Upload
guest6a238ed
View
1.857
Download
1
Embed Size (px)
DESCRIPTION
In finnish: Tämä esitys on suunna0u 1etohallintojohdolle sekä1etoturvajohdon vies1ntään liiketoimintajohdolle.
Citation preview
ISACA 15.4.2010 Kim Westerlund
johtava konsultti, Nixu Oy
© Nixu 2010
We must defend the Customer from risks, but purely defensive approach may prevent us from
seeing opportuni:es.
Agenda Pilvipalvelumallit lyhyesti Pilvipalvelut ostajan näkökulmasta
Huomioitavia asioita tietoturvan osalta Suosituksia Tutkimushankkeen lyhyt esittely
4/15/10 © Nixu 2010
Huom! Tämä esitys on suunna0u 1etohallintojohdolle sekä 1etoturvajohdon vies1ntään liiketoimintajohdolle.
Nixu Oy
Suomen suurin tietoturvan asiantuntijapalveluyritys – yli 80 henkeä
Perustettu 1988, liikevaihto yli 8 M€ – Yli 100 asiakasta yli 300 projektissa viime vuonna
Konsultoimme sekä pilvipalvelujen tuottajia että hankkijoita. – Kymmenet projektimme koskettivat viime vuonna
verkon ylitse hankittavia palveluja.
96 % asiakkaistamme on valmis suosittelemaan kollegalleen (syksy ’09)
www.nixu.fi
4/15/10 © Nixu 2010
Tekemässä ensimmäisiä siirtoja pilvipalveluiden hyödyntäjänä…
4/15/10 © Nixu 2009
Oman verkon konesalit “Oma konesali tai ulkoistetut dedikoidut palvelimet
kytke>ynä omaan verkkoon”
Infrastructure as a Service (IaaS) “Käy>öjärjestelmäalustoja verkon ylitse omaa
soDakehitystä varten” Amazon Web Services, Rackspace
PlaIorm as a Service (PaaS) “Web‐hotelli verkon ylitse omaa verkkokauppaa varten”
Windows Azure, Google AppEngine
Omasta verkosta pilvipalveluihin
4/15/10 © Nixu 2010
SoNware as a Service (SaaS) “CRM‐järjestelmä verkon ylitse”
Priv
ate
clou
d el
i yk
sity
inen
pilv
i “V
irtua
lisoi
tua
kone
teho
a, a
lust
aoja
ta
i pal
velu
ita y
hdel
tä k
umpp
anilt
a”
Palvelukokon
aisuus laajen
ee
hallinta vähe
nee, riskit kasvavat
Pilvipalvelut ostajan näkökulmasta
4/15/10 © Nixu 2010
Kun hajautetussa pilvessä toimiva liiketoimintakriiHnen sovelluksesi lakkaa toimimasta *mahdollises:* pilvituo>ajan ongelmista johtuen, kenelle
soitat ja kannustat hoitamaan ongelmat kuntoon?
+ + Joustavia (käy0ö ja jae0avuus) + Vain käytöstä maksetaaan + Palvelut kehi0yvät toimi0ajien toimesta + Hajaute0avuus (turvaavat saatavuu0a) + Skaalaedut 1etoturvan toteutuksessa
− - KriiSsiä 1etoja tai palveluja siirtyy kolmansille osapuolille - Hallinta vain sopimusteitse - Arkkitehtuurin hallinta vaikeutuu - Toiminta ongelma1lanteissa - Palveluita voidaan ostaa 1etohallinnon ohi
CIO:den mielestä tietoturvallisuus on huoli nro 1 mietittäessä pilvipalveluita.
4/15/10 © Nixu 2009
4/15/10 © Nixu 2009
Cloud Security Alliance - 7 suurinta uhkaa
1. rikollinen käyttö 2. turvattomat rajapinnat
3. pahaa tahtovat sisäpiiriläiset 4. jaetun teknologia-alustan eristys 5. tiedon häviäminen tai tietovuoto
6. käyttäjätunnusten kaappaaminen 7. tuntematon riski
4/15/10 © Nixu 2009
http://www.cloudsecurityalliance.org/topthreats/csathreats.v1.0.pdf
Tärkeää tietoa palomuurin ulkopuolella Tietoturvalla ei ole vaatteita
– Monista käytännöistä puhuttu enemmän kuin tehty
– Loppujen lopuksi on luotettu lähinnä palomuuriin
Pilvimaailmassa tehtävä enemmän: – Tiedon luokittelu
mm. sopimukselliset sekä lainsäädännölliset vaatimukset
– Riskianalyysiprosessi – Huolelliset jatkuvuussuunnitelmat – Toimittajien tarkastus
Miten kokonaisarkkitehtuuri saadaan pidettyä otteessa?
4/15/10 © Nixu 2009
Riskianalyysin kahdet kasvot
4/15/10 © Nixu 2009
RISKINHALLINTA‐PROSESSI
MAHDOLLISUUKSIEN ja RISKIEN
TUNNISTAMINEN ARVON HALLINTA
ISACA Risk IT
Riskianalyysin 3 osaa
4/15/10 © Nixu 2009
• Sopimukset • Palvelutasolupaus (SLA) • Käyte0ävyys • Vastuut ja roolit • Sank1ot
Palvelun hankinta
• Tietotoriski • Opera1iviset riskit • Ohjausrakenteet • Tietoturvatapahtumien ja ongelmien hallinta
Palvelun käy0ö ja tuotanto • Tiedon palautus
• Myötävaiku0amis‐velvollisuus
Palvelun lopetus
Ulkoistamisen vanhat synnit:
• Ulkoistetaan ongelma • Valitaan haluton tai kyvytön kumppani • Tehdään surkea sopimus
KATSO MYÖS http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment
Suosituksia
Laadi ja hyväksytä yksinkertainen ohje pilvipalveluiden (etenkin SaaS) hankintaan muita yksiköitä varten
Suorita tietojen luokittelua – Mieti kumpi on tärkeämpää: luottamuksellisuus vai saatavuus
Mieti arkkitehtuuria: – Kuinka käyttövaltuudet hallitaan, miten turva-arkkitehtuuria
seurataan, audit trail…
Tee riskianalyysi aina päätettäessä jonkin palvelun siirrosta pilveen
Sopimusta tehdessä, ymmärrä SLA:t
Edellytä tuottajan teettämää tietoturvatarkastusta (tai teetä itse) ja vaadi todisteita nähtäväksi
4/15/10 © Nixu 2010
IaaS-kelpoisen sovelluksen tietoturvaominaisuuksia Tietovarasto on salattu ja varmistettavissa. API-rajapinnat tukevat luottamuksellisuuden ja
eheyden varmistamista (kuten SOAn WS-Security).
Käyttäjätunnistus on ulkoistettu, eli luottaa kotiverkon tunnistukseen (=federointi).
Käyttövaltuushallinnan ulkoistus eli ns. claims based -sovellus tai käyttövaltuuksia voi ylläpitää turvallisesti omasta IdM-järjestelmästä käsin (WS-SPML).
Pääkäyttäjien tunnistus on vahvempi. Sovellukselle on tehty hyvä pentesti
4/15/10 © Nixu 2009
4/15/10 © Nixu 2009
Työasemabackup pilvestä: 5€/kk Käyttöönotto ilman riskienhallintaprosessia: 10 min
Luottamukselliset tiedot vaatimusten vastaisesti ETA:n ulkopuolella nopea päätös lopettaa palvelun käyttö…
… ”PRICELESS”
Cloud Provider Security –kartoitus Suunnitelmana toteuttaa tietoturvan kartoitushanke
– 10-20 suomalaisen ja kansainvälisen toimijan – Julkisen ja private cloud-toimijan – Kesän 2010 aikana
Vertaamme ja arvioimme palvelujen turvallisuutta [AUDITOINTI] – Sekä havaittua laatua, palvelulupausta että SLA-ehtoja
Luomme luokittelun turva-tasoille ja riskikartoituspohjan
Etsimme mukaan kiinnostuneita jakamaan kartoituksen kustannuksia ja saamaan tutkimusraportin käyttöönsä.
Suunniteltu kustannustaso 10-15 k€ / osallistuva organisaatio
Kiinnostaako? – Jos riittävästi kiinnostuneita löytyy, työstämme varsinaisen
tutkimussuunnitelman ja sovimme asiasta valittujen cloud-toimijoiden kanssa.
4/15/10 © Nixu 2009
LUOKIT‐TELU
ARKKITEH‐TUURI
RISKINHALLINTA‐
PROSESSI
SLA ja VALVONTA
4/15/10 © Nixu 2009
Muista nämä!
p. 040 521 3125
Nixu Oy Keilaranta 15 02151 Espoo www.nixu.fi
Kiitos, autamme mielellämme
tekemään oikean siirron!
4/15/10 © Nixu 2009
Palvelualueemme
Apr-15-10 © Nixu 2010
Develop kehi5ää
Advise ohjeistaa
Build rakentaa
Inspect tarkastaa
• Tietoturvastrategia • Riskienhallinta • Jatkuvuussuunnittelu • Tietoturvapolitiikat ja ohjeistot • Tietoturvakulttuurin luonti ja jalkautus • Vaatimustenmukaisuus
• Identiteetinhallinnan konsultointi ja toteutus • Pääsynhallinta • PKI kehitys • Lokienhallinnan konsultointi • Turva-arkkitehtuuri
• PCI DSS auditoinnit • Tietoturva-auditoinnit • Verkon murtotestaus • Web-sovellusten murtotestaus • Forensiikka • Testausautomaatio
• Turvallinen ohjelmistokehitys • Linux/embedded ohjelmistokehitys • Secure SDLC