nordcloud pilvipalvelun turvallisuus
DESCRIPTION
NORDCLOUD on pilvipalveluiden suunnitteluun, rakentamiseen ja hallintaan keskittyvä helsinkiläinen yritys. Teemme yhteistyötä kansainvälisesti johtavien pilvipalvelutoimijoiden, kuten Amazon Web Services’in ja Eucalyptuksen kanssa ja tuemme asiakkaitamme saamaan täyden hyödyn pilvipalveluiden käytöstä.Nordcloud hyväksyttiin kesäkuussa 2012 mukaan Amazon Web Servicen Advanced Consulting -partneriverkostoon, APN:ään. Nordcloud on yksi ensimmäisiä APN-statuksen saavuttaneita pilvipalveluyrityksiä Pohjoismaissa ja saavutus kertoo tiimimme korkeatasoisesta teknisestä osaamisesta.TRANSCRIPT
Jae@u vastuu Aetoturvan toteu@amisessa
FaciliAes
Physical Security
Compute Infrastructure
Storage Infrastructure
Network Infrastructure
VirtualizaAon Layer
OperaAng System
ApplicaAons
Security Groups
Firewalls
Network ConfiguraAon
Account Management
+ =
Customer
Vastuu Aetoturvallisuudesta jakaantuu pilvipalveluita käyte@äessä palveluntuo@ajalle ja asiakkaalle.
Matalamman tason Aetoturvasta vastaa AWS ja asiakkaan vastuulla on asiakaskohtaisen säännöstön
luominen. Tällä toimintatavalla saavutetaan yleisesA omia konesaliratkaisuja korkeampi Aetoturvan taso.
Keskeiset Aetoturvatekijät
Key security element Defini0on
Virtual private cloud Extend your datacenter with your private addressing and traffic encrypAon
Security Groups Automated host firewalls
IdenAty Access Management User/Group and access management
EC2 instance isolaAon Customers cannot see each other
Verkon Aetoturva
Protect AWS network from external access
DDOS protecAon SSL based APIs AWS run intrusion detecAon systems for it’s mgmt plane
Protect communica0on between Own DC and AWS
VPC (IPSEC tunnel) SSL based APIs
Protect communica0on inside AWS DC
Traffic inside is tunneled between guests Guests have Security Groups (firewalls) EC2 instances cannot spoof traffic Port scanning is banned NIC cannot see traffic from other VMs in hypervisor AWS runs intrusion detecAon systems
Host security
4 primary ways of achieving host security:
1. Security groups limit inbound and outbound access 2. Patching of systems 3. Using configuraAon mgmt + images to harden systems 4. Centralize logs away from the system
Data security
Data security = encrypt data inflight and at rest
1. EBS volumes can be encrypted with OS tools 2. S3 is encrypted 3. APIs use SSL, VPC should be used for management 4. Database encrypAon: only available using own applicaAon
logic so pre@y painful. 5. ElasAc map reduce / redshij are not encrypted
AWS security and the average DC When evaluaAng the security ask yourself these quesAons:
1. Do I have 24x7 person and video monitoring on my site? 2. Do I have a security team running intrusion detecAon,
vulnerability scanning and network taps 3. Have I purchased Ddos protecAon capability?, Do I get alerted
if my WAN ip address space gets accidentally hijacked by someone?
4. Does all my tooling today run configuraAon management? 5. Do I have host firewalls implemented? 6. What data is encrypted? 7. Am I using configuraAon management to ensure host sanity?
Lauri Liukko +358 44 2725890
Nordcloud
• Pilvipalveluiden suunni@eluun, rakentamiseen ja hallintaan keski@yvä yritys
• KansainvälisesA johtavien pilvipalvelutoimijoiden kanssa serAfioitu kumppani
• Au@amme asiakkaitamme saavu@amaan huoma@avia kustannussäästöjä palveluiden laatu-‐ ja turvallisuusvaaAmuksista Ankimä@ä
• Amazon Web Servicesin 1. Advanced ConsulAng Partner Pohjoismaissa
• Katso lisää: Nordcloud.fi • LisäAetoja: Lauri Liukko, Esa Kinnunen
Pilvipalveluiden tärkeimmät hyödyt asiakkaiden mukaan
4 x K:
• Kustannus: säästöt työssä, palvelinraudassa • Kehitys: kehityksen nopeutuminen • Käytettävyys: käyttäjäpiikkeihin vastaaminen, globaali
käytettävyys, tasainen laatu • Keskittyminen: resurssit vapautuvat ydinliiketoimintaan ja
kehittämiseen, nopeammat vasteajat liiketoiminnan pyyntöihin
Asiakkaitamme:
Johtava toimija Suomessa
Teknologiakumppaneitamme:
Amazon Web Services (AWS)
AWS Global Infrastructure
Application Services
Networking
Deployment & Administration
Database Storage Compute
Lauri Liukko Esa Kinnunen +358 44 2725890 +358 40 5860928
[email protected] [email protected]
Nordcloud.fi
Ota yhtey@ä, jutellaan lisää