Chmura z perspektywy bezpieczeństwa

Transkrypt

1 Chmura z perspektywy bezpieczeństwa

2 Agenda Section 1 Section 2 Section 3 Section 4 Section 5 2

3 W drodze do chmury

4 W drodze do chmury Cloud Security Alliance Security Guidance Cloud Controls Matrix ISO/IEC Code of practice for information security controls for cloud computing services based on ISO/IEC SSAE16/ISAE3402 Chmura z perspektywy bezpieczeństwa Najpierw najważniejsze: bez względu na to, z jakim modelem chmury mamy do czynienia, bezpieczeństwo jest nadal bezpieczeństwem i te same zasady mają zastosowanie. Podstawowe techniki zabezpieczania przed zagrożeniami oraz ograniczania ryzyka używane są także w chmurze, chociaż stosowane technologie i procesy są różne. Wytyczne odnośnie bezpieczeństwa są często dostarczane prze samych dostawców jak i przez niezależne fora jak Cloud Security Alliance. Z punktu widzenia bezpieczeństwa, chmura zwykle wydaje się nie być z natury lepsza ani gorsza niż tradycyjna infrastruktura jest po prostu inna. I na to należy należy zwrócić uwagę. 4

5 W drodze do chmury Wymagania pochodzące z istniejącej architektury bezpieczeństwa Przetłumaczenie wymagań w formie właściwej dla danej usługi chmury Zidentyfikowanie dostawcy chmury będącego w stanie najbardziej spełnić zidentyfikowane profile wymagań 5

6 Modele wdrażania chmury 6

7 Modele wdrażania chmury NIST i Jericho Model Mocne strony Słabe strony Jericho Forum Publiczna chmura Elastyczna, ekonomiczna, iluzja nieskończonego zasobu Wielu dzierżawców Umiejscowienie danych Bezpieczeństwo Standardowe kontrakty Prywatna chmura Dedykowane zastosowanie Bezpieczeństwo Zakres negocjowania umów SLA itp. Kosztowna porównując do publicznej Brak iluzji nieskończonego zasobu Wspólna chmura Zaprojektowana dla konkretnego, wspólnego celu, zestaw wymogów bezpieczeństwa Trudno zarządzać; zapotrzebowanie na zarządzanie wszystkimi zainteresowanymi stronami Hybrydowa Najlepsze cechy, możliwe przenoszenie danych pomiędzy dostawcami "Najsłabsze ogniwo" Spłenieniekwestii bezpieczeństwa dla wszystkich dostawców del_v1.0.pdf NIST SP

8 Ryzyka i zagrożenia w chmurze 8

9 Ryzyka w chmurze Zgodność Wielu dzierżawców Bezpieczeństwo? Ciąg dostaw, chmura w chmurze, w chmurze Zamknięte rozwiazania dostawcy Standardowe warunki korzystania 9

10 Korzyści z chmury Opłacalne bezpieczeństwo centrum danych Ulepszona odporność Bardziej skuteczne łatanie bezpieczeństwa? Poprawie wiedzy nt. bezpieczeństwa, w tym wiedzy specyficznej dla aplikacji, w centrum przetwarzania danych Przechowywanie i udostepnienie danych w chmurze <> nośniki wymienne Wspiera przyjęcie zasad Jericho 10

11 Zagrożenia w chmurze 11

12 CSA Notoryczna

13 Zarządzanie tożsamością

14 Federacyjne zarządzanie tożsamością SAML Security assertion markup language protocol using HTTP Post Binding PTA Pass-Through Authentication 14

15 Zabezpieczenia w chmurze 15

16 Ogólne zabezpieczenia Zarządzanie dostępem i tożsamością Federacyjne bezpieczeństwo Zabezpiecz konta administracyjne Dwuskładnikowe uwierzytelnienie Audyt Sprawdź raporty SSAE16 (ISAE 3402) i certyfikaty (ISO i ich zakres), rejestr STAR Przeprowadzaj testy Montoruj Umowy! Upewnij się, że usługodawcy rozumieją wpływ klauzul bezpieczeństwa, jakie mogą być wymagane (chmura prywatna / wspólna) Trudniejsze jest to w przypadku dużych graczy w chmurze publicznej - tylko standardowe warunki 16

17 SaaS - zabezpieczenia Zarządzanie dostępem i tożsamością Federacyjne bezpieczeństwo Zabezpiecz konta administracyjne Dwuskładnikowe uwierzytelnienie Audyt Korzystaj z określonych funkcji kontrolnych Monitorowanie wykorzystania - np. jeżeli opłata za transakcję Kontrola wejścia Kontrola - miejsca, z których można uzyskać dostęp do usługi, np. opartych na IP Bezpieczeństwo aplikacji Analiza zabezpieczeń, np. RBAC Zapytaj o testy penetracyjne Ich aplikacja Twoje dane. Twoje procesy biznesowe. 17

18 IaaS - zabezpieczenia Zarządzanie dostępem i tożsamością Bezpieczny obraz systemu Federacyjne bezpieczeństwo Zabezpiecz konta administracyjne Dwuskładnikowe uwierzytelnienie Standardowy obraz systemu Łatanie systemu Unikanie rozrostu obrazu Monitorowanie Wykrywania włamań Wydajność i pojemność Sposób użycia - opłata Testy i zarządzanie Testy penetracjne Zarządzanie podatnościami Możesz przetestować usługi w chmurze! Szyfrowanie Szyfrowanie sieci pomiędzy chmurą a siecią lokalną Szyfrowanie danych na miejscu, i przechowywanie w chmurze (w miarę możliwości) Projekt Oddziel, korzystaj z wirtualnych prywatnych chmur Kontroluj ruch między domenami Nie polegaj jedynie na zabezpieczeniach hiperwizorów 18

19 PaaS - zabezpieczenia Zarządzanie dostępem i tożsamością Federacyjne bezpieczeństwo Zabezpiecz konta administracyjne Dwuskładnikowe uwierzytelnienie Rozwój oprogramowania Standardy kodowania Ponowne wykorzystanie sprawdzonych komponentów / usług Przegląd kodu / Należyta staranność Kontrola - miejsca, z których można uzyskać dostęp do usługi, np. opartych na IP Monitorowanie Działania użytkowników kontrolować deweloperów Wydajności i wykorzystania przepustowości Opłata za użycie Ich platforma Twoje dane. Twoje procesy biznesowe. 19

20 Contact information Name Designation Sub-division Name Designation Sub-division Contact Contact Photo Address P Place holder for text Photo Address P Place holder for text E Place holder for text E Place holder for text Resume details Resume details 20

21 About Capgemini With around 120,000 people in 40 countries, Capgemini is one of the world's foremost providers of consulting, technology and outsourcing services. The Group reported 2011 global revenues of EUR 9.7 billion. Together with its clients, Capgemini creates and delivers business and technology solutions that fit their needs and drive the results they want. A deeply multicultural organization, Capgemini has developed its own way of working, the Collaborative Business Experience TM, and draws on Rightshore, its worldwide delivery model. The information contained in this presentation is proprietary Capgemini. All rights reserved. Rightshore is a trademark belonging to Capgemini.