säkerhet i molnen
TRANSCRIPT
![Page 2: SäKerhet I Molnen](https://reader033.vdocuments.site/reader033/viewer/2022061607/557cd62dd8b42a556b8b491e/html5/thumbnails/2.jpg)
Hårdvara, kablage, komponenter
Lagring
Mjukvarukärna (OS & VM)
Virtualiserade resurser
Molnapplikationer
Virtuell
Image 1
Virtuell
Image.. n
Virtuell
Image 1
Säkerhet
Risk Governanc
e
Livscykel-hantering
Behörighet
Loggning
IT-säkerhet på djupet
Incident-hantering
Hantering
Rapporter
Taxameter
Kapacitets-planering
Övervakning
Automati-sering
Fakturering
www.cloudadvisor.se
![Page 3: SäKerhet I Molnen](https://reader033.vdocuments.site/reader033/viewer/2022061607/557cd62dd8b42a556b8b491e/html5/thumbnails/3.jpg)
Säkerhetstänk på djupet - anläggningen
Fysiska perimetern skyddad
Väktare Övervakningskamero
r Brandskydd Skydd mot
naturkatastrofer Säker logistik
(mottagning, leveranser)
www.cloudadvisor.se
![Page 4: SäKerhet I Molnen](https://reader033.vdocuments.site/reader033/viewer/2022061607/557cd62dd8b42a556b8b491e/html5/thumbnails/4.jpg)
Säkerhet på djupet - Hårdvaran
Hårdvara, kablage, komponenter
www.cloudadvisor.se
Miljö- & klimatsäkrat Åtkomstkontroll – fysisk Redundans Övervakning – CPU, minne, fläktar, diskar
![Page 5: SäKerhet I Molnen](https://reader033.vdocuments.site/reader033/viewer/2022061607/557cd62dd8b42a556b8b491e/html5/thumbnails/5.jpg)
Säkerhet på djupet – OS/VM
www.cloudadvisor.se
Patch management fysiskt & virtuellt Hostbaserade FW HIDS/HIPS Kryptering Härdning av OS och alla VM som körs
instansierade Säkerhetsmodell över fysiskt OS och alla VM Rutiner för provisionering och
avprovisionering av VM
Mjukvarukärna (OS & VM)
![Page 6: SäKerhet I Molnen](https://reader033.vdocuments.site/reader033/viewer/2022061607/557cd62dd8b42a556b8b491e/html5/thumbnails/6.jpg)
Säkerhet på djupet – virtualiserade resurser
www.cloudadvisor.se
DLP Integritetsloggning Kryptering Personliga FW Aktivitetsmonitor DB Härdning Behörighetskontroll & loggning
Lagring
Virtualiserade resurserVirtuell
Image
![Page 7: SäKerhet I Molnen](https://reader033.vdocuments.site/reader033/viewer/2022061607/557cd62dd8b42a556b8b491e/html5/thumbnails/7.jpg)
Säkerhet på djupet – applikationer
www.cloudadvisor.se
Behörighet
Molnapplikationer
![Page 8: SäKerhet I Molnen](https://reader033.vdocuments.site/reader033/viewer/2022061607/557cd62dd8b42a556b8b491e/html5/thumbnails/8.jpg)
Den mjuka sidan då? Security Practice
Statement – för vem? Hur kontrolleras
efterlevnad? Var mappar jag in mina
krav? Var gör vi ”damage
control”? Hur
Säkerhet
Risk Governance
Livscykelhantering
Behörighet
Loggning
IT-säkerhet på djupet
Incidenthantering
www.cloudadvisor.se
![Page 9: SäKerhet I Molnen](https://reader033.vdocuments.site/reader033/viewer/2022061607/557cd62dd8b42a556b8b491e/html5/thumbnails/9.jpg)
Generell ingång Insiderproblemet? För mycket ”administrator power” hos
leverantören? Stresstest av planer för business continuity
och disaster recovery
www.cloudadvisor.se
![Page 10: SäKerhet I Molnen](https://reader033.vdocuments.site/reader033/viewer/2022061607/557cd62dd8b42a556b8b491e/html5/thumbnails/10.jpg)
Riskhantering
www.cloudadvisor.se
![Page 11: SäKerhet I Molnen](https://reader033.vdocuments.site/reader033/viewer/2022061607/557cd62dd8b42a556b8b491e/html5/thumbnails/11.jpg)
Riskhantering Leverantörens KRI/KPI: Hur mappar det mot
min verksamhet? Genomgång av leverantörens säkerhetspolicy,
processer och rutiner: Mappar det mot min verksamhet?
Ägarförhållanden hos leverantören: Vilken påverkan har det på min verksamhet?
www.cloudadvisor.se
![Page 12: SäKerhet I Molnen](https://reader033.vdocuments.site/reader033/viewer/2022061607/557cd62dd8b42a556b8b491e/html5/thumbnails/12.jpg)
Governance
www.cloudadvisor.se
![Page 13: SäKerhet I Molnen](https://reader033.vdocuments.site/reader033/viewer/2022061607/557cd62dd8b42a556b8b491e/html5/thumbnails/13.jpg)
Governance Revisioner av oberoende tredje part mot
leverantörens SPS med rapport till kunder Deklaration av leverantörs förbindelser med
tredje part Hur stabilt finansierad är leverantören (hänger
ihop med ägarbilden under riskhanteringen)
www.cloudadvisor.se
![Page 14: SäKerhet I Molnen](https://reader033.vdocuments.site/reader033/viewer/2022061607/557cd62dd8b42a556b8b491e/html5/thumbnails/14.jpg)
Juridik
www.cloudadvisor.se
![Page 15: SäKerhet I Molnen](https://reader033.vdocuments.site/reader033/viewer/2022061607/557cd62dd8b42a556b8b491e/html5/thumbnails/15.jpg)
Juridik Planer för väntad och oväntad avslutad
förbindelse: Hur säkerställs säker leverans av data och säker radering hos motparten?
Klausul för att data aldrig lämnar uppsatta gränser: Efterlevnad?
Vem äger rätt att återanvända din information? Är det solklart?
www.cloudadvisor.se
![Page 16: SäKerhet I Molnen](https://reader033.vdocuments.site/reader033/viewer/2022061607/557cd62dd8b42a556b8b491e/html5/thumbnails/16.jpg)
Compliance & Audit
www.cloudadvisor.se
![Page 17: SäKerhet I Molnen](https://reader033.vdocuments.site/reader033/viewer/2022061607/557cd62dd8b42a556b8b491e/html5/thumbnails/17.jpg)
Compliance & audit Klassificering:
Vilka system är klassade för regleringar? Vilket data hanteras i systemen?
SAS 70 typ II audits? ISO 27001 certifieringskrav?
www.cloudadvisor.se
![Page 18: SäKerhet I Molnen](https://reader033.vdocuments.site/reader033/viewer/2022061607/557cd62dd8b42a556b8b491e/html5/thumbnails/18.jpg)
ILM
www.cloudadvisor.se
![Page 19: SäKerhet I Molnen](https://reader033.vdocuments.site/reader033/viewer/2022061607/557cd62dd8b42a556b8b491e/html5/thumbnails/19.jpg)
Information Lifecycle Management Logisk segregering av informationen – Vilka
kontrollmekanismer har vi för delarna som lever utanför våra system?
Testa backup & återställning av information som har segregerats och simulera hur informationen assimileras tillbaka ”in-house”
www.cloudadvisor.se
![Page 20: SäKerhet I Molnen](https://reader033.vdocuments.site/reader033/viewer/2022061607/557cd62dd8b42a556b8b491e/html5/thumbnails/20.jpg)
Portabilitet & Interop
www.cloudadvisor.se
![Page 21: SäKerhet I Molnen](https://reader033.vdocuments.site/reader033/viewer/2022061607/557cd62dd8b42a556b8b491e/html5/thumbnails/21.jpg)
P & I SaaS
Process för att kontinuerligt extrahera ut informationen i ”öppet” format
IaaS Utveckla ”binärer” inte knutna till virtuella
maskinbilder specifika för leverantören PaaS
Utvecklingsplattformen följer intern it-arkitektur för portabilitet
www.cloudadvisor.se
![Page 22: SäKerhet I Molnen](https://reader033.vdocuments.site/reader033/viewer/2022061607/557cd62dd8b42a556b8b491e/html5/thumbnails/22.jpg)
Identiteter
www.cloudadvisor.se
![Page 23: SäKerhet I Molnen](https://reader033.vdocuments.site/reader033/viewer/2022061607/557cd62dd8b42a556b8b491e/html5/thumbnails/23.jpg)
Identiteter Federation färdig?
SAML (version?) WS-Federation Liberty ID-FF
Flerfaktorsautentisering? Behörighetskontroll och styrning på
applikation/data?
www.cloudadvisor.se
![Page 24: SäKerhet I Molnen](https://reader033.vdocuments.site/reader033/viewer/2022061607/557cd62dd8b42a556b8b491e/html5/thumbnails/24.jpg)
Datacenterdrift
www.cloudadvisor.se
![Page 25: SäKerhet I Molnen](https://reader033.vdocuments.site/reader033/viewer/2022061607/557cd62dd8b42a556b8b491e/html5/thumbnails/25.jpg)
Datacenterdrift Fysiskt acceptabel miljö Underhållsscheman Skydd mot felkonfigureringar (fallback-planer) Versionshantering Automatiseringsgrad av övervakning &
processer för att hantera larm Helpdesk
www.cloudadvisor.se
![Page 26: SäKerhet I Molnen](https://reader033.vdocuments.site/reader033/viewer/2022061607/557cd62dd8b42a556b8b491e/html5/thumbnails/26.jpg)
Incidenthantering
www.cloudadvisor.se
![Page 27: SäKerhet I Molnen](https://reader033.vdocuments.site/reader033/viewer/2022061607/557cd62dd8b42a556b8b491e/html5/thumbnails/27.jpg)
Incidenthantering Gemensam definition av incident? Vad gör leverantören & vad får den göra? När/hur blir du notifierad & får du ta in eget
CSIRT? Polisanmälan? Dawn-raid mot leverantör pga annan
”hyresgäst” – påverkan?
www.cloudadvisor.se
![Page 28: SäKerhet I Molnen](https://reader033.vdocuments.site/reader033/viewer/2022061607/557cd62dd8b42a556b8b491e/html5/thumbnails/28.jpg)
Slutsatser
www.cloudadvisor.se
![Page 29: SäKerhet I Molnen](https://reader033.vdocuments.site/reader033/viewer/2022061607/557cd62dd8b42a556b8b491e/html5/thumbnails/29.jpg)
Molnen är inget nytt rent tekniskt – men riskerna är definitivt jungfrulig mark!
www.cloudadvisor.se
![Page 30: SäKerhet I Molnen](https://reader033.vdocuments.site/reader033/viewer/2022061607/557cd62dd8b42a556b8b491e/html5/thumbnails/30.jpg)
Det är spännande möjligheter som ligger helt öppna!
www.cloudadvisor.se
![Page 31: SäKerhet I Molnen](https://reader033.vdocuments.site/reader033/viewer/2022061607/557cd62dd8b42a556b8b491e/html5/thumbnails/31.jpg)
Verksamheten vill ha resultat och inte ”gnäll och skrämsel” – hantera eller bli överkörd?
www.cloudadvisor.se
![Page 32: SäKerhet I Molnen](https://reader033.vdocuments.site/reader033/viewer/2022061607/557cd62dd8b42a556b8b491e/html5/thumbnails/32.jpg)
Tack för att ni stod ut med mig!
Predrag Mitrovic, [email protected] – 200 350 eller på nätet: http://mynethouse.se Bloggar:
http://blogg.idg.se/itperspektiv http://cloudadvisor.se Delaktig i:
http://tlo-interop.se http://it-sakerhetshandboken.se
www.cloudadvisor.se