molnsäkerhet (symposia 2009)
DESCRIPTION
Presentation on Cloud Security from Symposia Nordic 2009 (in swedish)TRANSCRIPT
![Page 1: MolnsäKerhet (Symposia 2009)](https://reader034.vdocuments.pub/reader034/viewer/2022050713/548b0cd8b47959dd0c8b6064/html5/thumbnails/1.jpg)
1 1
Molnsäkerhet Per Hägerö, CTO
1
![Page 2: MolnsäKerhet (Symposia 2009)](https://reader034.vdocuments.pub/reader034/viewer/2022050713/548b0cd8b47959dd0c8b6064/html5/thumbnails/2.jpg)
Agenda
• Vad är molnet? • Strategi för molnsäkerhet • PortWise Moln erbjudande
2
![Page 3: MolnsäKerhet (Symposia 2009)](https://reader034.vdocuments.pub/reader034/viewer/2022050713/548b0cd8b47959dd0c8b6064/html5/thumbnails/3.jpg)
3
• För några • Skräddarsytt • Lokal produktion och kontroll • Balans- och resultaträkning
![Page 4: MolnsäKerhet (Symposia 2009)](https://reader034.vdocuments.pub/reader034/viewer/2022050713/548b0cd8b47959dd0c8b6064/html5/thumbnails/4.jpg)
4
• För alla • Standardiserat • On-demand • Resultaträkning
![Page 5: MolnsäKerhet (Symposia 2009)](https://reader034.vdocuments.pub/reader034/viewer/2022050713/548b0cd8b47959dd0c8b6064/html5/thumbnails/5.jpg)
5
• Valfrihet • Komplement • Personligt • Skräddarsytt • Lokal leverans och kontroll • Balans- och resultaträkning
![Page 6: MolnsäKerhet (Symposia 2009)](https://reader034.vdocuments.pub/reader034/viewer/2022050713/548b0cd8b47959dd0c8b6064/html5/thumbnails/6.jpg)
6
![Page 7: MolnsäKerhet (Symposia 2009)](https://reader034.vdocuments.pub/reader034/viewer/2022050713/548b0cd8b47959dd0c8b6064/html5/thumbnails/7.jpg)
7
![Page 8: MolnsäKerhet (Symposia 2009)](https://reader034.vdocuments.pub/reader034/viewer/2022050713/548b0cd8b47959dd0c8b6064/html5/thumbnails/8.jpg)
8 8
Kostnad
Säkerhet (Privacy) 400,000 användare
![Page 9: MolnsäKerhet (Symposia 2009)](https://reader034.vdocuments.pub/reader034/viewer/2022050713/548b0cd8b47959dd0c8b6064/html5/thumbnails/9.jpg)
VAD ÄR MOLNET?
9
![Page 10: MolnsäKerhet (Symposia 2009)](https://reader034.vdocuments.pub/reader034/viewer/2022050713/548b0cd8b47959dd0c8b6064/html5/thumbnails/10.jpg)
10
![Page 11: MolnsäKerhet (Symposia 2009)](https://reader034.vdocuments.pub/reader034/viewer/2022050713/548b0cd8b47959dd0c8b6064/html5/thumbnails/11.jpg)
11 11
![Page 12: MolnsäKerhet (Symposia 2009)](https://reader034.vdocuments.pub/reader034/viewer/2022050713/548b0cd8b47959dd0c8b6064/html5/thumbnails/12.jpg)
12 12
![Page 13: MolnsäKerhet (Symposia 2009)](https://reader034.vdocuments.pub/reader034/viewer/2022050713/548b0cd8b47959dd0c8b6064/html5/thumbnails/13.jpg)
834
• 8 egenskaper – Agilt, Opex, Oberoende, Fler-familjshus, Pålitlighet,
Skalbarhet, Säkerhet, Uthållighet
• 3 servicemodeller – IaaS, PaaS, SaaS
• 4 spridningssätt – Privat, Grupp, Publik, Hybrid
13
![Page 14: MolnsäKerhet (Symposia 2009)](https://reader034.vdocuments.pub/reader034/viewer/2022050713/548b0cd8b47959dd0c8b6064/html5/thumbnails/14.jpg)
Kriterier för molntjänster
14
• Publikt åtkomligt • Administrationsgränssnitt via API • Stöd för flera hyresgäster • Rätt kostnad för kunden • Skalbarhet och elastisitet • Webbaserad administration • Snabb tilldelning och självbetjäning • Virtualisering och hårdvaruoberoende
![Page 15: MolnsäKerhet (Symposia 2009)](https://reader034.vdocuments.pub/reader034/viewer/2022050713/548b0cd8b47959dd0c8b6064/html5/thumbnails/15.jpg)
Virtualisering och hårdvaruoberoende
• Användare kan använda tjänsten oberoende av vad andra gör
• Obegränsat med kapacitet (?) • Ingen hårdvarubegränsning
15
![Page 16: MolnsäKerhet (Symposia 2009)](https://reader034.vdocuments.pub/reader034/viewer/2022050713/548b0cd8b47959dd0c8b6064/html5/thumbnails/16.jpg)
Snabb tilldelning och självbetjäning
• Det ska gå snabbt att få tillgång till nya resurser (minuter…istället för dagar och veckor)
• Det bör vara möjligt för kunden att själv kunna lägga till och ta bort resurser
16
![Page 17: MolnsäKerhet (Symposia 2009)](https://reader034.vdocuments.pub/reader034/viewer/2022050713/548b0cd8b47959dd0c8b6064/html5/thumbnails/17.jpg)
Administration
• Administrationen sker genom en tunn klient • Standardiserade gränssnitt (?)
– Utmaning: Admistrera fler moln från samma gränssnitt
17
![Page 18: MolnsäKerhet (Symposia 2009)](https://reader034.vdocuments.pub/reader034/viewer/2022050713/548b0cd8b47959dd0c8b6064/html5/thumbnails/18.jpg)
Skalbarhet och elasticitet
• Enkel och dynamisk skalbarhet – Skala upp men också skala ner
• Minne, lagring, CPU kapacitet • I run-time
18
![Page 19: MolnsäKerhet (Symposia 2009)](https://reader034.vdocuments.pub/reader034/viewer/2022050713/548b0cd8b47959dd0c8b6064/html5/thumbnails/19.jpg)
Rätt kostnad för kunden
• Kunden ska endast betala för det som kunden “konsumerar”
• Idag finns det en flora av betalningsmodeller • Leverantörer måste erbjuda modeller som är
relevanta för kunden
19
![Page 20: MolnsäKerhet (Symposia 2009)](https://reader034.vdocuments.pub/reader034/viewer/2022050713/548b0cd8b47959dd0c8b6064/html5/thumbnails/20.jpg)
Stöd för flera hyresgäster
• För att nå fördelarna måste tjänsten hantera flera hyresgäster
• Låter enkelt men; – Tänk på att olika kunder inte ska påverka varandra – Säkerheten
20
![Page 21: MolnsäKerhet (Symposia 2009)](https://reader034.vdocuments.pub/reader034/viewer/2022050713/548b0cd8b47959dd0c8b6064/html5/thumbnails/21.jpg)
Administrationsgränssnitt via API
• Måste tillhandahålla gränssnitt för administration för bl a; – Användare – Tilldelning av rättigheter – Integration
• Webadmin = API Admin
21
![Page 22: MolnsäKerhet (Symposia 2009)](https://reader034.vdocuments.pub/reader034/viewer/2022050713/548b0cd8b47959dd0c8b6064/html5/thumbnails/22.jpg)
Publikt åtkomligt
• En molntjänst ska vara möjlig att använda och adminnistrera över Internet.
• (Gäller inte privat moln och grupp moln)
22
![Page 23: MolnsäKerhet (Symposia 2009)](https://reader034.vdocuments.pub/reader034/viewer/2022050713/548b0cd8b47959dd0c8b6064/html5/thumbnails/23.jpg)
Servicemodeller
23
IaaS
PaaS
SaaS
![Page 24: MolnsäKerhet (Symposia 2009)](https://reader034.vdocuments.pub/reader034/viewer/2022050713/548b0cd8b47959dd0c8b6064/html5/thumbnails/24.jpg)
Infrastruktur som tjänst (IaaS)
• Hyr processor-, nätverks-, lagrings- och andra fundamentala IT-resurser
• Kör egen programvara som inkluderar operativsystem och applikationer
• Ingen kontroll över hårdvaran men har kontroll över övriga delar och kan t ex själv välja nätverkskomponenter som brandväggar och VPN
24
![Page 25: MolnsäKerhet (Symposia 2009)](https://reader034.vdocuments.pub/reader034/viewer/2022050713/548b0cd8b47959dd0c8b6064/html5/thumbnails/25.jpg)
Plattform som tjänst (PaaS)
• Kör egna applikationer i moln infrastrukturen genom att använda programspråk och verktyg som tjänsteleverantören stödjer (t ex Java, .Net)
• Ingen kontroll över den underliggande infrastrukturen
• Kontroll över applikationen och eventuellt konfigurationsmiljön för applikationen
25
![Page 26: MolnsäKerhet (Symposia 2009)](https://reader034.vdocuments.pub/reader034/viewer/2022050713/548b0cd8b47959dd0c8b6064/html5/thumbnails/26.jpg)
Applikation som tjänst (SaaS)
• Kör tjänsteleverantörens applikationer som är tillgängliga via tunna klienter helst över flera olika typer av enheter
• Ingen kontroll över något egentligen förutom applikationsspecifika inställningar
26
![Page 27: MolnsäKerhet (Symposia 2009)](https://reader034.vdocuments.pub/reader034/viewer/2022050713/548b0cd8b47959dd0c8b6064/html5/thumbnails/27.jpg)
Cirrus eller Altocumulus
27
SaaS
PaaS
IaaS
![Page 28: MolnsäKerhet (Symposia 2009)](https://reader034.vdocuments.pub/reader034/viewer/2022050713/548b0cd8b47959dd0c8b6064/html5/thumbnails/28.jpg)
28 28
![Page 29: MolnsäKerhet (Symposia 2009)](https://reader034.vdocuments.pub/reader034/viewer/2022050713/548b0cd8b47959dd0c8b6064/html5/thumbnails/29.jpg)
Tillämpning och använding
29
Privat moln (internt eller
hostat) Grupp moln Publikt
Moln Hybrid moln
![Page 30: MolnsäKerhet (Symposia 2009)](https://reader034.vdocuments.pub/reader034/viewer/2022050713/548b0cd8b47959dd0c8b6064/html5/thumbnails/30.jpg)
STRATEGI FÖR MOLNSÄKERHET
30
![Page 31: MolnsäKerhet (Symposia 2009)](https://reader034.vdocuments.pub/reader034/viewer/2022050713/548b0cd8b47959dd0c8b6064/html5/thumbnails/31.jpg)
Innebär det något nytt?
• Visst det adderar ett antal frågetecken…. – Tillit till leverantör – Flera hyresgäster – Kryptering – Compliance – Vem har åtkomst till mitt data? – Lagras det säkert? – Data recovery? – Lösenord? – Inlåsningseffekter?
31
![Page 32: MolnsäKerhet (Symposia 2009)](https://reader034.vdocuments.pub/reader034/viewer/2022050713/548b0cd8b47959dd0c8b6064/html5/thumbnails/32.jpg)
Men ärligt….?
• Är det inte så att molntjänster till viss del redan belyser svagheter och sårbarheter som redan finns in nuvarande “Enterprise Architecture”? – Full koll på data åtkomst? – Säker lagring? – Data recovery? – Lösenord? – Micros, förlåt inlåsning?
32
![Page 33: MolnsäKerhet (Symposia 2009)](https://reader034.vdocuments.pub/reader034/viewer/2022050713/548b0cd8b47959dd0c8b6064/html5/thumbnails/33.jpg)
Men visst…
• det finns ingen anledning att göra om samma misstag flera gånger
• det är lättare (?) att känna till egna brister och svårare att upptäcka dem hos tjänsteleverantören (det krävs tillit till leverantören)
• det senare kan förstås vara skönt men kan vara extremt stressande vid kontrollbehov
• Glöm inte vem som äger varumärket för din organisation eller ditt företag (ett fel hos leverantören är ditt fel)
33
![Page 34: MolnsäKerhet (Symposia 2009)](https://reader034.vdocuments.pub/reader034/viewer/2022050713/548b0cd8b47959dd0c8b6064/html5/thumbnails/34.jpg)
Vissa saker är förstås ännu tydligare
• Skalskydd – Brandväggsförsvaret satt ur spel (kanske inte helt sant
för IaaS)
• Identitetshantering – Tydligare behov av en fungerande livscykelshantering
och provisioning (om framför allt de-provisioning)
• Behovet av att värdera ur ett informationsvärdesperspektiv och sedan tillämpa rätt skydd (floskeltoppen ?)
34
![Page 35: MolnsäKerhet (Symposia 2009)](https://reader034.vdocuments.pub/reader034/viewer/2022050713/548b0cd8b47959dd0c8b6064/html5/thumbnails/35.jpg)
Generella säkerhetsfördelar
• Separering av publik data och känslig data innebär reducerad risk om det publika läggs I molnet
• Molnet är mer definierat och homogent vilket underlättar revision och testning
• Molnet skapar förutsättning för automatiserad “security management”
• Inbyggt stöd för redundans och återskapning
35
![Page 36: MolnsäKerhet (Symposia 2009)](https://reader034.vdocuments.pub/reader034/viewer/2022050713/548b0cd8b47959dd0c8b6064/html5/thumbnails/36.jpg)
Generella säkerhetsutmaningar
• Tillit till leverantörens säkerhetslösning(ar) • Kundens svårigheter att kunna “handla” på
saker som framkommer i en revision • Möjligheten att göra undersökningar i
leverantörens miljö • Indirekta administratörer (superadmin) • Ingen möjlighet att undersöka egentillverkade /
slutna lösningar • Ingen fysisk kontroll
36
![Page 37: MolnsäKerhet (Symposia 2009)](https://reader034.vdocuments.pub/reader034/viewer/2022050713/548b0cd8b47959dd0c8b6064/html5/thumbnails/37.jpg)
Fördelar vs. Utmaningar
• OBS! Dessa måste värderas unikt för varje leverantör och dessutom ur perspektivet vad tjänsten ska lösa
37
![Page 38: MolnsäKerhet (Symposia 2009)](https://reader034.vdocuments.pub/reader034/viewer/2022050713/548b0cd8b47959dd0c8b6064/html5/thumbnails/38.jpg)
Fördelar med molnsäkerhet
• Större IT-säkerhetsbudget (t ex dedikerat säkerhetsteam)
• Bättre feltolerans, högre tillgänglighet • Tillgång till för-akrediterade miljöer • On-demand säkerhet
38
![Page 39: MolnsäKerhet (Symposia 2009)](https://reader034.vdocuments.pub/reader034/viewer/2022050713/548b0cd8b47959dd0c8b6064/html5/thumbnails/39.jpg)
Utmaningar med molnsäkerhet
• Data utspridning och internationell lagstiftning – EU’s direktiv för data skydd, PUL, U.S. Safe Harbor program – Exponering av data för andra stater – Information Management (Kvarhållning av data, borttagning)
• Isolerad administration • Flera hyresgäster • Loggning • Äganderätt över data • Garantier för QoS • Större belöning för hackare • Säkerhet i hypervisors, virtuellt OS osv. • Större driftsstopp • Kryptering (åtkomst till resursadministration, administrativ åtkomst till OS,
åtkomst till applikationer, datalagring) • Polices över olika moln
39
![Page 40: MolnsäKerhet (Symposia 2009)](https://reader034.vdocuments.pub/reader034/viewer/2022050713/548b0cd8b47959dd0c8b6064/html5/thumbnails/40.jpg)
Ansvarstagande för säkerheten
40
IaaS PaaS SaaS
Kunden Ansvarstagande
Tjänsteleverantören
![Page 41: MolnsäKerhet (Symposia 2009)](https://reader034.vdocuments.pub/reader034/viewer/2022050713/548b0cd8b47959dd0c8b6064/html5/thumbnails/41.jpg)
Flexibilitet i säkerheten
41
IaaS PaaS SaaS
Kunden Tjänsteleverantören
Flexibilitet
![Page 42: MolnsäKerhet (Symposia 2009)](https://reader034.vdocuments.pub/reader034/viewer/2022050713/548b0cd8b47959dd0c8b6064/html5/thumbnails/42.jpg)
Riskexponering vs. Cost
42
Privat moln
Grupp moln
Publikt Moln
Kostnad
Riskexponering
![Page 43: MolnsäKerhet (Symposia 2009)](https://reader034.vdocuments.pub/reader034/viewer/2022050713/548b0cd8b47959dd0c8b6064/html5/thumbnails/43.jpg)
Säkerhetsarkitektur
• Moln har oftast en säkerhetsarkitektur men kunderna har olika krav – Molnen måste erbjuda en flexibilitet
• Kontroll – Privat > Grupp > Publikt
• Känsligare data kommer att placeras i moln där organisationen har kontroll över säkerhetsarkitekturen
43
![Page 44: MolnsäKerhet (Symposia 2009)](https://reader034.vdocuments.pub/reader034/viewer/2022050713/548b0cd8b47959dd0c8b6064/html5/thumbnails/44.jpg)
Värdera vid val
• Governance och Riskhantering
• Legala krav • Electronic Discovery • Compliance och Revision • Livscykel för informationen • Portabilitet och
Interoperabilitet • Kontinuitetsplanering
• Data Center Operations • Incidenthantering och
rapportering, • Applikations säkerhet • Kryptering och
nyckelhantering • Identitets- och
Åtkomsthantering • Lagring • Virtualisering
44 Ref: Cloud Security Alliance
![Page 45: MolnsäKerhet (Symposia 2009)](https://reader034.vdocuments.pub/reader034/viewer/2022050713/548b0cd8b47959dd0c8b6064/html5/thumbnails/45.jpg)
Hur får jag ihop det?
• De flesta molnen kommer att behöva väldigt starka säkerhetskontroller
• Välj rätt moln genom att väga riskexponering mot kostnader
• MOLNET finns inte, det finns många moln, modeller och arkitekturval
45
![Page 46: MolnsäKerhet (Symposia 2009)](https://reader034.vdocuments.pub/reader034/viewer/2022050713/548b0cd8b47959dd0c8b6064/html5/thumbnails/46.jpg)
Komma igång
• Gör en översikt av möjliga tjänster • Värdera tjänsten och vilken typ av moln som
passar bäst för dig
46
![Page 47: MolnsäKerhet (Symposia 2009)](https://reader034.vdocuments.pub/reader034/viewer/2022050713/548b0cd8b47959dd0c8b6064/html5/thumbnails/47.jpg)
STANDARDISERING
47
![Page 48: MolnsäKerhet (Symposia 2009)](https://reader034.vdocuments.pub/reader034/viewer/2022050713/548b0cd8b47959dd0c8b6064/html5/thumbnails/48.jpg)
Status
• Här finns det jobb att göra • Molnet använder i och för sig en massa
standarder men… • Det finns behov att hjälpa kunder med
interoperabilitet och utvärderingskriterier – T ex migrering mellan tjänster
• Kommer att vara lättare för IaaS och sedan med stigande svårighetsgrad
48
![Page 49: MolnsäKerhet (Symposia 2009)](https://reader034.vdocuments.pub/reader034/viewer/2022050713/548b0cd8b47959dd0c8b6064/html5/thumbnails/49.jpg)
Exempel
• IAM – Federation (SAML, WS-federation, Liberty ID-FF) – Stark autentisering (HOTP, OCRA, TOTP) – Åtkomsthantering (XACML)
• Kryptering – PKI, PKCS,
• Information Management – ISO 15489
49
![Page 50: MolnsäKerhet (Symposia 2009)](https://reader034.vdocuments.pub/reader034/viewer/2022050713/548b0cd8b47959dd0c8b6064/html5/thumbnails/50.jpg)
PORTWISE ERBJUDANDE
50
![Page 51: MolnsäKerhet (Symposia 2009)](https://reader034.vdocuments.pub/reader034/viewer/2022050713/548b0cd8b47959dd0c8b6064/html5/thumbnails/51.jpg)
51
![Page 52: MolnsäKerhet (Symposia 2009)](https://reader034.vdocuments.pub/reader034/viewer/2022050713/548b0cd8b47959dd0c8b6064/html5/thumbnails/52.jpg)
---------------------------------------------
52
Google Apps Salesforce.com
Windows Live Rackspace
Amazon EC2
Grupp Moln
UniPoint
Privata Moln
>> Autentisering >> Åtkomstkontroll >> Single Sign-On >> Personaliserad portal >> Provisioning >> Identitetshantering >> Spårbarhet >> Federering
---------------------------------------------
OpenAir
Skola 24 Dexter Fronter
Rexnet
Zoho
Projectplace
---------------------------------------------
---------------------------------------------
Enterprise Apps
![Page 53: MolnsäKerhet (Symposia 2009)](https://reader034.vdocuments.pub/reader034/viewer/2022050713/548b0cd8b47959dd0c8b6064/html5/thumbnails/53.jpg)
frågor, funderingar, förslag…
• Nu • [email protected] • linkedin.com/hagero • facebook.com/hagero • twitter.com/hagero • [email protected] • 070-2691466 • Färögatan 33, Kista • eller hos Er
53
![Page 54: MolnsäKerhet (Symposia 2009)](https://reader034.vdocuments.pub/reader034/viewer/2022050713/548b0cd8b47959dd0c8b6064/html5/thumbnails/54.jpg)
54