harbor program –  Exponering av data för andra stater –  Information Management (Kvarhållning av data, borttagning) •  Isolerad administration •  Flera hyresgäster •  Loggning •  Äganderätt över data •  Garantier för QoS •  Större belöning för hackare •  Säkerhet i hypervisors, virtuellt OS osv. •  Större driftsstopp •  Kryptering (åtkomst till resursadministration, administrativ åtkomst till OS, åtkomst till applikationer, datalagring) •  Polices över olika moln 39
  • 40. Ansvarstagande för säkerheten Kunden Tjänsteleverantören Ansvarstagande IaaS PaaS SaaS 40
  • 41. Flexibilitet i säkerheten Kunden Tjänsteleverantören Flexibilitet IaaS PaaS SaaS 41
  • 42. Riskexponering vs. Cost Kostnad Privat moln Grupp moln Publikt Moln Riskexponering 42
  • 43. Säkerhetsarkitektur •  Moln har oftast en säkerhetsarkitektur men kunderna har olika krav –  Molnen måste erbjuda en flexibilitet •  Kontroll –  Privat > Grupp > Publikt •  Känsligare data kommer att placeras i moln där organisationen har kontroll över säkerhetsarkitekturen 43
  • 44. Värdera vid val •  Governance och •  Data Center Operations Riskhantering •  Incidenthantering och •  Legala krav rapportering, •  Electronic Discovery •  Applikations säkerhet •  Compliance och Revision •  Kryptering och •  Livscykel för informationen nyckelhantering •  Portabilitet och •  Identitets- och Interoperabilitet Åtkomsthantering •  Kontinuitetsplanering •  Lagring •  Virtualisering Ref: Cloud Security Alliance 44
  • 45. Hur får jag ihop det? •  De flesta molnen kommer att behöva väldigt starka säkerhetskontroller •  Välj rätt moln genom att väga riskexponering mot kostnader •  MOLNET finns inte, det finns många moln, modeller och arkitekturval 45
  • 46. Komma igång •  Gör en översikt av möjliga tjänster •  Värdera tjänsten och vilken typ av moln som passar bäst för dig 46
  • 47. STANDARDISERING 47
  • 48. Status •  Här finns det jobb att göra •  Molnet använder i och för sig en massa standarder men… •  Det finns behov att hjälpa kunder med interoperabilitet och utvärderingskriterier –  T ex migrering mellan tjänster •  Kommer att vara lättare för IaaS och sedan med stigande svårighetsgrad 48
  • 49. Exempel •  IAM –  Federation (SAML, WS-federation, Liberty ID-FF) –  Stark autentisering (HOTP, OCRA, TOTP) –  Åtkomsthantering (XACML) •  Kryptering –  PKI, PKCS, •  Information Management –  ISO 15489 49
  • 50. PORTWISE ERBJUDANDE 50
  • 51. 51
  • 52. Rexnet Skola 24 Dexter Fronter Zoho Salesforce.com Google Apps Amazon EC2 OpenAir Windows Live Rackspace Projectplace >> Autentisering >> Åtkomstkontroll Grupp >> Single Sign-On Moln >> Personaliserad portal >> Provisioning >> Identitetshantering UniPoint >> Spårbarhet >> Federering Privata Moln --------------- Enterprise --------------- --------------- --------------- --------------- ------------------------------ --------------- Apps --------------- --------------- --------------- --------------- 52
  • 53. frågor, funderingar, förslag… •  Nu •  per@portwise.com •  linkedin.com/hagero •  facebook.com/hagero •  twitter.com/hagero •  per.hagero@googlewave.com •  070-2691466 •  Färögatan 33, Kista •  eller hos Er 53
  • 54. 54