Cloud Security Der sichere Weg in die Cloud · Andreas Wisler CEO goSecurity GmbH Dipl. Ing FH,...

Andreas Wisler

CEO goSecurity GmbH

Dipl. Ing FH, CISSP, CISA, ECSA

ISO 22301 + 27001 Lead Auditor

wisler@goSecurity.ch

Cloud Security

Der sichere Weg in die Cloud

Unsere Werte und Besonderheiten

• Wir sind Hersteller und Produkte-Neutral

• Unsere Empfehlungen basieren zwar auf Standards, sind aber auf Sie und Ihre

Bedürfnisse zugeschnitten

• Wir sind keine Nerds. Wir sind technische Security-Experten mit sehr hohem

Business-Verständnis

• Klare und faire Preispolitik

• Wir haben viel Erfahrung und Kompetenz, weil wir nur das machen

• Unsere Mitarbeiter sind Stolz auf goSecurity und auf ihre Arbeit

2

Cloud überall

3Quelle: www.dotnetwise.com

Cloud Computing

4

Quelle: digital.guide

Cloud Computing

• Charakteristika

– Selbstzuweisung von Leistungen aus der Cloud

– Entkopplung von Nutzungsschwankungen und Infrastrukturbeschränkungen

– Zuverlässigkeit und Fehlertoleranz garantiert permanent definierte

Qualitätsstandards der IT-Infrastruktur für den Nutzer

– Optimierung und Konsolidierung bietet Effizienz und Ökonomie

– Qualitätssicherung und -kontrolle kann fortlaufend durch den Dienstanbieter

überwacht und sichergestellt werden

5

Arten

6

Quelle: www.krtya.com/images

Arten - Vergleich

7Quelle: Microsoft

Arten - Vergleich

8Quelle: www.itsm.hr

Arten - Vergleich

9Quelle: episerver.com

Risiken

• Verletzung der Vertraulichkeit und Integrität der Daten

• Löschung von Daten

• Ungenügende Mandantentrennung

• Verletzung der Compliance

• Verletzung von Datenschutzgesetzen

• Insolvenz des Providers

• Problematik der Subunternehmer

• Beschlagnahmung von Hardware

• Handel mit Ressourcen

• Erpressungsversuche

10

Risiken

11

Daten werden kopiert,

nicht gestohlen – sie

sind immer noch da!

Cloud-Ausfälle 2015

• Amazon Webservices

– 56 Ausfälle, 2.5 Stunden

• Microsoft Azure

– 71 Ausfälle, 10 Stunden 49 Minuten

• Google

– 167 Ausfälle, 11 Stunden 34 Minuten

• IBM Softlayer

– 17 Stunden

• Salesforces

– NAS14 für mehrere Stunden ausgefallen (13. Mai 2016)

• Quelle Zahlen 2015: CloudHarmony, https://cloudharmony.com/status

12

Fragen

• Gibt es ein dokumentiertes Sicherheitskonzept für den Betrieb der ICT-

Infrastruktur und wie wird mit Kundenanforderungen umgegangen?

• Wie erfolgt die physische und logische Kundenseparierung?

• Kann die Einhaltung der Sicherheitsrichtlinien durch den/die Kunden

regelmässig und audit-fähig geprüft werden?

• Ist die Verschlüsselung von Daten ein zentraler Service oder muss dies

kundenspezifisch einzeln implementiert werden?

13

Fragen

• Wie werden Zugriffe durch Administratoren reglementiert?

• Kann sichergestellt werden, dass einmal gelöschte Daten auch auf allen

operativen Backups etc. zuverlässig und permanent gelöscht werden?

• Wie wird mit ungeplanten ICT-Lastveränderungen umgegangen?

• Kann sichergestellt werden, dass alle Daten, Zugriffe usw. entfernt

werden, wenn ein Kunde den Provider verlässt?

14

Vorgehen

• Planung

• Vertrag

– Auditrechte einfordern

– Kennzahlen festlegen

– Schnittstellen definieren

– Regelungen für die Beendigung

• Migration der Daten / Anwendungen / Systeme

• Betrieb

– Logging sicherstellen

15

Schutzmöglichkeiten

• Verschlüsseln der Daten

– BoxCryptor

16

Schutzmöglichkeiten

• Zertifizierung

– ISO 27001 / ISO 27017:2015

• Information technology - Security techniques - Code of practice for information security

controls based on ISO/IEC 27002 for cloud services

• Erweiterte Kontrollen:

– 6.3.1 Shared roles and responsibilities within a cloud computing environment

– 8.1.5 Removal of cloud service customer assets

– 9.5.1 Segregation in virtual computing environments

– 9.5.2 Virtual machine hardening

– 12.1.5 Administrator’s operational security

– 12.4.5 Monitoring of cloud services

– 13.1.4 Alignment of security management for virtual and physical networks

17

Schutzmöglichkeiten

• Zertifizierung

– ISO 27001 / ISO 27017:2015

• 5 Information security policies Moderate

• 6 Organization of information security Moderate

• 7 Human resource security Moderate/Low

• 8 Asset management Moderate/Low

• 9 Access control High

• 10 Cryptography Moderate

• 11 Physical and environmental security Moderate/Low

18Quelle: http://advisera.com/27001academy/blog/2015/11/30/iso-27001-vs-iso-27017-information-security-controls-for-cloud-services/

Schutzmöglichkeiten

• Zertifizierung

– ISO 27001 / ISO 27017:2015

• 12 Operations security Moderate/High

• 13 Communications security Moderate/High

• 14 System acquisition, development and maintenance Moderate

• 15 Supplier relationships Moderate/High

• 16 Information security incident management Moderate

• 17 Information security aspects of business continuity management Low

• 18 Compliance Moderate/High

19Quelle: http://advisera.com/27001academy/blog/2015/11/30/iso-27001-vs-iso-27017-information-security-controls-for-cloud-services/

Schutzmöglichkeiten

• Weitere Zertifizierungen:

• Guidelines / Hilfen:

– Cloud Computing Information Assurance Framework der enisa

– Cloud Security Alliance

– eBooks von CloudComputing-Insider.de

– BSI Grundschutzhandbücher (vier Bausteine)

20

Fazit

Nutzung von Cloud-Diensten nicht mehr wegzudenken

Mit Konzept vorgehen Planung notwendig

Mögliche geeignete Partner im Vorfeld prüfen

Datenschutzaspekte berücksichtigen

Kontrolle, Kontrolle, Kontrolle

21

Unser Wissen für Ihre Sicherheit

22

Power Audit Review

IT-Security Konzepte

Schulung / Awareness

Premium Audit

Penetration Test

Unsere Experten für Ihre IT-Sicherheit

23

A. Wisler Th. Furrer S. Müller

A. Kulhanek M. Hamborgstrøm M. Hennet C. Wehrli S. Walser