Kristof Verslype
Smals Research
www.smalsresearch.be
Gevoelige Overheidsdata
en de Cloud
3 april 2014
2/83
AGENDA
De Cloud - Intro
Buitenlandse Overheden
Cloud Services Brokerage
Case: File Sync & Share
Afronding
3/83
De Cloud - Intro
4/83
One heavy client
Many mobile thin clients
Shift
5/83
Enkele voorbeelden
Een virtuele server aanmaken
om een product te testen
Het ontwikkelen van
een web-toepassingEen of...
6/83
Eigenschappen
Bron: NIST Special Publication 800-145. The NIST Definition of Cloud Computing
Self-
service
Broad
netw...
7/83
Public VS Private VS Community
Bedrijf A
Bedrijf B
Public
cloud
Bedrijf D
Bedrijf E
Bedrijf F
Private
Cloud
Community...
8/83
Cloud Services Brokerage
Wat?
Wat? › Waarom? › Functionaliteit › Hoe? › Markt › Samengevat
9/83
Wat?
Een Cloud Service Broker levert meer-
waarde als schakel tussen aanbieders
en eindgebruikers van cloud diensten....
10/83
Cloud Services Brokerage
Waarom?
Wat? › Waarom? › Functionaliteit › Hoe? › Markt › Samengevat
11/83
Spaghetti-architectuur
Afdeling A
Afdeling B
Overheidsdienst
12/83
Spaghetti-architectuur
Afdeling A
Afdeling B
Overheidsdienst
Lijkt goedkoop
13/83
Cloud Services Brokerage
Functionaliteit
Wat? › Waarom? › Functionaliteit › Hoe? › Markt › Samengevat
14/83
Catalogus
Public
Cloud
Community
Cloud
Private
Cloud
Description
cloud-catalog.smals.be
Description
DescriptionDescr...
15/83
User & Access Management
CSB
• (De)provisioning
• Single sign-on
• Integration LDAP, eID, SAML, ….
• Policy enforcem...
16/83
Archivering
CSB
Overheidsdienst
• Eigen beleid rond archivering
• Vb. Clouddienst levert geen langetermijngaranties
...
17/83
Vercijfering
CSB
Overheidsdienst
• Gevoelige gegevens worden vercijferd vooraleer naar publieke cloud
• Bestandsopsl...
18/83
Monitoring / Reporting
CSB
Overheidsdienst
• Cloud-gebruikers
• Data in transit (DLP)
• Cloud-diensten (SLA’s)
 Ver...
19/83
Technisch / Intelligence
Kennis v/d markt
Configuratie cloud-diensten
Integratie
• Cloud – Cloud
• Cloud – Legacy
He...
20/83
Financieël / Contractueel
Financieël
• Eén factuur voor alle cloud-diensten
• Chargeback
• Gebruik kredietkaart
• In...
21/83
Smals als embryonale CSB
Online
cursussen
voor artsen
• Integratie eID
• Monitoring & reporting
Security
• Marktstud...
22/83
Cloud Services Brokerage
Hoe?
Wat? › Waarom? › Functionaliteit › Hoe? › Markt › Samengevat
23/83
CSB Enablers
Een bekende speler:
Een CSB enabler levert technologie en
ondersteuning om een CSB op te zetten
http://...
24/83
Twee cases
=> 2 x telco
25/83
Cloud Services Brokerage
Markt
Wat? › Waarom? › Functionaliteit › Hoe? › Markt › Samengevat
26/83
Een markt in expansie
2013
(in miljard $)
2018
(in miljard $)
Jaarlijkse groei
Cloud brokers 1,57 10,5 46,2%
Cloud b...
27/83
27
Catalog
SSO
Advies
Contract
Beheer
Financieel
Migratie
Integratie
Config
Monitoring
Cloud services
Telenet
CloudO...
28/83
CSB Enablers - Cool Vendors
29/83
Cloud Services Brokerage
Samengevat
Wat? › Waarom? › Functionaliteit › Hoe? › Markt › Samengevat
30/83
Samengevat...
Personeel neemt initiatief, zonder nodige overleg
CSB positieve impact op security
Onvolwassen markt m...
31/83
Spaghetti-architectuur
Afdeling A
Afdeling B
Overheidsdienst
32/83
Overheden Buitenland
33/83
Besproken
Vermeld
USA
34/83
Overheden Buitenland
Nederland
Nederland › Frankrijk › Duitsland › UK › USA › Andere › Conclusies
35/83
April 2011
"Het kabinet kiest er daarom voor om een gesloten
Rijkscloud in eigen beheer in te richten als een
voorzi...
36/83
September 2012
CloudNL
20.000 ambtenaren!!!
Ah nee, toch niet…
37/83
20.000 ambtenaren!!!
Ah nee, toch niet…
September 2012
CloudNL
?
38/83
Juni 2013
∈
- Rijkswaterstaat
- Dienst Justitiële Inrichtingen,
- Inspectie SZW Opsporing,
- Dienst Terugkeer en Ver...
39/83
Maarten Hillenaar
hoofd van de afdeling ICT bij de overheid
Alle informatie over grote projecten, maar
bijvoorbeeld ...
40/83
Consolidatie Data Centers
64
Eigen beheer
Extern
2
2
+
41/83
Ambitieuze plannen teruggeschroefd
Datacenters in eigen land
Consolidatie
Kritiek wegens niet alles in eigen beheer
...
42/83
Overheden Buitenland
Frankrijk
Nederland › Frankrijk › Duitsland › UK › USA › Andere › Conclusies
43/83
Frankrijk, 2012
Vorming 2 consortia
Door Door
https://www.numergy.com/ https://www.cloudwatt.com/
44/83
Frankrijk
• Numergy: Tier 3+
• CloudWatt: Tier 4
Data centers in Frankrijk
• Franse bedrijven: 2/3 = € 150.000.000
•...
45/83
46/83
47/83
48/83
2 x PPS met Franse bedrijven
Datacenters in Frankrijk
Staat investeert vrij veel geld (150m €)
Aanbod gevirtualiseer...
49/83
Overheden Buitenland
Duitsland
Nederland › Frankrijk › Duitsland › UK › USA › Andere › Conclusies
50/83
Duitsland, 2011
Hans-Peter Friedrich, toenmalig
minister Binnenlandse Zaken (CSU)
Veilige, Duitse
Bundescloud nodig ...
51/83
Duitsland
http://www.deutsche-wolke.de/
Officieel voorgesteld op Cebit 2011
“Cloud made in Germany”
• Datacenters in...
52/83
Duitsland
Aanbod (via resellers)
« wordt uitgebreid »
53/83
www.trusted-cloud.de
Gestart in 2011
• “Ontwikkelen en testen van innovatieve, veilige en
rechtsconforme cloudcomput...
54/83
TRESOR
Aanbod (in ontwikkeling)
• KMO’s (9)
• Gezondheidszorg (3)
• Publieke sector (2)
Pilootproject voor certifiër...
55/83
Uitbouw nationale cloud
Aanbod in ontwikkeling
Investering overheid (50m €)
Focus op SaaS. Mindere mate IaaS
Duitsla...
56/83
Overheden Buitenland
UK
Nederland › Frankrijk › Duitsland › UK › USA › Andere › Conclusies
57/83
http://gcloud.civilservice.gov.uk/
Catalogus geaccrediteerde clouddiensten
Volledige publieke sector
Kansen national...
58/83
59/83
IL6
Top Secret
IL5
Secret
IL4
Confidential
IL3
Restricted
IL2
Protect
IL0
No impact
IL1
Unclassified
Non protectivel...
60/83
• Business Impact Level (« BIL » of « IL »)
BIL 3.3.4Availability
Integrity
Confidentiality
BIL 3
61/83
Pan Government Accreditation
=► Do it once
62/83
• Accreditatie
“BIL 33x services will be delivered through PSN Direct Network Service
Providers (DNSPs) and will not...
63/83
Defence, International Relations, Security and Intelligence
Public Order, Public Safety and Law Enforcement
Trade, E...
64/83
65/83
Catalogus cloud-diensten op G-Cloud
Verfijnd classificatiemodel voor diensten en data
Protect data blijft in UK, Con...
66/83
Overheden Buitenland
USA
Nederland › Frankrijk › Duitsland › UK › USA › Andere › Conclusies
67/83
Verenigde Staten
Cloud 1st strategy
Cloud Store stopgezet (~G-cloud)
Federal Data Center Consolidation Initiative (F...
68/83
Verenigde Staten
Wel extra maatregelen
• Extra security
• FISMA accreditatie, ITAR, FedRAMP
• Logisch en fysiek gesc...
69/83
Overheden Buitenland
Andere
Nederland › Frankrijk › Duitsland › UK › USA › Andere › Conclusies
70/83
Verbod gebruik
Google Apps
Verbod gebruik Google Apps
Verbod forwarden naar gMail
71/83
Overheden Buitenland
Conclusies
Nederland › Frankrijk › Duitsland › UK › USA › Andere › Conclusies
72/83
1st
Strategy
Soevereine clouds
in opbouw
Confidential data
stays inside
the country
Conclusies
73/83
De soevereine cloud…
74/83
World economyEurope
Toekomst
75/83
« Vertrouwen is goed,
controle is beter »
Wat gebeurt echt met gegevens in de cloud?
Vb. Onthullingen Snowden
76/83
77/83
Ook andere landen bouwen
inlichtingendiensten verder uit
http://www.spiegel.de/politik/deutschland/internet-ueberwac...
78/83
Afhankelijkheid andere landen
?
79/83
Wat bij buitenlandse overname
eigen nationale spelers?
Nationale belangen VS. vrijemarktprincipes
80/83
Tegelijkertijd
besparingsdruk
Grotere landen meer schaalvoordelen bij
soevereine cloud
81/83
En België
Verspreide initiatieven
• VDAB, VAPH
• Cloud policy SZ
• Synergieën SZ -> Community cloud
Nationale initia...
82/83
Mogelijke rol Smals
Publieke Cloud
Internationaal
Belgische cloud
Commercieel
Gov. Cloud
Gov. Managed
No Cloud
Smals...
83/83
Eindelijk…
« Was mich nicht umbringt, macht mich stärker »
Friedrich Nietzsche, Duits filosoof
1/126
File Sync & Share
2/126
De Cloud - Intro
Buitenlandse Overheden
Cloud Services Brokerage
Case: File Sync & Share
Afronding
Wat?
Public Cloud...
3/126
File Sync & Share
Wat?
Wat? › Public cloud › Private Cloud › Apps › End-Point › Nieuwe Dienst
4/126
Zoals…
voor bedrijven/overheden
= Enterprise File Sharing
5/126
Direct Access
(from everywhere)
6/126
Synchronisatie
Alternatief voor directe toegang
Extra synchronisatiestap neemt tijd
Daarna wel sneller toegang tot g...
7/126
Directe toegang & Synchronisatie
vaak complementair
8/126
Delen
https://djcue346ivcf...
Jack
Joe
William
Averell
9/126
Gebruiksvriendelijk
Toegang &
beheer data
Overal
toegang
Synchro-
nisatie
Privé en
enterprise
Client
Mobiel, PC
en W...
10/126
10
Te vermijden….
11/126
File Sync
& Share
Directe toegang
Gebruiks-
vriendelijk
Synchronisatie
Flexibel delen
Samengevat
12/126
Model
Public
Private
Community
Private persoon
Bedrijf
13/126Wat? › Public cloud › Private Cloud › Apps › End-Point › Nieuwe Dienst
File Sync & Share
Public Cloud
14/126
…
15/126
Gevaren
Data exfiltration
• Wat indien medewerker weg (vb. naar concurrentie)
• Gehackte account (vb. door zwak pas...
16/126
« Ook voor enterprise use! »
Beperkingen…
17/126
SSL
http://www.computerworld.com/s/article/9242384/Dropbox_takes_a_peek_at_files
“Secure Sockets
Layer (SSL) & AES-...
18/126
...
≠ Classic
19/126
Bob Johan
20/126
PKSK PKSK
Initialisatie
Sleutels lokaal gegenereerd in BoxCryptor client
Bob Johan
21/126
PKSK PKSK
Initialisatie
Sleutels lokaal gegenereerd in BoxCryptor client
Private sleutel password protected
Bescher...
22/126
PKSK PKSK
PKSK
PKSK
Bob Johan
Uploaden bestand
23/126
AES
PKSK PKSK
PKSK
PKSK
Bob Johan
Uploaden bestand
Per file unieke AES sleutel gegenereerd
AES
24/126
AES
PKSK PKSK
PKSK
PKSK
Bob Johan
Uploaden bestand
Per file unieke AES sleutel gegenereerd
AES sleutel vercijferd m...
25/126
PKSK PKSK
PKSK
PKSK
Bob Johan
AES
AES
PK
Uploaden bestand
Per file unieke AES sleutel gegenereerd
AES sleutel verci...
26/126
PKSK
PKSK PK
PKSK PKSK
Bob Johan
AES
AESAES
PK
AESAES
PK
Delen
File-key + publieke sleutel Johan gedownload door Bob
27/126
PKSK PKSK
PKSK
PKSK
Bob Johan
AES
AESAES
PK
PKAES
PK
Delen
File-key + publieke sleutel Johan gedownload door Bob
Bo...
28/126
AES
PKSK PKSK
PK
PKSK
PKSK
Bob Johan
AES
AESAES
PK
AES
PK
Delen
File-key + publieke sleutel Johan gedownload door B...
29/126
PKSK PKSK
PKSK
PKSK
Bob Johan
AES
AESAES
PK
AES
PK
AES
AES
PK
Toegang gegevens
Johan downloadt doc + geëncrypteerde...
30/126
PKSK PKSK
PKSK
PKSK
Bob Johan
AES
AESAES
PK
AES
PK
Toegang gegevens
Johan downloadt doc + geëncrypteerde file key
J...
31/126
PKSK PKSK
PKSK
PKSK
Bob Johan
AES
AESAES
PK
AES
PK
Toegang gegevens
Johan downloadt doc + geëncrypteerde file key
J...
32/126
Functionaliteit & gebruiksvriendelijkheid
• Delen blijft mogelijk
• Enkel toegang met BoxCryptor client
• Dropbox w...
33/126
33
Gecentraliseerd beheer
We willen integratie met eigen UAM
i.p.v. beperkt user & policy mgt voor
elke cloud-diens...
34/126
Interessant concept,
maar minder geschikt in onze context
35/126
Uitgebreid enterprise management
Geen client side encryptie
Eigen opslag mogelijk
Client side encryptie + Eigen ops...
36/126
Enkele bedenkingen
bij public cloud FSS oplossingen
37/126
FSS oplossingen vaak
initieel consumer-oriented
Trachten nu enterprise
functionaliteit toe te voegen
(incl. securit...
38/126
Er zijn oplossingen
met extra security
Desondanks...
39/126
Spanningsveld
Enterprise
functionaliteit
Confiden-
tialiteit
Gebruiks-
vriendelijkheid
De drie elementen samen in d...
40/126Wat? › Public cloud › Private Cloud › Apps › End-Point › Nieuwe Dienst
File Sync & Share
Private Cloud
41/126
Scenario: Delen Documenten
Cobaye Proefkonijn
Een CEO
 ~ OneDrive / DropBox / …
 Gehost door Smals
 Delen docs m...
42/126
Computer
Secretariaat CEO
Tablet CEO
Server
bij Smals
43/126
Tablet CEO
Server
bij Smals
44/126
Tablet CEO
Server
bij Smals
45/126
Tablet CEO
Server
bij Smals
Synchronisatie
Bestanden worden
automatisch gekopieerd
naar server bij Smals
46/126
Tablet CEO
Server
bij Smals
CEO synchro-
niseert zijn tablet met
de server bij Smals
47/126
Tablet CEO
Server
bij Smals
CEO heeft offline
toegang tot de
bestanden op zijn
tablet
48/126
Tablet CEO
Server
bij Smals
Secretariaat
verwijdert
documenten
49/126
Tablet CEO
Server
bij Smals
Synchronisatie
Bestanden worden
automatisch verwijderd
op server bij Smals
50/126
Tablet CEO
Server
bij Smals
Synchronisatie
Bestanden
worden
verwijderd op
tablet CEO
51/126
CEO
Meeting
Alfa
Meeting
Beta
Organisatie B
Organisatie A
Gegeneraliseerd Scenario
Server-side
repositories
52/126
FSS Scenario’s
Beheren & delen documenten meetings
Foto’s en verslagen op verplaatsing (vb.
werven) direct delen me...
53/126
We testten…
Heeft goede referenties
54/126http://indico.cern.ch/getFile.py/access?contribId=82&sessionId=6&resId=0&materialId=slides&confId=214784
CERN koos v...
55/126
Architectuur
Database
LDAP
Storage
Application
servers
Load-
balancers
Courante
producten
ondersteund
Alles dat
mou...
56/126
Community-based, geen SLA’s!
57/126
De gebruiker
Owncloud
PC Client
Network
drive mapping
Web
interface
Owncloud
client app
app
Generieke
client app
Sy...
58/126
De gebruiker
Owncloud
PC Client
Network
drive mapping
Web
interface
Owncloud
client app
app
Generieke
client app
Sy...
59/126
Alles dat aan
mij gedeeld is
60/126
Kova zal mijn map
/Confidentieel zien in zijn
/Shared/Confidentieel
61/126
62/126
« Only share in your groups »
An
Bob
Charlie
Dirk
Evelien
FrankGerard
Helena
Isabelle
Jochen
Kris
Leon
« Kan delen ...
63/126
64/126
65/126
De gebruiker
Owncloud
PC Client
Network
drive mapping
Web
interface
Owncloud
client app
app
Generieke
client app
Sy...
66/126
67/126
De gebruiker
Owncloud
PC Client
Network
drive mapping
Web
interface
Owncloud
client app
app
Generieke
client app
Sy...
68/126
69/126
Gebruiksvriendelijkheid
Server
•Eenvoudige basisinstallatie
•Flexibel
•Apps (uitbreidingen) niet steeds matuur
PC c...
70/126
Ervaringen
• Evolueert snel
Matuur
• Uitgebreide functionaliteit om te delen
• Prullenmand
• Vorige versies
Sommige...
71/126
Demo
72/126
Demo - Scenario
Rechten op map « Raad van Bestuur »
Geen rechten op map « Directiecomité »
geeft rechten aan
+
+
vo...
73/126
Video te downloaden op
www.smalsresearch.be
74/126
Video te downloaden op
www.smalsresearch.be
75/126
Video te downloaden op
www.smalsresearch.be
76/126
Video te downloaden op
www.smalsresearch.be
77/126
Video te downloaden op
www.smalsresearch.be
78/126
Conclusie
• Ook open source
• Uitgebreid getest
• Evaluatie positief
Degelijke private cloud FSS oplossingen
• Veil...
79/126Wat? › Public cloud › Private Cloud › Apps › End-Point › Nieuwe Dienst
File Sync & Share
Apps
80/126
We bekijken…
1) Client apps voor toegang bestanden op server
2) Viewers apps om documenten te bekijken
Client app g...
81/126
Client apps
82/126
We bekeken reeds
Nu volgt kort
FolderSync Owncloud
GoodReader
Generische
client
Owncloud
client
Client Apps
83/126
84/126
85/126
86/126
87/126
OS Sync Direct
access
Cache Share Convi
vialité
Flexi
bilité
File name
length
Viewers €
Dropbox
2.3
No Yes Yes link...
88/126
Clients: Custom - Generiek
Config.
+++ ++ +
Accounts
(gelijktijdig)
Delen
(met link)
Generic
client
…
89/126
Kies in functie van
je voorkeuren & vereisten
- Directe toegang Vs. synchronisatie
- Meerdere accounts Vs. 1 account
90/126
Viewer apps
91/126
Enkele Viewer Apps
Kingsoft Office
AstralPad
Smart Office 2
ThinkFree
Kingsoft Office
OfficeSuite
Microsoft Office
...
92/126
93/126
Aandachtspunten
Weergavekwaliteit Annotatie PDFs
Editeren DocumentenWeergavesnelheid
• Quasi perfecte weergave
• Do...
94/126
Conclusie
Diverse
Client apps & viewer apps
mogelijk
Fijn, maar daarmee is onze tablet nog niet veilig…
95/126Wat? › Public cloud › Private Cloud › Apps › End-Point › Nieuwe Dienst
File Sync & Share
End-Point Security
96/126
Probleemstelling
Password:
Access granted!
1234
Toegenomen risico compromitteren gevoelige data
Gebrek aan controle...
97/126
Containerization
Mobile
Device
Moni-
toring
Manag-
ement
Support
Security Data
Con-
tain-
ment
Mobile Device
Manage...
98/126
Mobile Device Management (MDM)
99/126
Functionaliteiten
Inventaris
Security
policies
Monitoring
Provisioning
App control
Lock & wipe
Mgt. Dashboard
100/126
Functionaliteiten
101/126
Functionaliteiten
102/126
Architectuur
VSP
Sentry
Lotus Notes,
Exchange, …
FSS
Sentry
Enkel gekende
devices toegang
dienst
Internet
Intern n...
103/126
Containerization
Containerization uitbreidingen
Docs@Work Web@Work Apps@Work
Gegevens verlaten afgeschermde omgevi...
104/126
105/126
WatchDocs TODO
http://www2.watchdox.com/
File Sync & Share + Containerization
Document-oriented
Integreert met Out...
106/126
107/126
« We gebruiken AES-256 »
≠
« Alles is in elke situatie veilig »
Volledig ecosysteem nodig!
108/126
Veilige Server
Infrastructuur
Secure connection
MDM
Een ecosysteem
Container
(Alternatieve oplossing laat alle int...
109/126Wat? › Public cloud › Private Cloud › Apps › End-Point › Nieuwe Dienst
File Sync & Share
Nieuwe Dienst
110/126
Werkstation
(=PC of Draagbare PC)
Werkstation + VPN Privé mobiel toestel
(=Tablet/smartphone)
Netwerk Extranet Ext...
111/126
Voorbeeld Mobiel toestel
zonder
gecentraliseerd
beheer
Mobiel toestel
met
gecentraliseerd
beheer
Mobiel toestel
me...
112/126
Extranet Sociale ZekerheidInternet
ISZAISZB
VPN
113/126
Beyond Social Security
Extranet SZ
FedMAN
=> Volwaardige dienst voor alle federale overheidsdiensten
114/126
Overheids-
dienst A
Delen binnnen en tussen instellingen
Overheids-
dienst B
Overheids-
dienst C
Groep Alfa
Groep ...
115/126
Conclusie
In progress. Smals werkt aan uitbouw veilige
FSS dienst om vertrouwelijke gegevens te
delen binnen en tu...
116/126
Afronding
117/126
Conclusies
CSB kan security verhogen bij gebruik cloud diensten
Buitenlandse overheden houden gevoelige data inter...
118/126
Herwin de controle!
Community
cloud
CSB
Private
cloud
Cloud-anarchie
119/126
Verandert constant ongevraagd
Is niet transparant
Kan oplossen & verdwijnen
FEITEN
De public cloud...
120/126
Geïnfiltreerd door overheden?
Minder veilig dan de groten?
Duurder? Goedkoper?
VRAGEN
Meer samenwerking → Meer sch...
121/126
Vandaag OK ≠ morgen OK (rekenkracht, veronderstellingen)
Door jou verwijderd ≠ effectief verwijderd
Applicatie ...
122/126
Sociale Zekerheid
Veiligheidspolicy’s voor o.a.
https://www.ksz-bcss.fgov.be/nl/bcss/page/content/websites/belgium...
123/126
Risicoanalyse
Wat is de aarde en gevoeligheid van de gegevens?
Wat is de impact bij compromitteren van de data
Tot...
124/126
Match?
Next steps…
Data
Overheids-
dienst
Cloud Provider
Matur-
iteit?
Aard?
Gevoelig-
heid?
Security?
125/126
Artikels
– De Stille machtsgreep van de Cloud
– Hoe het Britse Ministerie van Defensie omgaat met
persoonsgegevens...
126/126
127/126
Externe referenties
• NIST Special Publication 800-145. The NIST
Definition of Cloud Computing. NIST, 2011
http://...
128/126
App. A: Gebruikerspolicy voor
mobiele toestellen SZ
Categorie Beschrijving
Publieke gegevens Als publieke gegevens...
129/126
App. B: Gevoelige gegevens op
draagbare computers
• « De bewaring van gevoelige gegevens op de portable PC
dient v...
130/126
App. C: Gevoelige gegevens
vie e-Mail en Internet
• « Alle gegevens van persoonlijke of medische aard die
elektron...
131/126
App. D: Extranet SZ
« De socialezekerheidsinstellingen dienen de minimale
veiligheidsnormen na te leven voor hun t...
Upcoming SlideShare
Loading in …5
×

Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

1,027 views

Published on

Smals Research infosession by research consultant Kristof Verslype on Government use of Cloud Services and protection of sensitive information.

Published in: Internet
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,027
On SlideShare
0
From Embeds
0
Number of Embeds
318
Actions
Shares
0
Downloads
14
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

  1. 1. Kristof Verslype Smals Research www.smalsresearch.be Gevoelige Overheidsdata en de Cloud 3 april 2014
  2. 2. 2/83 AGENDA De Cloud - Intro Buitenlandse Overheden Cloud Services Brokerage Case: File Sync & Share Afronding
  3. 3. 3/83 De Cloud - Intro
  4. 4. 4/83 One heavy client Many mobile thin clients Shift
  5. 5. 5/83 Enkele voorbeelden Een virtuele server aanmaken om een product te testen Het ontwikkelen van een web-toepassingEen office-pakket toegankelijk vanaf elke computer met internet Delen van gegevens tussen mijn PC, tablet en smartphone en delen met collega’s Een e-Mailomgeving waar het personeel overal toegang tot heeft
  6. 6. 6/83 Eigenschappen Bron: NIST Special Publication 800-145. The NIST Definition of Cloud Computing Self- service Broad network access Rapid elasticity Measured service Resource pooling
  7. 7. 7/83 Public VS Private VS Community Bedrijf A Bedrijf B Public cloud Bedrijf D Bedrijf E Bedrijf F Private Cloud Community cloud
  8. 8. 8/83 Cloud Services Brokerage Wat? Wat? › Waarom? › Functionaliteit › Hoe? › Markt › Samengevat
  9. 9. 9/83 Wat? Een Cloud Service Broker levert meer- waarde als schakel tussen aanbieders en eindgebruikers van cloud diensten. CSB In public, community of private cloud Werking en beschikbaarheid cloud diensten vallen buiten controle cloud service broker Intern of extern
  10. 10. 10/83 Cloud Services Brokerage Waarom? Wat? › Waarom? › Functionaliteit › Hoe? › Markt › Samengevat
  11. 11. 11/83 Spaghetti-architectuur Afdeling A Afdeling B Overheidsdienst
  12. 12. 12/83 Spaghetti-architectuur Afdeling A Afdeling B Overheidsdienst Lijkt goedkoop
  13. 13. 13/83 Cloud Services Brokerage Functionaliteit Wat? › Waarom? › Functionaliteit › Hoe? › Markt › Samengevat
  14. 14. 14/83 Catalogus Public Cloud Community Cloud Private Cloud Description cloud-catalog.smals.be Description DescriptionDescription • Aanbod gevalideerde cloud-diensten • Gebruiksvriendelijk • Ondersteuning • Gepersonaliseerde catalogi • Abstractie achterliggende clouds => Vermijdt wildgroei, stimuleert compliancy Overheids- dienst
  15. 15. 15/83 User & Access Management CSB • (De)provisioning • Single sign-on • Integration LDAP, eID, SAML, …. • Policy enforcement => Verbetering UAM Overheidsdienst
  16. 16. 16/83 Archivering CSB Overheidsdienst • Eigen beleid rond archivering • Vb. Clouddienst levert geen langetermijngaranties • Vb. Wat bij faillissement dienst? => Beschikbaarheid data langetermijn
  17. 17. 17/83 Vercijfering CSB Overheidsdienst • Gevoelige gegevens worden vercijferd vooraleer naar publieke cloud • Bestandsopslag & uitwisseling, e-Mail, …. => Verhogen confidentialiteit
  18. 18. 18/83 Monitoring / Reporting CSB Overheidsdienst • Cloud-gebruikers • Data in transit (DLP) • Cloud-diensten (SLA’s)  Verhogen inzicht/overzicht gebruik data  Eventueel ingrijpen indien nodig  Nuttig bij veiligheidsincident
  19. 19. 19/83 Technisch / Intelligence Kennis v/d markt Configuratie cloud-diensten Integratie • Cloud – Cloud • Cloud – Legacy Helpdesk Vermijden vendor lock-in • Vb. Door aanbieden uniforme API
  20. 20. 20/83 Financieël / Contractueel Financieël • Eén factuur voor alle cloud-diensten • Chargeback • Gebruik kredietkaart • Indekken tegen wisselkoersen Contractueel • Raamcontracten (volumekorting) • SLA’s gerespecteerd? • Juridische vertegenwoordiging
  21. 21. 21/83 Smals als embryonale CSB Online cursussen voor artsen • Integratie eID • Monitoring & reporting Security • Marktstudie • Lastenboekprocedure • Facturatie • Accreditatiegeneratie • … Andere
  22. 22. 22/83 Cloud Services Brokerage Hoe? Wat? › Waarom? › Functionaliteit › Hoe? › Markt › Samengevat
  23. 23. 23/83 CSB Enablers Een bekende speler: Een CSB enabler levert technologie en ondersteuning om een CSB op te zetten http://www.jamcracker.com/
  24. 24. 24/83 Twee cases => 2 x telco
  25. 25. 25/83 Cloud Services Brokerage Markt Wat? › Waarom? › Functionaliteit › Hoe? › Markt › Samengevat
  26. 26. 26/83 Een markt in expansie 2013 (in miljard $) 2018 (in miljard $) Jaarlijkse groei Cloud brokers 1,57 10,5 46,2% Cloud broker enablers 0,225 2,03 55,3% Bron: Market & Markets, Maart 2013 “Omzet 100 miljard voor CSB + CSB Enablers jaarlijks tegen eind 2014” “Tegen 2015 zal minstens 20% van alle cloud-diensten via CSBs afgenomen worden.” December 2012 Oktober 2013
  27. 27. 27/83 27 Catalog SSO Advies Contract Beheer Financieel Migratie Integratie Config Monitoring Cloud services Telenet CloudOffice X X MS Exchange + anti-virus/-spam, kalender, Nomadesk Teamserver Belgacom BeCloud X X MS Exchange, Sharepoint, Lync, Office CloudBrokerz.nl X X X X No restrictions given CloudSherpas X X X X X X X Focus op Google & Salesforce Vordel X X X X X No restrictions given Apperio X X X Focus op Google, Salesforce & Amazon Dell X X X SalesForce CSC X No restrictions given Accenture X No restrictions given Enkele cloud brokers…
  28. 28. 28/83 CSB Enablers - Cool Vendors
  29. 29. 29/83 Cloud Services Brokerage Samengevat Wat? › Waarom? › Functionaliteit › Hoe? › Markt › Samengevat
  30. 30. 30/83 Samengevat... Personeel neemt initiatief, zonder nodige overleg CSB positieve impact op security Onvolwassen markt met sterke groei Term CSB niet altijd even scherp afgebakend Traditionele service providers (vb. telco’s) nemen de rol van CSB op
  31. 31. 31/83 Spaghetti-architectuur Afdeling A Afdeling B Overheidsdienst
  32. 32. 32/83 Overheden Buitenland
  33. 33. 33/83 Besproken Vermeld USA
  34. 34. 34/83 Overheden Buitenland Nederland Nederland › Frankrijk › Duitsland › UK › USA › Andere › Conclusies
  35. 35. 35/83 April 2011 "Het kabinet kiest er daarom voor om een gesloten Rijkscloud in eigen beheer in te richten als een voorziening die generieke diensten levert binnen de Rijksdienst. Deze voorziening wordt ingericht binnen een eigen beveiligd netwerk en wordt beheerd door een eigen, rijksbrede organisatie.“ Brief aan de Kamer op 20 april 2011 …
  36. 36. 36/83 September 2012 CloudNL 20.000 ambtenaren!!! Ah nee, toch niet…
  37. 37. 37/83 20.000 ambtenaren!!! Ah nee, toch niet… September 2012 CloudNL ?
  38. 38. 38/83 Juni 2013 ∈ - Rijkswaterstaat - Dienst Justitiële Inrichtingen, - Inspectie SZW Opsporing, - Dienst Terugkeer en Vertrek, - Rijksinstituut voor Volksgezondheid en Milieu, - Koninklijk NL Meteorologisch Instituut - Planbureau voor de Leefomgeving, - College ter Beoordeling van Geneesmiddelen, - Centraal planbureau - Sociaal en Cultureel Planbureau. Datacenter in eigen beheer, zoals AIVD, is verstandiger!
  39. 39. 39/83 Maarten Hillenaar hoofd van de afdeling ICT bij de overheid Alle informatie over grote projecten, maar bijvoorbeeld ook de camera's en de bediening van de matrixborden boven de snelweg gebeurt via dit datacentrum. Je moet qua hoeveelheid niet meer aan gigabyte denken, we hebben het hier eerder over 70 terabyte.
  40. 40. 40/83 Consolidatie Data Centers 64 Eigen beheer Extern 2 2 +
  41. 41. 41/83 Ambitieuze plannen teruggeschroefd Datacenters in eigen land Consolidatie Kritiek wegens niet alles in eigen beheer Cloud in kinderschoenen Cloud 1st strategie Wat bij overname nationale spelers? Nederland: Conclusies
  42. 42. 42/83 Overheden Buitenland Frankrijk Nederland › Frankrijk › Duitsland › UK › USA › Andere › Conclusies
  43. 43. 43/83 Frankrijk, 2012 Vorming 2 consortia Door Door https://www.numergy.com/ https://www.cloudwatt.com/
  44. 44. 44/83 Frankrijk • Numergy: Tier 3+ • CloudWatt: Tier 4 Data centers in Frankrijk • Franse bedrijven: 2/3 = € 150.000.000 • Staat: 1/3 = € 75.000.000 PPS (per consortium) • Overheidsinstellingen • Bedrijven Doelgroep • Cloudwatt: Cloudwatt-box - File Sync & Share • Numergy: gevirtualiseerde omgevingen • Zie volgende slides… Aanbod (wordt uitgebreid)
  45. 45. 45/83
  46. 46. 46/83
  47. 47. 47/83
  48. 48. 48/83 2 x PPS met Franse bedrijven Datacenters in Frankrijk Staat investeert vrij veel geld (150m €) Aanbod gevirtualiseerde server-omgevingen & FSS Soevereine cloud staat vrij ver Partnerships binnen EU (vb. Numergy met Belgacom) Frankrijk: Conclusies
  49. 49. 49/83 Overheden Buitenland Duitsland Nederland › Frankrijk › Duitsland › UK › USA › Andere › Conclusies
  50. 50. 50/83 Duitsland, 2011 Hans-Peter Friedrich, toenmalig minister Binnenlandse Zaken (CSU) Veilige, Duitse Bundescloud nodig voor regeringsinstellingen 12/20112 initiatieven
  51. 51. 51/83 Duitsland http://www.deutsche-wolke.de/ Officieel voorgesteld op Cebit 2011 “Cloud made in Germany” • Datacenters in Duitsland • Uitbating & beheer: Duitse bedrijven Transparantie • Open standaarden, formaten, interface • Volledige stack open source Ontdubbeling over datacenters • Bestaande infrastructuur
  52. 52. 52/83 Duitsland Aanbod (via resellers) « wordt uitgebreid »
  53. 53. 53/83 www.trusted-cloud.de Gestart in 2011 • “Ontwikkelen en testen van innovatieve, veilige en rechtsconforme cloudcomputing-oplossingen” 100 miljoen € • 50% gov, 50% privé • Overwegend Duitse bedrijven Doelgroep • KMO’s • Gezondheidszorg • Publieke sector Project
  54. 54. 54/83 TRESOR Aanbod (in ontwikkeling) • KMO’s (9) • Gezondheidszorg (3) • Publieke sector (2) Pilootproject voor certifiëring clouddiensten Juridisch luik Activiteit
  55. 55. 55/83 Uitbouw nationale cloud Aanbod in ontwikkeling Investering overheid (50m €) Focus op SaaS. Mindere mate IaaS Duitsland: Conclusies
  56. 56. 56/83 Overheden Buitenland UK Nederland › Frankrijk › Duitsland › UK › USA › Andere › Conclusies
  57. 57. 57/83 http://gcloud.civilservice.gov.uk/ Catalogus geaccrediteerde clouddiensten Volledige publieke sector Kansen nationale spelers Aanbod • 800 aanbieders • 7,000 diensten Business via G-Cloud • £92,7m tot 28/01/14 (sinds begin 2012) • 70% KMO’s • Meeste contracten consultancy
  58. 58. 58/83
  59. 59. 59/83 IL6 Top Secret IL5 Secret IL4 Confidential IL3 Restricted IL2 Protect IL0 No impact IL1 Unclassified Non protectively marked Google, Amazon Salesforce Microsoft Azure, Office 365 … SCC Skyscape Atos Lockheed Martin GSAE Amerikaanse bedrijven reageren • Oracle wil IL3 en bouwt datacenter in UK • Salesforce gelijkaardig Accreditaties Government- Managed cloud
  60. 60. 60/83 • Business Impact Level (« BIL » of « IL ») BIL 3.3.4Availability Integrity Confidentiality BIL 3
  61. 61. 61/83 Pan Government Accreditation =► Do it once
  62. 62. 62/83 • Accreditatie “BIL 33x services will be delivered through PSN Direct Network Service Providers (DNSPs) and will not be offshored outside the UK. “ “Usage of cloud services at BIL4 and above for Confidentiality should be implemented through private cloud services“ “11x/22x makes extensive use of suitably scoped ISO/IEC 27001 certification “
  63. 63. 63/83 Defence, International Relations, Security and Intelligence Public Order, Public Safety and Law Enforcement Trade, Economics and Public Finance Public Services Critical National Infrastructure (CNI) Personal / Citizen Bepalen gevoeligheid gegevens a.d.h.v. zes tabellen
  64. 64. 64/83
  65. 65. 65/83 Catalogus cloud-diensten op G-Cloud Verfijnd classificatiemodel voor diensten en data Protect data blijft in UK, Confidential data gov-managed Pan-government accreditatie Omzet vooral via consultancy Cloud first strategy Conclusies
  66. 66. 66/83 Overheden Buitenland USA Nederland › Frankrijk › Duitsland › UK › USA › Andere › Conclusies
  67. 67. 67/83 Verenigde Staten Cloud 1st strategy Cloud Store stopgezet (~G-cloud) Federal Data Center Consolidation Initiative (FDCCI) • 3000 -> 1800 in 2015(-40%) • D.m.v. cloud principes • Ook nieuwe datacenters (vb. Utah Data Center)
  68. 68. 68/83 Verenigde Staten Wel extra maatregelen • Extra security • FISMA accreditatie, ITAR, FedRAMP • Logisch en fysiek gescheiden omgeving Nationale spelers ~ wereldspelers Gebruik commerciële diensten
  69. 69. 69/83 Overheden Buitenland Andere Nederland › Frankrijk › Duitsland › UK › USA › Andere › Conclusies
  70. 70. 70/83 Verbod gebruik Google Apps Verbod gebruik Google Apps Verbod forwarden naar gMail
  71. 71. 71/83 Overheden Buitenland Conclusies Nederland › Frankrijk › Duitsland › UK › USA › Andere › Conclusies
  72. 72. 72/83 1st Strategy Soevereine clouds in opbouw Confidential data stays inside the country Conclusies
  73. 73. 73/83 De soevereine cloud…
  74. 74. 74/83 World economyEurope Toekomst
  75. 75. 75/83 « Vertrouwen is goed, controle is beter » Wat gebeurt echt met gegevens in de cloud? Vb. Onthullingen Snowden
  76. 76. 76/83
  77. 77. 77/83 Ook andere landen bouwen inlichtingendiensten verder uit http://www.spiegel.de/politik/deutschland/internet-ueberwachung-bnd-will-100-millionen-investieren-a-905938.html Hans-Peter Friedrich, toenmalig minister Binnenlandse Zaken (CSU) Natuurlijk moeten onze inlichtingendiensten op internet aanwezig zijn 06/2013 « BNC (Bundesnachrichtendienst) wil 100 miljoen € investeren om het Internet af te luisteren » Der Spiegel, 06/2013
  78. 78. 78/83 Afhankelijkheid andere landen ?
  79. 79. 79/83 Wat bij buitenlandse overname eigen nationale spelers? Nationale belangen VS. vrijemarktprincipes
  80. 80. 80/83 Tegelijkertijd besparingsdruk Grotere landen meer schaalvoordelen bij soevereine cloud
  81. 81. 81/83 En België Verspreide initiatieven • VDAB, VAPH • Cloud policy SZ • Synergieën SZ -> Community cloud Nationale initiatieven? • Fedict stootte op financiële obstakels >> België loopt achter! <<
  82. 82. 82/83 Mogelijke rol Smals Publieke Cloud Internationaal Belgische cloud Commercieel Gov. Cloud Gov. Managed No Cloud Smals als CSB Catalogus, UAM, monitoring, advies, … Smals als cloud aanbieder Vb. File sync & Share, Virtuele servers Publieke gegevens Top Secret gegevens Smals infrastructuur (mits certifiëring) Suggesties? Synergieën?
  83. 83. 83/83 Eindelijk… « Was mich nicht umbringt, macht mich stärker » Friedrich Nietzsche, Duits filosoof
  84. 84. 1/126 File Sync & Share
  85. 85. 2/126 De Cloud - Intro Buitenlandse Overheden Cloud Services Brokerage Case: File Sync & Share Afronding Wat? Public Cloud Private Cloud End-Point Security Nieuwe Dienst Apps AGENDA
  86. 86. 3/126 File Sync & Share Wat? Wat? › Public cloud › Private Cloud › Apps › End-Point › Nieuwe Dienst
  87. 87. 4/126 Zoals… voor bedrijven/overheden = Enterprise File Sharing
  88. 88. 5/126 Direct Access (from everywhere)
  89. 89. 6/126 Synchronisatie Alternatief voor directe toegang Extra synchronisatiestap neemt tijd Daarna wel sneller toegang tot gegevens
  90. 90. 7/126 Directe toegang & Synchronisatie vaak complementair
  91. 91. 8/126 Delen https://djcue346ivcf... Jack Joe William Averell
  92. 92. 9/126 Gebruiksvriendelijk Toegang & beheer data Overal toegang Synchro- nisatie Privé en enterprise Client Mobiel, PC en Web Public, private, community cloud
  93. 93. 10/126 10 Te vermijden….
  94. 94. 11/126 File Sync & Share Directe toegang Gebruiks- vriendelijk Synchronisatie Flexibel delen Samengevat
  95. 95. 12/126 Model Public Private Community Private persoon Bedrijf
  96. 96. 13/126Wat? › Public cloud › Private Cloud › Apps › End-Point › Nieuwe Dienst File Sync & Share Public Cloud
  97. 97. 14/126 …
  98. 98. 15/126 Gevaren Data exfiltration • Wat indien medewerker weg (vb. naar concurrentie) • Gehackte account (vb. door zwak paswoord) Import malware • Vb. Hacker plaatst bestand via Dropbox account op PC1 Geen controle • Wie gebruikt welk FSS voor welke gegevens • In hoeveel clouds staat onze gevoelige data? • Data gelekt? Incident? -> Pers (1) http://www.infosecurity-magazine.com/view/33422/attackers-using-dropbox-and-wordpress-to-target-disguise-and-distribute/
  99. 99. 16/126 « Ook voor enterprise use! » Beperkingen…
  100. 100. 17/126 SSL http://www.computerworld.com/s/article/9242384/Dropbox_takes_a_peek_at_files “Secure Sockets Layer (SSL) & AES- 256 bit encryption. Privacy policy and procedures” Op te lossen? - Dropbox? NSA? GCHQ? Anderen? => Confidentialiteit? - Afhankelijk andere landen => Beschikbaarheid? ►► Niet voor gevoelige data ◄◄ Veelal gelijkaardig voor concurrenten in publieke cloud.
  101. 101. 18/126 ... ≠ Classic
  102. 102. 19/126 Bob Johan
  103. 103. 20/126 PKSK PKSK Initialisatie Sleutels lokaal gegenereerd in BoxCryptor client Bob Johan
  104. 104. 21/126 PKSK PKSK Initialisatie Sleutels lokaal gegenereerd in BoxCryptor client Private sleutel password protected Beschermd sleutelpaar naar BoxCryptor cloud PKSK PKSK Bob Johan
  105. 105. 22/126 PKSK PKSK PKSK PKSK Bob Johan Uploaden bestand
  106. 106. 23/126 AES PKSK PKSK PKSK PKSK Bob Johan Uploaden bestand Per file unieke AES sleutel gegenereerd AES
  107. 107. 24/126 AES PKSK PKSK PKSK PKSK Bob Johan Uploaden bestand Per file unieke AES sleutel gegenereerd AES sleutel vercijferd met publieke sleutel user AES PK
  108. 108. 25/126 PKSK PKSK PKSK PKSK Bob Johan AES AES PK Uploaden bestand Per file unieke AES sleutel gegenereerd AES sleutel vercijferd met publieke sleutel user Vercijferde document + vercijferde sleutel naar Dropbox cloud
  109. 109. 26/126 PKSK PKSK PK PKSK PKSK Bob Johan AES AESAES PK AESAES PK Delen File-key + publieke sleutel Johan gedownload door Bob
  110. 110. 27/126 PKSK PKSK PKSK PKSK Bob Johan AES AESAES PK PKAES PK Delen File-key + publieke sleutel Johan gedownload door Bob Bob decrypteert file-key
  111. 111. 28/126 AES PKSK PKSK PK PKSK PKSK Bob Johan AES AESAES PK AES PK Delen File-key + publieke sleutel Johan gedownload door Bob Bob decrypteert file-key Bob encrypteert file key met publieke sleutel Johan
  112. 112. 29/126 PKSK PKSK PKSK PKSK Bob Johan AES AESAES PK AES PK AES AES PK Toegang gegevens Johan downloadt doc + geëncrypteerde file key
  113. 113. 30/126 PKSK PKSK PKSK PKSK Bob Johan AES AESAES PK AES PK Toegang gegevens Johan downloadt doc + geëncrypteerde file key Johan decrypteert file key met zijn private sleutel AES AES PK
  114. 114. 31/126 PKSK PKSK PKSK PKSK Bob Johan AES AESAES PK AES PK Toegang gegevens Johan downloadt doc + geëncrypteerde file key Johan decrypteert file key met zijn private sleutel Johan decrypteert doc met file-key AES AES
  115. 115. 32/126 Functionaliteit & gebruiksvriendelijkheid • Delen blijft mogelijk • Enkel toegang met BoxCryptor client • Dropbox webclient onbruikbaar • 2 accounts nodig (Dropbox & BoxCryptor) Security • Dropbox geen toegang tot gegevens • Afhankelijkheid buitenland blijft • Indien overal zelfde paswoord -> BoxCryptor toegang tot data? • Beperkte enterprise-functionaliteit (volgende slide) Conclusies
  116. 116. 33/126 33 Gecentraliseerd beheer We willen integratie met eigen UAM i.p.v. beperkt user & policy mgt voor elke cloud-dienst afzonderlijk
  117. 117. 34/126 Interessant concept, maar minder geschikt in onze context
  118. 118. 35/126 Uitgebreid enterprise management Geen client side encryptie Eigen opslag mogelijk Client side encryptie + Eigen opslag Client-side encryptie + opslag bij bestaande FSS dienst
  119. 119. 36/126 Enkele bedenkingen bij public cloud FSS oplossingen
  120. 120. 37/126 FSS oplossingen vaak initieel consumer-oriented Trachten nu enterprise functionaliteit toe te voegen (incl. security)
  121. 121. 38/126 Er zijn oplossingen met extra security Desondanks...
  122. 122. 39/126 Spanningsveld Enterprise functionaliteit Confiden- tialiteit Gebruiks- vriendelijkheid De drie elementen samen in de public cloud lijkt momenteel moeilijk Public cloud Hoe op te lossen?
  123. 123. 40/126Wat? › Public cloud › Private Cloud › Apps › End-Point › Nieuwe Dienst File Sync & Share Private Cloud
  124. 124. 41/126 Scenario: Delen Documenten Cobaye Proefkonijn Een CEO  ~ OneDrive / DropBox / …  Gehost door Smals  Delen docs meetings  Tablet  Off-line toegang  Gebruiksvriendelijk
  125. 125. 42/126 Computer Secretariaat CEO Tablet CEO Server bij Smals
  126. 126. 43/126 Tablet CEO Server bij Smals
  127. 127. 44/126 Tablet CEO Server bij Smals
  128. 128. 45/126 Tablet CEO Server bij Smals Synchronisatie Bestanden worden automatisch gekopieerd naar server bij Smals
  129. 129. 46/126 Tablet CEO Server bij Smals CEO synchro- niseert zijn tablet met de server bij Smals
  130. 130. 47/126 Tablet CEO Server bij Smals CEO heeft offline toegang tot de bestanden op zijn tablet
  131. 131. 48/126 Tablet CEO Server bij Smals Secretariaat verwijdert documenten
  132. 132. 49/126 Tablet CEO Server bij Smals Synchronisatie Bestanden worden automatisch verwijderd op server bij Smals
  133. 133. 50/126 Tablet CEO Server bij Smals Synchronisatie Bestanden worden verwijderd op tablet CEO
  134. 134. 51/126 CEO Meeting Alfa Meeting Beta Organisatie B Organisatie A Gegeneraliseerd Scenario Server-side repositories
  135. 135. 52/126 FSS Scenario’s Beheren & delen documenten meetings Foto’s en verslagen op verplaatsing (vb. werven) direct delen met team voor analyse Alternatief voor uitwisselen van zware docs via e-Mail Directeur synchroniseert zijn verschillende toestellen Met welk product te realiseren?
  136. 136. 53/126 We testten… Heeft goede referenties
  137. 137. 54/126http://indico.cern.ch/getFile.py/access?contribId=82&sessionId=6&resId=0&materialId=slides&confId=214784 CERN koos voor Owncloud
  138. 138. 55/126 Architectuur Database LDAP Storage Application servers Load- balancers Courante producten ondersteund Alles dat mountable is (zelfs Dropbox) - WebDAV - Logging - Malware detection - Server-side encryptie - Apps (uitbreidingen)
  139. 139. 56/126 Community-based, geen SLA’s!
  140. 140. 57/126 De gebruiker Owncloud PC Client Network drive mapping Web interface Owncloud client app app Generieke client app Sync/ Direct access Direct access Sync Sync/ Direct access Direct access
  141. 141. 58/126 De gebruiker Owncloud PC Client Network drive mapping Web interface Owncloud client app app Generieke client app Sync/ Direct access Direct access Sync Sync/ Direct access Direct access
  142. 142. 59/126 Alles dat aan mij gedeeld is
  143. 143. 60/126 Kova zal mijn map /Confidentieel zien in zijn /Shared/Confidentieel
  144. 144. 61/126
  145. 145. 62/126 « Only share in your groups » An Bob Charlie Dirk Evelien FrankGerard Helena Isabelle Jochen Kris Leon « Kan delen met »
  146. 146. 63/126
  147. 147. 64/126
  148. 148. 65/126 De gebruiker Owncloud PC Client Network drive mapping Web interface Owncloud client app app Generieke client app Sync/ Direct access Direct access Sync Sync/ Direct access Direct access
  149. 149. 66/126
  150. 150. 67/126 De gebruiker Owncloud PC Client Network drive mapping Web interface Owncloud client app app Generieke client app Sync/ Direct access Direct access Sync Sync/ Direct access Direct access
  151. 151. 68/126
  152. 152. 69/126 Gebruiksvriendelijkheid Server •Eenvoudige basisinstallatie •Flexibel •Apps (uitbreidingen) niet steeds matuur PC client •Wizard •Flexibler & complexer dan Dropbox Web interface •Spartaans •Bevat wel alle functionaliteit •Gebruik recente browser App (iOS, Android) •Minimale functionaliteit •Intuïtief
  153. 153. 70/126 Ervaringen • Evolueert snel Matuur • Uitgebreide functionaliteit om te delen • Prullenmand • Vorige versies Sommige functionaliteit enkel in web client • Standaard MySQL tot 2500 actieve gebruikers • VPN & Reverse proxies ok Technisch
  154. 154. 71/126 Demo
  155. 155. 72/126 Demo - Scenario Rechten op map « Raad van Bestuur » Geen rechten op map « Directiecomité » geeft rechten aan + + voegt documenten toe aan map « Directiecomité » consulteert documenten verwijdert documenten ziet documenten niet meer Admin CEO Secr. 0. 1. 2. 3. 4. 5.
  156. 156. 73/126 Video te downloaden op www.smalsresearch.be
  157. 157. 74/126 Video te downloaden op www.smalsresearch.be
  158. 158. 75/126 Video te downloaden op www.smalsresearch.be
  159. 159. 76/126 Video te downloaden op www.smalsresearch.be
  160. 160. 77/126 Video te downloaden op www.smalsresearch.be
  161. 161. 78/126 Conclusie • Ook open source • Uitgebreid getest • Evaluatie positief Degelijke private cloud FSS oplossingen • Veiliger dan huidige wildgroei • Misschien niet even veilig als wereldspelers • Evenmin dezelfde schaal/specialisatie -> kost • Toegang door buitenlands overheden moeilijker Vergelijking
  162. 162. 79/126Wat? › Public cloud › Private Cloud › Apps › End-Point › Nieuwe Dienst File Sync & Share Apps
  163. 163. 80/126 We bekijken… 1) Client apps voor toegang bestanden op server 2) Viewers apps om documenten te bekijken Client app gebruikt standaard geïntegreerde viewer Client app gebruikt viewer apps
  164. 164. 81/126 Client apps
  165. 165. 82/126 We bekeken reeds Nu volgt kort FolderSync Owncloud GoodReader Generische client Owncloud client Client Apps
  166. 166. 83/126
  167. 167. 84/126
  168. 168. 85/126
  169. 169. 86/126
  170. 170. 87/126 OS Sync Direct access Cache Share Convi vialité Flexi bilité File name length Viewers € Dropbox 2.3 No Yes Yes link +++ - Extern Free Owncloud 1.5 Selected files Yes Yes No +++ - - Extern 0,79 Owncloud 3.1.1 No Yes Yes link +++ - - Intern / (extern) 0 79 FolderSync 2.5 Yes No nvt No + ++ +++ extern 2,29 GoodReader 3.19 Yes Downlo ad only nvt No ++ +++ ++ Intern / (extern) 4,49 Documents 4.4 Yes Yes nvt No ++ + +++ Intern Free Docs@Work 5.8 Downloa ded files Yes No No +++ - - Intern 10€ /UY Client Apps Vergeleken
  171. 171. 88/126 Clients: Custom - Generiek Config. +++ ++ + Accounts (gelijktijdig) Delen (met link) Generic client …
  172. 172. 89/126 Kies in functie van je voorkeuren & vereisten - Directe toegang Vs. synchronisatie - Meerdere accounts Vs. 1 account
  173. 173. 90/126 Viewer apps
  174. 174. 91/126 Enkele Viewer Apps Kingsoft Office AstralPad Smart Office 2 ThinkFree Kingsoft Office OfficeSuite Microsoft Office Kingsoft Office GoodReader Documents WeergavekwaliteitdocsBeterSlechter Microsoft Office
  175. 175. 92/126
  176. 176. 93/126 Aandachtspunten Weergavekwaliteit Annotatie PDFs Editeren DocumentenWeergavesnelheid • Quasi perfecte weergave • Documenten laden traag • Editeren enkel indien een Office 365 abo Vb. >> Gebruik bij voorkeur PDF <<
  177. 177. 94/126 Conclusie Diverse Client apps & viewer apps mogelijk Fijn, maar daarmee is onze tablet nog niet veilig…
  178. 178. 95/126Wat? › Public cloud › Private Cloud › Apps › End-Point › Nieuwe Dienst File Sync & Share End-Point Security
  179. 179. 96/126 Probleemstelling Password: Access granted! 1234 Toegenomen risico compromitteren gevoelige data Gebrek aan controle door bedrijf problematisch Gevoelige data
  180. 180. 97/126 Containerization Mobile Device Moni- toring Manag- ement Support Security Data Con- tain- ment Mobile Device Management (MDM)
  181. 181. 98/126 Mobile Device Management (MDM)
  182. 182. 99/126 Functionaliteiten Inventaris Security policies Monitoring Provisioning App control Lock & wipe Mgt. Dashboard
  183. 183. 100/126 Functionaliteiten
  184. 184. 101/126 Functionaliteiten
  185. 185. 102/126 Architectuur VSP Sentry Lotus Notes, Exchange, … FSS Sentry Enkel gekende devices toegang dienst Internet Intern netwerk Controle devices
  186. 186. 103/126 Containerization Containerization uitbreidingen Docs@Work Web@Work Apps@Work Gegevens verlaten afgeschermde omgeving op mobiel toestel niet • Niet: openen met andere apps • Niet: uploaden naar cloud dienst • Niet: versturen per mail • Geen knippen-plakken • …
  187. 187. 104/126
  188. 188. 105/126 WatchDocs TODO http://www2.watchdox.com/ File Sync & Share + Containerization Document-oriented Integreert met Outlook, Sharepoint, … Monitor document access • Next slide WatchDox Cloud of WatchDox Virtual Appliance
  189. 189. 106/126
  190. 190. 107/126 « We gebruiken AES-256 » ≠ « Alles is in elke situatie veilig » Volledig ecosysteem nodig!
  191. 191. 108/126 Veilige Server Infrastructuur Secure connection MDM Een ecosysteem Container (Alternatieve oplossing laat alle internetverkeer via bedrijfsgateway passeren)
  192. 192. 109/126Wat? › Public cloud › Private Cloud › Apps › End-Point › Nieuwe Dienst File Sync & Share Nieuwe Dienst
  193. 193. 110/126 Werkstation (=PC of Draagbare PC) Werkstation + VPN Privé mobiel toestel (=Tablet/smartphone) Netwerk Extranet Extranet Internet Beheer ISZ ISZ ? Authenticatie 1) Bios pwd 2) Windows pwd (+policy) 1) Bios pwd 2) Windows pwd (+policy) 3) eID (met PIN) ? P(verlies) Laag Medium Hoog Security Toestellen SZ Sterkere security nodig voor mobile devices
  194. 194. 111/126 Voorbeeld Mobiel toestel zonder gecentraliseerd beheer Mobiel toestel met gecentraliseerd beheer Mobiel toestel met gescheiden omgevingen (Isolatie / VDI) Publieke gegevens Site KSZ Interne bedrijfsgegevens Interne strategie, agenda, contacten, mail Te bepalen Vertrouwelijke bedrijfsgegevens Boekhoudplan, DRP Te bepalen Persoonsgegevens Persoonlijk dossier HR Te bepalen Sociale persoonsgegevens gegevens RR Medische gegevens Medische gegevens Policy Mobiele Toestellen SZ Bron: Gebruikerspolicy voor mobiele toestellen. Versie 3.0, 22 januari 2014, ISMS
  195. 195. 112/126 Extranet Sociale ZekerheidInternet ISZAISZB VPN
  196. 196. 113/126 Beyond Social Security Extranet SZ FedMAN => Volwaardige dienst voor alle federale overheidsdiensten
  197. 197. 114/126 Overheids- dienst A Delen binnnen en tussen instellingen Overheids- dienst B Overheids- dienst C Groep Alfa Groep Beta Groep Gamma
  198. 198. 115/126 Conclusie In progress. Smals werkt aan uitbouw veilige FSS dienst om vertrouwelijke gegevens te delen binnen en tussen overheidsinstellingen Next step. Containerization binnen SZ voor verwerking persoonsgebonden gegevens op tablet Vraag. Kan de FSS dienst aangeboden worden buiten extranet SZ en FedMAN?
  199. 199. 116/126 Afronding
  200. 200. 117/126 Conclusies CSB kan security verhogen bij gebruik cloud diensten Buitenlandse overheden houden gevoelige data intern FSS: public cloud Vs. private cloud Ecosysteem (infr, connectie, end-point, data) Smals werkt aan FSS dienst
  201. 201. 118/126 Herwin de controle! Community cloud CSB Private cloud Cloud-anarchie
  202. 202. 119/126 Verandert constant ongevraagd Is niet transparant Kan oplossen & verdwijnen FEITEN De public cloud...
  203. 203. 120/126 Geïnfiltreerd door overheden? Minder veilig dan de groten? Duurder? Goedkoper? VRAGEN Meer samenwerking → Meer schaalvoordelen! Een eigen cloud is...
  204. 204. 121/126 Vandaag OK ≠ morgen OK (rekenkracht, veronderstellingen) Door jou verwijderd ≠ effectief verwijderd Applicatie heeft vaak de data in clear-text nodig Cryptografie evolueert En sommige data moet erg lang beschermd blijven...
  205. 205. 122/126 Sociale Zekerheid Veiligheidspolicy’s voor o.a. https://www.ksz-bcss.fgov.be/nl/bcss/page/content/websites/belgium/security/security_04/security_04_02.html Mobiele toestellen Cloud computing services => Must read! <=
  206. 206. 123/126 Risicoanalyse Wat is de aarde en gevoeligheid van de gegevens? Wat is de impact bij compromitteren van de data Tot wanneer blijft de data gevoelig? Welke zijn de contractuele voorwaarden? Volstaan juridische garanties Is afhankelijkheid van het buitenland tolereerbaar ....
  207. 207. 124/126 Match? Next steps… Data Overheids- dienst Cloud Provider Matur- iteit? Aard? Gevoelig- heid? Security?
  208. 208. 125/126 Artikels – De Stille machtsgreep van de Cloud – Hoe het Britse Ministerie van Defensie omgaat met persoonsgegevens – Hoe de G-Cloud (VK) omgaat met Gevoelige Gegevens Rapporten – Cloud Strategieën bij Buitenlandse Overheden Quick Reviews – FolderSync – GoodReader smalsResearch.be In voorbereiding – Open Source Review: ownCloud 6 – Infosessie Cloud Security – Studie SaaS-Enablement (infosessie?)
  209. 209. 126/126
  210. 210. 127/126 Externe referenties • NIST Special Publication 800-145. The NIST Definition of Cloud Computing. NIST, 2011 http://csrc.nist.gov/publications/nistpubs/800- 145/SP800-145.pdf • Cloud Computing Guidance. ISACA. http://www.isaca.org/cloud • European Union Agency for Network and Information Security. ENISA, http://www.enisa.europa.eu/ • Cloud Security Alliance. https://cloudsecurityalliance.org/
  211. 211. 128/126 App. A: Gebruikerspolicy voor mobiele toestellen SZ Categorie Beschrijving Publieke gegevens Als publieke gegevens worden alle gegevens beschouwd die openbaar zijn, algemene bekendheid hebben of vrij van vertrouwelijke inhoud zijn. Alle overige categorieën zijn bijgevolg “Niet-publieke gegevens”. De gevoeligheidsklasse van publieke gegevens is “unclassified”. Voorbeeld: voor het algemene publiek toegankelijke website. Interne Bedrijfsgegevens Interne bedrijfsgegevens zijn alle gegevens waarvan het gebruik beperkt moet worden intern in het bedrijf. Deze gegevens zijn niet bestemd voor publieke bekendmaking zonder voorafgaande goedkeuring door de directie. De gevoeligheidsklasse van deze gegevens is “sensitive unclassified”. Voorbeeld: Interne telefoonlijst. Vertrouwelijke Bedrijfsgegevens Vertrouwelijke bedrijfsgegevens zijn alle gegevens die te maken hebben met de werking van de instelling – het overheidsbedrijf - en die binnen de context van de instelling - en mogelijk ook specifieke partners - een vertrouwelijk karakter hebben. Deze gegevens zijn niet bestemd voor mededeling zonder voorafgaande goedkeuring door de directie. De gevoeligheidsklasse van deze gegevens is “classified”. Voorbeelden: Verslag van het directiecomité; boordtabellen. Persoonsgegevens Gegevens die betrekking hebben op een natuurlijke persoon die is of kan worden geïdentificeerd. Alle persoonsgegevens hebben een vertrouwelijk karakter en zijn gebonden aan de richtlijnen uit de privacywet. De gevoeligheidsklasse van deze gegevens is “classified”. Sociale persoonsgegevens “Sociale gegevens van persoonlijke aard” zijn alle persoonsgegevens die nodig zijn voor de toepassing van de sociale zekerheid met betrekking tot een natuurlijke persoon. Sociale gegevens die geen persoonsgegevens zijn dienen minstens als vertrouwelijke bedrijfsgegevens te worden behandeld. De gevoeligheidsklasse van deze gegevens is “classified”. Medische persoonsgegevens “Sociale gegevens van persoonlijke aard die de gezondheid betreffen” zijn alle sociale persoonsgegevens waaruit informatie kan afgeleid worden over de vroegere, huidige of toekomstige gezondheidstoestand, uitgezonderd louter administratieve of boekhoudkundige gegevens over geneeskundige behandelingen of verzorgingen. De behandeling, uitwisseling en bewaring van deze gegevens moet gebeuren onder toezicht en verantwoordelijkheid van een geneesheer. De gevoeligheidsklasse van deze gegevens is “secret”. Privé gegevens Deze speciale categorie betreft privé gegevens die door werknemers opgeslagen kunnen worden op het bedrijfsnetwerk, doch geen enkele binding hebben met zijn professionele activiteiten. Persoonlijke gegevens worden behandeld volgens de regels van de privacywet en het interne reglement van de instelling. Voorbeeld: brief voor privé doeleinden. [1] Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens. [2] Wet van 15 januari 1990 houdende oprichting van een Kruispuntbank van de sociale zekerheid, art.2, 6° [3] Wet van 15 januari 1990 houdende oprichting van een Kruispuntbank van de sociale zekerheid, art.2, 7° [4] Wet van 15 januari 1990 houdende oprichting van een Kruispuntbank van de sociale zekerheid, art.26, §1
  212. 212. 129/126 App. B: Gevoelige gegevens op draagbare computers • « De bewaring van gevoelige gegevens op de portable PC dient vermeden te worden en gevoelige gegevens moeten zo snel als mogelijk opgeslagen worden in het netwerk. » • « Hieronder enkele voorbeelden van verboden activiteiten (niet volledige lijst): – ... – op eender welke manier, ongeauthoriseerd, vertrouwelijke persoons- of bedrijfsgegevens verspreiden, – de vertrouwelijkheid en integriteit van de gegevens schenden of hun beschikbaarheid belemmeren; – ... » Veiligheidsbeleid Draagbare PC V2.20 2009 ISMS
  213. 213. 130/126 App. C: Gevoelige gegevens vie e-Mail en Internet • « Alle gegevens van persoonlijke of medische aard die elektronisch moeten worden doorgestuurd, mogen enkel worden overgemaakt via de informatiesystemen die door de bevoegde sectorale comités werden bepaald en goedgekeurd. » • « Bij de elektronische uitwisseling van vertrouwelijke gegevens dienen de gepaste maatregelen te worden getroffen teneinde de vertrouwelijkheid en de integriteit van de overgemaakte gegevens te waarborgen, met inachtneming van de van kracht zijnde wetten en reglementeringen (Kruispuntbank van de Sociale Zekerheid, Rijksregister van de natuurlijke personen, bescherming van per soonsgegevens, ...). » • « E-mail mag standaard niet worden beschouwd als een veilig elektronisch uitwisselingskanaal aan de hand waarvan de vertrouwelijkheid en de integriteit van de gegevens in het bericht kunnen worden gewaarborgd. » Algemene policy inzake het gebruik van e-mail, IMS, 2010, v0.30
  214. 214. 131/126 App. D: Extranet SZ « De socialezekerheidsinstellingen dienen de minimale veiligheidsnormen na te leven voor hun toegang tot het internet. De instellingen van het primaire netwerk dienen meer bepaald het extranet van de KSZ te gebruiken voor hun internetverbindingen (Minimale normen, §10.3), aangezien het extranet over aangepaste beschermingsmaatregelen beschikt. » Algemene policy inzake het gebruik van het internet V0.30, ISMS, 2010 Alle relevante security policies zijn te vinden op https://www.ksz-bcss.fgov.be/nl/bcss/page/content/websites/ belgium/security/security_04/security_04_02.html

×