ISACA Katowice Kraków 2013 Zarządzanie bezpieczeństwem w chmurze obliczeniowej Marcin Fronczak Cloud Security Alliance Polska

Podobne dokumenty
CSA STAR czy można ufać dostawcy

Zarządzanie relacjami z dostawcami

Rozganianie czarnych chmur bezpieczeństwo cloud computing z perspektywy audytora. Jakub Syta, CISA, CISSP IMMUSEC Sp. z o.o.

Marcin Fronczak Prowadzi szkolenia z zakresu bezpieczeństwa chmur m.in. przygotowujące do egzaminu Certified Cloud Security Knowledge (CCSK).

Zarządzanie ryzykiem w chmurze

Zarządzanie cyklem życia bezpieczeństwa danych

Bezpieczna migracja do chmury

Bezpieczeostwo chmury szansa czy zagrożenie dla Banków Spółdzielczych?

Przetwarzanie danych w chmurze

Dane bezpieczne w chmurze

Kompleksowe Przygotowanie do Egzaminu CISMP

Mateusz Kurleto NEOTERIC. Analiza projektu B2B Kielce, 18 października 2012

Chmura obliczeniowa. Sieci komputerowe laboratorium A1 (praca grupowa w chmurze)

Przetwarzanie danych w chmurze

CLOUD COMPUTING CHMURA OBLICZENIOWA I PLATFORMA WINDOWS AZURE

Definicja, rodzaje chmur obliczeniowych oraz poziomy usług

HP Service Anywhere Uproszczenie zarządzania usługami IT

Prawne aspekty wykorzystania chmury obliczeniowej w administracji publicznej. Michał Kluska

Chmura obliczeniowa jako źródło dostępu do usług świadczonych na drodze elektronicznejd

CHMURA OBLICZENIOWA (CLOUD COMPUTING)

Zapewnienie dostępu do Chmury

Zmiana sposobu dostarczania aplikacji wspierających funkcje państwa

Luki w bezpieczeństwie aplikacji istotnym zagrożeniem dla infrastruktury krytycznej

W książce omówiono: SAP zostań ekspertem w 24 godziny!

Zintegrowany System Zarządzania w Śląskim Centrum Społeczeństwa Informacyjnego

Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych

Jarosław Żeliński analityk biznesowy, projektant systemów

Chmura z perspektywy bezpieczeństwa

Wymiana doświadczeń Jarosław Pudzianowski - Pełnomocnik do Spraw Zarządzania Bezpieczeństwem

Joanna Baranowska. Chmura obliczeniowa w samorządach korzyści i wyzwania

Chmura nad Smart City. dr hab. Prof. US Aleksandra Monarcha - Matlak

Szczegółowy opis przedmiotu zamówienia:

W drodze do chmury hybrydowej stan zaawansowania w polskich przedsiębiorstwach.

Bezpieczeństwo dziś i jutro Security InsideOut

Warstwa ozonowa bezpieczeństwo ponad chmurami

Informatyzacja JST z zastosowaniem technologii przetwarzania w chmurze

Szanse i zagrożenia płynące z nowoczesnych metod świadczenia usług informatycznych (outsourcing, offshoring, SOA, cloud computing) w bankowości

Ogólne zagrożenia dla danych w chmurowym modelu przetwarzania

Paweł Gole, Securing. 1 InfoTRAMS "Cloud Computing Latajc c w chmurach"

Zarządzanie bezpieczeństwem informacji w urzędach pracy

XXIII Forum Teleinformatyki

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

Architektura korporacyjna jako narzędzie koordynacji wdrażania przetwarzania w chmurze

Przetwarzanie i zabezpieczenie danych w zewnętrznym DATA CENTER

Krajowy Punkt Dostępowy doświadczenia z realizacji projektu

Architektury usług internetowych. Tomasz Boiński Mariusz Matuszek

Kraków Wrocław Poznań Warszawa Gdańsk CLOUD SERVICES & DATA CENTER

Rok po RODO. Cyberbezpieczeństwo w sferze ochrony danych

Robert Meller, Nowoczesny audyt wewnętrzny

Warszawa, 6 lutego Case Study: Chmura prywatna HyperOne dla Platige Image dzięki Microsoft Hyper-V Server. Wyzwanie biznesowe

BCC Data Centers. Oferta: Outsourcing IT, cloud computing Optymalizacja i bezpieczeństwo IT. Tytuł prezentacji 1

ADMINISTRACJA PUBLICZNA W CHMURZE OBLICZENIOWEJ

CZĘŚĆ I. PODSTAWY WSPÓŁCZESNEGO AUDYTU WEWNĘTRZNEGO str. 23

GTS Shared Infrastructure (GSI)

W jaki sposób efektywnie zarządzać ryzykiem w organizacji na przykładzie narzędzia klasy GRC. Jan Anisimowicz Łukasz Krzewicki 10 Marzec 2016

Zarządzanie bezpieczeństwem w Banku Spółdzielczym. Aleksander P. Czarnowski AVET Information and Network Security Sp. z o.o.

Cloud Computing - Wprowadzenie. Bogusław Kaczałek Kon-dor GIS Konsulting

epolska XX lat później Daniel Grabski Paweł Walczak

Wirtualizacja sieci - VMware NSX

Kierunki rozwoju zagrożeń bezpieczeństwa cyberprzestrzeni

Certified IT Manager Training (CITM ) Dni: 3. Opis:

Aurea BPM. Unikalna platforma dla zarządzania ryzykiem Warszawa, 25 lipca 2013

Architektura chmur i wirtualizacja. Wykład 2 Klasyfikacja chmur i usług

Zarządzanie Ryzykiem i Utrzymanie Ciągłości Działania w Kontekście Bezpieczeństwa Informacji

OCHRONA SIECI DLA KAŻDEJ CHMURY

OWASP i Top 10 Sposób tworzenia Top 10 Czym jest a czym NIE jest Top 10? Zmiany w wersji 2013 Omówienie nowych podatności na liście Podsumowanie

OCENA ZABEZPIECZEŃ. Obraz środowiska wirtualnego

Co to jest chmura (Cloud Computing)?

7. zainstalowane oprogramowanie zarządzane stacje robocze

PureSystems zautomatyzowane środowisko aplikacyjne. Emilia Smółko Software IT Architect

Centrum zarządzania bezpieczeństwem i ciągłością działania organizacji

Zarządzanie ryzykiem w IT

Przygotowanie do egzaminu na certyfikat CISA (Certified Information Systems Auditor) KONSPEKT SZKOLENIA część 1.

Kolokacja, hosting, chmura O czym powinny pamiętać strony umowy? Maciej Potoczny

BCC ECM Autorskie rozwiązanie BCC wspomagające zarządzanie dokumentami oraz procesami biznesowymi

NORMA ISO/IEC W ZARZĄDZANIU SERWISEM IT

Arkadiusz Rajs Agnieszka Goździewska-Nowicka Agnieszka Banaszak-Piechowska Mariusz Aleksiewicz. Nałęczów, 20lutego 2014

PLATFORMA COMARCH SECURITY. Rozwiązania Comarch dla bezpiecznego urzędu

Nowoczesne narzędzia HR. Waldemar Lipiński DMZ-CHEMAK sp. z o.o.

AUDYT BEZPIECZEŃSTWA INFORMACJI Podstawy

Licencjonowanie System Center 2012 R2

Usługowy model zarządzania w oparciu o ITIL v3. wprowadzenie do biblioteki ITIL na prostym przykładzie

Rozwiązania wspierające IT w modelu Chmury

Rynek przetwarzania danych w chmurze w Polsce Prognozy rozwoju na lata

Spis treści. Wstęp... 11

Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013

SAP w 24 godziny / Michael Missbach, George Anderson. Gliwice, cop Spis treści

Komunikat nr 115 z dnia r.

Implementowanie zaawansowanej infrastruktury serwerowej Windows Server 2012 R2

Hosting a dane osobowe

Witamy na konferencji SUSE Expert Days Kraków, 16 października 2018 r.

Cechy e-usługi i e-firmy. Elastyczność i niezawodność. Jak się przygotować na zmiany?

>>> >>> Ćwiczenie. Cloud computing

! Retina. Wyłączny dystrybutor w Polsce

Case Study: Migracja 100 serwerów Warsaw Data Center z platformy wirtualizacji OpenSource na platformę Microsoft Hyper-V

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Bezpieczeństwo IT z Open Source na nowo

Model funkcjonowania MPTI

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Leszek Dziubiński Damian Joniec Elżbieta Gęborek. Computer Plus Kraków S.A.

Transkrypt:

ISACA Katowice Kraków 2013 Zarządzanie bezpieczeństwem w chmurze obliczeniowej Marcin Fronczak Cloud Security Alliance Polska

Model chmury wg NIST 2

Cechy charakterystyczne chmury Szeroki dostęp (Broad Access Network) Błyskawiczna elastyczność (Rapid elasticity) Mierzalne usługi (Measured services) Samoobsługa na żądanie (On demand self-service) Agregacja zasobów (Resource pooling 3

Modele usług w chmurze Software as a Service (SaaS) Platform as a Service (PaaS) Infrastructure as a Service (IaaS) 4

Infrastructure as a Service (IaaS) Dostarczanie podstawowych zasobów obliczeniowych, sieciowych, przechowywania danych i innych Klient instaluje i uruchamia dowolne oprogramowanie Może zawierać systemy operacyjne i aplikacje 5

Platform as a Service (PaaS) Umożliwia klientom instalację własnych aplikacji i systemów w infrastrukturze dostawcy Stworzona za pomocą języków programowania i narzędzi wspieranych przez dostawcę 6

Software as a Service (SaaS) Klient korzysta z aplikacji dostawcy umieszczonych w chmurze Klient nie zarządza ani kontroluje podstawowej infrastruktury włączając również zasoby sieciowe, serwery, systemy operacyjne i składowanie danych, ani nawet poszczególnych właściwości aplikacji 7

Wpływ bezpieczeństwa na stos SPI Im niżej stosu dostawca dostarcza usługę tym klient jest bardziej odpowiedzialny za zarządzanie ryzykiem i zabezpieczenie środowiska SaaS PaaS IaaS Dostawca Odpowiedzialność za zarządzanie ryzykiem Klient 8

Odpowiedzialność za bezpieczeństwo 9

IaaS Korzyści Możliwość kastomizacji i kontroli nad środowiskiem Elastyczność w zabezpieczaniu danych do swoich potrzeb Wątpliwości Zaangażowanie w integrację wszystkich aspektów aplikacji (DB, plug-ins, API itd.) Odpowiedzialność za całość konfiguracji (również aplikacji) Odpowiedzialność za aktualizację oprogramowania Współdzielenie na poziomie hypervisora 10

PaaS Korzyści Zintegrowane rozwiązanie pomaga zredukować złożoność zarządzania (konfiguracja, komponenty) Jeśli dostawca wspiera API, ułatwia implementację Wątpliwości Klient wciąż odpowiedzialny za utrzymanie aktualizacji stosu Możliwość uzależnienia od dostawcy API (lock-in) Współdzielenie na poziomie platformy 11

SaaS Korzyści Zintegrowane rozwiązanie pomaga zredukować złożoność zarządzania (konfiguracja, komponenty) Skalowanie środowiska nie jest problemem klienta Aktualizacja, konfiguracja, bezpieczeństwo odpowiedzialność dostawcy Wątpliwości Bardzo mała możliwość kastomizacji Brak kontroli na komponentami. Brak kontroli nad bezpieczeństwem (tylko ocena, brak wpływu). Współdzielenie na poziomie aplikacji. 12

Chmura publiczna (Public) Modele chmury ze względu na rozmieszczenie Chmura prywatna (Private) Współdzielona (Community) Hybrydowa (Hybrid) 13

Modele wdrożenia i odpowiedzialności Infrastruktura zarządzana przez: Infrastruktura w posiadaniu: Infrastruktura umieszczona : Dostępna i wykorzystywana przez : Publiczna Dostawca (Third Party Provider) Dostawca (Third Party Provider) Na zewnątrz (Off-Premise) Niezaufana strona Prywatna/ Współdzielona Lub Organizacja Organizacja Wewnątrz (On-Premise) Zaufana strona Dostawca Dostawca Na zewnątrz Hybrydowa Zarówno Organizacja jak i Dostawca Zarówno Organizacja jak i Dostawca Zarówno Wewnątrz jak i Na zewnątrz Zarówno Zaufana i Niezaufana strona 14

Jericho Cloud Cube Model Internal (I)/External (E) fizyczna lokalizacja danych Proprietary (P)/Open (O) kto dostarcza usługi Perimeterised (Per)/Deperimeterised (D-p) logiczne granice sieci 4 wymiary, 8 stanów Per - (IP,IO,EP,EO), D-p (IP,IO,EP,EO) Insourced (Per, IP) usługa jest dostarczana w ramach organizacji i kontrolowana Outsourced (D-p, EO) usługa jest dostarczana i kontrolowana przez zewnętrznego dostawcę 15

Cloud Security Chmura burzy tradycyjne podejście do określania granic Co jest wewnętrzne? Co jest zewnętrzne? Gdzie teraz jest granica? 16

Cloud Security Alliance Polska - Stowarzyszenie, polski oddział CSA - Organizacja non-profit - Promowanie najlepszych praktyk i edukacja w zakresie bezpieczeństwa cloud computing - Koalicja praktyków, ekspertów, korporacji, stowarzyszeń z obszaru bezpieczeństwa w chmurze - Platforma komunikacji pomiędzy stronami zaangażowanymi i zainteresowanymi bezpieczeństwem chmury - Wymiany wiedzy oraz doświadczeń. - Około 30.000 członków - Ponad 60 oddziałów 17

CSA Security Guidance Celem przewodnika CSA jest ustanowienie i dostarczenie zbioru najlepszych praktyk dla menadżerów i użytkowników, którzy chcą korzystać z usług w przetwarzania w chmurze w bezpieczny sposób. Trzecia edycja przewodnika składa się z 14 domen 18

Architektura cloud computing Nadzór i zarządzanie ryzykiem Prawo i informatyka śledcza Zgodność i audyt Zarządzanie informacją i ochrona danych Przenaszalność i interoperacyjność Bezpieczeństwo tradycyjne, BCP i DRP Centrum danych i zarządzanie operacjami Zarządzanie incydentami Bezpieczeństwo aplikacji Szyfrowanie i zarządzanie kluczami Zarządzanie własnością, tożsamością i dostępem Wirtualizacja Security as a service Terminologia, cechy, modele, lokalizacja zapisy w umowach, odpowiedzialność za zarządzanie ryzykiem, Zarzadzanie stroną trzecią, Badanie łańcucha dostaw Aspekty prawne, gromadzenie, analiza i udostępnianie dowodów, obszary jurysdykcji i lokalizacja danych Prawo do audytu, analiza i wpływ na zgodność z regulacjami, zakres audytu, Odzyskiwanie danych, DLP, wolumenowe i obiektowe przechowywanie danych, fizyczne i logiczne składowanie danych, monitorowanie operacji Zmiana dostawcy usług, możliwość powrotu, współpraca pomiędzy dostawcami i usługami Zarządzanie ciągłością i plany awaryjne, bezpieczeństwo fizyczne, logowanie i raportowanie w rozproszonym środowisku Architektura i infrastruktura centrum danych, polityki i procedury Wykrywanie, powiadamianie i reagowanie na incydenty, rejestracja, analiza, testy, Bezpieczeństwo aplikacji, zarządzanie podatnościami, SDLC Szyfrowanie danych, zarządzanie kluczami, mechanizmy kryptograficzne Zarządzanie tożsamością i uprawnieniami, nadawanie i odbieranie dostępu, odpowiedzialność Multi-tenancy, izolacja VM, bezpieczeństwo hypervisorów, zarządzanie podatnościami, złośliwe oprogramowanie Korzyści i obawy, transparentność rozwiązań, wymagania

Certificate of Cloud Security Knowledge Certyfikat Cloud Security Knowledge (CCSK) jest pierwszym branżowym programem certyfikacyjnym stworzonym dla profesjonalistów odpowiedzialnych za zabezpieczenie chmury. Otrzymanie certyfikatu CCSK potwierdza znajomość najlepszych praktyk w zakresie zarządzania ryzykiem w modelu cloud computing. CSA Guidance For Critical Areas of Focus in Cloud Computing V3.0 English ENISA Cloud Computing: Benefits, Risks and Recommendations for Information Security 20

Cloud Control Matrix Cloud Control Matrix (CCM) został zaprojektowany w celu dostarczenia dostawcom w chmurze fundamentalnych zasad z zakresu bezpieczeńtwa i wspomagania odbiorców usług w chmurze w ocenie i analizie ryzyka związanego z modelem cloud computing 21

Cloud Control Matrix 11 domen 1. Compliance (CO) 2. Data Governance (DG) 3. Facility Security (FS) 4. Human Resources (HR) 5. Information Security (IS) 7. Operations Management (OM) 8. Risk Management (RI) 9. Release Management (RM) 10. Resiliency (RS) 11.Security Architecture (SA) 6. Legal (LG) 22

Cloud Control Matrix 98 kontroli 23

Cloud Control Matrix 98 kontroli 24

Cloud Control Matrix 98 kontroli 25

Cloud Control Matrix 98 kontroli 26

Consensus Assessment Initiative Projekt Consensus Assessments Initiative (CAI) został uruchomiony w celu przeprowadzenia badań, stworzenia narzędzi i utworzenia partnerstwa branżowego, aby umożliwić ocenę usług dostarczanych w modelu cloud computing. Uczestnicy projekty koncentrują się na dostarczeniu powszechnie akceptowanych przez branżę metod i sposobów na prezentację i udokumentowanie jakie mechanizmy kontrolne są zaimplementowane w IaaS,PaaS i SaaS, powodując, że system kontroli stosowany przez dostawcę jest przejrzysty i transparentny. Pierwszym produktem tego projektu jest Consensus Assessments Initiative Questionnaire (CAIQ) prosty kwestionariusz dostępny w formie arkusza zawierający zestaw pomocnych dla konsumenta lub audytora pytań, które można zadać dostawcy usług 27

Trusted Cloud Initiative 28

Trusted Cloud Initiative 29

Trusted Cloud Initiative https://cloudsecurityalliance.org/research/projects/cloud-controls-matrixccm/ 30

Trusted Cloud Initiative 31

Trusted Cloud Initiative Trusted Cloud Initiative pomaga dostawcom chmury w rozwoju prac nad zapewnieniem bezpiecznego i interoperacyjnego zarządzania tożsamością, dostępem, zgodnością. TCI dostarcza model referencyjny, materiały szkoleniowe, kryteria dla certyfikacji oraz narzędzia dla dostawców usług w chmurze służace do samooceny. TCI został stworzony w neutralny dla dostawców sposób. TCI może służyć zarówno jako metodologia jak i zestaw narzędzi dla architektów bezpieczeństwa i ekspertów zarządzających ryzykiem wspierający ich w ocenie i analizie ryzyka i systemu kontroli zaimplementowanych u dostawcy oraz w planowaniu spełnienia wymagań w zakresie bezpieczeństwa 32

CloudAudit 6A Celem CloudAudit (Automated Audit, Assertion, Assessment, and Assurance) jest dostarczenie wspólnego interfejsu i nazewnictwa, które umożliwią dostawcom oraz autoryzowanym odbiorcom usług w zautomatyzowany sposób dokonać procesu audytu, oceny, potwierdzenia i zapewnienia udostępnianych/wykorzystywanych przez nich środowisk (IaaS, PaaS, SaaS). CloudAudit jest wynikiem działań międzynarodowej grupy roboczej powstałej w styczniu 2010 roku złożonej z przedstawicieli największych firm dostarczających usługi w modelu chmury, integratorów chmury, firm doradczych i audytorskich 33

Security Trust & Assurance Registry Cloud Security Alliance (CSA) uruchomił nową inicjatywę zachęcającą do transparentności rozwiązań i praktyk z zakresu bezpieczeństwa stosowanych przez dostawcę usług w chmurze. CSA Security, Trust & Assurance Registry (STAR) jest darmowym, publicznie dostępnym rejestrem dokumentującym mechanizmy kontrolne stosowane w różne rozwiązaniach opartych na modelu cloud computing. Dzięki temu potencjalni odbiorcy usług mogą ocenić w jaki sposób dostawcy zarządzają ryzykiem i bezpieczeństwem w oferowanych przez siebie usługach. CSA STAR jest częścią CSA Open Certification Framework branżowej inicjatywy aby przyznawać dostawcom usług w chmurze globalne, akredytowane, zaufane certyfikaty 34

Open Certification Framework CSA Open Certification Framework jest elastycznym, przyrostowym i wielowarstwowym programem certyfikacyjnym zgodnym z przewodnikiem CSA i celami kontrolnymi zdefiniowanymi w zakresie CSA GRC (Governance, Risk and Compliance) Projekt integruje powszechne programy certyfikacyjne prowadzone przez zaufane trzecie strony oraz mapuje wymagania uznanych norm, standardów oraz najlepszych praktyk z zakresu bezpieczeństwa i nadzoru IT. Obejmuje swoim zakresem CSA Security, Trust and Assurance Registry (STAR), ocenę zaufanej trzeciej strony oraz ciągłe monitorowanie 35

Open Certification Framework 36

Open Certification Framework Poziom 1 Samoocena STAR Dostawcy usług mogą przedstawić 2 różne typy raportów potwierdzających zgodność z wymaganiami najlepszych praktyk wskazanych przez CSA oraz uznanych norm i standardów (m.in. ISO/IEC 27001:2007, PCI DSS, COBIT). 37

Open Certification Framework Poziom 1 Samoocena STAR W pierwszym poziomie programu STAR wzięły udział 22 rozwiązania oferowane w modelu chmury m.in. firm Amazon, HP, Microsoft, Symantec, Telecom Italia, Verizon 38

Open Certification Framework Poziom 2 Certyfikacja STAR Ocena niezależnego audytora (BSI) Głównym założeniem poziomu 2 jest wykorzystanie wymagań ISO/IEC 27001:2007 zintegrowanych z wymaganiami Cloud Control Matrix ( CCM ) w celu dokonania oceny poziomu dojrzałości organizacji i stosowanego przez nią systemu kontroli wewnętrznej. Dodatkową korzyścią jest dostarczenie potencjalnemu odbiorcy usługi narzędzia wspomagającego proces oceny i wyboru dostawcy. 39

Open Certification Framework Poziom 3 Ciągły monitoring i doskonalenie Program STAR opiera się na cyklu Deminga zwanym również modelem PDCA (ang. Plan-Do-Check-Act), który zapewnia proces ciągłego monitoringu i doskonalenia wdrożonych mechanizmów kontrolnych i procesów. 40

Open Certification Framework Harmonogram OCF Poziom 1 już jest dostępny Ocena niezależnego audytora 1 kwartał 2013 Certyfikacja STAR dla dostawców - 2 kwartał 2013 Poziom 3 - nie wcześniej niż 2015 r. 41

Cloud Security Alliance Polska Dziękuję za uwagę www.csa.org.pl Linkedin Grupa Cloud Security Alliance Polska Marcin Fronczak CCSK, CIA, CISA, CRISC biuro@csa.org.pl 42

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres