SlideShare a Scribd company logo

Nixu pilvipalveluiden tietoturvallisuus

Kim Westerlund
Kim Westerlund

In finnish

Business
1 of 19
ISACA 15.4.2010 Kim Westerlund johtava konsultti, Nixu Oy We must defend the Customer from risks, but  purely defensive approach may prevent us from  seeing opportuni:es.  © Nixu 2010
Agenda   Pilvipalvelumallit lyhyesti   Pilvipalvelut ostajan näkökulmasta   Huomioitavia asioita tietoturvan osalta   Suosituksia   Tutkimushankkeen lyhyt esittely Huom! Tämä esitys on suunna0u 1etohallintojohdolle sekä   1etoturvajohdon vies1ntään liiketoimintajohdolle.  4/15/10 © Nixu 2010
Nixu Oy   Suomen suurin tietoturvan asiantuntijapalveluyritys – yli 80 henkeä   Perustettu 1988, liikevaihto yli 8 M€ –  Yli 100 asiakasta yli 300 projektissa viime vuonna   Konsultoimme sekä pilvipalvelujen tuottajia että hankkijoita. –  Kymmenet projektimme koskettivat viime vuonna verkon ylitse hankittavia palveluja.   96 % asiakkaistamme on valmis suosittelemaan kollegalleen (syksy ’09)   www.nixu.fi 4/15/10 © Nixu 2010
Tekemässä ensimmäisiä siirtoja pilvipalveluiden hyödyntäjänä… 4/15/10 © Nixu 2009
Omasta verkosta pilvipalveluihin SoNware as a Service (SaaS)  tai palveluita yhdeltä kumppanilta” Private cloud eli yksityinen pilvi “Virtualisoitua konetehoa, alustaoja “CRM‐järjestelmä verkon ylitse”  hallinta vähenee, riskit kasvavat  Palvelukokonaisuus laajenee  PlaIorm as a Service (PaaS)  “Web‐hotelli verkon ylitse omaa verkkokauppaa varten”  Windows Azure, Google AppEngine  Infrastructure as a Service (IaaS)  “Käy>öjärjestelmäalustoja verkon ylitse omaa  soDakehitystä varten”  Amazon Web Services, Rackspace  Oman verkon konesalit  “Oma konesali tai ulkoistetut dedikoidut palvelimet  kytke>ynä omaan verkkoon”  4/15/10 © Nixu 2010
Pilvipalvelut ostajan näkökulmasta +  Joustavia (käy0ö ja jae0avuus)  +  +  Vain käytöstä maksetaaan  +  Palvelut kehi0yvät toimi0ajien toimesta  +  Hajaute0avuus (turvaavat saatavuu0a)  +  Skaalaedut 1etoturvan toteutuksessa  -  KriiSsiä 1etoja tai palveluja siirtyy kolmansille  −  osapuolille  -  Hallinta vain sopimusteitse  -  Arkkitehtuurin hallinta vaikeutuu  -  Toiminta ongelma1lanteissa  -  Palveluita voidaan ostaa 1etohallinnon ohi  Kun hajautetussa pilvessä toimiva liiketoimintakriiHnen sovelluksesi lakkaa  toimimasta *mahdollises:* pilvituo>ajan ongelmista johtuen, kenelle  soitat ja kannustat hoitamaan ongelmat kuntoon?  4/15/10 © Nixu 2010
CIO:den mielestä tietoturvallisuus on huoli nro 1 mietittäessä pilvipalveluita. 4/15/10 © Nixu 2009
4/15/10 © Nixu 2009
Cloud Security Alliance - 7 suurinta uhkaa 1.  rikollinen käyttö 2.  turvattomat rajapinnat 3.  pahaa tahtovat sisäpiiriläiset 4.  jaetun teknologia-alustan eristys 5.  tiedon häviäminen tai tietovuoto 6.  käyttäjätunnusten kaappaaminen 7.  tuntematon riski http://www.cloudsecurityalliance.org/topthreats/csathreats.v1.0.pdf 4/15/10 © Nixu 2009
Tärkeää tietoa palomuurin ulkopuolella   Tietoturvalla ei ole vaatteita –  Monista käytännöistä puhuttu enemmän kuin tehty –  Loppujen lopuksi on luotettu lähinnä palomuuriin   Pilvimaailmassa tehtävä enemmän: –  Tiedon luokittelu   mm. sopimukselliset sekä lainsäädännölliset vaatimukset –  Riskianalyysiprosessi –  Huolelliset jatkuvuussuunnitelmat –  Toimittajien tarkastus   Miten kokonaisarkkitehtuuri saadaan 4/15/10 © Nixu 2009 pidettyä otteessa?
Riskianalyysin kahdet kasvot MAHDOLLISUUKSI RISKINHALLINTA‐ EN ja RISKIEN  ARVON HALLINTA  PROSESSI  TUNNISTAMINEN  ISACA Risk IT 4/15/10 © Nixu 2009
Riskianalyysin 3 osaa Palvelun käy0ö  • Sopimukset  ja tuotanto  • Tiedon palautus  • Palvelutasolupaus (SLA)  • Myötävaiku0amis‐ • Käyte0ävyys  • Tietotoriski  velvollisuus  • Vastuut ja roolit  • Opera1iviset riskit  • Sank1ot  • Ohjausrakenteet  • Tietoturvatapahtumien  ja ongelmien hallinta   Palvelun  Palvelun  hankinta  lopetus  Ulkoistamisen vanhat synnit:  •  Ulkoistetaan ongelma  KATSO MYÖS http://www.enisa.europa.eu/act/rm/files/deliverables/ •  Valitaan haluton tai kyvytön  cloud-computing-risk-assessment kumppani  4/15/10 © Nixu 2009 •  Tehdään surkea sopimus 
Suosituksia   Laadi ja hyväksytä yksinkertainen ohje pilvipalveluiden (etenkin SaaS) hankintaan muita yksiköitä varten   Suorita tietojen luokittelua –  Mieti kumpi on tärkeämpää: luottamuksellisuus vai saatavuus   Mieti arkkitehtuuria: –  Kuinka käyttövaltuudet hallitaan, miten turva-arkkitehtuuria seurataan, audit trail…   Tee riskianalyysi aina päätettäessä jonkin palvelun siirrosta pilveen   Sopimusta tehdessä, ymmärrä SLA:t   Edellytä tuottajan teettämää tietoturvatarkastusta (tai teetä itse) ja vaadi todisteita nähtäväksi 4/15/10 © Nixu 2010
IaaS-kelpoisen sovelluksen tietoturvaominaisuuksia   Tietovarasto on salattu ja varmistettavissa.   API-rajapinnat tukevat luottamuksellisuuden ja eheyden varmistamista (kuten SOAn WS- Security).   Käyttäjätunnistus on ulkoistettu, eli luottaa kotiverkon tunnistukseen (=federointi).   Käyttövaltuushallinnan ulkoistus eli ns. claims based -sovellus tai käyttövaltuuksia voi ylläpitää turvallisesti omasta IdM- järjestelmästä käsin (WS-SPML).   Pääkäyttäjien tunnistus on vahvempi.   Sovellukselle on tehty hyvä pentesti 4/15/10 © Nixu 2009
Työasemabackup pilvestä: 5€/kk Käyttöönotto ilman riskienhallintaprosessia: 10 min Luottamukselliset tiedot vaatimusten vastaisesti ETA:n ulkopuolella  nopea päätös lopettaa palvelun käyttö… … ”PRICELESS” 4/15/10 © Nixu 2009
Cloud Provider Security –kartoitus   Suunnitelmana toteuttaa tietoturvan kartoitushanke –  10-20 suomalaisen ja kansainvälisen toimijan –  Julkisen ja private cloud-toimijan –  Kesän 2010 aikana   Vertaamme ja arvioimme palvelujen turvallisuutta [AUDITOINTI] –  Sekä havaittua laatua, palvelulupausta että SLA-ehtoja   Luomme luokittelun turva-tasoille ja riskikartoituspohjan   Etsimme mukaan kiinnostuneita jakamaan kartoituksen kustannuksia ja saamaan tutkimusraportin käyttöönsä.   Suunniteltu kustannustaso 10-15 k€ / osallistuva organisaatio   Kiinnostaako? –  Jos riittävästi kiinnostuneita löytyy, työstämme varsinaisen tutkimussuunnitelman ja sovimme asiasta valittujen cloud-toimijoiden kanssa. 4/15/10 © Nixu 2009
Muista nämä! LUOKIT‐ TELU  RISKINHAL LINTA‐ PROSESSI  ARKKITEH‐ TUURI  SLA ja  VALVONTA  4/15/10 © Nixu 2009
Kiitos, autamme mielellämme tekemään oikean siirron! p. 040 521 3125 Nixu Oy Keilaranta 15 02151 Espoo www.nixu.fi 4/15/10 © Nixu 2009
Palvelualueemme Advise Build Develop  Inspect ohjeistaa rakentaa kehi5ää  tarkastaa •  Tietoturvastrategia •  Identiteetinhallinnan •  Turvallinen •  PCI DSS auditoinnit •  Riskienhallinta konsultointi ja toteutus ohjelmistokehitys •  Tietoturva-auditoinnit •  Jatkuvuussuunnittelu •  Pääsynhallinta •  Linux/embedded •  Verkon murtotestaus •  Tietoturvapolitiikat ja •  PKI kehitys ohjelmistokehitys •  Web-sovellusten ohjeistot •  Lokienhallinnan •  Secure SDLC murtotestaus •  Tietoturvakulttuurin konsultointi •  Forensiikka luonti ja jalkautus •  Turva-arkkitehtuuri •  Testausautomaatio •  Vaatimustenmukaisuus Apr-15-10 © Nixu 2010

Recommended

Tietoturvallisuuden_kevatseminaari_2013_Tommi_Simula
Tietoturvallisuuden_kevatseminaari_2013_Tommi_SimulaTietoturvallisuuden_kevatseminaari_2013_Tommi_Simula
Tietoturvallisuuden_kevatseminaari_2013_Tommi_SimulaValtiokonttori / Statskontoret / State Treasury of Finland
 
Nixu 2012 Mittarit Tietoturvan Johtamiseen - Tilannekuva Hallintaan
Nixu 2012 Mittarit Tietoturvan Johtamiseen - Tilannekuva HallintaanNixu 2012 Mittarit Tietoturvan Johtamiseen - Tilannekuva Hallintaan
Nixu 2012 Mittarit Tietoturvan Johtamiseen - Tilannekuva HallintaanPietari Sarjakivi
 
Tiedonhallinnan haasteista tietovuotojen estämiseen - Information Assurance -...
Tiedonhallinnan haasteista tietovuotojen estämiseen - Information Assurance -...Tiedonhallinnan haasteista tietovuotojen estämiseen - Information Assurance -...
Tiedonhallinnan haasteista tietovuotojen estämiseen - Information Assurance -...Mikko Jakonen
 
Tietovastuu - Pilvipalveluiden turvallisuus
Tietovastuu - Pilvipalveluiden turvallisuusTietovastuu - Pilvipalveluiden turvallisuus
Tietovastuu - Pilvipalveluiden turvallisuusNixu Corporation
 
SAML SP - vaikeat käyttotapaukset, HAKA - Virtu päivä 3.2.2010
SAML SP - vaikeat käyttotapaukset, HAKA - Virtu päivä 3.2.2010SAML SP - vaikeat käyttotapaukset, HAKA - Virtu päivä 3.2.2010
SAML SP - vaikeat käyttotapaukset, HAKA - Virtu päivä 3.2.2010Kim Westerlund
 
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011Petri Aukia
 
Kimmo Rousku: Laadun kaava: riskienhallinta + tietoturvallisuus + varautumine...
Kimmo Rousku: Laadun kaava: riskienhallinta + tietoturvallisuus + varautumine...Kimmo Rousku: Laadun kaava: riskienhallinta + tietoturvallisuus + varautumine...
Kimmo Rousku: Laadun kaava: riskienhallinta + tietoturvallisuus + varautumine...Valtiokonttori / Statskontoret / State Treasury of Finland
 
Palveluiden ja tietoturvan valtuushallinta
Palveluiden ja tietoturvan valtuushallintaPalveluiden ja tietoturvan valtuushallinta
Palveluiden ja tietoturvan valtuushallintaThomas Malmberg
 

Recommended

Tietoturvallisuuden_kevatseminaari_2013_Tommi_Simula
Tietoturvallisuuden_kevatseminaari_2013_Tommi_SimulaTietoturvallisuuden_kevatseminaari_2013_Tommi_Simula
Tietoturvallisuuden_kevatseminaari_2013_Tommi_SimulaValtiokonttori / Statskontoret / State Treasury of Finland
 
Nixu 2012 Mittarit Tietoturvan Johtamiseen - Tilannekuva Hallintaan
Nixu 2012 Mittarit Tietoturvan Johtamiseen - Tilannekuva HallintaanNixu 2012 Mittarit Tietoturvan Johtamiseen - Tilannekuva Hallintaan
Nixu 2012 Mittarit Tietoturvan Johtamiseen - Tilannekuva HallintaanPietari Sarjakivi
 
Tiedonhallinnan haasteista tietovuotojen estämiseen - Information Assurance -...
Tiedonhallinnan haasteista tietovuotojen estämiseen - Information Assurance -...Tiedonhallinnan haasteista tietovuotojen estämiseen - Information Assurance -...
Tiedonhallinnan haasteista tietovuotojen estämiseen - Information Assurance -...Mikko Jakonen
 
Tietovastuu - Pilvipalveluiden turvallisuus
Tietovastuu - Pilvipalveluiden turvallisuusTietovastuu - Pilvipalveluiden turvallisuus
Tietovastuu - Pilvipalveluiden turvallisuusNixu Corporation
 
SAML SP - vaikeat käyttotapaukset, HAKA - Virtu päivä 3.2.2010
SAML SP - vaikeat käyttotapaukset, HAKA - Virtu päivä 3.2.2010SAML SP - vaikeat käyttotapaukset, HAKA - Virtu päivä 3.2.2010
SAML SP - vaikeat käyttotapaukset, HAKA - Virtu päivä 3.2.2010Kim Westerlund
 
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011Petri Aukia
 
Kimmo Rousku: Laadun kaava: riskienhallinta + tietoturvallisuus + varautumine...
Kimmo Rousku: Laadun kaava: riskienhallinta + tietoturvallisuus + varautumine...Kimmo Rousku: Laadun kaava: riskienhallinta + tietoturvallisuus + varautumine...
Kimmo Rousku: Laadun kaava: riskienhallinta + tietoturvallisuus + varautumine...Valtiokonttori / Statskontoret / State Treasury of Finland
 
Palveluiden ja tietoturvan valtuushallinta
Palveluiden ja tietoturvan valtuushallintaPalveluiden ja tietoturvan valtuushallinta
Palveluiden ja tietoturvan valtuushallintaThomas Malmberg
 
Portfolio
PortfolioPortfolio
PortfolioDaniel Markham
 
OneNote kurs i Østfold
OneNote kurs i ØstfoldOneNote kurs i Østfold
OneNote kurs i Østfoldsmartped
 
Visual Project
Visual ProjectVisual Project
Visual Projecttaylorm6
 
看見價值 巴菲特
看見價值 巴菲特看見價值 巴菲特
看見價值 巴菲特guestfe378c
 
Presentación Web-to-store Webminar Generix 20 Octubre 2016
Presentación Web-to-store Webminar Generix 20 Octubre 2016Presentación Web-to-store Webminar Generix 20 Octubre 2016
Presentación Web-to-store Webminar Generix 20 Octubre 2016Ignacio Garcia
 
Business Intelligence for the BPO industry
Business Intelligence for the BPO industryBusiness Intelligence for the BPO industry
Business Intelligence for the BPO industryVikram Kole
 
Polaroid Fix
Polaroid FixPolaroid Fix
Polaroid FixDaniel Markham
 
Guard Video
Guard VideoGuard Video
Guard VideoBonnie Bone
 
Digitalkompetanse 1.Trinn
Digitalkompetanse 1.TrinnDigitalkompetanse 1.Trinn
Digitalkompetanse 1.Trinnsmartped
 
Idesh! 2011 Media Kit
Idesh! 2011 Media KitIdesh! 2011 Media Kit
Idesh! 2011 Media Kitaljosa
 
MAIA_brief
MAIA_briefMAIA_brief
MAIA_briefVikram Kole
 
Captación de fondos a traves de servicios Fund San Ezequiel Moreno by Barbara...
Captación de fondos a traves de servicios Fund San Ezequiel Moreno by Barbara...Captación de fondos a traves de servicios Fund San Ezequiel Moreno by Barbara...
Captación de fondos a traves de servicios Fund San Ezequiel Moreno by Barbara...SIGMA Servicios Profesionales para Asociaciones SL
 
Higher education IAM-seminar Turku 10.12.2009
Higher education IAM-seminar Turku 10.12.2009Higher education IAM-seminar Turku 10.12.2009
Higher education IAM-seminar Turku 10.12.2009Kim Westerlund
 
IAM projektit, Tampereen teknillinen yliopisto 2010
IAM projektit, Tampereen teknillinen yliopisto 2010IAM projektit, Tampereen teknillinen yliopisto 2010
IAM projektit, Tampereen teknillinen yliopisto 2010Kim Westerlund
 
Proton Induced X Ray Emission P P
Proton Induced X Ray Emission P PProton Induced X Ray Emission P P
Proton Induced X Ray Emission P Pguest123ae0
 
Cloud computing - palvelut verkossa, Espoo 27.11.2013, Eufris Oy, Immo Salo
Cloud computing - palvelut verkossa, Espoo 27.11.2013, Eufris Oy, Immo SaloCloud computing - palvelut verkossa, Espoo 27.11.2013, Eufris Oy, Immo Salo
Cloud computing - palvelut verkossa, Espoo 27.11.2013, Eufris Oy, Immo SaloImmo Salo
 
Pilvet ja pilvipalvelut
Pilvet ja pilvipalvelutPilvet ja pilvipalvelut
Pilvet ja pilvipalvelutPete Nieminen
 
Ilmavaa infraa, koto-Suomessa ja maailmalla
Ilmavaa infraa, koto-Suomessa ja maailmallaIlmavaa infraa, koto-Suomessa ja maailmalla
Ilmavaa infraa, koto-Suomessa ja maailmallaGlen Koskela
 
Pilvet nyt ja tulevaisuudessa – hypestä hyötyihin
Pilvet nyt ja tulevaisuudessa – hypestä hyötyihinPilvet nyt ja tulevaisuudessa – hypestä hyötyihin
Pilvet nyt ja tulevaisuudessa – hypestä hyötyihinGlen Koskela
 
Pilvipalvelut, Tampere 25.10.2013, Eufris Oy, Immo Salo
Pilvipalvelut, Tampere 25.10.2013, Eufris Oy, Immo SaloPilvipalvelut, Tampere 25.10.2013, Eufris Oy, Immo Salo
Pilvipalvelut, Tampere 25.10.2013, Eufris Oy, Immo SaloImmo Salo
 
Crm pilvipalveluna harri kanerva - value frame
Crm pilvipalveluna harri kanerva - value frameCrm pilvipalveluna harri kanerva - value frame
Crm pilvipalveluna harri kanerva - value frameValueFrame Oy
 
Pilvipalvelut ja tietoturva - 24.5.2011
Pilvipalvelut ja tietoturva - 24.5.2011Pilvipalvelut ja tietoturva - 24.5.2011
Pilvipalvelut ja tietoturva - 24.5.2011Tomppa Järvinen
 

More Related Content

Viewers also liked

OneNote kurs i Østfold
OneNote kurs i ØstfoldOneNote kurs i Østfold
OneNote kurs i Østfoldsmartped
 
Visual Project
Visual ProjectVisual Project
Visual Projecttaylorm6
 
看見價值 巴菲特
看見價值 巴菲特看見價值 巴菲特
看見價值 巴菲特guestfe378c
 
Presentación Web-to-store Webminar Generix 20 Octubre 2016
Presentación Web-to-store Webminar Generix 20 Octubre 2016Presentación Web-to-store Webminar Generix 20 Octubre 2016
Presentación Web-to-store Webminar Generix 20 Octubre 2016Ignacio Garcia
 
Business Intelligence for the BPO industry
Business Intelligence for the BPO industryBusiness Intelligence for the BPO industry
Business Intelligence for the BPO industryVikram Kole
 
Digitalkompetanse 1.Trinn
Digitalkompetanse 1.TrinnDigitalkompetanse 1.Trinn
Digitalkompetanse 1.Trinnsmartped
 
Idesh! 2011 Media Kit
Idesh! 2011 Media KitIdesh! 2011 Media Kit
Idesh! 2011 Media Kitaljosa
 
Higher education IAM-seminar Turku 10.12.2009
Higher education IAM-seminar Turku 10.12.2009Higher education IAM-seminar Turku 10.12.2009
Higher education IAM-seminar Turku 10.12.2009Kim Westerlund
 
IAM projektit, Tampereen teknillinen yliopisto 2010
IAM projektit, Tampereen teknillinen yliopisto 2010IAM projektit, Tampereen teknillinen yliopisto 2010
IAM projektit, Tampereen teknillinen yliopisto 2010Kim Westerlund
 
Proton Induced X Ray Emission P P
Proton Induced X Ray Emission P PProton Induced X Ray Emission P P
Proton Induced X Ray Emission P Pguest123ae0
 

Viewers also liked (15)

Portfolio
PortfolioPortfolio
Portfolio
 
OneNote kurs i Østfold
OneNote kurs i ØstfoldOneNote kurs i Østfold
OneNote kurs i Østfold
 
Visual Project
Visual ProjectVisual Project
Visual Project
 
看見價值 巴菲特
看見價值 巴菲特看見價值 巴菲特
看見價值 巴菲特
 
Presentación Web-to-store Webminar Generix 20 Octubre 2016
Presentación Web-to-store Webminar Generix 20 Octubre 2016Presentación Web-to-store Webminar Generix 20 Octubre 2016
Presentación Web-to-store Webminar Generix 20 Octubre 2016
 
Business Intelligence for the BPO industry
Business Intelligence for the BPO industryBusiness Intelligence for the BPO industry
Business Intelligence for the BPO industry
 
Polaroid Fix
Polaroid FixPolaroid Fix
Polaroid Fix
 
Guard Video
Guard VideoGuard Video
Guard Video
 
Digitalkompetanse 1.Trinn
Digitalkompetanse 1.TrinnDigitalkompetanse 1.Trinn
Digitalkompetanse 1.Trinn
 
Idesh! 2011 Media Kit
Idesh! 2011 Media KitIdesh! 2011 Media Kit
Idesh! 2011 Media Kit
 
MAIA_brief
MAIA_briefMAIA_brief
MAIA_brief
 
Captación de fondos a traves de servicios Fund San Ezequiel Moreno by Barbara...
Captación de fondos a traves de servicios Fund San Ezequiel Moreno by Barbara...Captación de fondos a traves de servicios Fund San Ezequiel Moreno by Barbara...
Captación de fondos a traves de servicios Fund San Ezequiel Moreno by Barbara...
 
Higher education IAM-seminar Turku 10.12.2009
Higher education IAM-seminar Turku 10.12.2009Higher education IAM-seminar Turku 10.12.2009
Higher education IAM-seminar Turku 10.12.2009
 
IAM projektit, Tampereen teknillinen yliopisto 2010
IAM projektit, Tampereen teknillinen yliopisto 2010IAM projektit, Tampereen teknillinen yliopisto 2010
IAM projektit, Tampereen teknillinen yliopisto 2010
 
Proton Induced X Ray Emission P P
Proton Induced X Ray Emission P PProton Induced X Ray Emission P P
Proton Induced X Ray Emission P P
 

Similar to Nixu pilvipalveluiden tietoturvallisuus

Cloud computing - palvelut verkossa, Espoo 27.11.2013, Eufris Oy, Immo Salo
Cloud computing - palvelut verkossa, Espoo 27.11.2013, Eufris Oy, Immo SaloCloud computing - palvelut verkossa, Espoo 27.11.2013, Eufris Oy, Immo Salo
Cloud computing - palvelut verkossa, Espoo 27.11.2013, Eufris Oy, Immo SaloImmo Salo
 
Pilvet ja pilvipalvelut
Pilvet ja pilvipalvelutPilvet ja pilvipalvelut
Pilvet ja pilvipalvelutPete Nieminen
 
Ilmavaa infraa, koto-Suomessa ja maailmalla
Ilmavaa infraa, koto-Suomessa ja maailmallaIlmavaa infraa, koto-Suomessa ja maailmalla
Ilmavaa infraa, koto-Suomessa ja maailmallaGlen Koskela
 
Pilvet nyt ja tulevaisuudessa – hypestä hyötyihin
Pilvet nyt ja tulevaisuudessa – hypestä hyötyihinPilvet nyt ja tulevaisuudessa – hypestä hyötyihin
Pilvet nyt ja tulevaisuudessa – hypestä hyötyihinGlen Koskela
 
Pilvipalvelut, Tampere 25.10.2013, Eufris Oy, Immo Salo
Pilvipalvelut, Tampere 25.10.2013, Eufris Oy, Immo SaloPilvipalvelut, Tampere 25.10.2013, Eufris Oy, Immo Salo
Pilvipalvelut, Tampere 25.10.2013, Eufris Oy, Immo SaloImmo Salo
 
Crm pilvipalveluna harri kanerva - value frame
Crm pilvipalveluna harri kanerva - value frameCrm pilvipalveluna harri kanerva - value frame
Crm pilvipalveluna harri kanerva - value frameValueFrame Oy
 
Pilvipalvelut ja tietoturva - 24.5.2011
Pilvipalvelut ja tietoturva - 24.5.2011Pilvipalvelut ja tietoturva - 24.5.2011
Pilvipalvelut ja tietoturva - 24.5.2011Tomppa Järvinen
 
TechNetTV 30.3.2011: Dynaaminen infra ja System Center
TechNetTV 30.3.2011: Dynaaminen infra ja System CenterTechNetTV 30.3.2011: Dynaaminen infra ja System Center
TechNetTV 30.3.2011: Dynaaminen infra ja System CenterJarno Mäki
 
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...Nixu Corporation
 
Anvia hosting aamusseminaari vaasa 2011 teppo niiranen
Anvia hosting aamusseminaari vaasa 2011 teppo niiranenAnvia hosting aamusseminaari vaasa 2011 teppo niiranen
Anvia hosting aamusseminaari vaasa 2011 teppo niiranenAnvia
 
Lcty 2010 vaasa jari yli koivisto final
Lcty 2010 vaasa jari yli koivisto finalLcty 2010 vaasa jari yli koivisto final
Lcty 2010 vaasa jari yli koivisto finalJukka-Pekka Sorvisto
 
Lcty 2010 Vaasa: jari yli koivisto
Lcty 2010 Vaasa: jari yli koivisto Lcty 2010 Vaasa: jari yli koivisto
Lcty 2010 Vaasa: jari yli koivisto Jukka-Pekka Sorvisto
 
Seminaari 10 12 2010 cisco esa korvenmaa
Seminaari 10 12 2010 cisco esa korvenmaaSeminaari 10 12 2010 cisco esa korvenmaa
Seminaari 10 12 2010 cisco esa korvenmaaProact Finland
 
Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdf
Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdfPalveluntarjoajien kyberturvakyvykkyys-11.9.23.pdf
Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdfjapijapi
 
Pilvipalvelut tietoisku, Helsinki 21.11.2013, Eufris Oy, Immo Salo
Pilvipalvelut tietoisku, Helsinki 21.11.2013, Eufris Oy, Immo SaloPilvipalvelut tietoisku, Helsinki 21.11.2013, Eufris Oy, Immo Salo
Pilvipalvelut tietoisku, Helsinki 21.11.2013, Eufris Oy, Immo SaloImmo Salo
 
Microsoft Dynamics pilvisiirtymä -webinaari 24.4.2018 (Accountor Enterprise S...
Microsoft Dynamics pilvisiirtymä -webinaari 24.4.2018 (Accountor Enterprise S...Microsoft Dynamics pilvisiirtymä -webinaari 24.4.2018 (Accountor Enterprise S...
Microsoft Dynamics pilvisiirtymä -webinaari 24.4.2018 (Accountor Enterprise S...Accountor Enterprise Solutions Oy
 
Virtualisoitu datakeskusratkaisu cisco tommi saxelin
Virtualisoitu datakeskusratkaisu cisco tommi saxelinVirtualisoitu datakeskusratkaisu cisco tommi saxelin
Virtualisoitu datakeskusratkaisu cisco tommi saxelinProact Finland
 
Edge Computing 0204020, Telia Inmics-Nebula
Edge Computing 0204020, Telia Inmics-NebulaEdge Computing 0204020, Telia Inmics-Nebula
Edge Computing 0204020, Telia Inmics-NebulaTelia Inmics-Nebula
 
Pilvipalvelut, Tampere 13.11.2013, Eufris oy, Immo Salo
Pilvipalvelut, Tampere 13.11.2013, Eufris oy, Immo SaloPilvipalvelut, Tampere 13.11.2013, Eufris oy, Immo Salo
Pilvipalvelut, Tampere 13.11.2013, Eufris oy, Immo SaloImmo Salo
 
Webinaari: Oletko pilvinatiivi vai palvelimen vanki?
Webinaari: Oletko pilvinatiivi vai palvelimen vanki?Webinaari: Oletko pilvinatiivi vai palvelimen vanki?
Webinaari: Oletko pilvinatiivi vai palvelimen vanki?Planeetta Internet
 

Similar to Nixu pilvipalveluiden tietoturvallisuus (20)

Cloud computing - palvelut verkossa, Espoo 27.11.2013, Eufris Oy, Immo Salo
Cloud computing - palvelut verkossa, Espoo 27.11.2013, Eufris Oy, Immo SaloCloud computing - palvelut verkossa, Espoo 27.11.2013, Eufris Oy, Immo Salo
Cloud computing - palvelut verkossa, Espoo 27.11.2013, Eufris Oy, Immo Salo
 
Pilvet ja pilvipalvelut
Pilvet ja pilvipalvelutPilvet ja pilvipalvelut
Pilvet ja pilvipalvelut
 
Ilmavaa infraa, koto-Suomessa ja maailmalla
Ilmavaa infraa, koto-Suomessa ja maailmallaIlmavaa infraa, koto-Suomessa ja maailmalla
Ilmavaa infraa, koto-Suomessa ja maailmalla
 
Pilvet nyt ja tulevaisuudessa – hypestä hyötyihin
Pilvet nyt ja tulevaisuudessa – hypestä hyötyihinPilvet nyt ja tulevaisuudessa – hypestä hyötyihin
Pilvet nyt ja tulevaisuudessa – hypestä hyötyihin
 
Pilvipalvelut, Tampere 25.10.2013, Eufris Oy, Immo Salo
Pilvipalvelut, Tampere 25.10.2013, Eufris Oy, Immo SaloPilvipalvelut, Tampere 25.10.2013, Eufris Oy, Immo Salo
Pilvipalvelut, Tampere 25.10.2013, Eufris Oy, Immo Salo
 
Crm pilvipalveluna harri kanerva - value frame
Crm pilvipalveluna harri kanerva - value frameCrm pilvipalveluna harri kanerva - value frame
Crm pilvipalveluna harri kanerva - value frame
 
Pilvipalvelut ja tietoturva - 24.5.2011
Pilvipalvelut ja tietoturva - 24.5.2011Pilvipalvelut ja tietoturva - 24.5.2011
Pilvipalvelut ja tietoturva - 24.5.2011
 
TechNetTV 30.3.2011: Dynaaminen infra ja System Center
TechNetTV 30.3.2011: Dynaaminen infra ja System CenterTechNetTV 30.3.2011: Dynaaminen infra ja System Center
TechNetTV 30.3.2011: Dynaaminen infra ja System Center
 
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...
 
Anvia hosting aamusseminaari vaasa 2011 teppo niiranen
Anvia hosting aamusseminaari vaasa 2011 teppo niiranenAnvia hosting aamusseminaari vaasa 2011 teppo niiranen
Anvia hosting aamusseminaari vaasa 2011 teppo niiranen
 
Lcty 2010 vaasa jari yli koivisto final
Lcty 2010 vaasa jari yli koivisto finalLcty 2010 vaasa jari yli koivisto final
Lcty 2010 vaasa jari yli koivisto final
 
Lcty 2010 Vaasa: jari yli koivisto
Lcty 2010 Vaasa: jari yli koivisto Lcty 2010 Vaasa: jari yli koivisto
Lcty 2010 Vaasa: jari yli koivisto
 
Seminaari 10 12 2010 cisco esa korvenmaa
Seminaari 10 12 2010 cisco esa korvenmaaSeminaari 10 12 2010 cisco esa korvenmaa
Seminaari 10 12 2010 cisco esa korvenmaa
 
Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdf
Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdfPalveluntarjoajien kyberturvakyvykkyys-11.9.23.pdf
Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdf
 
Pilvipalvelut tietoisku, Helsinki 21.11.2013, Eufris Oy, Immo Salo
Pilvipalvelut tietoisku, Helsinki 21.11.2013, Eufris Oy, Immo SaloPilvipalvelut tietoisku, Helsinki 21.11.2013, Eufris Oy, Immo Salo
Pilvipalvelut tietoisku, Helsinki 21.11.2013, Eufris Oy, Immo Salo
 
Microsoft Dynamics pilvisiirtymä -webinaari 24.4.2018 (Accountor Enterprise S...
Microsoft Dynamics pilvisiirtymä -webinaari 24.4.2018 (Accountor Enterprise S...Microsoft Dynamics pilvisiirtymä -webinaari 24.4.2018 (Accountor Enterprise S...
Microsoft Dynamics pilvisiirtymä -webinaari 24.4.2018 (Accountor Enterprise S...
 
Virtualisoitu datakeskusratkaisu cisco tommi saxelin
Virtualisoitu datakeskusratkaisu cisco tommi saxelinVirtualisoitu datakeskusratkaisu cisco tommi saxelin
Virtualisoitu datakeskusratkaisu cisco tommi saxelin
 
Edge Computing 0204020, Telia Inmics-Nebula
Edge Computing 0204020, Telia Inmics-NebulaEdge Computing 0204020, Telia Inmics-Nebula
Edge Computing 0204020, Telia Inmics-Nebula
 
Pilvipalvelut, Tampere 13.11.2013, Eufris oy, Immo Salo
Pilvipalvelut, Tampere 13.11.2013, Eufris oy, Immo SaloPilvipalvelut, Tampere 13.11.2013, Eufris oy, Immo Salo
Pilvipalvelut, Tampere 13.11.2013, Eufris oy, Immo Salo
 
Webinaari: Oletko pilvinatiivi vai palvelimen vanki?
Webinaari: Oletko pilvinatiivi vai palvelimen vanki?Webinaari: Oletko pilvinatiivi vai palvelimen vanki?
Webinaari: Oletko pilvinatiivi vai palvelimen vanki?
 

Nixu pilvipalveluiden tietoturvallisuus

  • 1. ISACA 15.4.2010 Kim Westerlund johtava konsultti, Nixu Oy We must defend the Customer from risks, but  purely defensive approach may prevent us from  seeing opportuni:es.  © Nixu 2010
  • 2. Agenda   Pilvipalvelumallit lyhyesti   Pilvipalvelut ostajan näkökulmasta   Huomioitavia asioita tietoturvan osalta   Suosituksia   Tutkimushankkeen lyhyt esittely Huom! Tämä esitys on suunna0u 1etohallintojohdolle sekä   1etoturvajohdon vies1ntään liiketoimintajohdolle.  4/15/10 © Nixu 2010
  • 3. Nixu Oy   Suomen suurin tietoturvan asiantuntijapalveluyritys – yli 80 henkeä   Perustettu 1988, liikevaihto yli 8 M€ –  Yli 100 asiakasta yli 300 projektissa viime vuonna   Konsultoimme sekä pilvipalvelujen tuottajia että hankkijoita. –  Kymmenet projektimme koskettivat viime vuonna verkon ylitse hankittavia palveluja.   96 % asiakkaistamme on valmis suosittelemaan kollegalleen (syksy ’09)   www.nixu.fi 4/15/10 © Nixu 2010
  • 4. Tekemässä ensimmäisiä siirtoja pilvipalveluiden hyödyntäjänä… 4/15/10 © Nixu 2009
  • 5. Omasta verkosta pilvipalveluihin SoNware as a Service (SaaS)  tai palveluita yhdeltä kumppanilta” Private cloud eli yksityinen pilvi “Virtualisoitua konetehoa, alustaoja “CRM‐järjestelmä verkon ylitse”  hallinta vähenee, riskit kasvavat  Palvelukokonaisuus laajenee  PlaIorm as a Service (PaaS)  “Web‐hotelli verkon ylitse omaa verkkokauppaa varten”  Windows Azure, Google AppEngine  Infrastructure as a Service (IaaS)  “Käy>öjärjestelmäalustoja verkon ylitse omaa  soDakehitystä varten”  Amazon Web Services, Rackspace  Oman verkon konesalit  “Oma konesali tai ulkoistetut dedikoidut palvelimet  kytke>ynä omaan verkkoon”  4/15/10 © Nixu 2010
  • 6. Pilvipalvelut ostajan näkökulmasta +  Joustavia (käy0ö ja jae0avuus)  +  +  Vain käytöstä maksetaaan  +  Palvelut kehi0yvät toimi0ajien toimesta  +  Hajaute0avuus (turvaavat saatavuu0a)  +  Skaalaedut 1etoturvan toteutuksessa  -  KriiSsiä 1etoja tai palveluja siirtyy kolmansille  −  osapuolille  -  Hallinta vain sopimusteitse  -  Arkkitehtuurin hallinta vaikeutuu  -  Toiminta ongelma1lanteissa  -  Palveluita voidaan ostaa 1etohallinnon ohi  Kun hajautetussa pilvessä toimiva liiketoimintakriiHnen sovelluksesi lakkaa  toimimasta *mahdollises:* pilvituo>ajan ongelmista johtuen, kenelle  soitat ja kannustat hoitamaan ongelmat kuntoon?  4/15/10 © Nixu 2010
  • 7. CIO:den mielestä tietoturvallisuus on huoli nro 1 mietittäessä pilvipalveluita. 4/15/10 © Nixu 2009
  • 8. 4/15/10 © Nixu 2009
  • 9. Cloud Security Alliance - 7 suurinta uhkaa 1.  rikollinen käyttö 2.  turvattomat rajapinnat 3.  pahaa tahtovat sisäpiiriläiset 4.  jaetun teknologia-alustan eristys 5.  tiedon häviäminen tai tietovuoto 6.  käyttäjätunnusten kaappaaminen 7.  tuntematon riski http://www.cloudsecurityalliance.org/topthreats/csathreats.v1.0.pdf 4/15/10 © Nixu 2009
  • 10. Tärkeää tietoa palomuurin ulkopuolella   Tietoturvalla ei ole vaatteita –  Monista käytännöistä puhuttu enemmän kuin tehty –  Loppujen lopuksi on luotettu lähinnä palomuuriin   Pilvimaailmassa tehtävä enemmän: –  Tiedon luokittelu   mm. sopimukselliset sekä lainsäädännölliset vaatimukset –  Riskianalyysiprosessi –  Huolelliset jatkuvuussuunnitelmat –  Toimittajien tarkastus   Miten kokonaisarkkitehtuuri saadaan 4/15/10 © Nixu 2009 pidettyä otteessa?
  • 11. Riskianalyysin kahdet kasvot MAHDOLLISUUKSI RISKINHALLINTA‐ EN ja RISKIEN  ARVON HALLINTA  PROSESSI  TUNNISTAMINEN  ISACA Risk IT 4/15/10 © Nixu 2009
  • 12. Riskianalyysin 3 osaa Palvelun käy0ö  • Sopimukset  ja tuotanto  • Tiedon palautus  • Palvelutasolupaus (SLA)  • Myötävaiku0amis‐ • Käyte0ävyys  • Tietotoriski  velvollisuus  • Vastuut ja roolit  • Opera1iviset riskit  • Sank1ot  • Ohjausrakenteet  • Tietoturvatapahtumien  ja ongelmien hallinta   Palvelun  Palvelun  hankinta  lopetus  Ulkoistamisen vanhat synnit:  •  Ulkoistetaan ongelma  KATSO MYÖS http://www.enisa.europa.eu/act/rm/files/deliverables/ •  Valitaan haluton tai kyvytön  cloud-computing-risk-assessment kumppani  4/15/10 © Nixu 2009 •  Tehdään surkea sopimus 
  • 13. Suosituksia   Laadi ja hyväksytä yksinkertainen ohje pilvipalveluiden (etenkin SaaS) hankintaan muita yksiköitä varten   Suorita tietojen luokittelua –  Mieti kumpi on tärkeämpää: luottamuksellisuus vai saatavuus   Mieti arkkitehtuuria: –  Kuinka käyttövaltuudet hallitaan, miten turva-arkkitehtuuria seurataan, audit trail…   Tee riskianalyysi aina päätettäessä jonkin palvelun siirrosta pilveen   Sopimusta tehdessä, ymmärrä SLA:t   Edellytä tuottajan teettämää tietoturvatarkastusta (tai teetä itse) ja vaadi todisteita nähtäväksi 4/15/10 © Nixu 2010
  • 14. IaaS-kelpoisen sovelluksen tietoturvaominaisuuksia   Tietovarasto on salattu ja varmistettavissa.   API-rajapinnat tukevat luottamuksellisuuden ja eheyden varmistamista (kuten SOAn WS- Security).   Käyttäjätunnistus on ulkoistettu, eli luottaa kotiverkon tunnistukseen (=federointi).   Käyttövaltuushallinnan ulkoistus eli ns. claims based -sovellus tai käyttövaltuuksia voi ylläpitää turvallisesti omasta IdM- järjestelmästä käsin (WS-SPML).   Pääkäyttäjien tunnistus on vahvempi.   Sovellukselle on tehty hyvä pentesti 4/15/10 © Nixu 2009
  • 15. Työasemabackup pilvestä: 5€/kk Käyttöönotto ilman riskienhallintaprosessia: 10 min Luottamukselliset tiedot vaatimusten vastaisesti ETA:n ulkopuolella  nopea päätös lopettaa palvelun käyttö… … ”PRICELESS” 4/15/10 © Nixu 2009
  • 16. Cloud Provider Security –kartoitus   Suunnitelmana toteuttaa tietoturvan kartoitushanke –  10-20 suomalaisen ja kansainvälisen toimijan –  Julkisen ja private cloud-toimijan –  Kesän 2010 aikana   Vertaamme ja arvioimme palvelujen turvallisuutta [AUDITOINTI] –  Sekä havaittua laatua, palvelulupausta että SLA-ehtoja   Luomme luokittelun turva-tasoille ja riskikartoituspohjan   Etsimme mukaan kiinnostuneita jakamaan kartoituksen kustannuksia ja saamaan tutkimusraportin käyttöönsä.   Suunniteltu kustannustaso 10-15 k€ / osallistuva organisaatio   Kiinnostaako? –  Jos riittävästi kiinnostuneita löytyy, työstämme varsinaisen tutkimussuunnitelman ja sovimme asiasta valittujen cloud-toimijoiden kanssa. 4/15/10 © Nixu 2009
  • 17. Muista nämä! LUOKIT‐ TELU  RISKINHAL LINTA‐ PROSESSI  ARKKITEH‐ TUURI  SLA ja  VALVONTA  4/15/10 © Nixu 2009
  • 18. Kiitos, autamme mielellämme tekemään oikean siirron! p. 040 521 3125 Nixu Oy Keilaranta 15 02151 Espoo www.nixu.fi 4/15/10 © Nixu 2009
  • 19. Palvelualueemme Advise Build Develop  Inspect ohjeistaa rakentaa kehi5ää  tarkastaa •  Tietoturvastrategia •  Identiteetinhallinnan •  Turvallinen •  PCI DSS auditoinnit •  Riskienhallinta konsultointi ja toteutus ohjelmistokehitys •  Tietoturva-auditoinnit •  Jatkuvuussuunnittelu •  Pääsynhallinta •  Linux/embedded •  Verkon murtotestaus •  Tietoturvapolitiikat ja •  PKI kehitys ohjelmistokehitys •  Web-sovellusten ohjeistot •  Lokienhallinnan •  Secure SDLC murtotestaus •  Tietoturvakulttuurin konsultointi •  Forensiikka luonti ja jalkautus •  Turva-arkkitehtuuri •  Testausautomaatio •  Vaatimustenmukaisuus Apr-15-10 © Nixu 2010