© Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. Megbízható felhő - garanciák a biztonságos cloudszolgáltatáshoz Krasznay Csaba HP Magyarország
© Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. 2 A CIO igényei és aggodalmai 1,4 Goldman Sachs Equity Research, January ,3 IDC, Enterprise Panel Survey, November 2010
© Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. 3 A felhő kockázatai Szabályzati és szervezeti • Függőség • Irányítás elvesztése • Megfelelőségi problémák Technológiai • Erőforrások túllépése • Izolációs hiba • Kiemelt jogosultsággal való visszaélés • Menedzsment interfész támadása • Átvitel lehallgatása • Adatszivárgás Jogi • Lefoglalás • Különböző joghatóságok • Adatvédelem • Licencelés Közvetett • Hálózati hiba • Hálózatmenedzsment • Hálózati forgalom módosítása • Jogosultság kiterjesztése • Social Engineering • Megosztott erőforrások miatti problémák • Cloud szolgáltatás befejezése • Cloud szolgáltató felvásárlása • Szállítási lánc megszakadása • Nem megfelelő törlés • DDoS • EDoS (Gazdasági DoS) • Titkosító kulcs elvesztése • Külső támadási próbálkozások • Kompromittált szolgáltatási motor • Nem megfelelő hardening • Üzemeltetési naplók sérülése • Biztonsági naplók elvesztése • Mentések elvesztése • Nem jogosult fizikai hozzáférés • Lopás • Természeti katasztrófa Forrás: ENISA, Cloud Computing: Benefits, risks and recommendations for information security
© Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. 4 A bizalom betűszavai
© Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. 5 Mit jelent a bizalom? A Bizalom Elv: Legyen a bizalom elemi összetevője a felhő szolgáltatásnak úgy, hogy a bizalom minden cloud alapú üzleti folyamat részévé kell, hogy váljon! ISACA: Guiding Principles for Cloud Computing Adoption and Use Legyenek tiszta CIA elvek! Cloud jelentette különleges bizalmi követelménye k legyenek azonosítva! A követelménye k legyenek ismertek és teljesítettek szervezeten kívül és belül! Legyen a monitorozva a cloud használata biztonsági szempontból is! Ellenőrizzük a követelménye k teljesítését a cloud szolgáltatónál is! Folyamatosan biztosítsuk a rendszerek megbízhatósá gát!
© Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. 6 Védelmi követelmények Cloud Security Alliance: Security Guidance for Critical Areas of Focus in Cloud Computing v3.0
© Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. 7 IparágHatókörKötelező/ önkéntes Felelős Cloud Security Alliance (CSA) Consensus Assessments Initiative Questionnaire Cloud szolgáltatók Cloud szolgáltatások ÖnkéntesCSA EU Safe Harbor Személyes adatokat kezelők Személyes adatokÖnkéntes US Department of Trade The Federal Information Security Management Act of 2002 (FISMA) USA közigazgatás Szövetségi intézmények IT rendszerei Kötelező Office of Management and Budget Federal Information Processing Standard (FIPS) USA közigazgatás, hadsereg Kriptográfiai termékek Önkéntes National Institute of Standards and Technology The Gramm–Leach–Bliley Act (GLBA)Pénzintézetek Ügyfelek üzleti adatai Kötelező Federal Trade Commission The Health Insurance Portability and Accountability Act (HIPAA) EgészségügyBetegek adataiKötelező Department of Health and Human Services International Traffic in Arms Regulations (ITAR)Hadiipar Hadianyagokkal kapcsolatos adatok Kötelező The Department of State Directorate of Defense Trade Controls Tanúsítók, tanúsítványok
© Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. 8 IparágHatókörKötelező/ önkéntes Felelős The International Standards for Assurance Engagements No (ISAE 3402) Szolgáltatást nyújtók Szolgáltatói kontrollok Önkéntes International Federation of Accountants ISO 27001BárkiIBIRÖnkéntes International Organization for Standardization Payment Card Industry Data Security Standard (PCI DSS) Bankkártyát kezelők Bankkártya adatok KötelezőPCI Security Council Statement on Auditing Standards No. 70 (SAS 70) Szolgáltatást nyújtók Szolgáltatói kontrollok Önkéntes American Institute of Certified Public Accountants Statement on Standards for Attestation Engagements No. 16 (SSAE 16) Szolgáltatást nyújtók Szolgáltatói kontrollok Önkéntes American Institute of Certified Public Accountants SysTrust Szolgáltatást nyújtók Szolgáltatói kontrollok Önkéntes American Institute of Certified Public Accountants Tanúsítók, tanúsítványok
© Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. 9 Audit területek ISO IBIR audit • Az IBIR kialakítása kockázatelemzéssel kezdődik!!! • Szabályzati rendszer • Biztonsági szervezet • Vagyontárgyak kezelése • Személyi biztonság • Fizikai és környezeti biztonság • Kommunikáció és üzemeltetés biztonsága • Hozzáférés-ellenőrzés • Információs rendszerek beszerzése, fejlesztése és karbantartása • Incidenskezelés • Üzletmenet-folytonosság • Megfelelőség PCI DSS Bankkártya adatok • 1. követelmény: A kártyabirtokos adatainak védelméért tűzfalat kell telepíteni és üzemeltetni. • 2. követelmény: Nem szabad a gyártók által használt alapbeállítású rendszerjelszavakat és biztonsági paramétereket használni. • 3. követelmény: Védeni kell a kártyabirtokosok tárolt adatait. • 4. követelmény: A nyílt hálózatokon történő adatátvitel során titkosítani kell a kártyabirtokos adatait. • 5. követelmény: Vírusvédelmi megoldásokat kell használni, és rendszeresen frissíteni. • 6. követelmény: Biztonságos rendszereket és alkalmazásokat kell fejleszteni és üzemeltetni. • 7. követelmény: A kártyabirtokos adataihoz csak az férhessen hozzá, akire az tartozik. • 8. követelmény: Minden olyan ember, aki hozzáférhet a rendszerhez, rendelkezzen egyedi azonosítóval. • 9. követelmény: A kártyabirtokos adataihoz való fizikai hozzáférést meg kell akadályozni. • 10. követelmény: A hálózati erőforrásokhoz és a kártyabirtokos adataihoz való minden hozzáférést követni és monitorozni kell. • 11. követelmény: A biztonsági rendszereket és folyamatokat rendszeresen tesztelni kell. • 12. követelmény: Információbiztonsági szabályzatot kell fenntartani. CSA CAIQ Cloud szolgáltatások • Megfelelőség • Adatkezelés • Létesítménybiztonság • Humán biztonság • Információbiztonság • Jogi megfelelőség • Üzemeltetés-biztonság • Kockázatkezelés • Kibocsátások kezelése • Üzletmenet-folytonosság • Biztonsági architektúra
© Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. 10 SAS 70/SOC 1/SSAE 16/ISAE 3402/SysTrust • A legfontosabb cloud tanúsítványok halmaza • Egy forrásból építkeznek, céljuk egyértelműen az informatikai szolgáltatók által nyújtott szolgáltatások kontrolljainak ellenőrzése bizonyos szempontok alapján. • Kezdetben volt a SAS 70. • Ennek a helyét vette át az SSAE 16 az USA-ban. • Ennek nemzetközi változata az ISAE • A SysTrust pedig egy SAS 70 alapú célzott CIA audit, mely kimondottan a rendszer megbízhatóságára kíváncsi. • A SOC 1 Report – Report on Controls at a Service Organization Relevant to User Entities’ Internal Control over Financial Reporting az audit riportolásának elfogadott formája • Audit területek: − Biztonság szervezete − Hozzáférés-kontroll − Logikai biztonság − Biztonságos adatkezelés − Fizikai és környezeti biztonság − Változáskezelés − Adatok integritása, rendelkezésre állása és redundanciája − Incidenskezelés
© Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. 11 Safe Harbor egyezmény • Hivatalos neve International Safe Harbor Privacy Principles • Célja az EU 95/46/EC számú adatvédelmi direktívájának betartatása az USA-ban működő szervezeteknél • 7 alapelvet fogalmat meg: − Tájékoztatás − Választási lehetőség − Személyes adatok továbbítása − Hozzáférés − Biztonság − Adatok sértetlensége − Érvényesíthetőség és felügyelet
© Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. 12 Információ vs. infrastruktúra KOCKÁZAT
© Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. 13 A mérleg két oldala ElleneMellette Sértetlenség Rendelkezésre állás Bizalmasság
Köszönöm szépen! Web: Twitter: Tumblr: