it ohne grenzen grenzenlose gefahren? tim cole internet-publizist
TRANSCRIPT
IT ohne Grenzen
Grenzenlose Gefahren?Tim Cole
Internet-Publizist
Was ist Cloud Computing?
SaaS Publ
ic C
loud
Private Cloud„Blue“ Cloud
Grid Computing
Ubiquitous Computing
ASPOn-Demand
Organic Computing
Isla
nd C
ompu
ting
Virtualisierung
Utility ComputingHos
ted
Com
putin
g
PaaS
Elastic Computing
Miet-IT
Cluster Computing
P2P Computing
Distributed Computing
Edge Computing
Met
a Co
mpu
ting
Grid
Was ist Cloud Computing?
• Forrester: „Pool aus abstrahierter, hochskalierbarer und verwalteter IT-Infrastruktur, die Kundenanwendungen vorhält und nach Verbrauch abgerechnet wird“
• Gartner: „Bereitstellen skalierbarer IT-Services über das Internet für eine potenziell große Zahl externer Kunden“
• Red Hat: „Grid for Rent“• Salesforce.com: „Cloud = SaaS“
„Cloud Computing is just another form of outsourcing“
Martin BuhrAmazon Web Services
Was ist Cloud Computing?
Was ist Cloud Computing?
Vorteile von Cloud Computing
• virtuelle Nutzung von Software, Speicher, Rechenleistung und IT-Infrastrukturen – Unternehmen können bis zu 25 Prozent ihrer IT-
Kosten einsparen*• Beliebige Skalierbarkeit– „Infrastructure-as-a-Service“
• Abrechnung nach Nutzung– Fixkosten in variable Kosten umwandeln
Quelle: A.T. Kearny
Risiken von Cloud Computing?
Markt für Cloud Computing in Deutschland
Das große Cloud-Fressen
Was tun?
„Noch müssen die meisten Anwender vom Nutzen und der Sicherheit von Cloud Computing
überzeugt werden.“
*Quelle: DevCental
Welche Wolke hätten‘s gern?
Europäische Datenschutzrichtlinie (Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr)
• Schutz der Privatsphäre von natürlichen Personen bei der Verarbeitung von personenbezogenen Daten
• Mindeststandards für den Datenschutz, die in allen Mitgliedstaaten der Europäischen Union
• Verbietet in der Regel die Verarbeitung sensibler personenbezogener Daten
Artikel 25
• Die Übermittlung personenbezogener Daten in ein Drittland ist nur zulässig, wenn dieses Drittland ein „angemessenes Schutzniveau“ gewährleistet.
„European Date Protection Regulation applies to cloud services regardless of where the data are processed“
Peter HustinxEuropäischer Datenschutzbeauftragte
auf dem „European Cyber Security Awareness Day“ in Brüssel, 13. April 2010
A crucial difference
• Data Controller: person or legal entity that determines the means and purposes of processing personal data
• Data Processor: person or legal entity that processes the data on behalf of the controller – (storing, holding, operating on, transmitting,
disclosing or accessing data)
Verantwortlicher und Verarbeiter in der EU
Cloud Verarbeiter
Cloud Verantwort
licher
Firma(Persönlice
Daten)
EU
Zwei Fragen, die Sie sich stellen sollten
Welches nationale Recht gilt dort, wo meine Daten gespeichert werden? Welches nationale Recht gilt dort, wohin meine Daten übertragen werden sollen?
Die „Two-Cloud Strategy“
NorthAmerica Europe
Die „Two-Cloud Strategy“
• Amazon European Cloud (Dublin)• Microsoft just opened a second data center in
Europe (Amsterdam and Dublin)• T-Systems offering data storage in Europe to
US customers – Data Security „made in Germany“
• Google considering heading for Europe
Warum nur zwei?
NorthAmerica Europe
China
LatinAmerica
Russia
MiddleEast
AfricaASEAN
AustraliaNew Zealand
„Digitale Kleinstaaterei“
Kunden und Service Provider müssen sich damit abfinden, dass es in Zukunft mehr als eine, und potenziell sehr viele
Clouds geben wird.
Securing the Cloud
„Software-Entwickler verstehen (in der Regel) nichts von IT Security“
„IT Security Profis verstehen (in der Regel) nichts von Software-Entwicklung“
IT Security als „blinder Fleck“
„Beide verstehen nichts von Identity Management“
Im Cloud können die Folgen fatal sein
Ziele von IT-Security
• Schutz vor technischem Systemausfall• Schutz vor Sabotage oder Spionage• Schutz vor Betrug und Diebstahl• Schutz vor Systemmissbrauch, durch illegitime
Ressourcennutzung, Veränderung von publizierten Inhalten, etc.
Quelle: Wikipedia, Stichwort „Informationssicherheit“
SCHUTZ
Ziele von Identity Management
• Konsistenz und Aktualität der Nutzerdaten • Erleichterung bei der Einführung von neuen
Diensten und Methoden (z.B. Single Sign-on) • Vereinfachung der Datenhaltung • dauerhafte Kosteneinsparungen in der
Administration • bessere Kontrolle über die Ressourcen • optimale Unterstützung von internationalen
Projekten im Bereich Cloud Computing • höhere Sicherheit
KONTROLLE
Klassischer Security-Ansatz: Perimeter Defense
Internet
corporation
datacenter
Eine Wolke hat keinen „Perimeter“
Internet/Extranet/Intranet
datacenter? ???
?
??
„Identität ist das größte ungelöste Problem der IT“
Martin KuppingerKuppinger Cole + Partner
Analyst for Digital Identity & Identity Management
© Kuppinger Cole + Partner 2008
IT Business drivers
• automation• “cut out the fat”
• process optimization• „get closer to the market“
Identity Management
• user productivity• “more bang for bucks”
• internal auditing• “keep the boss out of jail”
Identity-Ansatz: Lückenlose Kontrolle
supplier company customers
products / services
applications
users
So who is allowed to do what within your business processes?
(things)
(machines)
(people)
„extended enterprise“
IT systemsAUDIT
Identity Management in the Cloud
•Informationssicherheit•Wer hat Zugriff auf unsere Informationen?
Was wollen wir?
• Zugangskontrolle: das „was?“ • Was darf mit einer Information
geschehen?• Identität: das „wer?“
Zwei Elemente
:
Identity and Information Security
• Wer darf was?Richtlinien
• Die „wer‘s“ verwalten• Mitarbeiter, Zulieferer,
Partner, Kunden…
Identitiäten
Was wir brauchen:„Identity-aware Clouds“
Eine Identität für alle Services (SSO)
Identitäten von Anwendungen trennen („Identity as a Service“)
Selbstverwaltung oder vertrauenswürdige Dritte (Facebook?)
Wiederverwendbare Identitiäten (z.B. OpenID)
Einheitliche Richtlinien über verschiedene Clouds
Starke Authentisierung für interne Anwendungen
IAM kann die Cloud-Sicherheit erhöhen und gleichzeitig das Benutzererlebnis verbessern
3 Thesen zu Identity & Security:„Kunden müssen ihre Security Policies mit Benutzer- und Rollen-Management sowie mit Business-Prozessen integrieren.“
„Technische Lösungen müssen heute Identity & Access Management (IAM) auf allen Ebenen gewährleisten: Netzwerk-Infrastruktur, Anwendungen und Daten.“
„Das ist nur durch die Kombination von IAM und IT Security möglich.“
„Identitäts-basierte Security und effektives Rollenmanagement in der
Cloud ist Voraussetzung für nachhaltige Sicherheit.“
IAM ist die Grundlage für sicheres Cloud Computing
• IAM adressiert ALLE Aspekte von Cloud Security– DLP (Data Leakage Prevention)– Attestierung von Zugriffsberechtigungen– Schutz vor Insider-Angriffen– Missbrauch privilegierter Benutzerkonten („Evil
Admins“)• Fazit: Investitionen in Cloud Computing dürfen
nicht zu Lasten von IAM gehen
Was tun?• Statt sich um den Schutz von Systemen
sollte sich die IT mehr um den Schutz von Informationen kümmern.
• Das heißt: Starke Zugangskontrolle und wirkungsvolles Identity Management.
• Unternehmen und Organisationen müssen auf den “worst Case” vorbereitet sein.
• Bürger und Konsumenten müssen versuchen, die Macht über ihre persönlichen Informationen zurück zu gewinnen.
• Wir brauchen ein Recht auf “digitales Vergessen”.
„Questions to ask your IT• Was bringt Cloud Computing für uns?
– Kostenvorteile– Nachhaltigkeit– Sicherheit (Zertifizierung!)– Firmenwert („was passiert bei M&As?“)
• Welche Cloud-Strategie ist für uns die richtige?• Muss ich mich ganz entscheiden, oder kann ich Cloud
für einzelne IT-Aufgaben verwenden und ansonsten weitermachen wie bisher?
• Was sagen unsere Wirtschaftsprüfer?• Was sagen unsere Kunden?
– Fühlen die sich wohl bei dem Gedanken, dass wir mit ihren Daten Cloud Computing betreiben?
• Binde ich mich an einen bestimmten Provider, oder bin ich frei zwischen Providern zu wechseln?
Fazit:
• Unternehmen sollten nicht über „Cloud Computing“ sondern über „Cloud IT“ sprechen. – Die setzt neue Organisationsformen und neue Ansätze in
• Sicherheit, Identity Management, • GRC (Governance, Risk Management & Compliance) sowie • Business Prozess Development & Management voraus und erzwingt damit eine völlig neue IT-Kultur im
Unternehmen.
• Cloud ist ein ganz neues Spiel, und keiner kommt daran vorbei!
