Transcription
Hva må jeg tenke på for å være sikkerpå at data er trygt lagret i skyen?Marius Sandbu – marius.sandbu@evry.com
De største leverandørene i markedet
Markedet og trender for offentlig skyløsninger AWS vokser med 55 % siste år Microsoft Azure vokster med 93 % siste år (IaaS) Mer enn 85 millioner kontoer på Office365 Salesforce vokser med 27 % de siste 3 årene Gartner: Vekst fra 178 til 208 milliarder dollar fra 2015 til 2016Kilde: http://www.gartner.com/newsroom/id/3443517, http://www.gartner.com/newsroom/id/3384720
Gevinstene Kostnadskontroll Fleksibilitet Skalerbarhet Elastisitet Sikkerhet Selvbetjening
Kan vi stole på dem?
Sikkerhetsrisikoer ved å flytte til skyen Ondsinnede insidere eller underleverandører Usikre APIer eller tjenester Delte tjenester Datatap eller datalekkasje Kapring av kontoer Pass på kreditten
Retningslinjer og regler - informasjonssikkerhet Standard for ivaretakelse av informasjonssikkerhet (ISO27001 / CSA) Standarder for ivaretakelse av informasjonssikkerhet i skytjenester Datadelingsavtale(EU Model Clauses) Datadelingsavtale(EU-U.S Privacy Shield) Standard for alle forretninger som håndterer kortdata(PCI-DSS)(ISO/IEC 27018)
General Data Protection Regulation (GDPR) Virksomheter har plikt til å dokumentere evne til å etterleve kravene Personer har rett til å kreve flytting av sine data til andre tjenesteleverandører Personer har rett til innsyn i hvordan dataene deres behandles Personer har «rett til å bli glemt» og kreve sletting av sine data Personer har rett til informasjon om sikkerhetsbrudd relatert til sine data (må meldes tilnasjonal myndighet) Strengere håndhevelse av reglene kan bety bøter i størrelsesorden 4 % av årsomsetningeneller
Finn balansen mellom risiko og produktivitet
Vet vi hva vi får?
Vet vi hvor dataene blir lagret?
Oppfyller leverandøren mine krav?Microsoft anceGoogle https://cloud.google.com/security/complianceAWS https://aws.amazon.com/compliance/IBM http://www.softlayer.com/compliance
Ansvarsfordelig ved bruk av skyløsninger
Hva må du tenke på? - IaaSCloud ManagementCloud Provider region 1Redundans gruppeStorage kontoManagement AccessVirtual Machine instancesProxy ServerAutomatiseringsverktøyIdentity ServerSluttbrukereDMZ SoneWeb løsningSecure tunnel S2S –Direct ConnectionOn-premisesIdentity ServerDatabase Server
Hva må du tenke på? - PaaSIoT GatewayCloud Provider regionAutoscalingLangtidslagringIoT EnheterWeb-serviceSluttbrukereGlobal LoadBalancingBackend DatabaseTransformCloud Provider regionAutoscalingAnalyticsWeb-serviceBackend DatabaseInnsiktSystemeiereUtviklereKildekode repository
Hva må du tenke på? - istrert MaskinEksterne �Intern fillager illagerWebtjenester
10 råd for å minimalisere risiko Ta i bruk MFA og federert tilgang Automatisert brukeradministrasjon Endre og eller fjerne standard management-tilgang Spesifisert regelsett på automatiseringsløsning Lås viktige ressurser og definer rollebasert tilgang Sett opp databeskyttelse og kryptering av data Samle logger og hendelsesdata lokalt for gransking Forsterke sikkerheten på applikasjonen ved å ta i bruk nyere SSL/TLS funksjoner via LB Se på behovet for å ta i bruk Applikasjonsbrannmur og DDOS beskyttelsesfunksjoner Se på leverandørens sikkerhetstjenester å snakk med dem
Oppsummering Sikkerhet i cloud er en av de største bekymringene Forstå tjenestene Gjør en risikovurdering Ikke glem basistingene Snakk med leverandøren
Til sluttNasjonal strategi for bruk av skytjenester, Regjering.no http://bit.ly/2lI6gQ7Sjekkliste for sikkerhet i skytjenester, Sintef.no http://bit.ly/2lhiiimShared Reponsibility in Cloud computing http://aka.ms/sharedresponsibilityCloud Adoption Framework, Security Perspective us.sandbu@evry.com
PRESENTATION TITLE20
10 råd for å minimalisere risiko Ta i bruk MFA og federert tilgang Automatisert brukeradministrasjon Endre og eller fjerne standard management-tilgang