molnsäkerhet (symposia 2009)
DESCRIPTION
Presentation on Cloud Security from Symposia Nordic 2009 (in swedish)TRANSCRIPT
1 1
Molnsäkerhet Per Hägerö, CTO
1
Agenda
• Vad är molnet? • Strategi för molnsäkerhet • PortWise Moln erbjudande
2
3
• För några • Skräddarsytt • Lokal produktion och kontroll • Balans- och resultaträkning
4
• För alla • Standardiserat • On-demand • Resultaträkning
5
• Valfrihet • Komplement • Personligt • Skräddarsytt • Lokal leverans och kontroll • Balans- och resultaträkning
6
7
8 8
Kostnad
Säkerhet (Privacy) 400,000 användare
VAD ÄR MOLNET?
9
10
11 11
12 12
834
• 8 egenskaper – Agilt, Opex, Oberoende, Fler-familjshus, Pålitlighet,
Skalbarhet, Säkerhet, Uthållighet
• 3 servicemodeller – IaaS, PaaS, SaaS
• 4 spridningssätt – Privat, Grupp, Publik, Hybrid
13
Kriterier för molntjänster
14
• Publikt åtkomligt • Administrationsgränssnitt via API • Stöd för flera hyresgäster • Rätt kostnad för kunden • Skalbarhet och elastisitet • Webbaserad administration • Snabb tilldelning och självbetjäning • Virtualisering och hårdvaruoberoende
Virtualisering och hårdvaruoberoende
• Användare kan använda tjänsten oberoende av vad andra gör
• Obegränsat med kapacitet (?) • Ingen hårdvarubegränsning
15
Snabb tilldelning och självbetjäning
• Det ska gå snabbt att få tillgång till nya resurser (minuter…istället för dagar och veckor)
• Det bör vara möjligt för kunden att själv kunna lägga till och ta bort resurser
16
Administration
• Administrationen sker genom en tunn klient • Standardiserade gränssnitt (?)
– Utmaning: Admistrera fler moln från samma gränssnitt
17
Skalbarhet och elasticitet
• Enkel och dynamisk skalbarhet – Skala upp men också skala ner
• Minne, lagring, CPU kapacitet • I run-time
18
Rätt kostnad för kunden
• Kunden ska endast betala för det som kunden “konsumerar”
• Idag finns det en flora av betalningsmodeller • Leverantörer måste erbjuda modeller som är
relevanta för kunden
19
Stöd för flera hyresgäster
• För att nå fördelarna måste tjänsten hantera flera hyresgäster
• Låter enkelt men; – Tänk på att olika kunder inte ska påverka varandra – Säkerheten
20
Administrationsgränssnitt via API
• Måste tillhandahålla gränssnitt för administration för bl a; – Användare – Tilldelning av rättigheter – Integration
• Webadmin = API Admin
21
Publikt åtkomligt
• En molntjänst ska vara möjlig att använda och adminnistrera över Internet.
• (Gäller inte privat moln och grupp moln)
22
Servicemodeller
23
IaaS
PaaS
SaaS
Infrastruktur som tjänst (IaaS)
• Hyr processor-, nätverks-, lagrings- och andra fundamentala IT-resurser
• Kör egen programvara som inkluderar operativsystem och applikationer
• Ingen kontroll över hårdvaran men har kontroll över övriga delar och kan t ex själv välja nätverkskomponenter som brandväggar och VPN
24
Plattform som tjänst (PaaS)
• Kör egna applikationer i moln infrastrukturen genom att använda programspråk och verktyg som tjänsteleverantören stödjer (t ex Java, .Net)
• Ingen kontroll över den underliggande infrastrukturen
• Kontroll över applikationen och eventuellt konfigurationsmiljön för applikationen
25
Applikation som tjänst (SaaS)
• Kör tjänsteleverantörens applikationer som är tillgängliga via tunna klienter helst över flera olika typer av enheter
• Ingen kontroll över något egentligen förutom applikationsspecifika inställningar
26
Cirrus eller Altocumulus
27
SaaS
PaaS
IaaS
28 28
Tillämpning och använding
29
Privat moln (internt eller
hostat) Grupp moln Publikt
Moln Hybrid moln
STRATEGI FÖR MOLNSÄKERHET
30
Innebär det något nytt?
• Visst det adderar ett antal frågetecken…. – Tillit till leverantör – Flera hyresgäster – Kryptering – Compliance – Vem har åtkomst till mitt data? – Lagras det säkert? – Data recovery? – Lösenord? – Inlåsningseffekter?
31
Men ärligt….?
• Är det inte så att molntjänster till viss del redan belyser svagheter och sårbarheter som redan finns in nuvarande “Enterprise Architecture”? – Full koll på data åtkomst? – Säker lagring? – Data recovery? – Lösenord? – Micros, förlåt inlåsning?
32
Men visst…
• det finns ingen anledning att göra om samma misstag flera gånger
• det är lättare (?) att känna till egna brister och svårare att upptäcka dem hos tjänsteleverantören (det krävs tillit till leverantören)
• det senare kan förstås vara skönt men kan vara extremt stressande vid kontrollbehov
• Glöm inte vem som äger varumärket för din organisation eller ditt företag (ett fel hos leverantören är ditt fel)
33
Vissa saker är förstås ännu tydligare
• Skalskydd – Brandväggsförsvaret satt ur spel (kanske inte helt sant
för IaaS)
• Identitetshantering – Tydligare behov av en fungerande livscykelshantering
och provisioning (om framför allt de-provisioning)
• Behovet av att värdera ur ett informationsvärdesperspektiv och sedan tillämpa rätt skydd (floskeltoppen ?)
34
Generella säkerhetsfördelar
• Separering av publik data och känslig data innebär reducerad risk om det publika läggs I molnet
• Molnet är mer definierat och homogent vilket underlättar revision och testning
• Molnet skapar förutsättning för automatiserad “security management”
• Inbyggt stöd för redundans och återskapning
35
Generella säkerhetsutmaningar
• Tillit till leverantörens säkerhetslösning(ar) • Kundens svårigheter att kunna “handla” på
saker som framkommer i en revision • Möjligheten att göra undersökningar i
leverantörens miljö • Indirekta administratörer (superadmin) • Ingen möjlighet att undersöka egentillverkade /
slutna lösningar • Ingen fysisk kontroll
36
Fördelar vs. Utmaningar
• OBS! Dessa måste värderas unikt för varje leverantör och dessutom ur perspektivet vad tjänsten ska lösa
37
Fördelar med molnsäkerhet
• Större IT-säkerhetsbudget (t ex dedikerat säkerhetsteam)
• Bättre feltolerans, högre tillgänglighet • Tillgång till för-akrediterade miljöer • On-demand säkerhet
38
Utmaningar med molnsäkerhet
• Data utspridning och internationell lagstiftning – EU’s direktiv för data skydd, PUL, U.S. Safe Harbor program – Exponering av data för andra stater – Information Management (Kvarhållning av data, borttagning)
• Isolerad administration • Flera hyresgäster • Loggning • Äganderätt över data • Garantier för QoS • Större belöning för hackare • Säkerhet i hypervisors, virtuellt OS osv. • Större driftsstopp • Kryptering (åtkomst till resursadministration, administrativ åtkomst till OS,
åtkomst till applikationer, datalagring) • Polices över olika moln
39
Ansvarstagande för säkerheten
40
IaaS PaaS SaaS
Kunden Ansvarstagande
Tjänsteleverantören
Flexibilitet i säkerheten
41
IaaS PaaS SaaS
Kunden Tjänsteleverantören
Flexibilitet
Riskexponering vs. Cost
42
Privat moln
Grupp moln
Publikt Moln
Kostnad
Riskexponering
Säkerhetsarkitektur
• Moln har oftast en säkerhetsarkitektur men kunderna har olika krav – Molnen måste erbjuda en flexibilitet
• Kontroll – Privat > Grupp > Publikt
• Känsligare data kommer att placeras i moln där organisationen har kontroll över säkerhetsarkitekturen
43
Värdera vid val
• Governance och Riskhantering
• Legala krav • Electronic Discovery • Compliance och Revision • Livscykel för informationen • Portabilitet och
Interoperabilitet • Kontinuitetsplanering
• Data Center Operations • Incidenthantering och
rapportering, • Applikations säkerhet • Kryptering och
nyckelhantering • Identitets- och
Åtkomsthantering • Lagring • Virtualisering
44 Ref: Cloud Security Alliance
Hur får jag ihop det?
• De flesta molnen kommer att behöva väldigt starka säkerhetskontroller
• Välj rätt moln genom att väga riskexponering mot kostnader
• MOLNET finns inte, det finns många moln, modeller och arkitekturval
45
Komma igång
• Gör en översikt av möjliga tjänster • Värdera tjänsten och vilken typ av moln som
passar bäst för dig
46
STANDARDISERING
47
Status
• Här finns det jobb att göra • Molnet använder i och för sig en massa
standarder men… • Det finns behov att hjälpa kunder med
interoperabilitet och utvärderingskriterier – T ex migrering mellan tjänster
• Kommer att vara lättare för IaaS och sedan med stigande svårighetsgrad
48
Exempel
• IAM – Federation (SAML, WS-federation, Liberty ID-FF) – Stark autentisering (HOTP, OCRA, TOTP) – Åtkomsthantering (XACML)
• Kryptering – PKI, PKCS,
• Information Management – ISO 15489
49
PORTWISE ERBJUDANDE
50
51
---------------------------------------------
52
Google Apps Salesforce.com
Windows Live Rackspace
Amazon EC2
Grupp Moln
UniPoint
Privata Moln
>> Autentisering >> Åtkomstkontroll >> Single Sign-On >> Personaliserad portal >> Provisioning >> Identitetshantering >> Spårbarhet >> Federering
---------------------------------------------
OpenAir
Skola 24 Dexter Fronter
Rexnet
Zoho
Projectplace
---------------------------------------------
---------------------------------------------
Enterprise Apps
frågor, funderingar, förslag…
• Nu • [email protected] • linkedin.com/hagero • facebook.com/hagero • twitter.com/hagero • [email protected] • 070-2691466 • Färögatan 33, Kista • eller hos Er
53
54