cloud computing. standortbestimmung, sicherheit, …...2016/02/02 · cloud computing....
TRANSCRIPT
Cloud Computing.
Standortbestimmung, Sicherheit,
Prüfverfahren.
Hendrik A. Reese, Principal Consultant, TÜV Rheinland
Cloud Entwicklung. Gegebenheiten unserer Zeit für die Cybersecurity.
03.02.2016 2. Tag der IT-Sicherheit - IHK Saarland2
1998
2007
2000
Bevölkerung 7,3 Mrd.
15 Mrd. Endgeräte
3 Mrd. Internetnutzer
Bevölkerung 7,8 Mrd.
41 Mrd. Endgeräte
4 Mrd. Internetnutzer
2020
iPhone
2016
Datenvolumen: 8,6 Tsd. Exabyte
Cloud Umsatz: 183 Mrd. USD
Datenvolumen: 40 Tsd. Exabyte
Cloud Umsatz: 500 Mrd. USD
Bevölkerung 6,3 Mrd.
390 Mio. Internetnutzer
Mail Verschlüsselung, FW
1.000 Malware Exemplare
Mobility & BYOD – „Was ist das?“
Cloud Computing. Marktsituation in Deutschland.
03.02.20163 2. Tag der IT-Sicherheit - IHK Saarland
30%
Marktwachstum von 2015 auf
2016
65%
Interviewte Personen:
Nachgewiesene Compliance ist
ein MUSS.
90%
Interviewte Personen:
Die Nachweisfähigkeit muss
verbessert werden.
Was ändert sich durch die aktuelle Jurisdiktion zu Safe Harbor?
03.02.2016 2. Tag der IT-Sicherheit - IHK Saarland4
DIE UNWIRKSAMKEIT VON
VERTRÄGEN AUF GRUNDLAGE
VON SAFE HARBOR HAT „NUR“
RECHTLICHE IMPLIKATIONEN
Sicherheit in der Cloud. Auswahl wesentlicher Elemente.
03.02.2016 2. Tag der IT-Sicherheit - IHK Saarland6
1 Auswahlprozess
2 Sichere Architektur
3 Vertrauen und Kontrolle
Cloud entlässt den Cloud Nutzer nicht aus der Verantwortung für die Sicherheit. Ein Beispiel.
03.02.2016 2. Tag der IT-Sicherheit - IHK Saarland7
Data Center Infrastructure
Compute
Compute
Storage
Storage
Network
Network
Database
Database
Virtuelle
Infrastruktur
Physische
Infrastruktur
Public Cloud
Provider
verantwortlich
für Sicherheit
und Betrieb
Virtua-
lisierungOS
Virtuelle
Netzwerke
Virtuelle
Firewalls
Betrieb und
Konfiguration
Cloud Nutzer
verantwortlich
für Sicherheit
und Betrieb der
eigenen
Infrastruktur in
der Public Cloud
Applikationen
Daten
Sichere Architektur, Verschlüsselung, Zugriffssicherheit, Härtung, Überwachung
Der Einsatz von Cloud Services. Sicherheitsmanagement als Steuerungs- und Kontrollfunktion.
03.02.2016 2. Tag der IT-Sicherheit - IHK Saarland8
Infrastruktur
Sicherheit und Verfügbar-
keit der Cloud Service
Infrastruktur.
1
Datensicherheit
Architektur des Cloud
Services. Sicherheit des
Netzwerks, der Systeme
und Virtualisierung.
2
Organisation
Rollen, Verantwortlich-
keiten und Kompetenzen
für Betrieb und Entwick-
lung des Cloud Services.
3
Compliance
Effektives Management
von vertraglichen und
gesetzlichen Ver-
pflichtungen.
4
Prozesse
Service Prozesse für das
kontinuierliche Manage-
ment der Erbringung des
Cloud Services.
5
Betrieb
Definition und Belastbar-
keit der Betriebsprozesse
für den Cloud Service.
6
Untersuchung der Architektur-
anforderungen an Cloud Services
und Konzeption der Architektur
Auswahl der richtigen Cloud
Services unter gleichzeitiger
Berücksichtigung von funktionalen
Anforderungen, Performance und
Kapazität sowie Sicherheit und
Compliance
Plan
Einsatz von passenden Sicherheits-
lösungen im Umfeld von Monitoring,
Access Management und Ver-
schlüsselung zur Absicherung des
Cloud Einsatzes
Implementierung der Sicherheits-
lösungen in Verbindung mit belast-
baren Sicherheitskonzepten
Build
Steuerung der Serviceerbringung
über den Interlock mit dem Provider
– integriertes Risk- und Compliance-
Management, KPIs, Service
Reports, Meldewesen,
Kontrolle der Serviceerbringung auf
die Einhaltung von Sicherheits- und
Complianceanforderungen
Manage
Betrieb von Sicherheitslösungen im
produktiven Betrieb von Cloud Ser-
vices an der Schnittstelle zwischen
Cloud Service, onpremise IT und
Cloud User
Run
Belastbare Auswahl von Cloud Services. Auswahlprozess entscheidet über den Erfolg.
03.02.2016 2. Tag der IT-Sicherheit - IHK Saarland9
Identifizierung von
generellen Anforderungen
sowie für spez. IT-Services
hins. IT-Sicherheit und
Compliance
Ableitung eines
Anforderungsprofils
Zusammenfassung der
Anforderungen in
Bewertungsprofile
Klassifizierung und
Gewichtung von Kriterien,
einschl. k.o.-Kriterien
Analyse des Cloud
Services gegenüber dem
Bewertungsprofil
Bewertung der Sicherheits-
funktionen und –merkmale
des Cloud Services hins.
Customizing Fähigkeit
Ableitung von
Empfehlungen für den
Einsatz des untersuchten
Cloud Services
Chancen und Risiken des
Cloud Einsatzes
Anforderungserhebung Bewertungskriterien Analyse Cloud Service Empfehlung
Sicherheit in der Cloud impliziert operative Sicherheitsverantwortung des Cloud Nutzers.
03.02.2016 2. Tag der IT-Sicherheit - IHK Saarland10
Cloud
Owner
Shared Storage
Shared Virtualization
Cloud
resources
@supplier
Application stack Database stack
Management
process monitoring
Management
process encryption
Reliable security and compliance management
Incident
response
Security Information and Event Management
Trust and Secure Authentication – monitoring access
Cloud Anforderungskatalog. Prüfung von Qualität aus Sicht des Serviceversprechens.
03.02.201611
Interviews DokumentenprüfungTechnische Analyse
(Penetration Tests)Bewertung
Infrastruktur
Sicherheit und
Verfügbarkeit der
Cloud Service
Infrastruktur
1
Datensicherheit
Architektur des
Cloud Services.
Sicherheit des
Netzwerks, der
Systeme und
Virtualisierung.
2
Organisation
Rollen, Verant-
wortlichkeiten und
Kompetenzen für
Betrieb und
Entwicklung des
Cloud Services
3
Compliance
Effektives
Management von
vertraglichen und
gesetzlichen
Verpflichtungen
4
Prozesse
Service Prozesse
für das kontinuier-
liche Management
der Erbringung
des Cloud
Services
5
Betrieb
Definition und
Belastbarkeit der
Betriebsprozesse
für den Cloud
Service
6
2. Tag der IT-Sicherheit - IHK Saarland
Benchmark der Sicherheit bei komplexen Anforderungen. Unterschiede in der Belastbarkeit
03.02.201612 2. Tag der IT-Sicherheit - IHK Saarland
Datensicherheit
Compliance
Prozesse
Zugriffssicherheit
Systemsicherheit …
Datenschutz
Exportkontrolle
IKS
…
Betrieb
Monitoring
ServiceNetzwerksicherheit
Designprüfung Implementierungsprüfung Effektivitätsprüfung.
Schwache Aussage
Aussage zu Fähigkeiten
Detaillierte Aussage
Interviews
Cloud Anforderungskatalog. Elemente einer belastbaren Prüfung.
13
Konfigurationsreviews
Bewertung der Effektivität von Maßnahmen
Qualität und Belastbarkeit von Prozessen
Dokumentenprüfung
Architekturreview
Policy- und Prozessreview
Technische Analyse
Penetration test gegen Cloud Schnittstellen
Widerstandsfähigkeiten gegenüber Attacken
03.02.2016 2. Tag der IT-Sicherheit - IHK Saarland
TÜV Rheinland.
03.02.201614
STARKE REPUTATION ALS
FÜHRENDER UNABHÄNGIGER
ANBIETER DER INFORMATIONS-
SICHERHEIT
HOHER ERFAHRUNGS-
SCHATZ UND VIELZAHL AN
KOMPETENZEN FÜR CLOUD SERVICE
PRÜFUNGEN
HOHE VERTRAUENS-
STELLUNG IN VERBINDUNG MIT
BREITER ANERKENNUNG IM
EUROPÄISCHEN CLOUD MARKT
2. Tag der IT-Sicherheit - IHK Saarland
Fragen?
03.02.201615
Hendrik A. Reese
Principal Consultant
TÜV Rheinland i-sec GmbH
Am Grauen Stein
Telefon: +49 221 56783 278
Mobil: +49 174 1880252
E-Mail: [email protected]
2. Tag der IT-Sicherheit - IHK Saarland
Auf allen Kontinenten zuhause.
Kennzahlen 2014
Umsatz in Mio. € 1.731
Auslandsanteil (in %) 49,0
EBIT (in %) 6,4
Mitarbeiter (-innen) 19.320
Auslandsanteil (in %) 60,0
Standorte:
Über
500 in 69Ländern
03.02.2016 TÜV Rheinland i-sec GmbH16
Umsatz nach Geschäftsbereichen.
29%
22%24%
11%
7%
7% Industrie
Service
Produkte
Mobilität
ICT & Business
Solutions
Systeme
Academy
& Life Care
03.02.2016 TÜV Rheinland i-sec GmbH17
Die Welt von ICT & Business Solutions.
Umsatz 2014:
Circa
123 Mio. €
Geschäftsfelder
IT Services & Cyber
Security
Telco Solutions, Business
& Engineering Services
Management Consulting
R&D Management
Weltweite Standorte
03.02.2016 TÜV Rheinland i-sec GmbH18
TÜV Rheinland i-sec. Informations- und IT-Sicherheit.
03.02.2016 TÜV Rheinland i-sec GmbH19
Führender unabhängiger Dienstleister
für Informationssicherheit in Deutschland
Beratungs- und Lösungskompetenz in
ganzheitlicher Informationssicherheit –
von der Steuerungsebene bis ins
Rechenzentrum inkl. betriebsunter-
stützender Leistungen
Exzellente Technologie-Expertise,
umfassendes Branchen-Know-how,
Partnerschaften mit Marktführern
International zählen wir im Verbund
mit OpenSky zu den wichtigsten
unabhängigen Anbietern
Zertifiziert nach ISO 27001
TÜV Rheinland i-sec GmbH. Fakten und Zahlen.
03.02.2016 TÜV Rheinland i-sec GmbH20
Finanzen
Automobil
Telekommunikation
Int. Mischkonzerne
Transport/Logistik
Energiewirtschaft
Militär
Öffentlicher Dienst
Chemie/Pharma
IT-Dienstleister
Handel
Touristik
15 x Sales
20 x Security Engineering
60 x Management Beratung
45 x Professional Service und Betrieb
Standorte
Deutschland
Köln (HQ)
München
Gelnhausen
Saarbrücken
Fachliches
Kompetenz-
team
Branchen und
Sitz unserer Kunden
Deutschland
Österreich
Schweiz
Frankreich
Projekteinsatz an 25.000 Tagen in 2014!
Lösungskompetenz. Informations- und IT-Sicherheit.
03.02.2016 TÜV Rheinland i-sec GmbH21
Zielsetzung
und Strategie
Steuerung
und Planung
Konzeption
und Implementierung
Betrieb Prüfung1 2 3 4 5
Businessanforderung
Strategie
Steuerungsprozesse
Management
der Informationssicherheit
Datenschutz und
Datensicherheit
IT Risikomanagement nach
ISO 31000 und 27005
ISMS, BCM und GRC
Toolauswahl/-einführung
Sichere Architekturen und
Prozesse für Netzwerke,
Rechenzentren, Mobil
Anwendungssicherheit
Sicherheit
im Betrieb
Betrieb und Support von IT
Security Lösungen
Security Incident Response
Team (SIRT)
Sicherheitsaudits
Zertifizierung von
Prozessen und Diensten
Branchenlösungen, individuelle Konzepte, professionelle Beratung und stark in der Umsetzung!