cyber services 2015_ivsz_cloud_bme_1v0p1
TRANSCRIPT
2
IVSZ Cloud Workshop 20151003
Tartalom
Kik vagyunk - Cyber Services
Felhőjog
Trust-and-control
Szolgáltatás
BYOD
Hazai helyzet
Jövő
Kérdések?
Tartalom
Sérülékenység
3
Áttekintés – Cyber Services
Alapítás éve 2015 A cég alapítói és kiemelt szakértői az informatikai biztonság veteránjai szerteágazó nemzetközi tapasztalattal
Rendelkezésre álló erőforrások 10+ vezető szakértő 20+ szoftver/hardver fejlesztő20+ szoftver/hardver tesztelő
Képesítések9 etikus hacker (KCEH)3 etikus hacker (International CEH)4 proaktív biztonsági szakértő – Offensive Security Certified Professional (OSCP)
Szolgáltatások
Etikus hackelés Kiber fenyegetettség elemzésKibervédelmi gyakorlatok tervezése, levezetéseTöbbszintű információbiztonság tudatosság növelő képzési rendszerek fejlesztése, oktatás, gamificationInformatikai biztonsági képzések fejlesztése és oktatásReputáció menedzsmentInnováció menedzsment, startup Integráció
Kiemelt referenciák
NATOUAE DubaiZAIN KuwaitEU TanácsJelentős kormányzati szerepvállalás (beleértve a hazai Kibervédelmi Központ – NBF CDMA kialakítását)
4
„Felhőjogi” környezet
● Jogvita
– ÁSZF és SLA alapján ● kötbér● kártérítési felelősség● elévülés
● Ki a joghatóság?
– NMHH● Magyar bíróság
– Európai bíróság● Nemzetközi bíróság
● Mi a jogi környezet?
– ÁSZF ( Általános szolgáltatási Feltételek ) - NMHH● Új Ptk. – 2014. március 14.
– EU bíróság döntése – EU-US safe harbor megállapodás “nem valós”
5
Felhőjog : EU - US Safe Harbor IS INVALID!
Court of Justice of the European Union (2015.10.06)
● Judgment in Case C-362/14: Maximillian Schrems v Data Protection Commissioner
The Court of Justice declares that the Commission’s US Safe Harbour Decision is invalid
● Osztrák PhD hallgató, aki 2008 óta Facebookon regisztrált
● A Facebook a személyes adatait amerikai szerverekre továbbította
● Mivel 2013-ban Snowden feltárta, hogy az NSA közvetlen hozzáfér az személyes adataihoz, ezért az ír hatóságoknál feljelentést tett, hogy az EU-US Safe Harbor megállapodás nem teljesíti a EU adatvédelmi előírásait.
● Az EU Bíróság most kimondta, hogy a Safe Harbor megállapás érvénytelen
Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data (OJ 1995 L 281, p. 31).
Commission Decision 2000/520/EC of 26 July 2000 pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequacy of the protection provided by the safe harbour privacy principles and related frequently asked questions issued by the US Department of Commerce (OJ 2000 L 215, p. 7).
The safe harbour scheme includes a series of principles concerning the protection of personal data to which United States undertakings may subscribe voluntarily.
6
Felhőjog – Adatüzlet, Hol tárolhatom?
A Piac még nem tudja értelmezni a Safe Harbor megállapodás megszüntét
Workaround-ok születnek
7
Felhőjog – Net Neutrality
● EU döntés: Roaming díj megszűnik EU-ban 2017-re, viszont az ebből eredő költségeit a Telkó átháríthatja egy bizonyos érték felett. Mit jelent ez?
– Net neutrality megszűnik? Avagy vége az internetnek, vagy új innováció?● Sávszél vs Profit a Telkónál
– Voice 85% profit, 15% sávszél– Data 15% profit, 85% sávszél
● Deutsche Telekom „sávos” árazás a szolgáltatóknak – speciális szolgáltatás – QoS– Revenue share a Start-Up-oknak az infra használatért
– Nem mindegy, hogy “jobb” szolgáltatást adunk, vagy korlátozzuk a többit?
● http://www.theregister.co.uk/2015/10/27/european_net_neutrality_amendments_fail/
● http://www.theregister.co.uk/2015/10/30/deutsche_telekom_starts_tiered_pricing/
● http://hvg.hu/tudomany/20151102_ketsebesseges_internetezes_telekom_dt
8
Felhőjog – Net Neutrality
„If adopted as currently written, these rules will threaten innovation, free speech and privacy, and compromise Europe’s ability to lead in the digital economy.”
Tim Berners-Lee, inventor of the World Wide Web, Founding Director of the World Wide Web Foundation
● http://webfoundation.org/2015/10/net-neutrality-in-europe-a-statement-from-sir-tim-berners-lee/
9
On Premise IaaS PaaS SaaS
App App App App App
VM VM VM Szolgáltatás Szolgáltatás
Server Server Server Server Server
Storage Storage Storage Storage Storage
Network Network Network Network Network
On Premise(host-olt)
Ügyfélnél a kontroll
Megosztott a kontroll
Szolgáltatói kontroll
Trust-and-control
Ügyfél elveszíti a kontrollt
10
Trust-and-control
● Tier 1 = Nem redundáns kapacitás komponensek (telkó, szerverek).
● Tier 2 = Tier 1 + Redundáns kapacitás komponensek.
● Tier 3 = Tier 1 + Tier 2 + Két-betáppal az eszközök és több független telkó vonal.
● Tier 4 = Tier 1 + Tier 2 + Tier 3 + Minden elem hibatűrő, a szünetmentes és a hűtőrendszer is, több betáppal.
● Tier 1: Garantált 99.671% rendelkezésre állás.
● Tier 2: Garantált 99.741% rendelkezésre állás.
● Tier 3: Garantált 99.982% rendelkezésre állás.
● Tier 4: Garantált 99.995% rendelkezésre állás.
A kontroll vesztésért cserébe CAPEX nélküli, skálázható, olcsó kapacitást kap
12
Szolgáltatás
Összetettek a szolgáltatások, vegyünk egy e-commerce példát
● Biztos minden igénybe vett 3rd-party szolgáltatás “Trusted”?
– Authentikáció, authorizáció – külső Oauth2
– Fizetés - Paypal
– Szállítás – DHL● Hogyan authorizáljuk a szolgáltatásokat?
● Milyen szenzitív adatokat osztunk meg?
– Mindig csak a szükséges minimális infót adjuk meg? ( pl DHL: név, szállítási cím, mobil, és nem adjuk meg az ügyfél egyéb adatait, fizetésnél csak a név és bankkártya azonosítók szükségesek, a többi üzleti adat nem... )
– Nem kerülnek ki a felhasználói és üzleti adatok a szolgáltatás kontrollja alól?
– Tudjuk-e menedzselni a teljes supply-ra a teljes adatéletciklust? ( archíválás, törlés, … )
– Van-e megfelelő biztonsági auditor, vannak minősítések? ( SOX, ISO, … )
13
Szolgáltatás
Összetettek a szolgáltatások, vegyünk egy e-commerce példát
● Biztos minden igénybe vett 3rd-party szolgáltatás “Trusted”?
– Authentikáció, authorizáció – külső Oauth2
– Fizetés - Paypal
– Szállítás – DHL● Hogyan authorizáljuk a szolgáltatásokat?
● Milyen szenzitív adatokat osztunk meg?
– Mindig csak a szükséges minimális infót adjuk meg? ( pl DHL: név, szállítási cím, mobil, és nem adjuk meg az ügyfél egyéb adatait, fizetésnél csak a név és bankkártya azonosítók szükségesek, a többi üzleti adat nem... )
– Nem kerülnek ki a felhasználói és üzleti adatok a szolgáltatás kontrollja alól?
– Tudjuk-e menedzselni a teljes supply-ra a teljes adatéletciklust? ( archíválás, törlés, … )
– Van-e megfelelő biztonsági auditor, vannak minősítések? ( SOX, ISO, … )
14
Szolgáltatás
● Minden “beszállító” teljesíti-e ?
– az elvárt SLA szintet
– az információ biztonsági elvárásokat?● Hogyan tudok erről meggyőződni?
● Honnan nyújtják fizikailag a szolgáltatást? A számomra előírt elvárások ebben a tekintetben teljesülnek-e? Tudja-e a szolgáltató garantálni az európai adatkezelést a teljes adatéletciklusra?
– egészségügyi adatok
– közigazgatási adatok
15
Bring-Your-Own-Device
● Hol a rendszerhatár? - Mit kontrollálunk, mit nem? )
● 2faktoros authentikáció: az eszközt authentikáljuk a service-hez! ( Radius, Diameter )
● Google Native Client ( új saját “VM” minden eszközre, blockchain technológiával )
21
Sérülékenység
Kibersérülékenységek száma időben nem csökken! :)
● Mobil eszközök, BYOD
● Komplex szolgáltatások - Publikus micro service-ek, több támadható API
● Gyors deployment – continuous deployment (DevOps)
– Tesztelés automatizálása és a code coverage nem jelenti, hogy valóban a teljes támadási vektortér tesztelt, sőt!
● SaaS Multi-tenant probléma: mennyire izoláltak a folyamatok, az adatok?
● PaaS: azonos hardveren tud futni a támadó és a célpont!
● IaaS: védett-e a belső hálózat, valóban csak a szükséges portok és kommunikáció lehetséges? A belső kommunikáció védett csatornán, titkosítva, … ?
● ÖSSZES EDDIG SÉRÜLÉKENYSÉG + MULTITENANT SÉRÜLÉKENYSÉGEK
● Viszont komoly biztonsági csapatok és eszközök
22
Hazai helyzet
● Hazai datacenter helyzet
– 25,000 nm a teljes hazai “datacenter” infrastruktúra
– Főleg Tier1 , és azon belül is a “salgó polc”
– Jellemzően 0.5-1kW/m2 energiasűrűség ( ez a tizede a mai világátlagnak )
– Nem redundáns ( csak a cégek saját megoldásai ) ● Spoke-Hub infrastruktúra
– Szerencsénk: Európa pontosan közepe vagyunk, ezért az Isztambul-Berlin optika itt megy át
– ~1000km-enként kéne egy Hub, ami München után valahol itt kéne legyen, de nem biztos, hogy itt lesz
● Biztonságos jogi környezet és energiabiztonság kell := “Biztonságosabb kikötő”
– Megfelelő kíbervédelmi képesség : nemzeti és szolgáltatói szinten
24
Jövő – IoT, M2M, IoE, AI
12
3
4
5
6
7
8
10
9
1. A műholdas kommunikáció leállhat
2. Az épületek áramellátása megszűnhet
3. Az olajkitermelés leállhat
4. A vasúti jelzőrendszer meghibásodhat
5. Vízszennyezés történhet
6. Elektromos energiallátási problémák merülhetnek fel
7. Az üzleti kommunikáció megbénulása
8. Légkondícionáló rendszerek leállhatnak
9. Mobiltelefon hálózati hiba lehetséges
10. Gázellátási problémák jelentkezhetnek
25
Jövő – Felhő problémák
● IPv6, CoAP/DTLS ( TLS on Datagram )
– nincs endpoint menedzsment szabvány
=> csak PSK ( pre-shared-key ), vagy full PKI megoldás működhet
– DTLS csak csatorna titkosítás, nincs szabványos hiteles üzenet küldés: aláírás/titkosítás hiányzik
● IPv6 routing megbízhatatlansága ( itt még elméleti problémák is vannak )
● IPv6 és Smart Object session kezelés
● Smart Objects interoperabilitása – bár van IPSO alliance, nem implementálják a draftokat
● Big Data privacy implementálása