Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Risikofakor Cloud Dnd09

844 views

Published on

Kurzreferat über Cloud Security und Cloud Governance auf der "discuss & discover 09" der Messe München

Published in: Technology, Business
  • Be the first to comment

Risikofakor Cloud Dnd09

  1. 1. Securingthe Cloud<br />Warum die Wolken-IT neue Ansätze für Sicherheit braucht<br />Tim Cole<br />Kuppinger Cole + Partner<br />
  2. 2. Ziele von IT-Security<br />Schutz vor technischem Systemausfall<br />Schutz vor Sabotage oder Spionage<br />Schutz vor Betrug und Diebstahl<br />Schutz vor Systemmissbrauch, durch illegitime Ressourcennutzung, Veränderung von publizierten Inhalten, etc.<br />Quelle: Wikipedia, Stichwort „Informationssicherheit“<br />
  3. 3. SCHUTZ<br />
  4. 4. Ziele von Identity Management<br />Konsistenz und Aktualität der Nutzerdaten <br />Erleichterung bei der Einführung von neuen Diensten und Methoden (z.B. Single Sign-on) <br />Vereinfachung der Datenhaltung <br />dauerhafte Kosteneinsparungen in der Administration <br />bessere Kontrolle über die Ressourcen <br />optimale Unterstützung von internationalen Projekten im Bereich Cloud Computing <br />höhere Sicherheit <br />
  5. 5. KONTROLLE<br />
  6. 6. Klassischer Security-Ansatz: Perimeter Defense<br />Internet<br />corporation<br />datacenter<br />
  7. 7. Eine Wolke hat keinen „Perimeter“<br />
  8. 8. ?<br />?<br />?<br />?<br />?<br />?<br />?<br />Internet/Extranet/Intranet<br />datacenter<br />
  9. 9. applications<br />Identity-Ansatz: Lückenlose Kontrolle<br />AUDIT<br />company<br />customers<br />supplier<br />„extendedenterprise“<br />(things)<br />products / services<br />IT systems<br />(machines)<br />(people)<br />users<br />So whoisallowedto do whatwithinyourbusinessprocesses?<br />
  10. 10. 3 Thesen zu Identity & Security:<br />„Kunden wollen ihre Security Policies mit Benutzer- und Rollen-Management sowie mit Business-Prozessen in Einklang bringen.“<br />„Technische Lösungen müssen heute Identity & Access Management (IAM) auf allen Ebenen gewährleisten: Netzwerk-Infrastruktur, Anwendungen und Daten.“ <br />„Das ist nur durch die Kombination von IAM und IT Security möglich.“ <br />
  11. 11. „Identitäts-basierte Security und effektives Rollenmanagement in der Cloud ist Voraussetzung für nachhaltige Sicherheit.“<br />
  12. 12. IAM ist die Grundlage für sicheres Cloud Computing<br />IAM adressiertALLEAspekte von Cloud Security<br />DLP (Data Leakage Prevention)<br />Attestierung von Zugriffsberechtigungen<br />Schutz vor Insider-Angriffen<br />Missbrauch privilegierter Benutzerkonten („EvilAdmins“)<br />Fazit: Investitionen in Cloud Computing dürfen nicht zu Lasten von IAM gehen<br />
  13. 13. Cloud Governance<br />
  14. 14. CloudGovernance steckt noch in den Kinderschuhen<br />Segregation of Duties in der Cloud<br />Standard-basierte Bewertung von Risiken in der Cloud<br />Auditing über Systemgrenzen hinweg<br />Identifizierung von Benutzung, Steuerung von Berechtigungen über verschiedene Cloud Services hinweg<br />Mit Cloud Computing sind Compliance-Konflikte vorprogrammiert<br />USA/Homeland Security vs.EU-Datenschutzrichtlinie)<br />Welches Gericht ist zuständig?<br />Wer soll es machen?<br />„Governance-as-a-Service“?<br />
  15. 15. „Cloud-Universum 2009“<br />Cloud Service Provider/Reseller<br />„Cloud for<br />theMasses“<br />Google Apps<br />Novell<br />viele<br />Mozy<br />Amazon<br />Microsoft<br />Azure<br />Industry<br />Cloud<br />Microsoft<br />S+S<br />RM5<br />Kunden<br />SaaS<br />Classic<br />Outsourcing<br />HP<br />IBM<br />„cloud“<br />SalesForce<br />SAP<br />EMC<br />IBM „classic“<br />wenige<br />generisch<br />spezifisch<br />Wiederverwendbarkeit des Angebots<br />
  16. 16. Der Markt für Cloud Security<br />Microsoft und IBM sind am besten positioniert, um diese gesamtheitliche Sicht auf Identity und Security zu liefern. <br />Sie haben als einzige ein genügend breitgefächertes Portfolio<br />CA, HP, Google sind die großen Herausforderer. <br />Oracle könnte durch die Sun-Übernahme seinen Rückstand in Security ausgleichen und wäre ein weiterer Kandidat. <br />Novell konzentriert sich auf den „Nischenmarkt“ Provider<br />Reinen Security-Anbieter wie Symantec, Trend Micro oder McAfee haben kaum IAM-Kompetenz<br />Sie könnten dieses Manko aber durch Akquisitionen (Juniper, Courion?) schnell ausgleichen.<br />
  17. 17. „Questions to ask your IT people“<br />Was bringt Cloud Computing für unser Unternehmen?<br />Kostenvorteile<br />Nachhaltigkeit<br />Sicherheit (Zertifizierung!)<br />Firmenwert („was passiert bei M&As?“) <br />Welche Cloud-Strategie ist für unser Unternehmen die richtige?<br />Muss ich mich ganz entscheiden, oder kann ich Cloud für einzelne IT-Aufgaben verwenden und ansonsten weitermachen wie bisher?<br />Was sagen unsere Wirtschaftsprüfer?<br />Was sagen unsere Kunden? <br />Fühlen die sich wohl bei dem Gedanken, dass wir mit ihren Daten Cloud Computing betreiben?<br />Binde ich mich an einen bestimmten Provider, oder bin ich frei zwischen Providern zu wechseln?<br />
  18. 18. Fazit:<br />Unternehmen sollten nicht über „Cloud Computing“ sondern über „Cloud IT“ nachdenken. <br />Die setzt neue Organisationsformen und neue Ansätze in <br />Sicherheit, Identity Management, GRC(Governance, Risk Management & Compliance), Business ProcessDevelopment & Prozess-Management voraus und erzwingt damit eine völlig neue IT-Kultur im Unternehmen. <br />Cloud ist ein ganz neues Spiel, und keiner kommt daran vorbei!<br />
  19. 19. Vielen Dank!<br />tc@kuppingercole.de<br />

×