MolnsäKerhet (Symposia 2009)

2,356 views

Published on

Presentation on Cloud Security from Symposia Nordic 2009 (in swedish)

Published in: Technology, Business
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
2,356
On SlideShare
0
From Embeds
0
Number of Embeds
9
Actions
Shares
0
Downloads
6
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

MolnsäKerhet (Symposia 2009)

  1. 1. Molnsäkerhet Per Hägerö, CTO 1
  2. 2. Agenda •  Vad är molnet? •  Strategi för molnsäkerhet •  PortWise Moln erbjudande 2
  3. 3. • För några • Skräddarsytt • Lokal produktion och kontroll • Balans- och resultaträkning 3
  4. 4. • För alla • Standardiserat • On-demand • Resultaträkning 4
  5. 5. • Valfrihet • Komplement • Personligt • Skräddarsytt • Lokal leverans och kontroll • Balans- och resultaträkning 5
  6. 6. 6
  7. 7. 7
  8. 8. 400,000 användare Säkerhet (Privacy) Kostnad 8
  9. 9. VAD ÄR MOLNET? 9
  10. 10. 10
  11. 11. 11
  12. 12. 12
  13. 13. 834 •  8 egenskaper –  Agilt, Opex, Oberoende, Fler-familjshus, Pålitlighet, Skalbarhet, Säkerhet, Uthållighet •  3 servicemodeller –  IaaS, PaaS, SaaS •  4 spridningssätt –  Privat, Grupp, Publik, Hybrid 13
  14. 14. Kriterier för molntjänster • Publikt åtkomligt • Administrationsgränssnitt via API • Stöd för flera hyresgäster • Rätt kostnad för kunden • Skalbarhet och elastisitet • Webbaserad administration • Snabb tilldelning och självbetjäning • Virtualisering och hårdvaruoberoende 14
  15. 15. Virtualisering och hårdvaruoberoende •  Användare kan använda tjänsten oberoende av vad andra gör •  Obegränsat med kapacitet (?) •  Ingen hårdvarubegränsning 15
  16. 16. Snabb tilldelning och självbetjäning •  Det ska gå snabbt att få tillgång till nya resurser (minuter…istället för dagar och veckor) •  Det bör vara möjligt för kunden att själv kunna lägga till och ta bort resurser 16
  17. 17. Administration •  Administrationen sker genom en tunn klient •  Standardiserade gränssnitt (?) –  Utmaning: Admistrera fler moln från samma gränssnitt 17
  18. 18. Skalbarhet och elasticitet •  Enkel och dynamisk skalbarhet –  Skala upp men också skala ner •  Minne, lagring, CPU kapacitet •  I run-time 18
  19. 19. Rätt kostnad för kunden •  Kunden ska endast betala för det som kunden “konsumerar” •  Idag finns det en flora av betalningsmodeller •  Leverantörer måste erbjuda modeller som är relevanta för kunden 19
  20. 20. Stöd för flera hyresgäster •  För att nå fördelarna måste tjänsten hantera flera hyresgäster •  Låter enkelt men; –  Tänk på att olika kunder inte ska påverka varandra –  Säkerheten 20
  21. 21. Administrationsgränssnitt via API •  Måste tillhandahålla gränssnitt för administration för bl a; –  Användare –  Tilldelning av rättigheter –  Integration •  Webadmin = API Admin 21
  22. 22. Publikt åtkomligt •  En molntjänst ska vara möjlig att använda och adminnistrera över Internet. •  (Gäller inte privat moln och grupp moln) 22
  23. 23. Servicemodeller SaaS PaaS IaaS 23
  24. 24. Infrastruktur som tjänst (IaaS) •  Hyr processor-, nätverks-, lagrings- och andra fundamentala IT-resurser •  Kör egen programvara som inkluderar operativsystem och applikationer •  Ingen kontroll över hårdvaran men har kontroll över övriga delar och kan t ex själv välja nätverkskomponenter som brandväggar och VPN 24
  25. 25. Plattform som tjänst (PaaS) •  Kör egna applikationer i moln infrastrukturen genom att använda programspråk och verktyg som tjänsteleverantören stödjer (t ex Java, .Net) •  Ingen kontroll över den underliggande infrastrukturen •  Kontroll över applikationen och eventuellt konfigurationsmiljön för applikationen 25
  26. 26. Applikation som tjänst (SaaS) •  Kör tjänsteleverantörens applikationer som är tillgängliga via tunna klienter helst över flera olika typer av enheter •  Ingen kontroll över något egentligen förutom applikationsspecifika inställningar 26
  27. 27. Cirrus eller Altocumulus SaaS PaaS IaaS 27
  28. 28. 28
  29. 29. Tillämpning och använding Privat moln (internt eller Grupp moln Publikt Hybrid hostat) Moln moln 29
  30. 30. STRATEGI FÖR MOLNSÄKERHET 30
  31. 31. Innebär det något nytt? •  Visst det adderar ett antal frågetecken…. –  Tillit till leverantör –  Flera hyresgäster –  Kryptering –  Compliance –  Vem har åtkomst till mitt data? –  Lagras det säkert? –  Data recovery? –  Lösenord? –  Inlåsningseffekter? 31
  32. 32. Men ärligt….? •  Är det inte så att molntjänster till viss del redan belyser svagheter och sårbarheter som redan finns in nuvarande “Enterprise Architecture”? –  Full koll på data åtkomst? –  Säker lagring? –  Data recovery? –  Lösenord? –  Micros, förlåt inlåsning? 32
  33. 33. Men visst… •  det finns ingen anledning att göra om samma misstag flera gånger •  det är lättare (?) att känna till egna brister och svårare att upptäcka dem hos tjänsteleverantören (det krävs tillit till leverantören) •  det senare kan förstås vara skönt men kan vara extremt stressande vid kontrollbehov •  Glöm inte vem som äger varumärket för din organisation eller ditt företag (ett fel hos leverantören är ditt fel) 33
  34. 34. Vissa saker är förstås ännu tydligare •  Skalskydd –  Brandväggsförsvaret satt ur spel (kanske inte helt sant för IaaS) •  Identitetshantering –  Tydligare behov av en fungerande livscykelshantering och provisioning (om framför allt de-provisioning) •  Behovet av att värdera ur ett informationsvärdesperspektiv och sedan tillämpa rätt skydd (floskeltoppen ?) 34
  35. 35. Generella säkerhetsfördelar •  Separering av publik data och känslig data innebär reducerad risk om det publika läggs I molnet •  Molnet är mer definierat och homogent vilket underlättar revision och testning •  Molnet skapar förutsättning för automatiserad “security management” •  Inbyggt stöd för redundans och återskapning 35
  36. 36. Generella säkerhetsutmaningar •  Tillit till leverantörens säkerhetslösning(ar) •  Kundens svårigheter att kunna “handla” på saker som framkommer i en revision •  Möjligheten att göra undersökningar i leverantörens miljö •  Indirekta administratörer (superadmin) •  Ingen möjlighet att undersöka egentillverkade / slutna lösningar •  Ingen fysisk kontroll 36
  37. 37. Fördelar vs. Utmaningar •  OBS! Dessa måste värderas unikt för varje leverantör och dessutom ur perspektivet vad tjänsten ska lösa 37
  38. 38. Fördelar med molnsäkerhet •  Större IT-säkerhetsbudget (t ex dedikerat säkerhetsteam) •  Bättre feltolerans, högre tillgänglighet •  Tillgång till för-akrediterade miljöer •  On-demand säkerhet 38
  39. 39. Utmaningar med molnsäkerhet •  Data utspridning och internationell lagstiftning –  EU’s direktiv för data skydd, PUL, U.S. Safe Harbor program –  Exponering av data för andra stater –  Information Management (Kvarhållning av data, borttagning) •  Isolerad administration •  Flera hyresgäster •  Loggning •  Äganderätt över data •  Garantier för QoS •  Större belöning för hackare •  Säkerhet i hypervisors, virtuellt OS osv. •  Större driftsstopp •  Kryptering (åtkomst till resursadministration, administrativ åtkomst till OS, åtkomst till applikationer, datalagring) •  Polices över olika moln 39
  40. 40. Ansvarstagande för säkerheten Kunden Tjänsteleverantören Ansvarstagande IaaS PaaS SaaS 40
  41. 41. Flexibilitet i säkerheten Kunden Tjänsteleverantören Flexibilitet IaaS PaaS SaaS 41
  42. 42. Riskexponering vs. Cost Kostnad Privat moln Grupp moln Publikt Moln Riskexponering 42
  43. 43. Säkerhetsarkitektur •  Moln har oftast en säkerhetsarkitektur men kunderna har olika krav –  Molnen måste erbjuda en flexibilitet •  Kontroll –  Privat > Grupp > Publikt •  Känsligare data kommer att placeras i moln där organisationen har kontroll över säkerhetsarkitekturen 43
  44. 44. Värdera vid val •  Governance och •  Data Center Operations Riskhantering •  Incidenthantering och •  Legala krav rapportering, •  Electronic Discovery •  Applikations säkerhet •  Compliance och Revision •  Kryptering och •  Livscykel för informationen nyckelhantering •  Portabilitet och •  Identitets- och Interoperabilitet Åtkomsthantering •  Kontinuitetsplanering •  Lagring •  Virtualisering Ref: Cloud Security Alliance 44
  45. 45. Hur får jag ihop det? •  De flesta molnen kommer att behöva väldigt starka säkerhetskontroller •  Välj rätt moln genom att väga riskexponering mot kostnader •  MOLNET finns inte, det finns många moln, modeller och arkitekturval 45
  46. 46. Komma igång •  Gör en översikt av möjliga tjänster •  Värdera tjänsten och vilken typ av moln som passar bäst för dig 46
  47. 47. STANDARDISERING 47
  48. 48. Status •  Här finns det jobb att göra •  Molnet använder i och för sig en massa standarder men… •  Det finns behov att hjälpa kunder med interoperabilitet och utvärderingskriterier –  T ex migrering mellan tjänster •  Kommer att vara lättare för IaaS och sedan med stigande svårighetsgrad 48
  49. 49. Exempel •  IAM –  Federation (SAML, WS-federation, Liberty ID-FF) –  Stark autentisering (HOTP, OCRA, TOTP) –  Åtkomsthantering (XACML) •  Kryptering –  PKI, PKCS, •  Information Management –  ISO 15489 49
  50. 50. PORTWISE ERBJUDANDE 50
  51. 51. 51
  52. 52. Rexnet Skola 24 Dexter Fronter Zoho Salesforce.com Google Apps Amazon EC2 OpenAir Windows Live Rackspace Projectplace >> Autentisering >> Åtkomstkontroll Grupp >> Single Sign-On Moln >> Personaliserad portal >> Provisioning >> Identitetshantering UniPoint >> Spårbarhet >> Federering Privata Moln --------------- Enterprise --------------- --------------- --------------- --------------- ------------------------------ --------------- Apps --------------- --------------- --------------- --------------- 52
  53. 53. frågor, funderingar, förslag… •  Nu •  per@portwise.com •  linkedin.com/hagero •  facebook.com/hagero •  twitter.com/hagero •  per.hagero@googlewave.com •  070-2691466 •  Färögatan 33, Kista •  eller hos Er 53
  54. 54. 54

×