SlideShare a Scribd company logo

Zarządzanie ryzykiem na biegunie i w chmurze

Download as PPSX, PDF
Marcin Fronczak
Marcin Fronczak

Marcin Fronczak, Cloud Security Alliance Polska

Business
1 of 34
Zarządzanie ryzykiem na biegunie i w chmurze obliczeniowej Marcin Fronczak Cloud Security Alliance Polska
Śmiałkowie Roal Amundsen Robert Falcon Scott – Oficer brytyjskiej marynarki – Norweski badacz polarny, wojennej – Odkrywca i pionier – Badacz Antarktydy – Pierwszy zdobywca bieguna – Odkrywca i podróżnik południowego. © 2012 Cloud Security Alliance Polska All Rights Reserved. 2
Cel - Zdobyd biegun południowy - Wrócid cało do domu
Planowanie Roal Amundsen Robert Falcon Scott – Doświadczenie – Doświadczenie – Relacje z innych wypraw – Był już na biegunie – Zbudowanie baz i południowym (1902 r.) magazynów żywności – Zbudowanie baz i – Dbałośd o drobiazgi magazynów żywności (jedzenie, odzież, bielizn – Bogate wsparcie a, narzędzia. ekwipunek) zasobów (3 tony sprzętu) – Dobór ludzi – Poleganie na szczęściu i – Biegły w sztuce opatrzności przetrwania
Przygotowanie – 5 osób – 65 osób (17 członków – 95 psów zaprzęgowych wyprawy) – Narty biegowe – 19 kucyków mandżurskich – 10 par specjalnie – 6 sao motorowych przygotowanych sao – Psy zaprzęgowe – 6 namiotów – Brezentowe kombinezony – Lapooskie anoraki z – 3 magazyny żywności i foczego futra i futra z paliwa renów – 3 magazyny żywności
Przebieg - Start z tego samego sektora Antarktydy (podobna odległośd do bieguna) - Amundsen wybrał miejsce lądowania w miejscu obfitującym w pożywienie - Scott wyruszył 11 dni przed Amudsenem znaną sobie trasą - Amundsen wytyczał nowy szlak - Te same warunki pogodowe przez pierwsze 34 dni - Scott poruszał się z prędkością około 10 km dziennie - Amundsen pokonywał 15-20 km dziennie, a w drodze powrotnej 50-70 km dzięki lżejszym saniom (rekord 100 km) © 2012 Cloud Security Alliance Polska All Rights Reserved. 6
Wynik – 14.12.1911 – zdobycie – 30.12.1911 – przekroczenie równoleżnika (w drodze na bieguna południowego biegun) – 30.12.1911 – – 04.01.1912 – do bieguna przekroczenie zmierza już tylko 5 uczestników wyprawy równoleżnika (w drodze (reszta zostaje odesłana) powrotnej) – 18.01.1912 - zdobycie – 22.01.1912 – Powrót do bieguna południowego – ~29.03.1912 – bazy Framheim (punkt prawdopodobna data startu) śmierci Roberta Falcona Scotta – Stan osobowy w – Stan osobowy: 5 ofiar komplecie śmiertelnych
Śmiałkowie Pan Pani Społeczeostwo © 2012 Cloud Security Alliance Polska All Rights Reserved. 8
Cel • Redukcja kosztów • Brak wydatków kapitałowych (chmura publiczna) • Bardziej zwinny • Nieograniczona skalowalnośd • Lepsze wykorzystanie zasobów • Płatnośd za faktyczne wykorzystanie • Możliwośd korzystania z nowych usług • Współpraca i współdzielenie wiedzy • Koncentracja na biznesie • Możliwośd powrotu (uniknięcie vendor lock-in)
Planowanie Identyfikacja Ocena aktywów Mapowanie Ocena modeli Przepływ aktywów aktywów chmury danych • Dane • Poufnośd • Normy • Rozmieszcze • Organizacja • Aplikacje • Integralnośd • Standardy nie usługi • Klienci • Funkcje • Dostępnośd • Regulacje (Publiczna, • Dostawcy prywatna, • Procesy hybrydowa, wspólna) • Rodzaj usługi (SPI)
Model chmury wg NIST © 2012 Cloud Security Alliance Polska All Rights Reserved. 11
• Chmura rozdziela aplikacje i zasoby informacyjne oraz mechanizmy odpowiedzialne za ich dostarczenie od podstawowej infrastruktury • Chmura określa korzystanie z usług, aplikacji, informacji i infrastruktury za pomocą puli zasobów obliczeniowych, sieciowych, informacyjnych i pamięciowych. • Pule zasobów mogą byd szybko zaaranżowane, dostarczone, zaimplementowane, odins talowane oraz skalowane • Chmura dostarcza użyteczności na żądanie np. według alokacji i konsumpcji. © 2012 Cloud Security Alliance Polska All Rights Reserved. 12
Cechy charakterystyczne chmury Szeroki dostęp (Broad Access Network) Błyskawiczna elastycznośd (Rapid elasticity) Mierzalne usługi (Measured services) Samoobsługa na żądanie (On demand self-service) Agregacja zasobów (Resource pooling © 2012 Cloud Security Alliance Polska All Rights Reserved. 13
Modele usług w chmurze • Software as a Service (SaaS) • Platform as a Service (PaaS) • Infrastructure as a Service (IaaS) © 2012 Cloud Security Alliance Polska All Rights Reserved. 14
Infrastructure as a Service (IaaS) • Dostarczanie podstawowych zasobów obliczeniowych, sieciowych, przechowywania danych i innych • Klient instaluje i uruchamia dowolne oprogramowanie – Może zawierad systemy operacyjne i aplikacje © 2012 Cloud Security Alliance Polska All Rights Reserved. 15
Platform as a Service (PaaS) • Umożliwia klientom instalację własnych aplikacji i systemów w infrastrukturze dostawcy • Stworzona za pomocą języków programowania i narzędzi wspieranych przez dostawcę © 2012 Cloud Security Alliance Polska All Rights Reserved. 16
Software as a Service (SaaS) • Klient korzysta z aplikacji dostawcy umieszczonych w chmurze • Klient nie zarządza ani kontroluje podstawowej infrastruktury włączając również zasoby sieciowe, serwery, systemy operacyjne i składowanie danych, ani nawet poszczególnych właściwości aplikacji © 2012 Cloud Security Alliance Polska All Rights Reserved. 17
Wpływ bezpieczeostwa na stos SPI • Im niżej stosu dostawca dostarcza usługę tym klient jest bardziej odpowiedzialny za zarządzanie ryzykiem i zabezpieczenie środowiska SaaS PaaS IaaS Odpowiedzialnośd za zarządzanie ryzykiem Dostawca © 2012 Cloud Security Alliance Polska All Rights Reserved. Klient 18
IaaS Korzyści Wątpliwości • Możliwośd kastomizacji i • Zaangażowanie w integrację kontroli nad środowiskiem wszystkich aspektów aplikacji • Elastycznośd w (DB, plug-ins, API itd.) zabezpieczaniu danych do • Odpowiedzialnośd za całośd swoich potrzeb konfiguracji (również aplikacji) • Odpowiedzialnośd za aktualizację oprogramowania • Współdzielenie na poziomie hypervisora © 2012 Cloud Security Alliance Polska All Rights Reserved. 19
PaaS Korzyści Wątpliwości • Zintegrowane rozwiązanie • Klient wciąż odpowiedzialny pomaga zredukowad za utrzymanie aktualizacji złożonośd zarządzania stosu (konfiguracja, komponenty) • Możliwośd uzależnienia od • Jeśli dostawca wspiera API, dostawcy API (lock-in) ułatwia implementację • Współdzielenie na poziomie platformy © 2012 Cloud Security Alliance Polska All Rights Reserved. 20
SaaS Korzyści Wątpliwości • Zintegrowane rozwiązanie pomaga • Bardzo mała możliwośd kastomizacji zredukowad złożonośd zarządzania • Brak kontroli na komponentami. (konfiguracja, komponenty) • Brak kontroli nad bezpieczeostwem (tylko • Skalowanie środowiska nie jest problemem ocena, brak wpływu) . klienta • Współdzielenie na poziomie aplikacji. • Aktualizacja, konfiguracja, bezpieczeostwo – odpowiedzialnośd dostawcy © 2012 Cloud Security Alliance Polska All Rights Reserved. 21
Chmura Chmura publiczna prywatna (Public) (Private) Modele chmury ze względu na rozmieszczenie Współdzielona Hybrydowa (Community) (Hybrid) © 2012 Cloud Security Alliance Polska All Rights Reserved. 22
Modele wdrożenia i odpowiedzialności Dostępna i Infrastruktura Infrastruktura Infrastruktura2 wykorzystywana zarządzana1 umieszczona3 w posiadaniu: przez4 przez: : : Dostawca Dostawca Na zewnątrz Publiczna (Third Party (Third Party (Off-Premise) Niezaufana strona Provider) Provider) Organizacja Organizacja Wewnątrz (On-Premise) Prywatna/ Lub Zaufana strona Współdzielona Dostawca Dostawca Na zewnątrz Zarówno Organizacja Zarówno Organizacja Zarówno Wewnątrz Zarówno Zaufana i Hybrydowa jak i Dostawca jak i Dostawca jak i Na zewnątrz Niezaufana strona © 2012 Cloud Security Alliance Polska All Rights Reserved. 23
Jericho Cloud Cube Model • Internal (I)/External (E) – fizyczna lokalizacja danych • Proprietary (P)/Open (O) – kto dostarcza usługi • Perimeterised (Per)/Deperimeterised (D-p) – logiczne granice sieci • 4 wymiary, 8 stanów Per - (IP,IO,EP,EO), D-p (IP,IO,EP,EO) • Insourced (Per, IP)– usługa jest dostarczana w ramach organizacji i kontrolowana • Outsourced (D-p, EO) – usługa jest dostarczana i kontrolowana przez zewnętrznego dostawcę © 2012 Cloud Security Alliance Polska All Rights Reserved. 24
Cloud Security • Chmura burzy tradycyjne podejście do określania granic – Co jest wewnętrzne? – Co jest zewnętrzne? Gdzie teraz jest granica? © 2012 Cloud Security Alliance Polska All Rights Reserved. 25
Przygotowanie Architektura cloud computing Terminologia, cechy, modele, lokalizacja Nadzór i zarządzanie ryzykiem Zarządzanie ryzykiem, zapisy w umowach, odpowiedzialnośd za zarządzanie ryzykiem Prawo i informatyka śledcza Aspekty prawne, gromadzenie, analiza i udostępnianie dowodów Zgodnośd i audyt Prawo do audytu, analiza i wpływ na zgodnośd z regulacjami Zarządzanie informacją i ochrona danych Bezpieczeostwo, lokalizacja, odzyskiwanie danych Przenaszalnośd i interoperacyjnośd Zmiana dostawcy usług, możliwośd powrotu, współpraca pomiędzy BCP i DRP Zarządzanie ciągłością i plany awaryjne Centrum danych i zarządzanie operacjami Architektura i infrastruktura centrum danych, polityki i procedury Zarządzanie incydentami Wykrywanie, powiadamianie i reagowanie na incydenty, rejestracja i analiza Bezpieczeostwo aplikacji Bezpieczeostwo aplikacji, zarządzanie podatnościami , SDLC Szyfrowanie i zarządzanie kluczami Szyfrowanie danych , zarządzanie kluczami, mechanizmy kryptograficzne Zarządzanie własnością, tożsamością i dostępem Zarządzanie tożsamością i uprawnieniami, nadawanie i odbieranie dostępu, odpowiedzialnośd Wirtualizacja Multi-tenancy, izolacja VM, bezpieczeostwo hypervisorów, zarządzanie podatnościami, złośliwe oprogramowanie Security as a service Korzyści i obawy, transparentnośd rozwiązao, wymagania
Przebieg i wynik - ??? © 2012 Cloud Security Alliance Polska All Rights Reserved. 27
Cloud Security Alliance Polska - Stowarzyszenie, polski oddział CSA - Organizacja non-profit - Promowanie najlepszych praktyk i edukacja w zakresie bezpieczeostwa cloud computing - Koalicja praktyków, ekspertów, korporacji, stowarzyszeo z obszaru bezpieczeostwa w chmurze - Platforma komunikacji pomiędzy stronami zaangażowanymi i zainteresowanymi bezpieczeostwem chmury - Wymiany wiedzy oraz doświadczeo. - Około 50.000 członków - Ponad 60 oddziałów © 2012 Cloud Security Alliance Polska All Rights Reserved. 28
Cloud Security Alliance Polska Celem przewodnika CSA jest ustanowienie i dostarczenie zbioru najlepszych praktyk dla menadżerów i użytkowników, którzy chcą korzystad z usług w przetwarzania w chmurze w bezpieczny sposób . Trzecia edycja przewodnika składa się z 14 domen © 2012 Cloud Security Alliance Polska All Rights Reserved. 29
Cloud Security Alliance Polska Certyfikat Cloud Security Knowledge (CCSK) jest pierwszym branżowym programem certyfikacyjnym stworzonym dla profesjonalistów odpowiedzialnych za zabezpieczenie chmury. Otrzymanie certyfikatu CCSK potwierdza znajomośd najlepszych praktyk w zakresie zarządzania ryzykiem w modelu cloud computing. © 2012 Cloud Security Alliance Polska All Rights Reserved. 30
Cloud Security Alliance Polska Cloud Control Matrix (CCM) został zaprojektowany w celu dostarczenia dostawcom w chmurze fundamentalnych zasad z zakresu bezpieczeotwa i wspomagania odbiorców usług w chmurze w ocenie i analizie ryzyka związanego z modelem cloud computing © 2012 Cloud Security Alliance Polska All Rights Reserved. 31
Cloud Security Alliance Polska Cloud Security Alliance (CSA) uruchomił nową inicjatywę zachęcającą do transparentności rozwiązao i praktyk z zakresu bezpieczeostwa stosowanych przez dostawcę usług w chmurze. CSA Security, Trust & Assurance Registry (STAR) jest darmowym, publicznie dostępnym rejestrem dokumentującym mechanizmy kontrolne stosowane w różne rozwiązaniach opartych na modelu cloud computing. Dzięki temu potencjalni odbiorcy usług mogą ocenid w jaki sposób dostawcy zarządzają ryzykiem i bezpieczeostwem w oferowanych przez siebie usługach. CSA STAR jest częścią CSA Open Certification Framework – branżowej inicjatywy aby przyznawad dostawcom usług w chmurze globalne, akredytowane, zaufane certyfikaty © 2012 Cloud Security Alliance Polska All Rights Reserved. 32
Cloud Security Alliance Polska Dziękuję za uwagę www.csa.org.pl Linkedin – Grupa Cloud Security Alliance Polska Marcin Fronczak CCSK, CIA, CISA, CRISC biuro@csa.org.pl © 2012 Cloud Security Alliance Polska All Rights Reserved. 33
Bibliografia • Zdobycie bieguna południowego – Roald Amundsen • Security Guidance for Critical Areas of Focus in Cloud Computing v3.0 – Cloud Security Alliance • Cloud Computing – Benefits, risk and recommendations for information security – ENISA • Cloud Cube Model – www.jerichoforum.org © 2012 Cloud Security Alliance Polska All Rights Reserved. 34

Recommended

MySQL. Szybki start. Wydanie II
MySQL. Szybki start. Wydanie IIMySQL. Szybki start. Wydanie II
MySQL. Szybki start. Wydanie II
Wydawnictwo Helion
 
Impresjonizm prezentacja
Impresjonizm prezentacjaImpresjonizm prezentacja
Impresjonizm prezentacjakfjatek
 
CSA STAR i OCF
CSA STAR i OCFCSA STAR i OCF
CSA STAR i OCF
Marcin Fronczak
 
2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot
Marius Sescu
 
Everything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTEverything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPT
Expeed Software
 
Product Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsProduct Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage Engineerings
Pixeldarts
 
How Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthHow Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental Health
ThinkNow
 
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfAI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
marketingartwork
 

Recommended

MySQL. Szybki start. Wydanie II
MySQL. Szybki start. Wydanie IIMySQL. Szybki start. Wydanie II
MySQL. Szybki start. Wydanie II
Wydawnictwo Helion
 
Impresjonizm prezentacja
Impresjonizm prezentacjaImpresjonizm prezentacja
Impresjonizm prezentacjakfjatek
 
CSA STAR i OCF
CSA STAR i OCFCSA STAR i OCF
CSA STAR i OCF
Marcin Fronczak
 
2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot
Marius Sescu
 
Everything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTEverything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPT
Expeed Software
 
Product Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsProduct Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage Engineerings
Pixeldarts
 
How Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthHow Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental Health
ThinkNow
 
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfAI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
marketingartwork
 
Skeleton Culture Code
Skeleton Culture CodeSkeleton Culture Code
Skeleton Culture Code
Skeleton Technologies
 
PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024
Neil Kimberley
 
Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)
contently
 
How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024
Albert Qian
 
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsSocial Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie Insights
Kurio // The Social Media Age(ncy)
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024
Search Engine Journal
 
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary
SpeakerHub
 
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd
Clark Boyd
 
Getting into the tech field. what next
Getting into the tech field. what next Getting into the tech field. what next
Getting into the tech field. what next
Tessa Mero
 
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentGoogle's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Lily Ray
 
How to have difficult conversations
How to have difficult conversations How to have difficult conversations
How to have difficult conversations
Rajiv Jayarajah, MAppComm, ACC
 
Introduction to Data Science
Introduction to Data ScienceIntroduction to Data Science
Introduction to Data Science
Christy Abraham Joy
 
Time Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesTime Management & Productivity - Best Practices
Time Management & Productivity - Best Practices
Vit Horky
 
The six step guide to practical project management
The six step guide to practical project managementThe six step guide to practical project management
The six step guide to practical project management
MindGenius
 
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
RachelPearson36
 
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Applitools
 
12 Ways to Increase Your Influence at Work
12 Ways to Increase Your Influence at Work12 Ways to Increase Your Influence at Work
12 Ways to Increase Your Influence at Work
GetSmarter
 
ChatGPT webinar slides
ChatGPT webinar slidesChatGPT webinar slides
ChatGPT webinar slidesAlireza Esmikhani
 
More than Just Lines on a Map: Best Practices for U.S Bike Routes
More than Just Lines on a Map: Best Practices for U.S Bike RoutesMore than Just Lines on a Map: Best Practices for U.S Bike Routes
More than Just Lines on a Map: Best Practices for U.S Bike Routes
Project for Public Spaces & National Center for Biking and Walking
 
Ride the Storm: Navigating Through Unstable Periods / Katerina Rudko (Belka G...
Ride the Storm: Navigating Through Unstable Periods / Katerina Rudko (Belka G...Ride the Storm: Navigating Through Unstable Periods / Katerina Rudko (Belka G...
Ride the Storm: Navigating Through Unstable Periods / Katerina Rudko (Belka G...
DevGAMM Conference
 

More Related Content

Featured

Skeleton Culture Code
Skeleton Culture CodeSkeleton Culture Code
Skeleton Culture Code
Skeleton Technologies
 
PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024
Neil Kimberley
 
Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)
contently
 
How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024
Albert Qian
 
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsSocial Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie Insights
Kurio // The Social Media Age(ncy)
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024
Search Engine Journal
 
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary
SpeakerHub
 
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd
Clark Boyd
 
Getting into the tech field. what next
Getting into the tech field. what next Getting into the tech field. what next
Getting into the tech field. what next
Tessa Mero
 
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentGoogle's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Lily Ray
 
How to have difficult conversations
How to have difficult conversations How to have difficult conversations
How to have difficult conversations
Rajiv Jayarajah, MAppComm, ACC
 
Introduction to Data Science
Introduction to Data ScienceIntroduction to Data Science
Introduction to Data Science
Christy Abraham Joy
 
Time Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesTime Management & Productivity - Best Practices
Time Management & Productivity - Best Practices
Vit Horky
 
The six step guide to practical project management
The six step guide to practical project managementThe six step guide to practical project management
The six step guide to practical project management
MindGenius
 
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
RachelPearson36
 
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Applitools
 
12 Ways to Increase Your Influence at Work
12 Ways to Increase Your Influence at Work12 Ways to Increase Your Influence at Work
12 Ways to Increase Your Influence at Work
GetSmarter
 
More than Just Lines on a Map: Best Practices for U.S Bike Routes
More than Just Lines on a Map: Best Practices for U.S Bike RoutesMore than Just Lines on a Map: Best Practices for U.S Bike Routes
More than Just Lines on a Map: Best Practices for U.S Bike Routes
Project for Public Spaces & National Center for Biking and Walking
 
Ride the Storm: Navigating Through Unstable Periods / Katerina Rudko (Belka G...
Ride the Storm: Navigating Through Unstable Periods / Katerina Rudko (Belka G...Ride the Storm: Navigating Through Unstable Periods / Katerina Rudko (Belka G...
Ride the Storm: Navigating Through Unstable Periods / Katerina Rudko (Belka G...
DevGAMM Conference
 

Featured (20)

Skeleton Culture Code
Skeleton Culture CodeSkeleton Culture Code
Skeleton Culture Code
 
PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024
 
Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)
 
How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024
 
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsSocial Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie Insights
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024
 
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary
 
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd
 
Getting into the tech field. what next
Getting into the tech field. what next Getting into the tech field. what next
Getting into the tech field. what next
 
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentGoogle's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search Intent
 
How to have difficult conversations
How to have difficult conversations How to have difficult conversations
How to have difficult conversations
 
Introduction to Data Science
Introduction to Data ScienceIntroduction to Data Science
Introduction to Data Science
 
Time Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesTime Management & Productivity - Best Practices
Time Management & Productivity - Best Practices
 
The six step guide to practical project management
The six step guide to practical project managementThe six step guide to practical project management
The six step guide to practical project management
 
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
 
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
 
12 Ways to Increase Your Influence at Work
12 Ways to Increase Your Influence at Work12 Ways to Increase Your Influence at Work
12 Ways to Increase Your Influence at Work
 
ChatGPT webinar slides
ChatGPT webinar slidesChatGPT webinar slides
ChatGPT webinar slides
 
More than Just Lines on a Map: Best Practices for U.S Bike Routes
More than Just Lines on a Map: Best Practices for U.S Bike RoutesMore than Just Lines on a Map: Best Practices for U.S Bike Routes
More than Just Lines on a Map: Best Practices for U.S Bike Routes
 
Ride the Storm: Navigating Through Unstable Periods / Katerina Rudko (Belka G...
Ride the Storm: Navigating Through Unstable Periods / Katerina Rudko (Belka G...Ride the Storm: Navigating Through Unstable Periods / Katerina Rudko (Belka G...
Ride the Storm: Navigating Through Unstable Periods / Katerina Rudko (Belka G...
 

Zarządzanie ryzykiem na biegunie i w chmurze

  • 1. Zarządzanie ryzykiem na biegunie i w chmurze obliczeniowej Marcin Fronczak Cloud Security Alliance Polska
  • 2. Śmiałkowie Roal Amundsen Robert Falcon Scott – Oficer brytyjskiej marynarki – Norweski badacz polarny, wojennej – Odkrywca i pionier – Badacz Antarktydy – Pierwszy zdobywca bieguna – Odkrywca i podróżnik południowego. © 2012 Cloud Security Alliance Polska All Rights Reserved. 2
  • 3. Cel - Zdobyd biegun południowy - Wrócid cało do domu
  • 4. Planowanie Roal Amundsen Robert Falcon Scott – Doświadczenie – Doświadczenie – Relacje z innych wypraw – Był już na biegunie – Zbudowanie baz i południowym (1902 r.) magazynów żywności – Zbudowanie baz i – Dbałośd o drobiazgi magazynów żywności (jedzenie, odzież, bielizn – Bogate wsparcie a, narzędzia. ekwipunek) zasobów (3 tony sprzętu) – Dobór ludzi – Poleganie na szczęściu i – Biegły w sztuce opatrzności przetrwania
  • 5. Przygotowanie – 5 osób – 65 osób (17 członków – 95 psów zaprzęgowych wyprawy) – Narty biegowe – 19 kucyków mandżurskich – 10 par specjalnie – 6 sao motorowych przygotowanych sao – Psy zaprzęgowe – 6 namiotów – Brezentowe kombinezony – Lapooskie anoraki z – 3 magazyny żywności i foczego futra i futra z paliwa renów – 3 magazyny żywności
  • 6. Przebieg - Start z tego samego sektora Antarktydy (podobna odległośd do bieguna) - Amundsen wybrał miejsce lądowania w miejscu obfitującym w pożywienie - Scott wyruszył 11 dni przed Amudsenem znaną sobie trasą - Amundsen wytyczał nowy szlak - Te same warunki pogodowe przez pierwsze 34 dni - Scott poruszał się z prędkością około 10 km dziennie - Amundsen pokonywał 15-20 km dziennie, a w drodze powrotnej 50-70 km dzięki lżejszym saniom (rekord 100 km) © 2012 Cloud Security Alliance Polska All Rights Reserved. 6
  • 7. Wynik – 14.12.1911 – zdobycie – 30.12.1911 – przekroczenie równoleżnika (w drodze na bieguna południowego biegun) – 30.12.1911 – – 04.01.1912 – do bieguna przekroczenie zmierza już tylko 5 uczestników wyprawy równoleżnika (w drodze (reszta zostaje odesłana) powrotnej) – 18.01.1912 - zdobycie – 22.01.1912 – Powrót do bieguna południowego – ~29.03.1912 – bazy Framheim (punkt prawdopodobna data startu) śmierci Roberta Falcona Scotta – Stan osobowy w – Stan osobowy: 5 ofiar komplecie śmiertelnych
  • 8. Śmiałkowie Pan Pani Społeczeostwo © 2012 Cloud Security Alliance Polska All Rights Reserved. 8
  • 9. Cel • Redukcja kosztów • Brak wydatków kapitałowych (chmura publiczna) • Bardziej zwinny • Nieograniczona skalowalnośd • Lepsze wykorzystanie zasobów • Płatnośd za faktyczne wykorzystanie • Możliwośd korzystania z nowych usług • Współpraca i współdzielenie wiedzy • Koncentracja na biznesie • Możliwośd powrotu (uniknięcie vendor lock-in)
  • 10. Planowanie Identyfikacja Ocena aktywów Mapowanie Ocena modeli Przepływ aktywów aktywów chmury danych • Dane • Poufnośd • Normy • Rozmieszcze • Organizacja • Aplikacje • Integralnośd • Standardy nie usługi • Klienci • Funkcje • Dostępnośd • Regulacje (Publiczna, • Dostawcy prywatna, • Procesy hybrydowa, wspólna) • Rodzaj usługi (SPI)
  • 11. Model chmury wg NIST © 2012 Cloud Security Alliance Polska All Rights Reserved. 11
  • 12. • Chmura rozdziela aplikacje i zasoby informacyjne oraz mechanizmy odpowiedzialne za ich dostarczenie od podstawowej infrastruktury • Chmura określa korzystanie z usług, aplikacji, informacji i infrastruktury za pomocą puli zasobów obliczeniowych, sieciowych, informacyjnych i pamięciowych. • Pule zasobów mogą byd szybko zaaranżowane, dostarczone, zaimplementowane, odins talowane oraz skalowane • Chmura dostarcza użyteczności na żądanie np. według alokacji i konsumpcji. © 2012 Cloud Security Alliance Polska All Rights Reserved. 12
  • 13. Cechy charakterystyczne chmury Szeroki dostęp (Broad Access Network) Błyskawiczna elastycznośd (Rapid elasticity) Mierzalne usługi (Measured services) Samoobsługa na żądanie (On demand self-service) Agregacja zasobów (Resource pooling © 2012 Cloud Security Alliance Polska All Rights Reserved. 13
  • 14. Modele usług w chmurze • Software as a Service (SaaS) • Platform as a Service (PaaS) • Infrastructure as a Service (IaaS) © 2012 Cloud Security Alliance Polska All Rights Reserved. 14
  • 15. Infrastructure as a Service (IaaS) • Dostarczanie podstawowych zasobów obliczeniowych, sieciowych, przechowywania danych i innych • Klient instaluje i uruchamia dowolne oprogramowanie – Może zawierad systemy operacyjne i aplikacje © 2012 Cloud Security Alliance Polska All Rights Reserved. 15
  • 16. Platform as a Service (PaaS) • Umożliwia klientom instalację własnych aplikacji i systemów w infrastrukturze dostawcy • Stworzona za pomocą języków programowania i narzędzi wspieranych przez dostawcę © 2012 Cloud Security Alliance Polska All Rights Reserved. 16
  • 17. Software as a Service (SaaS) • Klient korzysta z aplikacji dostawcy umieszczonych w chmurze • Klient nie zarządza ani kontroluje podstawowej infrastruktury włączając również zasoby sieciowe, serwery, systemy operacyjne i składowanie danych, ani nawet poszczególnych właściwości aplikacji © 2012 Cloud Security Alliance Polska All Rights Reserved. 17
  • 18. Wpływ bezpieczeostwa na stos SPI • Im niżej stosu dostawca dostarcza usługę tym klient jest bardziej odpowiedzialny za zarządzanie ryzykiem i zabezpieczenie środowiska SaaS PaaS IaaS Odpowiedzialnośd za zarządzanie ryzykiem Dostawca © 2012 Cloud Security Alliance Polska All Rights Reserved. Klient 18
  • 19. IaaS Korzyści Wątpliwości • Możliwośd kastomizacji i • Zaangażowanie w integrację kontroli nad środowiskiem wszystkich aspektów aplikacji • Elastycznośd w (DB, plug-ins, API itd.) zabezpieczaniu danych do • Odpowiedzialnośd za całośd swoich potrzeb konfiguracji (również aplikacji) • Odpowiedzialnośd za aktualizację oprogramowania • Współdzielenie na poziomie hypervisora © 2012 Cloud Security Alliance Polska All Rights Reserved. 19
  • 20. PaaS Korzyści Wątpliwości • Zintegrowane rozwiązanie • Klient wciąż odpowiedzialny pomaga zredukowad za utrzymanie aktualizacji złożonośd zarządzania stosu (konfiguracja, komponenty) • Możliwośd uzależnienia od • Jeśli dostawca wspiera API, dostawcy API (lock-in) ułatwia implementację • Współdzielenie na poziomie platformy © 2012 Cloud Security Alliance Polska All Rights Reserved. 20
  • 21. SaaS Korzyści Wątpliwości • Zintegrowane rozwiązanie pomaga • Bardzo mała możliwośd kastomizacji zredukowad złożonośd zarządzania • Brak kontroli na komponentami. (konfiguracja, komponenty) • Brak kontroli nad bezpieczeostwem (tylko • Skalowanie środowiska nie jest problemem ocena, brak wpływu) . klienta • Współdzielenie na poziomie aplikacji. • Aktualizacja, konfiguracja, bezpieczeostwo – odpowiedzialnośd dostawcy © 2012 Cloud Security Alliance Polska All Rights Reserved. 21
  • 22. Chmura Chmura publiczna prywatna (Public) (Private) Modele chmury ze względu na rozmieszczenie Współdzielona Hybrydowa (Community) (Hybrid) © 2012 Cloud Security Alliance Polska All Rights Reserved. 22
  • 23. Modele wdrożenia i odpowiedzialności Dostępna i Infrastruktura Infrastruktura Infrastruktura2 wykorzystywana zarządzana1 umieszczona3 w posiadaniu: przez4 przez: : : Dostawca Dostawca Na zewnątrz Publiczna (Third Party (Third Party (Off-Premise) Niezaufana strona Provider) Provider) Organizacja Organizacja Wewnątrz (On-Premise) Prywatna/ Lub Zaufana strona Współdzielona Dostawca Dostawca Na zewnątrz Zarówno Organizacja Zarówno Organizacja Zarówno Wewnątrz Zarówno Zaufana i Hybrydowa jak i Dostawca jak i Dostawca jak i Na zewnątrz Niezaufana strona © 2012 Cloud Security Alliance Polska All Rights Reserved. 23
  • 24. Jericho Cloud Cube Model • Internal (I)/External (E) – fizyczna lokalizacja danych • Proprietary (P)/Open (O) – kto dostarcza usługi • Perimeterised (Per)/Deperimeterised (D-p) – logiczne granice sieci • 4 wymiary, 8 stanów Per - (IP,IO,EP,EO), D-p (IP,IO,EP,EO) • Insourced (Per, IP)– usługa jest dostarczana w ramach organizacji i kontrolowana • Outsourced (D-p, EO) – usługa jest dostarczana i kontrolowana przez zewnętrznego dostawcę © 2012 Cloud Security Alliance Polska All Rights Reserved. 24
  • 25. Cloud Security • Chmura burzy tradycyjne podejście do określania granic – Co jest wewnętrzne? – Co jest zewnętrzne? Gdzie teraz jest granica? © 2012 Cloud Security Alliance Polska All Rights Reserved. 25
  • 26. Przygotowanie Architektura cloud computing Terminologia, cechy, modele, lokalizacja Nadzór i zarządzanie ryzykiem Zarządzanie ryzykiem, zapisy w umowach, odpowiedzialnośd za zarządzanie ryzykiem Prawo i informatyka śledcza Aspekty prawne, gromadzenie, analiza i udostępnianie dowodów Zgodnośd i audyt Prawo do audytu, analiza i wpływ na zgodnośd z regulacjami Zarządzanie informacją i ochrona danych Bezpieczeostwo, lokalizacja, odzyskiwanie danych Przenaszalnośd i interoperacyjnośd Zmiana dostawcy usług, możliwośd powrotu, współpraca pomiędzy BCP i DRP Zarządzanie ciągłością i plany awaryjne Centrum danych i zarządzanie operacjami Architektura i infrastruktura centrum danych, polityki i procedury Zarządzanie incydentami Wykrywanie, powiadamianie i reagowanie na incydenty, rejestracja i analiza Bezpieczeostwo aplikacji Bezpieczeostwo aplikacji, zarządzanie podatnościami , SDLC Szyfrowanie i zarządzanie kluczami Szyfrowanie danych , zarządzanie kluczami, mechanizmy kryptograficzne Zarządzanie własnością, tożsamością i dostępem Zarządzanie tożsamością i uprawnieniami, nadawanie i odbieranie dostępu, odpowiedzialnośd Wirtualizacja Multi-tenancy, izolacja VM, bezpieczeostwo hypervisorów, zarządzanie podatnościami, złośliwe oprogramowanie Security as a service Korzyści i obawy, transparentnośd rozwiązao, wymagania
  • 27. Przebieg i wynik - ??? © 2012 Cloud Security Alliance Polska All Rights Reserved. 27
  • 28. Cloud Security Alliance Polska - Stowarzyszenie, polski oddział CSA - Organizacja non-profit - Promowanie najlepszych praktyk i edukacja w zakresie bezpieczeostwa cloud computing - Koalicja praktyków, ekspertów, korporacji, stowarzyszeo z obszaru bezpieczeostwa w chmurze - Platforma komunikacji pomiędzy stronami zaangażowanymi i zainteresowanymi bezpieczeostwem chmury - Wymiany wiedzy oraz doświadczeo. - Około 50.000 członków - Ponad 60 oddziałów © 2012 Cloud Security Alliance Polska All Rights Reserved. 28
  • 29. Cloud Security Alliance Polska Celem przewodnika CSA jest ustanowienie i dostarczenie zbioru najlepszych praktyk dla menadżerów i użytkowników, którzy chcą korzystad z usług w przetwarzania w chmurze w bezpieczny sposób . Trzecia edycja przewodnika składa się z 14 domen © 2012 Cloud Security Alliance Polska All Rights Reserved. 29
  • 30. Cloud Security Alliance Polska Certyfikat Cloud Security Knowledge (CCSK) jest pierwszym branżowym programem certyfikacyjnym stworzonym dla profesjonalistów odpowiedzialnych za zabezpieczenie chmury. Otrzymanie certyfikatu CCSK potwierdza znajomośd najlepszych praktyk w zakresie zarządzania ryzykiem w modelu cloud computing. © 2012 Cloud Security Alliance Polska All Rights Reserved. 30
  • 31. Cloud Security Alliance Polska Cloud Control Matrix (CCM) został zaprojektowany w celu dostarczenia dostawcom w chmurze fundamentalnych zasad z zakresu bezpieczeotwa i wspomagania odbiorców usług w chmurze w ocenie i analizie ryzyka związanego z modelem cloud computing © 2012 Cloud Security Alliance Polska All Rights Reserved. 31
  • 32. Cloud Security Alliance Polska Cloud Security Alliance (CSA) uruchomił nową inicjatywę zachęcającą do transparentności rozwiązao i praktyk z zakresu bezpieczeostwa stosowanych przez dostawcę usług w chmurze. CSA Security, Trust & Assurance Registry (STAR) jest darmowym, publicznie dostępnym rejestrem dokumentującym mechanizmy kontrolne stosowane w różne rozwiązaniach opartych na modelu cloud computing. Dzięki temu potencjalni odbiorcy usług mogą ocenid w jaki sposób dostawcy zarządzają ryzykiem i bezpieczeostwem w oferowanych przez siebie usługach. CSA STAR jest częścią CSA Open Certification Framework – branżowej inicjatywy aby przyznawad dostawcom usług w chmurze globalne, akredytowane, zaufane certyfikaty © 2012 Cloud Security Alliance Polska All Rights Reserved. 32
  • 33. Cloud Security Alliance Polska Dziękuję za uwagę www.csa.org.pl Linkedin – Grupa Cloud Security Alliance Polska Marcin Fronczak CCSK, CIA, CISA, CRISC biuro@csa.org.pl © 2012 Cloud Security Alliance Polska All Rights Reserved. 33
  • 34. Bibliografia • Zdobycie bieguna południowego – Roald Amundsen • Security Guidance for Critical Areas of Focus in Cloud Computing v3.0 – Cloud Security Alliance • Cloud Computing – Benefits, risk and recommendations for information security – ENISA • Cloud Cube Model – www.jerichoforum.org © 2012 Cloud Security Alliance Polska All Rights Reserved. 34

Editor's Notes

  1. Pierwszą istotną cechą przetwarzania w chmurze według NIST jest Szeroki dostęp (Broad Network Access), który oznacza, że zasoby informatyczne są dostępne przez powszechnie istniejące mechanizmy takie jakStandardowi klienci jak telefony komórkowe, laptopy, komputery stacjonarne, zarówno wewnętrzne jak i zewnętrzne wobec sieci firmowej Tradycyjne usługi jak aplikacje i middleware. Nie powinno być żadnych ograniczeń w warunkach dostępu poprzez usługi oparte o model chmury
  2. Publikacja NIST (NationalInstitiute of Standards and Technology) jest ogólnie akceptowana i z tego powodu CSA wybrało jego definicje przetwarzania w chmurze w celu uspójnienia i ujednolicenia pojęć. Intencją twórców poradnika było to, aby był on szeroko dostępny i do zastosowania w organizacjach na całym świecie. NIST definiuje przetwarzanie w chmurze poprzez określenie 5 istotnych cech, 3 modeli usług i 4 modeli rozmieszczenia usług. Przedstawiony diagram ilustruje tą definicję. Szerzej będzie omówiony w dalszej części modułu
  3. Jednym z największym wyzwań w zakresiebezpieczeństwa chmury jest zrozumienie czym jest przetwarzanie w chmurze. 4 główne aspekty chmury powinny nieco przybliżyć sprawę. Aplikacje i zasoby obliczeniowe (bazy danych, CPU, sieć itp.) są oddzielone w modelu chmury. Tak więc idea zarządzania serwerami, pojemnością baz danych, połączeniami sieciowymi nie jest w tym modelu problemem użytkownika (w modelu SaaS)Kolejną cechą przetwarzania w chmurze jest elastyczność (flexibility). Odkąd zasoby informatyczne są zorganizowane w tzw. pule, użytkownik może płacić za to co wykorzystuje. Pule zasobów mogą być w mgnieniu oka dostarczone i odinstalowane co oznacza, że w modelu chmury nie ma ograniczeń związanych z natychmiastową zmianą infrastruktury Zasoby mogą być z łatwością zarówno zwiększane jak i pomniejszane umożliwiąjąc użytkownikowi skalowanie jego środowiska na podstawie faktycznego zużycia zasobów.
  4. Pierwszą istotną cechą przetwarzania w chmurze według NIST jest Szeroki dostęp (Broad Network Access), który oznacza, że zasoby informatyczne są dostępne przez powszechnie istniejące mechanizmy takie jakStandardowi klienci jak telefony komórkowe, laptopy, komputery stacjonarne, zarówno wewnętrzne jak i zewnętrzne wobec sieci firmowej Tradycyjne usługi jak aplikacje i middleware. Nie powinno być żadnych ograniczeń w warunkach dostępu poprzez usługi oparte o model chmury
  5. W zakresie tego co kupujesz kiedy korzystasz z modelu chmury, typy usług są zazwyczaj podzielone na trzy różne poziomy. Typy usług są określane terminem stos SPI. S- Software as a Service, P- Platform as a Service, I - Infrastructure as a Service. Obecnie stos chmury ewoluuje i można zauważyć pokrywanie się i coraz mniejsze zróżnicowanie pomiędzy warstwami stosu. Zacznijmy, więc od standardowej definicji dla każdej warstwy, następnie użyjemy kilku przykładów pokazujących zamazywanie się tych różnic
  6. Model IaaS jest podobny do uruchomienia własnego centrum danych, ale bez konieczności martwienia się o detale. Dostawca oferuje nam niezbędną infrastrukturę oraz sprzęt, dzięki którym klient może zainstalować własne systemy lub korzystać z zasobów obliczeniowych poprzez zbiory abstrakcji lub API.Klient nie zarządza ani nie kontroluje najniższej warstwy infrastruktury chmury (sprzęt, urządzenia) ale kontroluje systemy operacyjne, składowanie danych (storage), zainstalowane aplikacje i w ograniczonym stopniu wybrane komponenty sieciowe (np. host firewalls)
  7. PaaS is the next level up, further abstracting the hardware by providing access via middleware or other integrations offered by the provider.PaaS jest kolejnym poziomem znajdującym się ponad poziomem IaaS umożliwiając dostęp do sprzętu poprzez oprogramowanie pośredniczące (middleware) lub inne narzędzia umożliwiające integracjęKlient nie zarządza ani kontroluje podstawowej infrastruktury włączając również zasoby sieciowe, serwery, systemy operacyjne i składowanie danych (storage). Klient kontroluje zainstalowane aplikacje oraz ewentualnie może zarządzać konfiguracją własnych hostów.
  8. Aplikacje są dostępne za pomocą różnych urządzeń poprzez interfejs „cienkiego klienta” jak przeglądarka internetowaKlientnie zarządza ani kontroluje podstawowej infrastruktury włączając również zasoby sieciowe, serwery, systemy operacyjne i składowanie danych. Może też mieć ograniczoną możliwość zmiany ustawień oraz kastomizacji aplikacji, z których korzysta. Przykłady znaczących aplikacji w modelu SaaS:Salesforce.comGmailQuickbooks OnlineMailChimp (listamilingowa)Marketo (marketing)Workday (HR i księgowośc)
  9. Wszystko zawiera się w jednym zdaniu. Im niżej stosu dostawca świadczy usługi w chmurze, tym klient jest bardziej odpowiedzialny za zarządzanie i zabezpieczenie środowiska. W modelu Iaas, dostawca dostarcza niezbędną infrastrukturę i sprzęt, więc klient jest odpowiedzialny za zabezpieczenie systemów i aplikacji. PaaS jest pośrodku stosu i może oferować pewien poziom bezpieczeństwa. Klient jest odpowiedzialny za zabezpieczenie aplikacji, która jest osadzona na platformieW przypadku modelu SaaS, dostawca jest odpowiedzialny za całokształt rozwiązania (od kołyski aż po grób) stąd jest również odpowiedzialny za zapewnienie bezpieczeństwa na wszystkich warstwach stosu.
  10. Now let’s return to the case study, where Research Corp is looking to move their content delivery platform to the cloud. Is IaaS the right choice for them?Benefits:First off is the matter of control. Research Corp would have the ability to use whatever content delivery platform they want. They can customize it to their heart’s content. It’s not much different than what they are currently doing, relative to selecting the solution and having to manage most of the operations.Next is the flexibility to provide whatever security capabilities they deem (uważają) necessary to protect their intellectual property. IaaS allows Research Corp to secure the operating systems to whatever degree they want (even to the point of supporting a hardened O/S image), as well as any other host based protections they choose. There may also be some network protections available from the provider, but that will depend on the specific service provider.Are there other benefits to selecting IaaS? (DISCUSS)Issues:Research Corp gains no leverage in terms of application operation or integration. They have to assemble (składać) everything (or buy a traditional software solution that includes these components). They are also flying solo relative to hardening and configuring all of these devices. Since many attacks are a direct result of configuration errors and other administrative mistakes, this increases the risk profile.Most software will require periodic patches to address defects or other security vulnerabilities, and this remains the responsibility of the customer. They have to manage patches and downtime and ensure the patches don’t introduce other issues.Although there are not (m)any weaponized exploits targeting hypervisor technology, the underlying hardware abstraction layer remains a point of vulnerability for all cloud services. By supporting multiple clients on the same infrastructure, losing control of the hypervisor results in all tenants being exposed.What other issues will Research Corp experience by moving their application to an IaaS provider? (DISCUSS)
  11. Now let’s return to the case study, where Research Corp is looking to move their content delivery platform to the cloud. Is IaaS the right choice for them?Benefits:First off is the matter of control. Research Corp would have the ability to use whatever content delivery platform they want. They can customize it to their heart’s content. It’s not much different than what they are currently doing, relative to selecting the solution and having to manage most of the operations.Next is the flexibility to provide whatever security capabilities they deem necessary to protect their intellectual property. IaaS allows Research Corp to secure the operating systems to whatever degree they want (even to the point of supporting a hardened O/S image), as well as any other host based protections they choose. There may also be some network protections available from the provider, but that will depend on the specific service provider.Are there other benefits to selecting IaaS? (DISCUSS)Issues:Research Corp gains no leverage in terms of application operation or integration. They have to assemble everything (or buy a traditional software solution that includes these components). They are also flying solo relative to hardening and configuring all of these devices. Since many attacks are a direct result of configuration errors and other administrative mistakes, this increases the risk profile.Most software will require periodic patches to address defects or other security vulnerabilities, and this remains the responsibility of the customer. They have to manage patches and downtime and ensure the patches don’t introduce other issues.Although there are not (m)any weaponized exploits targeting hypervisor technology, the underlying hardware abstraction layer remains a point of vulnerability for all cloud services. By supporting multiple clients on the same infrastructure, losing control of the hypervisor results in all tenants being exposed.What other issues will Research Corp experience by moving their application to an IaaS provider? (DISCUSS)
  12. Now let’s return to the case study, where Research Corp is looking to move their content delivery platform to the cloud. Is IaaS the right choice for them?Benefits:First off is the matter of control. Research Corp would have the ability to use whatever content delivery platform they want. They can customize it to their heart’s content. It’s not much different than what they are currently doing, relative to selecting the solution and having to manage most of the operations.Next is the flexibility to provide whatever security capabilities they deem necessary to protect their intellectual property. IaaS allows Research Corp to secure the operating systems to whatever degree they want (even to the point of supporting a hardened O/S image), as well as any other host based protections they choose. There may also be some network protections available from the provider, but that will depend on the specific service provider.Are there other benefits to selecting IaaS? (DISCUSS)Issues:Research Corp gains no leverage in terms of application operation or integration. They have to assemble everything (or buy a traditional software solution that includes these components). They are also flying solo relative to hardening and configuring all of these devices. Since many attacks are a direct result of configuration errors and other administrative mistakes, this increases the risk profile.Most software will require periodic patches to address defects or other security vulnerabilities, and this remains the responsibility of the customer. They have to manage patches and downtime and ensure the patches don’t introduce other issues.Although there are not (m)any weaponized exploits targeting hypervisor technology, the underlying hardware abstraction layer remains a point of vulnerability for all cloud services. By supporting multiple clients on the same infrastructure, losing control of the hypervisor results in all tenants being exposed.What other issues will Research Corp experience by moving their application to an IaaS provider? (DISCUSS)
  13. Chmura publiczna – Infrastruktura jest dostępna publicznie lub dla sektora branżowego i jest zarządzana i w posiadaniu dostawca (third party provider), który za jej pomocą oferuje usługi. Jest umieszona na zewnątrz (off-premises) organizacji. Ten model jest najczęściej określany mianem „chmury” przez organizacje. Zasadniczo jest to zbiór zasobów sprzętowych udostępnianych "w locie” (mogą być natychmiastowo skalowane w górę lub w dół) wspierających prawie każdy rodzaj aplikacji, zaś dostęp do nich odbywa się za pomocą Internetu. Chmura prywatna – Infrastruktura jest wykorzystywana jedynie przez pojedynczą organizację. Może być zarządzana przez organizację lub przez dostawcę (third party provider), może być ulokowana wewnątrz (on-premises) lub na zewnątrz (off-premises) organizacji. Każda infrastruktura, w której odpowiedzialność za zarządzanie leży po stronie organizacji może być nazwana chmurą prywatną. Oznacza to ,że każde istniejące centrum danych, posiadające cechy charakterystyczne dla infrastruktury chmury (szeroki dostęp przez internet, błyskawiczna elastyczność, mierzalne usługi itd.) jest rodzajem chmury prywatnej. Chmura współdzielona- Infrastruktura wspiera i jest dzielona pomiędzy kilka organizacji, które może łączyć wspólny cel, wspólnota interesów, wspólna misja, wymagania bezpieczeństwa i zgodności itp. (np. grupa kapitałowa, organizacje rządowe, sektor branżowy). Wykorzystanie potencjału chmury i efektu skali pomaga na obniżenie kosztów i zwiększenie możliwości usług IT. Chmura współdzielona może być zarządzana przez organizację dostawcę i być umieszczona wewnątrz lub na zewnątrz organizacjiChmura hybrydowa – Infrastruktura jest kompozycją dwóch lub więcej chmur (publicznych, prywatnych lub współdzielonych, które pozostają odrębnymi jednostkami, ale są ze soba połączone przy wykorzystaniu standardowej lub własnej technologii, która umożliwia przenaszalność (portability) danych i aplikacji np. rozerwanie chmury (cloud bursting) na potrzeby równoważenia obciążenia(load-balancing)pomiędzy chmurami lub na potrzeby redundancji środowisk. Może być w posiadaniu i zarządzana jednocześnie zarówno przez organizację jak i dostawcy i jednocześnie być rozmieszczona zarówno wewnątrz jak i na zewnątrz organizacji
  14. Powyższy diagram podsumowuje wiele kluczowych aspektów modelu rozmieszczenia chmury (publiczna, prywatna, współdzielona, hybrydowa). Poniżej objaśnienia do pojęć użytych w poszczególnych kolumnach tabeli:Zarządzanieobejmuje: nadzór, operacje, bezpieczeństwo,zgodność (compliance) itp.Pojęcie infrastruktury obejmuje fizyczną infrastrukturęjak urządzenia oraz zasoby sieciowe i obliczeniowe oraz składowania danych.3. Rozmieszczenie infrastruktury nie powinno być rozpatrywana jedynie w kontekście ‘wewnętrzny’ czy ‘zewnętrzny’ w odniesieniu do fizycznej lokalizacji zasobów, informacji czy aktywów. W przypadku modelu chmury rozmieszczenie oznacza zarówno fizyczną lokalizację jak i obejmuje kwestie przez kogo jest wykorzystywana i kto jest odpowiedzialny za zarządzanie nimi (nadzór, bezpieczeństwo itd.) Nie oznacza to, ze lokalizacja wewnątrz lub na zewnątrz organizacji nie wpływa na bezpieczeństwo i ryzyko, ale powinny one być rozpatrywane pod względem:• Typów zarządzanych aktywów , zasobów i informacji• Kto nimi zarządza i kiedy• Jakie kontrole są wybrane i jak są zintegrowane• kwestie zgodności (compliance)Przykładowo LAMP (Linux, Apache, MySQL, Pearl) umieszczony na infrastrukturze Amazona AWS EC2 zostanie sklasyfikowany jako chmura publiczna w modelu IaaS, na zewnątrz organizacji, zarządzana przez dostawcę; nawet jeśli poszczególne instancje i aplikacje oraz dane zawarte w środowisku są zarządzane przez organizację. Całe środowisko, które współdzielimy z innymi użytkownikami jest pod kontrolą dostawcy.Kastomizowalna aplikacja służąca wielu jednostkom biznesowym, umieszczona w chmurze Eucalyptusa, która będzie pod kontrolą i w posiadaniu organizacji będzie określona jako chmura prywatna w modelu SaaS, wewnątrz organizacji, zarządzana przez organizację. 4. Zaufana strona to ta, która jest rozpatrywana jako część organizacji (pod względem prawnym, biznesowym, wspólnej polityki i misji itp.) obejmująca pracowników (stałych i kontraktowych) oraz partnerów biznesowych. Niezaufana strona to ta, która może być autoryzowana do korzystania z części lub całości usług, ale nie jest logiczną częścią organizacji
  15. Pictures usually say a thousand words, so let’s take a look at another view of cloud responsibilities. The Jericho Forum’s Cloud Cube Model illustrates the many permutations available in cloud offerings today and presents four criteria/dimensions in order to differentiate cloud ‘formations’ from one another and the manner of their provision, in order to understand how cloud computing affects the way in which security might be approached.By assessing your options relative to a few attributes, you can figure out (zrozumieć, odnaleźć) to what degree the cloud can make sense for your environment. But keep in mind none of these things are exactly clear cut, so it’s really just a start.Internal vs. External – Who is responsible for the infrastructure?Proprietary vs. Open – Is the infrastructure and/or computing stack open or locked to a certain provider?Perimeterized vs. De-perimeterized – Are all components of the application within a logical network perimeter?
  16. Now that we have a decent(skromną, uczciwą),w tym kontekście podstawową idea of what cloud computing is, let’s think a little about cloud security. Of course, we’ll be spending most of the rest of the course digging deeply into these topics, but ultimately embracing cloud computing requires a change of mentality. You’ll need to have flexible definitions of what is “internal” to your networks and what is “external.” This also means the idea of the traditional network perimeter goes out the window. So you’ve got to look at protecting not just the infrastructure anymore, but also the applications and even the data itself. When trying to get your arms around these concepts, it helps to start with answering a few questions to understand who will be consuming the resources, and who is responsible for protecting it. Let’s answer those questions for Research Corp to get a feel for how we need to think about protecting the content delivery platform.
  17. Pierwszą istotną cechą przetwarzania w chmurze według NIST jest Szeroki dostęp (Broad Network Access), który oznacza, że zasoby informatyczne są dostępne przez powszechnie istniejące mechanizmy takie jakStandardowi klienci jak telefony komórkowe, laptopy, komputery stacjonarne, zarówno wewnętrzne jak i zewnętrzne wobec sieci firmowej Tradycyjne usługi jak aplikacje i middleware. Nie powinno być żadnych ograniczeń w warunkach dostępu poprzez usługi oparte o model chmury
  18. Now that we have a decent idea of what cloud computing is, let’s think a little about cloud security. Of course, we’ll be spending most of the rest of the course digging deeply into these topics, but ultimately embracing cloud computing requires a change of mentality. You’ll need to have flexible definitions of what is “internal” to your networks and what is “external.” This also means the idea of the traditional network perimeter goes out the window. So you’ve got to look at protecting not just the infrastructure anymore, but also the applications and even the data itself. When trying to get your arms around these concepts, it helps to start with answering a few questions to understand who will be consuming the resources, and who is responsible for protecting it.
  19. Now that we have a decent idea of what cloud computing is, let’s think a little about cloud security. Of course, we’ll be spending most of the rest of the course digging deeply into these topics, but ultimately embracing cloud computing requires a change of mentality. You’ll need to have flexible definitions of what is “internal” to your networks and what is “external.” This also means the idea of the traditional network perimeter goes out the window. So you’ve got to look at protecting not just the infrastructure anymore, but also the applications and even the data itself. When trying to get your arms around these concepts, it helps to start with answering a few questions to understand who will be consuming the resources, and who is responsible for protecting it.
  20. Now that we have a decent idea of what cloud computing is, let’s think a little about cloud security. Of course, we’ll be spending most of the rest of the course digging deeply into these topics, but ultimately embracing cloud computing requires a change of mentality. You’ll need to have flexible definitions of what is “internal” to your networks and what is “external.” This also means the idea of the traditional network perimeter goes out the window. So you’ve got to look at protecting not just the infrastructure anymore, but also the applications and even the data itself. When trying to get your arms around these concepts, it helps to start with answering a few questions to understand who will be consuming the resources, and who is responsible for protecting it.
  21. Now that we have a decent idea of what cloud computing is, let’s think a little about cloud security. Of course, we’ll be spending most of the rest of the course digging deeply into these topics, but ultimately embracing cloud computing requires a change of mentality. You’ll need to have flexible definitions of what is “internal” to your networks and what is “external.” This also means the idea of the traditional network perimeter goes out the window. So you’ve got to look at protecting not just the infrastructure anymore, but also the applications and even the data itself. When trying to get your arms around these concepts, it helps to start with answering a few questions to understand who will be consuming the resources, and who is responsible for protecting it.
  22. Now that we have a decent idea of what cloud computing is, let’s think a little about cloud security. Of course, we’ll be spending most of the rest of the course digging deeply into these topics, but ultimately embracing cloud computing requires a change of mentality. You’ll need to have flexible definitions of what is “internal” to your networks and what is “external.” This also means the idea of the traditional network perimeter goes out the window. So you’ve got to look at protecting not just the infrastructure anymore, but also the applications and even the data itself. When trying to get your arms around these concepts, it helps to start with answering a few questions to understand who will be consuming the resources, and who is responsible for protecting it.
  23. Now that we have a decent idea of what cloud computing is, let’s think a little about cloud security. Of course, we’ll be spending most of the rest of the course digging deeply into these topics, but ultimately embracing cloud computing requires a change of mentality. You’ll need to have flexible definitions of what is “internal” to your networks and what is “external.” This also means the idea of the traditional network perimeter goes out the window. So you’ve got to look at protecting not just the infrastructure anymore, but also the applications and even the data itself. When trying to get your arms around these concepts, it helps to start with answering a few questions to understand who will be consuming the resources, and who is responsible for protecting it.