megbízható felhő - garanciák a biztonságos cloudszolgáltatáshoz

© Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

Megbízható felhő - garanciák a biztonságos cloudszolgáltatáshozKrasznay CsabaHP Magyarország

© Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.2

A CIO igényei és aggodalmai

1,4 Goldman Sachs Equity Research, January 20112,3 IDC, Enterprise Panel Survey, November 2010


A felhő kockázataiSzabályz

ati és szervezet

i

•Függőség• Irányítás elvesztése

•Megfelelőségi problémák

Technológiai

•Erőforrások túllépése

• Izolációs hiba•Kiemelt jogosultsággal való visszaélés

•Menedzsment interfész támadása

•Átvitel lehallgatása•Adatszivárgás

Jogi

•Lefoglalás•Különböző joghatóságok

•Adatvédelem•Licencelés

Közvetett

•Hálózati hiba•Hálózatmenedzsment

•Hálózati forgalom módosítása

• Jogosultság kiterjesztése

•Social Engineering

• Megosztott erőforrások miatti problémák• Cloud szolgáltatás befejezése• Cloud szolgáltató felvásárlása• Szállítási lánc megszakadása

• Nem megfelelő törlés• DDoS• EDoS (Gazdasági DoS)• Titkosító kulcs elvesztése• Külső támadási próbálkozások• Kompromittált szolgáltatási

motor• Nem megfelelő hardening

• Üzemeltetési naplók sérülése• Biztonsági naplók elvesztése• Mentések elvesztése• Nem jogosult fizikai hozzáférés• Lopás• Természeti katasztrófa

Forrás: ENISA, Cloud Computing:Benefits, risks and recommendationsfor information security


A bizalom betűszavai


Mit jelent a bizalom?A Bizalom Elv: Legyen a bizalom elemi összetevője a felhő szolgáltatásnak úgy, hogy a bizalom minden cloud alapú üzleti folyamat részévé kell, hogy váljon! ISACA: Guiding Principles for Cloud Computing Adoption and Use

Legyenek tiszta CIA

elvek!

Cloud jelentette különleges

bizalmi követelmén

yek legyenek

azonosítva!

A követelmén

yek legyenek

ismertek és teljesítettek szervezeten

kívül és belül!

Legyen a monitorozva

a cloud használata biztonsági

szempontból is!

Ellenőrizzük a

követelmények

teljesítését a cloud

szolgáltatónál is!

Folyamatosan

biztosítsuk a

rendszerek megbízható

ságát!


Védelmi követelmények

Cloud Security Alliance: Security Guidance for Critical Areas of Focus in Cloud Computing v3.0


Iparág Hatókör Kötelező/ önkéntes

Felelős

Cloud Security Alliance (CSA) Consensus Assessments Initiative Questionnaire

Cloud szolgáltatók

Cloud szolgáltatások Önkéntes CSA

EU Safe Harbor Személyes adatokat kezelők

Személyes adatok Önkéntes US Department of

Trade

The Federal Information Security Management Act of 2002 (FISMA) USA közigazgatás

Szövetségi intézmények IT rendszerei

KötelezőOffice of Management and Budget

Federal Information Processing Standard (FIPS) 140-2

USA közigazgatás, hadsereg

Kriptográfiai termékek Önkéntes

National Institute of Standards and Technology

The Gramm–Leach–Bliley Act (GLBA) Pénzintézetek Ügyfelek üzleti adatai Kötelező Federal Trade

Commission

The Health Insurance Portability and Accountability Act (HIPAA) Egészségügy Betegek adatai Kötelező

Department of Health and Human Services

International Traffic in Arms Regulations (ITAR) Hadiipar

Hadianyagokkal kapcsolatos adatok

Kötelező

The Department of State Directorate of Defense Trade Controls

Tanúsítók, tanúsítványok


Iparág Hatókör Kötelező/ önkéntes

Felelős

The International Standards for Assurance Engagements No. 3402 (ISAE 3402)

Szolgáltatást nyújtók

Szolgáltatói kontrollok Önkéntes

International Federation of Accountants

ISO 27001 Bárki IBIR ÖnkéntesInternational Organization for Standardization

Payment Card Industry Data Security Standard (PCI DSS)

Bankkártyát kezelők

Bankkártya adatok Kötelező PCI Security

Council

Statement on Auditing Standards No. 70 (SAS 70) Szolgáltatást nyújtók


American Institute of Certified Public Accountants

Statement on Standards for Attestation Engagements No. 16 (SSAE 16)

Szolgáltatást nyújtók



SysTrust Szolgáltatást nyújtók



Tanúsítók, tanúsítványok


Audit területek

ISO 27002IBIR audit• Az IBIR kialakítása

kockázatelemzéssel kezdődik!!!• Szabályzati rendszer• Biztonsági szervezet• Vagyontárgyak kezelése• Személyi biztonság• Fizikai és környezeti biztonság• Kommunikáció és üzemeltetés

biztonsága• Hozzáférés-ellenőrzés• Információs rendszerek beszerzése,

fejlesztése és karbantartása• Incidenskezelés• Üzletmenet-folytonosság• Megfelelőség

PCI DSSBankkártya adatok • 1. követelmény: A kártyabirtokos adatainak

védelméért tűzfalat kell telepíteni és üzemeltetni.• 2. követelmény: Nem szabad a gyártók által használt

alapbeállítású rendszerjelszavakat és biztonsági paramétereket használni.

• 3. követelmény: Védeni kell a kártyabirtokosok tárolt adatait.

• 4. követelmény: A nyílt hálózatokon történő adatátvitel során titkosítani kell a kártyabirtokos adatait.

• 5. követelmény: Vírusvédelmi megoldásokat kell használni, és rendszeresen frissíteni.

• 6. követelmény: Biztonságos rendszereket és alkalmazásokat kell fejleszteni és üzemeltetni.

• 7. követelmény: A kártyabirtokos adataihoz csak az férhessen hozzá, akire az tartozik.

• 8. követelmény: Minden olyan ember, aki hozzáférhet a rendszerhez, rendelkezzen egyedi azonosítóval.

• 9. követelmény: A kártyabirtokos adataihoz való fizikai hozzáférést meg kell akadályozni.

• 10. követelmény: A hálózati erőforrásokhoz és a kártyabirtokos adataihoz való minden hozzáférést követni és monitorozni kell.

• 11. követelmény: A biztonsági rendszereket és folyamatokat rendszeresen tesztelni kell.

• 12. követelmény: Információbiztonsági szabályzatot kell fenntartani.

CSA CAIQCloud szolgáltatások • Megfelelőség• Adatkezelés• Létesítménybiztonság• Humán biztonság• Információbiztonság• Jogi megfelelőség• Üzemeltetés-biztonság• Kockázatkezelés• Kibocsátások kezelése• Üzletmenet-folytonosság• Biztonsági architektúra


SAS 70/SOC 1/SSAE 16/ISAE 3402/SysTrust• A legfontosabb cloud tanúsítványok halmaza• Egy forrásból építkeznek, céljuk egyértelműen

az informatikai szolgáltatók által nyújtott szolgáltatások kontrolljainak ellenőrzése bizonyos szempontok alapján.

• Kezdetben volt a SAS 70.• Ennek a helyét vette át az SSAE 16 az USA-ban.• Ennek nemzetközi változata az ISAE 3402.• A SysTrust pedig egy SAS 70 alapú célzott CIA

audit, mely kimondottan a rendszer megbízhatóságára kíváncsi.

• A SOC 1 Report – Report on Controls at a Service Organization Relevant to User Entities’ Internal Control over Financial Reporting az audit riportolásának elfogadott formája

• Audit területek:− Biztonság szervezete− Hozzáférés-kontroll− Logikai biztonság− Biztonságos adatkezelés− Fizikai és környezeti biztonság− Változáskezelés− Adatok integritása, rendelkezésre állása

és redundanciája− Incidenskezelés


Safe Harbor egyezmény

• Hivatalos neve International Safe Harbor Privacy Principles

• Célja az EU 95/46/EC számú adatvédelmi direktívájának betartatása az USA-ban működő szervezeteknél

• 7 alapelvet fogalmat meg:− Tájékoztatás− Választási lehetőség− Személyes adatok továbbítása− Hozzáférés− Biztonság− Adatok sértetlensége− Érvényesíthetőség és felügyelet

Click icon to add picture


Információ vs. infrastruktúra

KOCKÁZAT


A mérleg két oldala

Ellene Mellette

Köszönöm szépen!Web: www.krasznay.huE-mail: [email protected]: www.twitter.com/csabika25Tumblr: csabika25.tumblr.com

http://www.krasznay.hu/

mailto:[email protected]



http://www.twitter.com/csabika25

http://www.twitter.com/csabika25

http://csabika25.tumblr.com/

megbízható felhő - garanciák a biztonságos cloudszolgáltatáshoz

Documents