Hvordan beskyttes en cloud-baseret infrastruktur?

Relaterede dokumenter
Security & Risk Management Summit 2016

Sikkerhed i skyen Cloud-baserede løsninger udfordringer, krav og risici

Security & Risk Management Update 2017

Sikkerhed i skyen Afslutning

Test af Cloud-baserede løsninger DSTB Ole Chr. Hansen Managing Consultant

MOC On-Demand Administering System Center Configuration Manager [ ]

Sådan får du styr på de digitale risici

Databeskyttelse: Afrunding. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015

Velkommen VI BYGGER DANMARK MED IT

HYBRID TAKEOFF REDEFINED JOURNEY TO THE CLOUD BY EMC Søren Holm, Proact

Security as a Service hvorfor, hvornår og hvordan. Gorm Mandsberg, gma@dubex.dk Aarhus,

It-sikkerhedsstrategi i kommuner hvad giver mening at varetage internt og hvad kan outsources?

Hvordan sikres personfølsomme data - og adgangen til disse så persondataloven overholdes. Klaus Kongsted, CRO, Dubex A/S Dubex A/S, den 5.

Velkomst og praktiske informationer

Cisco Cloud Networking. Cisco Meraki - En ny måde at lave netværk på Morten Rundager Solutions Specialist Cisco Danmark 29/

Security & Risk Management Summit

Copyright SaaS-it Consult Er Cloud Computing blot en hype eller repræsenterer det virkelig værdi? Teknologisk Institut 13.

Everything-as-a-Service. Afdelingsdirektør, Poul Bærentsen

Hvordan griber du moderniseringsprocessen an? Peter Janum Sode Senior Security Consultant

Identity Access Management

SIEM hvilken løsning skal du vælge? Claus Løppenthien, Dubex A/S, 12. maj 2015

HACKERNE BLIVER BEDRE, SYSTEMERNE BLIVER MERE KOMPLEKSE OG PLATFORMENE FORSVINDER HAR VI TABT KAMPEN? MARTIN POVELSEN - KMD

Cloud og it-sikkerhedsudfordringerne: Dansk Automationsselskab

Go Digital slide her

One Step Ahead 2011: Fremsyn

Fart på SAP HANA. Sådan laver du analyser direkte på dine data i realtid. Copyright 2012 FUJITSU. Fujitsu IT Future, København, den 16.

Lancering af Exchange Server November 2009

Hvordan sikres investeringen i eksisterende systemer, når skyen tages i brug. Carsten Rasmussen, CTO, Capgemini Danmark A/S IDC Cloud Computing 2011

Cloud computing. Hvad er fordelene ved Microsoft løsninger - og hvad er begrænsningerne

Hvorfor opgradere til Microsoft 365? Få en kort introduktion til Microsoft 365 og de 7 største grunde til at opgradere

Morten Juul Nielsen Produktchef Microsoft Danmark

Opdag avancerede angreb hurtigt så du kan agere på dem. Henrik Larsson, Senior Security Consultant, Dubex Vejlefjord den 21.

MOC On-Demand Identity with Windows Server 2016 [20742]

4 sekunder. 20 sekunder. 1-3 timer. 14% hurtigere. 5-6% bagud. 30/70 split. Vejen til succes med Hybrid Cloud v/cso, Poul Bærentsen, Atea

Security & Risk Management Summit 2016

Hvad er cloud computing?

BACK-END OG DATA: ADMINISTRATION HVAD ER DE NYE MULIGHEDER MED VERSION 7.1? STEFFEN BILLE RANNES, 4. FEBRUAR 2015

Security & Risk Management Update 2017

BESKYTTELSE AF SaaS. - når sikkerheden skal følge med. Jan Johannsen SE Manager, Nordics & Benelux Check Point Software Technologies Ltd.

Managing Risk Enabling Growth Through Compliance! Alex Sinvani Copenhagen,

IPv6 Application Trial Services. 2003/08/07 Tomohide Nagashima Japan Telecom Co., Ltd.

Hyper V og System Center løsninger

Sikring af Office 365 på tværs af netværk og devices. Henrik Larsson, Senior Security Consultant, Dubex A/S Aarhus, den 4.

DSB s egen rejse med ny DSB App. Rubathas Thirumathyam Principal Architect Mobile

Har det en værdi og hvordan kommer du i gang?

KLAR, PARAT, CLOUD? 27. september 2018

GIS Is Advancing Rapidly Integrating and Leveraging Many Innovations

Business casen ved implementering af Log Management. Claus Løppenthien, Hotel Vejlefjord, 21. maj 2015

Managing Risk Enabling Growth. Jacob Herbst, CTO, Dubex A/S Søborg, den 7. november 2013

Microservices. Hvad er det og hvordan kommer du i gang?

Mulighederne for at få en sikker sky

Integrated Total Facility Management for Real Estate, Infrastructure & Facility Management

Hackingens 5 faser. Kim Elgaard, Solution Engineer, Dubex A/S. 21. marts 2017

22. juni 2010 KMD A/S DIAS 1. Infrastructure Optimization. Greve Kommune. Jesper Skov Hansen Løsningsarkitekt KMD A/S

IBM Network Station Manager. esuite 1.5 / NSM Integration. IBM Network Computer Division. tdc - 02/08/99 lotusnsm.prz Page 1

SAS USER FORUM DENMARK 2017 USER FORUM. Rune Nordtorp

Kundecase: Sådan skaber Blue Coat s løsninger værdi hos Haldor Topsøe. Peter Sindt psi@dubex.dk Copenhagen,

En tur rundt om skyen:

Kundecase: Sådan skaber Blue Coat s løsninger værdi hos Haldor Topsøe

02.22 It-driftskapacitet Fra simpel serverkapacitet over Cloud til fuld outsourcing

Globeteam A/S. Windows Server Globeteam Virumgårdsvej 17A 2830 Virum. SolutionsDay 2012, den 27. September, Brøndby Stadion

Cloud jura hvilke regler gælder I skyen? IT Driftskonferencen, 29. januar 2014

Byg din informationsarkitektur ud fra en velafprøvet forståelsesramme The Open Group Architecture Framework (TOGAF)

CLOUD COMPUTING VEJLEDNING I STORT OG SMÅT NÅR DU OVERVEJER AT GÅ I SKYEN

Forordningens sikkerhedskrav

DET KONGELIGE BIBLIOTEK NATIONALBIBLIOTEK OG KØBENHAVNS UNIVERSITETS- BIBLIOTEK. Index

KMD s tilgang til cybertrussler. Public

Morten Rønborg PERSONLIGHED UDDANNELSE TEKNOLOGIER ERFARING. IT-Konsulent. Desktop Engineer

Cloud Computing i GxP miljø

OPDAG ANGREB OG REAGÉR HURTIGT

Information Lifecycle Management

EFFEKTIV OG SKALERBAR HÅNDTERING AF SÅRBARHEDER. F-Secure Radar

xrm både en applikation og en ramme for hurtig udvikling af løsninger til strukturet relationshåndtering og understøttelse af forretningsprocesser

MODERN WORKPLACE Cloud & Devices

Den Danske Esri Brugerkonference 2019 What's new in ArcGIS Enterprise og Administration af ArcGIS Enterprise

Sådan er fremtidens virtuelle arbejdsplads idag! Copyright 2011 Microsoft Corporation

Security & Risk Management Update 2017

Vores mange brugere på musskema.dk er rigtig gode til at komme med kvalificerede ønsker og behov.

The SourceOne Family Today and Tomorrow. Michael Søriis Business Development Manager, EMC FUJITSU

From innovation to market

OT Security. 17 november 2016

Dell Cloud Client Computing Hvordan virtualisere vi de tunge grafisk applikationer?

Microsoft Dynamics CRM 2011 (CRM2011) From a Technical point of view

Arkitektur, der understøtter risikostyring i den digitaliserede virksomhed. Jan Johannsen SE Manager Nordics

WINDCHILL THE NEXT STEPS

XP til Windows 7. ved Anders Keis Hansen BALLERUP * ESBJERG * ODENSE * ÅRHUS * AALBORG * RØDEKRO * TLF

make connections share ideas be inspired

Revision af firewall. Jesper B. S. Christensen. Sikkerhed og Revision 6/7 September 2018

Enterprise Strategy Program

Micusto Cloud v2. Micusto Cloud er et fleksibelt, brugervenligt cloudsystem til CMS er, webshop- og intranetsystemer.

STIL BETINGELSER! Med Conditional Access

Peter Selch Dahl. Curriculum Vitae. Personlig information. Highlights

SAXOTECH Cloud Publishing

Skyen der er skræddersyet til din forretning.

APPLIKATIONSARKITEKTUR ERP INFRASTRUKTUR. EG Copyright

Vi bygger Danmark med it

Velkommen. Backup & Snapshot v. Jørgen Weinreich / Arrow ECS Technical Specialist

Lovkrav vs. udvikling af sundhedsapps

Persondataretlige aspekter ved cloud computing

Melbourne Mercer Global Pension Index

Transkript:

Hvordan beskyttes en cloud-baseret infrastruktur? Henrik Larsson, Senior Security Consultant, Dubex Bygholm Park, Horsens, den 12. maj 2016

Hvad er Cloud Computing?

Hvad er Cloud Computing? Cloud Computing? Cloud == Internet Det er blot outsourcing Det er virtualisering Hype og marketing Ikke noget nyt Cloud? Computing Cloud Computing En helt ny service model *aas = as a Service On-demand / Pay-as-you-go Fleksibelt og skalerbart Abstrakt ressourcebegreb Cloud Computing is a model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction. This cloud model is composed of five essential characteristics, three service models, and four deployment models. http://www.nist.gov/itl/cloud/ http://nvlpubs.nist.gov/nistpubs/legacy/sp/nistspecialpublication800-145.pdf NIST - Definition of Cloud Computing

Udfordringen Det er muligt at man mister indsigt i den samlede løsning når den flyttes til skyen. Derfor kan det være svært at opdage skadelige mønstre eller datatab uden brug af de rigtige værktøjer. Mange virksomheder skal give adgang deres data i cloud på mange forskellige typer af enheder i flere tilfælde også enheder som virksomheden ikke selv har kontrol over. Selvom din cloud leverandør har muligheder for sikkerhed og kontrol i deres løsning, er det ikke sikkert at disse lever op til de krav der tidligere har været stillet i forbindelse med en lignende onpremise løsning.

Der er faktisk firmaer der bruger cloud - Netflix Completing the Netflix Cloud Migration Our journey to the cloud at Netflix began in August of 2008, when we experienced a major database corruption and for three days could not ship DVDs to our members. That is when we realized that we had to move away from vertically scaled single points of failure, like relational databases in our datacenter, towards highly reliable, horizontally scalable, distributed systems in the cloud. We chose Amazon Web Services (AWS) as our cloud provider because it provided us with the greatest scale and the broadest set of services and features. The majority of our systems, including all customer-facing services, had been migrated to the cloud prior to 2015. Since then, we've been taking the time necessary to figure out a secure and durable cloud path for our billing infrastructure as well as all aspects of our customer and employee data management. We are happy to report that in early January, 2016, after seven years of diligent effort, we have finally completed our cloud migration and shut down the last remaining data center bits used by our streaming service! netflix.com d. 11. februar 2016

Der er faktisk firmaer der bruger cloud - Xstream Dansk streamingfirma går all-in på platform-as-a-service:»det fjerner en kompleksitet, vi ikke vidste var unødvendig«der er ingen grund til at drifte noget som helst selv, hvis det kan operere sikkert og smertefrit i skyen. Sådan lyder strategien hos den danske streamingvirksomhed Xstream, der sigter efter at skrælle infrastrukturen ind til benet, droppe driftsarbejdet og samtidig spare penge.»vi vil nok stadig have nogle enkelte virtuelle maskiner til at køre,«indleder Loke Dupont, der er Head of Services hos Xstream.»Men vi prøver så meget vi kan, at gå fra at bruge infrastructure-asa-service og over på platform-as-a-service,«forklarer han til Version2. version2.dk d. 9. maj 2016

Enabling teknologier Virtualisering Effektiv udnyttelse af ressourcer Hurtig provisionering Stordriftsfordele Lavere omkostninger Åbne standarder Fælles protokoller Web 2.0 brugervenlige webapplikationer Management Virtual Machines Hypervisor Servers Automatisering Internet & båndbredde Storage Billig båndbredde Global mulighed for opkobling

Cloud som forretningsenabler Forretning er interesseret i processer og information - ikke teknologi, applikationer og infrastruktur On-demand self-service Brugeren kan i realtid selv tildele ressourcer Automatiseret; Ingen involvering af serviceudbyderen eller it-afdelingen IT er et værktøj og ikke et mål i sig selv Det er i forretning at der genereres værdien, alt andet er i princippet blot understøttelse Fra et forretningssynspunkt har IT i sig selv ingen værdi - værdien ligger i hvor effektivt IT kan understøtte forretningen Krav fra forretningen er med til at drive adoptionen af Cloud Computing Broad network access Resource pooling Rapid elasticity Measured Service Service tilgås via internettet Anvendelse af standardmekanismer Ressourcer (for)deles mellem flere brugere, abstraheret fra selve implementeringen Kunden har ikke kendskab til infrastrukturen Fleksibel, simpel og enkel realtidsservice ressourcer tildeles efter behov Pay-as-you go - Ressourceforbruget måles, overvåges, styres og afregnes løbende Ingen CapEx kun variabel OpEx

Software as a Service (SaaS) Anvender udbyderens applikationer over netværket Eksempler Webmail SalesForce Google Docs Brugeren har ingen adgang til den underliggende cloud-infrastruktur Management Virtual Machines Hypervisor Servers Storage Automatisering Dit indhold Dit problem

Platform as a Service (PaaS) Brugerens applikationer afvikles på en cloud-infrastruktur Eksempler Google Engine Microsoft Azure Websites VMforce Kræver at applikationerne er udviklet i værktøjer supporteret af leverandøren Management Virtual Machines Hypervisor Servers Automatisering Brugeren har kun adgang til at administrere egne applikationer Storage Din applikation Dit problem

Infrastructure as a Service (IaaS) Adgang til processor, storage og netværk Mulighed for selv at tildele og styre alle ressourcer brugeren kan afvikle vilkårlige operativsystemer og applikationer Eksempler Amazon Web Services Microsoft Azure Brugeren har ingen adgang til den underliggende cloud-infrastruktur, men kontrol over egne ressourcer Management Virtual Machines Hypervisor Servers Storage Automatisering Dine servere Dit problem

Service Models shared responsibility Private (On-Premise) Infrastructure (as a Service) Platform (as a Service) Software (as a Service) Access control Access control Access control Access control lications lications lications lications Data Data Data Data Security & Integration Security & Integration Security & Integration Security & Integration Databases Databases Databases Databases Servers Servers Servers Servers Virtualization Virtualization Virtualization Virtualization Server HW Storage Networking Server HW Storage Networking Server HW Storage Networking Server HW Storage Networking Managed by you Managed by vendor

Nye teknologier nye udfordringer Dagens datacenter Vi har selv kontrol over data Serverrummet er placeret på X adresse Data ligger på server Y og Z Vi har backup på plads Vi har styr på vores administratoradgang Vores oppetid er tilstrækkelig og ellers kan vi selv gøre noget ved det Vi har vores egne sikkerhedseksperter Morgendagens Cloud løsning Hvem har kontrol? Hvor står serverne? Hvor er vores data opbevaret? Hvad sikre der er taget backup? Hvem har adgang? Hvor robust er det? Hvordan kan vi lave audit? Hvordan skal vores sikkerhedsfolk arbejde??

Udfordringer Det er muligt at man mister indsigt i den samlede løsning når den flyttes til skyen. Derfor kan det være svært at opdage skadelige mønstre eller datatab uden brug af de rigtige værktøjer. Mange virksomheder skal give adgang deres data i cloud på mange forskellige typer af enheder i flere tilfælde også enheder som virksomheden ikke selv har kontrol over. Selvom din leverandør har muligheder for sikkerhed og kontrol i din cloud løsning, er det ikke sikkert at disse lever op til de krav der tidligere har været stillet i forbindelse med en lignende on-premise løsning.

Hvad er cloud-sikkerhed? Sikring af anvendelsen af cloudløsninger (SaaS) - Cloud Enabling Sikring af opkoblingen af cloudløsninger via f.eks. Blue Coat og Check Point Kryptering af data i cloud Visibilitet og overvågning, DLP Integration af cloud-løsninger fx IAM, Federation (F5), m.fl. Sikkerhed i cloud-løsninger (IaaS) Sikkerhed på AWS og Azure med Check Point, Trend Micro, F5 m.fl. Sikring af private cloud-løsninger Design af sikkerhed i cloudløsninger Compliance i cloud-løsninger Sikkerhedsservices leveret via Cloud Cloud websikkerhed fra fx Blue Coat, Trend Micro, Zscaler Mobil sikkerhed DDoS-beskyttelse Threat Emulation/Sandbox fra fx Check Point eller Trend Micro Dubex Managed Security Services Dubex Security Operations Center: Tufin, Airwave, Check Point, Trend Micro m.m. Dubex Security Analytics Center: LogSafe and Security Analytics Center

Sikring af anvendelsen af cloud-løsninger - Cloud Enabling Cloud Access Security Brokers (CASBs) Discover apps and assess risk Shadow IT unauthorized risky cloud services used Understand content to, from, and in apps Protect data in context who, what, where, activity, data Identity, provision & deprovision of users Secure access to apps with SSO and strong authentication Detect anomalies risky behavior, security threats Ensure compliance audit trails, remediation, reporting Segment apps sanctioned/unsanctioned Audit activities user/admin/data Enforce granular policies in real-time, across any app Coach users via conversations and automated Visibility CASBs provide shadow IT discovery and sanctioned application control, as well as a consolidated view of an organization's cloud service usage and the users who access data from any device or location. Compliance CASBs assist with data residency and compliance with regulations and standards, as well as identify cloud usage and the risks of specific cloud services. Data security CASBs provide the ability to enforce datacentric security policies to prevent unwanted activity based on data classification, discovery and user activity monitoring of access to sensitive data or privilege escalation. Policies are applied through controls, such as audit, alert, block, quarantine, delete and encrypt/tokenize, at the field and file level in cloud services. Threat protection CASBs prevent unwanted devices, users and versions of applications from accessing cloud services. Other examples in this category are user and entity behavior analytics (UEBA), the use of threat intelligence and malware identification. SaaS security is identity and data centric not network centric Gartner, Market Guide for Cloud Access Security Brokers, ID:G00274053

CASB Cloud Access Security Broker Organization Direct to Cloud CASB IBM Bluemix Force.com Oracle Cloud Mobile Devices and Data Inside Perimeter Redirected End- user and Administrator Traffc to Cloud Services Traffic Enterprise Integration Visibility Data Security Enterprise Integration Compliance Threat Protection Redirected Traffic API Access ServiceNow Workday Google at Work Salesforce Microsoft Azure IBM SoftLayer Amazon Web Services Through 2017, 90% of enterprises will fail to prevent the use of unauthorized cloud services Gartner

Data Access Governance Identity Governance and Administration Identity and Access Management er vigtigt Best Practices: Link to Enterprise Directory Use Groups for Users Use Roles for Servers ly Least Privilege Use Context-Based Policies Require Strong Authentication for Sensitive Operations Require MFA for Admins Integrate With Enterprise PAM Virtual Machine Management Management lications Log Systems Directories Through 2020, 80% of cloud breaches will be due to customer misconfiguration, mismanaged credentials or insider theft, not cloud provider vulnerabilities. - Gartner File Systems

Adaptive access control Kræve forskellige metoder for login ud fra definerede parametre: Hvornår logger brugeren ind? Hvorfra logger brugeren ind? Fra hvilken enhed logger brugeren ind?

Malware beskyttelse af SaaS - eksempler

Malware beskyttelse i IaaS eksempel

Netværk beskyttelse i IaaS - eksempel SECURED BY SECURED BY SECURED BY SECURED BY Physical Virtual Private Cloud (On-Premise) Public Cloud (Off-Premise) l HW l HW l HW l l Hypervisor HARDWARE l Traditional enterprise Virtualization, better utilization Owned and operated by organization Resources on demand and pay-per-use Managed by

Logløsning - eksempel - Holde øje med administrative handlinger - Indsamling og korrelation af log - Overvågning af login og tilladelser - Log af bruger adgang herunder unormal adfærd

Er cloud sikkert at bruge? Måske Hvem har ansvaret for din it-sikkerhed i cloud? Kan du opnå den ønskede sikkerhed og hvordan? Hvem kan og må tilgå dine data? Hvor vigtigt er det for dig at vide, hvor dine data befinder sig? Kan du overholde gældende compliance-krav? Sæt dig grundigt ind i udfordringer og begrænsninger i den enkelte løsning. Cloud er ikke en silver bullet i sig selv.

CSA Top Threats for 2016 *Ranked in order of severity per survey results 1. Data Breaches 2. Weak Identity, Credential and Access Management 3. Insecure APIs 4. System and lication Vulnerabilities 5. Account Hijacking 6. Malicious Insiders 7. Advanced Persistent Threats (APTs) 8. Data Loss 9. Insufficient Due Diligence 10. Abuse and Nefarious Use of Cloud Services 11. Denial of Service 12. Shared Technology Issues Follow up to earlier research artifacts Top Threats research plays a crucial role in the CSA research ecosystem The report provides organizations with an up-todate, expert-informed understanding of cloud security concerns in order to make educated riskmanagement decisions regarding cloud adoption strategies. The report reflects the current consensus among security experts in the CSA community about the most significant security issues in the cloud.

Anbefalinger Udvikle en holistisk cloud-sikkerhedsstrategi, som omfatter: Baseret på Shared Responsibility Model Beskyttelsen af virksomhedernes SaaS-applikationer Beskyttelsen af virksomhedernes systemer, der kører i offentligt eller privat IaaS Security Management & overvågningstjenester i Cloud Omfatter alle led i sikkerhedsprocessen Risikostyring og planlægning (Predict & Identify) Implementering af passende, afvejede kontroller (Prevent & Protect) Overvåning så angreb og kompromitteringer opdages (Detect) Reaktion, beredskab og Incident Response (Respond & Recover) Generelt Forstå konsekvenserne ved at anvende en global infrastruktur og hvor data opbevares Husk at hvis data er ekstremt følsomme, og fx memory snapshot er en uacceptabel risiko, så bør de holdes lokalt Ved evalueringen cloud-udbydere, så undersøg også deres understøttelse for tredjeparts sikkerhedsløsninger og økosystem for sikkerhed Krypter og/eller masker følsomme og fortrolige data in rest and in transit. Husk også at beskytte nøglerne! Overvågning

Anbefalinger Infrastructure as a Service (IaaS) Forstå, accepter og design omkring de begrænsninger der trods alt er i en cloud-infrastruktur Sørg for at have styr på den basale sikkerhed grundlæggende hærdning, konfiguration og patch management af og applikationer Anvend gerne whitelisting som fundament for serverbeskyttelse, men husk stadig løbende overvågning Planlæg de sikkerhedskontroller, som compliance og sikkerhed vil kræve Software as a Service (SaaS) Prøv at finde en SaaS, der har alle de nødvendige funktioner, så egen udvikling og tilpasning undgås Planlæg anvendelse af en Cloud Access Security Broker Vurder en trinvis tilgang (adgang, rettigheder & discovery først) Planlæg aktive kontroller (DLP, kryptering, anti-malware) og forstå implementeringsmuligheder (API, proxy, Endpoint)

Cloud is not evil just because it s cloud Betragt ikke cloud som hverken et onde eller et nødvendigt onde, men tænk den ønskede sikkerhed ind i løsningen fra starten. Sikkerhed i cloud er Shared Responsibility

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback