More Related Content
Similar to Nixu pilvipalveluiden tietoturvallisuus
Similar to Nixu pilvipalveluiden tietoturvallisuus (20)
Nixu pilvipalveluiden tietoturvallisuus
- 1. ISACA 15.4.2010
Kim Westerlund
johtava konsultti, Nixu Oy
We must defend the Customer from risks, but
purely defensive approach may prevent us from
seeing opportuni:es.
© Nixu 2010
- 2. Agenda
Pilvipalvelumallit lyhyesti
Pilvipalvelut ostajan näkökulmasta
Huomioitavia asioita tietoturvan osalta
Suosituksia
Tutkimushankkeen lyhyt esittely
Huom! Tämä esitys on suunna0u 1etohallintojohdolle sekä
1etoturvajohdon vies1ntään liiketoimintajohdolle.
4/15/10 © Nixu 2010
- 3. Nixu Oy
Suomen suurin tietoturvan
asiantuntijapalveluyritys – yli 80 henkeä
Perustettu 1988, liikevaihto yli 8 M€
– Yli 100 asiakasta yli 300 projektissa viime vuonna
Konsultoimme sekä pilvipalvelujen tuottajia että
hankkijoita.
– Kymmenet projektimme koskettivat viime vuonna
verkon ylitse hankittavia palveluja.
96 % asiakkaistamme on valmis suosittelemaan
kollegalleen (syksy ’09)
www.nixu.fi
4/15/10 © Nixu 2010
- 5. Omasta verkosta pilvipalveluihin
SoNware as a Service (SaaS)
tai palveluita yhdeltä kumppanilta”
Private cloud eli
yksityinen pilvi
“Virtualisoitua konetehoa, alustaoja
“CRM‐järjestelmä verkon ylitse”
hallinta vähenee, riskit kasvavat
Palvelukokonaisuus laajenee
PlaIorm as a Service (PaaS)
“Web‐hotelli verkon ylitse omaa verkkokauppaa varten”
Windows Azure, Google AppEngine
Infrastructure as a Service (IaaS)
“Käy>öjärjestelmäalustoja verkon ylitse omaa
soDakehitystä varten”
Amazon Web Services, Rackspace
Oman verkon konesalit
“Oma konesali tai ulkoistetut dedikoidut palvelimet
kytke>ynä omaan verkkoon”
4/15/10 © Nixu 2010
- 6. Pilvipalvelut ostajan näkökulmasta
+ Joustavia (käy0ö ja jae0avuus)
+
+ Vain käytöstä maksetaaan
+ Palvelut kehi0yvät toimi0ajien toimesta
+ Hajaute0avuus (turvaavat saatavuu0a)
+ Skaalaedut 1etoturvan toteutuksessa
- KriiSsiä 1etoja tai palveluja siirtyy kolmansille
−
osapuolille
- Hallinta vain sopimusteitse
- Arkkitehtuurin hallinta vaikeutuu
- Toiminta ongelma1lanteissa
- Palveluita voidaan ostaa 1etohallinnon ohi
Kun hajautetussa pilvessä toimiva liiketoimintakriiHnen sovelluksesi lakkaa
toimimasta *mahdollises:* pilvituo>ajan ongelmista johtuen, kenelle
soitat ja kannustat hoitamaan ongelmat kuntoon?
4/15/10 © Nixu 2010
- 9. Cloud Security Alliance -
7 suurinta uhkaa
1. rikollinen käyttö
2. turvattomat rajapinnat
3. pahaa tahtovat sisäpiiriläiset
4. jaetun teknologia-alustan eristys
5. tiedon häviäminen tai tietovuoto
6. käyttäjätunnusten kaappaaminen
7. tuntematon riski
http://www.cloudsecurityalliance.org/topthreats/csathreats.v1.0.pdf
4/15/10 © Nixu 2009
- 10. Tärkeää tietoa palomuurin ulkopuolella
Tietoturvalla ei ole vaatteita
– Monista käytännöistä puhuttu enemmän
kuin tehty
– Loppujen lopuksi on luotettu lähinnä
palomuuriin
Pilvimaailmassa tehtävä enemmän:
– Tiedon luokittelu
mm. sopimukselliset sekä
lainsäädännölliset vaatimukset
– Riskianalyysiprosessi
– Huolelliset jatkuvuussuunnitelmat
– Toimittajien tarkastus
Miten kokonaisarkkitehtuuri saadaan
4/15/10 © Nixu 2009
pidettyä otteessa?
- 11. Riskianalyysin kahdet kasvot
MAHDOLLISUUKSI
RISKINHALLINTA‐
EN ja RISKIEN ARVON HALLINTA
PROSESSI
TUNNISTAMINEN
ISACA Risk IT
4/15/10 © Nixu 2009
- 12. Riskianalyysin 3 osaa
Palvelun käy0ö
• Sopimukset ja tuotanto • Tiedon palautus
• Palvelutasolupaus (SLA) • Myötävaiku0amis‐
• Käyte0ävyys • Tietotoriski velvollisuus
• Vastuut ja roolit • Opera1iviset riskit
• Sank1ot • Ohjausrakenteet
• Tietoturvatapahtumien
ja ongelmien hallinta
Palvelun Palvelun
hankinta lopetus
Ulkoistamisen vanhat synnit:
• Ulkoistetaan ongelma
KATSO MYÖS http://www.enisa.europa.eu/act/rm/files/deliverables/ • Valitaan haluton tai kyvytön
cloud-computing-risk-assessment
kumppani
4/15/10 © Nixu 2009 • Tehdään surkea sopimus
- 13. Suosituksia
Laadi ja hyväksytä yksinkertainen ohje pilvipalveluiden
(etenkin SaaS) hankintaan muita yksiköitä varten
Suorita tietojen luokittelua
– Mieti kumpi on tärkeämpää: luottamuksellisuus vai saatavuus
Mieti arkkitehtuuria:
– Kuinka käyttövaltuudet hallitaan, miten turva-arkkitehtuuria
seurataan, audit trail…
Tee riskianalyysi aina päätettäessä jonkin palvelun siirrosta
pilveen
Sopimusta tehdessä, ymmärrä SLA:t
Edellytä tuottajan teettämää tietoturvatarkastusta
(tai teetä itse) ja vaadi todisteita nähtäväksi
4/15/10 © Nixu 2010
- 14. IaaS-kelpoisen sovelluksen
tietoturvaominaisuuksia
Tietovarasto on salattu ja varmistettavissa.
API-rajapinnat tukevat luottamuksellisuuden ja
eheyden varmistamista (kuten SOAn WS-
Security).
Käyttäjätunnistus on ulkoistettu, eli luottaa
kotiverkon tunnistukseen (=federointi).
Käyttövaltuushallinnan ulkoistus eli ns. claims
based -sovellus tai käyttövaltuuksia voi
ylläpitää turvallisesti omasta IdM-
järjestelmästä käsin (WS-SPML).
Pääkäyttäjien tunnistus on vahvempi.
Sovellukselle on tehty hyvä pentesti
4/15/10 © Nixu 2009
- 15. Työasemabackup pilvestä: 5€/kk
Käyttöönotto ilman
riskienhallintaprosessia: 10 min
Luottamukselliset tiedot vaatimusten
vastaisesti ETA:n ulkopuolella
nopea päätös lopettaa palvelun
käyttö…
… ”PRICELESS”
4/15/10 © Nixu 2009
- 16. Cloud Provider Security –kartoitus
Suunnitelmana toteuttaa tietoturvan kartoitushanke
– 10-20 suomalaisen ja kansainvälisen toimijan
– Julkisen ja private cloud-toimijan
– Kesän 2010 aikana
Vertaamme ja arvioimme palvelujen turvallisuutta [AUDITOINTI]
– Sekä havaittua laatua, palvelulupausta että SLA-ehtoja
Luomme luokittelun turva-tasoille ja riskikartoituspohjan
Etsimme mukaan kiinnostuneita jakamaan kartoituksen
kustannuksia ja saamaan tutkimusraportin käyttöönsä.
Suunniteltu kustannustaso 10-15 k€ / osallistuva organisaatio
Kiinnostaako?
– Jos riittävästi kiinnostuneita löytyy, työstämme varsinaisen
tutkimussuunnitelman ja sovimme asiasta valittujen cloud-toimijoiden
kanssa.
4/15/10 © Nixu 2009
- 17. Muista nämä!
LUOKIT‐
TELU
RISKINHAL
LINTA‐
PROSESSI
ARKKITEH‐
TUURI SLA ja
VALVONTA
4/15/10 © Nixu 2009
- 18. Kiitos,
autamme mielellämme
tekemään oikean siirron!
p. 040 521 3125
Nixu Oy
Keilaranta 15
02151 Espoo
www.nixu.fi
4/15/10 © Nixu 2009
- 19. Palvelualueemme
Advise Build Develop Inspect
ohjeistaa rakentaa kehi5ää tarkastaa
• Tietoturvastrategia • Identiteetinhallinnan • Turvallinen • PCI DSS auditoinnit
• Riskienhallinta konsultointi ja toteutus ohjelmistokehitys • Tietoturva-auditoinnit
• Jatkuvuussuunnittelu • Pääsynhallinta • Linux/embedded • Verkon murtotestaus
• Tietoturvapolitiikat ja • PKI kehitys ohjelmistokehitys • Web-sovellusten
ohjeistot • Lokienhallinnan • Secure SDLC murtotestaus
• Tietoturvakulttuurin konsultointi • Forensiikka
luonti ja jalkautus • Turva-arkkitehtuuri • Testausautomaatio
• Vaatimustenmukaisuus
Apr-15-10 © Nixu 2010