cloud security der sichere weg in die cloud · andreas wisler ceo gosecurity gmbh dipl. ing fh,...
TRANSCRIPT
![Page 1: Cloud Security Der sichere Weg in die Cloud · Andreas Wisler CEO goSecurity GmbH Dipl. Ing FH, CISSP, CISA, ECSA ISO 22301 + 27001 Lead Auditor wisler@goSecurity.ch Cloud Security](https://reader031.vdokument.com/reader031/viewer/2022022519/5b1517697f8b9a8f548da90b/html5/thumbnails/1.jpg)
Andreas Wisler
CEO goSecurity GmbH
Dipl. Ing FH, CISSP, CISA, ECSA
ISO 22301 + 27001 Lead Auditor
Cloud Security
Der sichere Weg in die Cloud
![Page 2: Cloud Security Der sichere Weg in die Cloud · Andreas Wisler CEO goSecurity GmbH Dipl. Ing FH, CISSP, CISA, ECSA ISO 22301 + 27001 Lead Auditor wisler@goSecurity.ch Cloud Security](https://reader031.vdokument.com/reader031/viewer/2022022519/5b1517697f8b9a8f548da90b/html5/thumbnails/2.jpg)
Unsere Werte und Besonderheiten
• Wir sind Hersteller und Produkte-Neutral
• Unsere Empfehlungen basieren zwar auf Standards, sind aber auf Sie und Ihre
Bedürfnisse zugeschnitten
• Wir sind keine Nerds. Wir sind technische Security-Experten mit sehr hohem
Business-Verständnis
• Klare und faire Preispolitik
• Wir haben viel Erfahrung und Kompetenz, weil wir nur das machen
• Unsere Mitarbeiter sind Stolz auf goSecurity und auf ihre Arbeit
2
![Page 3: Cloud Security Der sichere Weg in die Cloud · Andreas Wisler CEO goSecurity GmbH Dipl. Ing FH, CISSP, CISA, ECSA ISO 22301 + 27001 Lead Auditor wisler@goSecurity.ch Cloud Security](https://reader031.vdokument.com/reader031/viewer/2022022519/5b1517697f8b9a8f548da90b/html5/thumbnails/3.jpg)
Cloud überall
3Quelle: www.dotnetwise.com
![Page 4: Cloud Security Der sichere Weg in die Cloud · Andreas Wisler CEO goSecurity GmbH Dipl. Ing FH, CISSP, CISA, ECSA ISO 22301 + 27001 Lead Auditor wisler@goSecurity.ch Cloud Security](https://reader031.vdokument.com/reader031/viewer/2022022519/5b1517697f8b9a8f548da90b/html5/thumbnails/4.jpg)
Cloud Computing
4
Quelle: digital.guide
![Page 5: Cloud Security Der sichere Weg in die Cloud · Andreas Wisler CEO goSecurity GmbH Dipl. Ing FH, CISSP, CISA, ECSA ISO 22301 + 27001 Lead Auditor wisler@goSecurity.ch Cloud Security](https://reader031.vdokument.com/reader031/viewer/2022022519/5b1517697f8b9a8f548da90b/html5/thumbnails/5.jpg)
Cloud Computing
• Charakteristika
– Selbstzuweisung von Leistungen aus der Cloud
– Entkopplung von Nutzungsschwankungen und Infrastrukturbeschränkungen
– Zuverlässigkeit und Fehlertoleranz garantiert permanent definierte
Qualitätsstandards der IT-Infrastruktur für den Nutzer
– Optimierung und Konsolidierung bietet Effizienz und Ökonomie
– Qualitätssicherung und -kontrolle kann fortlaufend durch den Dienstanbieter
überwacht und sichergestellt werden
5
![Page 6: Cloud Security Der sichere Weg in die Cloud · Andreas Wisler CEO goSecurity GmbH Dipl. Ing FH, CISSP, CISA, ECSA ISO 22301 + 27001 Lead Auditor wisler@goSecurity.ch Cloud Security](https://reader031.vdokument.com/reader031/viewer/2022022519/5b1517697f8b9a8f548da90b/html5/thumbnails/6.jpg)
Arten
6
Quelle: www.krtya.com/images
![Page 7: Cloud Security Der sichere Weg in die Cloud · Andreas Wisler CEO goSecurity GmbH Dipl. Ing FH, CISSP, CISA, ECSA ISO 22301 + 27001 Lead Auditor wisler@goSecurity.ch Cloud Security](https://reader031.vdokument.com/reader031/viewer/2022022519/5b1517697f8b9a8f548da90b/html5/thumbnails/7.jpg)
Arten - Vergleich
7Quelle: Microsoft
![Page 8: Cloud Security Der sichere Weg in die Cloud · Andreas Wisler CEO goSecurity GmbH Dipl. Ing FH, CISSP, CISA, ECSA ISO 22301 + 27001 Lead Auditor wisler@goSecurity.ch Cloud Security](https://reader031.vdokument.com/reader031/viewer/2022022519/5b1517697f8b9a8f548da90b/html5/thumbnails/8.jpg)
Arten - Vergleich
8Quelle: www.itsm.hr
![Page 9: Cloud Security Der sichere Weg in die Cloud · Andreas Wisler CEO goSecurity GmbH Dipl. Ing FH, CISSP, CISA, ECSA ISO 22301 + 27001 Lead Auditor wisler@goSecurity.ch Cloud Security](https://reader031.vdokument.com/reader031/viewer/2022022519/5b1517697f8b9a8f548da90b/html5/thumbnails/9.jpg)
Arten - Vergleich
9Quelle: episerver.com
![Page 10: Cloud Security Der sichere Weg in die Cloud · Andreas Wisler CEO goSecurity GmbH Dipl. Ing FH, CISSP, CISA, ECSA ISO 22301 + 27001 Lead Auditor wisler@goSecurity.ch Cloud Security](https://reader031.vdokument.com/reader031/viewer/2022022519/5b1517697f8b9a8f548da90b/html5/thumbnails/10.jpg)
Risiken
• Verletzung der Vertraulichkeit und Integrität der Daten
• Löschung von Daten
• Ungenügende Mandantentrennung
• Verletzung der Compliance
• Verletzung von Datenschutzgesetzen
• Insolvenz des Providers
• Problematik der Subunternehmer
• Beschlagnahmung von Hardware
• Handel mit Ressourcen
• Erpressungsversuche
10
![Page 11: Cloud Security Der sichere Weg in die Cloud · Andreas Wisler CEO goSecurity GmbH Dipl. Ing FH, CISSP, CISA, ECSA ISO 22301 + 27001 Lead Auditor wisler@goSecurity.ch Cloud Security](https://reader031.vdokument.com/reader031/viewer/2022022519/5b1517697f8b9a8f548da90b/html5/thumbnails/11.jpg)
Risiken
11
Daten werden kopiert,
nicht gestohlen – sie
sind immer noch da!
![Page 12: Cloud Security Der sichere Weg in die Cloud · Andreas Wisler CEO goSecurity GmbH Dipl. Ing FH, CISSP, CISA, ECSA ISO 22301 + 27001 Lead Auditor wisler@goSecurity.ch Cloud Security](https://reader031.vdokument.com/reader031/viewer/2022022519/5b1517697f8b9a8f548da90b/html5/thumbnails/12.jpg)
Cloud-Ausfälle 2015
• Amazon Webservices
– 56 Ausfälle, 2.5 Stunden
• Microsoft Azure
– 71 Ausfälle, 10 Stunden 49 Minuten
– 167 Ausfälle, 11 Stunden 34 Minuten
• IBM Softlayer
– 17 Stunden
• Salesforces
– NAS14 für mehrere Stunden ausgefallen (13. Mai 2016)
• Quelle Zahlen 2015: CloudHarmony, https://cloudharmony.com/status
12
![Page 13: Cloud Security Der sichere Weg in die Cloud · Andreas Wisler CEO goSecurity GmbH Dipl. Ing FH, CISSP, CISA, ECSA ISO 22301 + 27001 Lead Auditor wisler@goSecurity.ch Cloud Security](https://reader031.vdokument.com/reader031/viewer/2022022519/5b1517697f8b9a8f548da90b/html5/thumbnails/13.jpg)
Fragen
• Gibt es ein dokumentiertes Sicherheitskonzept für den Betrieb der ICT-
Infrastruktur und wie wird mit Kundenanforderungen umgegangen?
• Wie erfolgt die physische und logische Kundenseparierung?
• Kann die Einhaltung der Sicherheitsrichtlinien durch den/die Kunden
regelmässig und audit-fähig geprüft werden?
• Ist die Verschlüsselung von Daten ein zentraler Service oder muss dies
kundenspezifisch einzeln implementiert werden?
13
![Page 14: Cloud Security Der sichere Weg in die Cloud · Andreas Wisler CEO goSecurity GmbH Dipl. Ing FH, CISSP, CISA, ECSA ISO 22301 + 27001 Lead Auditor wisler@goSecurity.ch Cloud Security](https://reader031.vdokument.com/reader031/viewer/2022022519/5b1517697f8b9a8f548da90b/html5/thumbnails/14.jpg)
Fragen
• Wie werden Zugriffe durch Administratoren reglementiert?
• Kann sichergestellt werden, dass einmal gelöschte Daten auch auf allen
operativen Backups etc. zuverlässig und permanent gelöscht werden?
• Wie wird mit ungeplanten ICT-Lastveränderungen umgegangen?
• Kann sichergestellt werden, dass alle Daten, Zugriffe usw. entfernt
werden, wenn ein Kunde den Provider verlässt?
14
![Page 15: Cloud Security Der sichere Weg in die Cloud · Andreas Wisler CEO goSecurity GmbH Dipl. Ing FH, CISSP, CISA, ECSA ISO 22301 + 27001 Lead Auditor wisler@goSecurity.ch Cloud Security](https://reader031.vdokument.com/reader031/viewer/2022022519/5b1517697f8b9a8f548da90b/html5/thumbnails/15.jpg)
Vorgehen
• Planung
• Vertrag
– Auditrechte einfordern
– Kennzahlen festlegen
– Schnittstellen definieren
– Regelungen für die Beendigung
• Migration der Daten / Anwendungen / Systeme
• Betrieb
– Logging sicherstellen
15
![Page 16: Cloud Security Der sichere Weg in die Cloud · Andreas Wisler CEO goSecurity GmbH Dipl. Ing FH, CISSP, CISA, ECSA ISO 22301 + 27001 Lead Auditor wisler@goSecurity.ch Cloud Security](https://reader031.vdokument.com/reader031/viewer/2022022519/5b1517697f8b9a8f548da90b/html5/thumbnails/16.jpg)
Schutzmöglichkeiten
• Verschlüsseln der Daten
– BoxCryptor
16
![Page 17: Cloud Security Der sichere Weg in die Cloud · Andreas Wisler CEO goSecurity GmbH Dipl. Ing FH, CISSP, CISA, ECSA ISO 22301 + 27001 Lead Auditor wisler@goSecurity.ch Cloud Security](https://reader031.vdokument.com/reader031/viewer/2022022519/5b1517697f8b9a8f548da90b/html5/thumbnails/17.jpg)
Schutzmöglichkeiten
• Zertifizierung
– ISO 27001 / ISO 27017:2015
• Information technology - Security techniques - Code of practice for information security
controls based on ISO/IEC 27002 for cloud services
• Erweiterte Kontrollen:
– 6.3.1 Shared roles and responsibilities within a cloud computing environment
– 8.1.5 Removal of cloud service customer assets
– 9.5.1 Segregation in virtual computing environments
– 9.5.2 Virtual machine hardening
– 12.1.5 Administrator’s operational security
– 12.4.5 Monitoring of cloud services
– 13.1.4 Alignment of security management for virtual and physical networks
17
![Page 18: Cloud Security Der sichere Weg in die Cloud · Andreas Wisler CEO goSecurity GmbH Dipl. Ing FH, CISSP, CISA, ECSA ISO 22301 + 27001 Lead Auditor wisler@goSecurity.ch Cloud Security](https://reader031.vdokument.com/reader031/viewer/2022022519/5b1517697f8b9a8f548da90b/html5/thumbnails/18.jpg)
Schutzmöglichkeiten
• Zertifizierung
– ISO 27001 / ISO 27017:2015
• 5 Information security policies Moderate
• 6 Organization of information security Moderate
• 7 Human resource security Moderate/Low
• 8 Asset management Moderate/Low
• 9 Access control High
• 10 Cryptography Moderate
• 11 Physical and environmental security Moderate/Low
18Quelle: http://advisera.com/27001academy/blog/2015/11/30/iso-27001-vs-iso-27017-information-security-controls-for-cloud-services/
![Page 19: Cloud Security Der sichere Weg in die Cloud · Andreas Wisler CEO goSecurity GmbH Dipl. Ing FH, CISSP, CISA, ECSA ISO 22301 + 27001 Lead Auditor wisler@goSecurity.ch Cloud Security](https://reader031.vdokument.com/reader031/viewer/2022022519/5b1517697f8b9a8f548da90b/html5/thumbnails/19.jpg)
Schutzmöglichkeiten
• Zertifizierung
– ISO 27001 / ISO 27017:2015
• 12 Operations security Moderate/High
• 13 Communications security Moderate/High
• 14 System acquisition, development and maintenance Moderate
• 15 Supplier relationships Moderate/High
• 16 Information security incident management Moderate
• 17 Information security aspects of business continuity management Low
• 18 Compliance Moderate/High
19Quelle: http://advisera.com/27001academy/blog/2015/11/30/iso-27001-vs-iso-27017-information-security-controls-for-cloud-services/
![Page 20: Cloud Security Der sichere Weg in die Cloud · Andreas Wisler CEO goSecurity GmbH Dipl. Ing FH, CISSP, CISA, ECSA ISO 22301 + 27001 Lead Auditor wisler@goSecurity.ch Cloud Security](https://reader031.vdokument.com/reader031/viewer/2022022519/5b1517697f8b9a8f548da90b/html5/thumbnails/20.jpg)
Schutzmöglichkeiten
• Weitere Zertifizierungen:
• Guidelines / Hilfen:
– Cloud Computing Information Assurance Framework der enisa
– Cloud Security Alliance
– eBooks von CloudComputing-Insider.de
– BSI Grundschutzhandbücher (vier Bausteine)
20
![Page 21: Cloud Security Der sichere Weg in die Cloud · Andreas Wisler CEO goSecurity GmbH Dipl. Ing FH, CISSP, CISA, ECSA ISO 22301 + 27001 Lead Auditor wisler@goSecurity.ch Cloud Security](https://reader031.vdokument.com/reader031/viewer/2022022519/5b1517697f8b9a8f548da90b/html5/thumbnails/21.jpg)
Fazit
Nutzung von Cloud-Diensten nicht mehr wegzudenken
Mit Konzept vorgehen Planung notwendig
Mögliche geeignete Partner im Vorfeld prüfen
Datenschutzaspekte berücksichtigen
Kontrolle, Kontrolle, Kontrolle
21
![Page 22: Cloud Security Der sichere Weg in die Cloud · Andreas Wisler CEO goSecurity GmbH Dipl. Ing FH, CISSP, CISA, ECSA ISO 22301 + 27001 Lead Auditor wisler@goSecurity.ch Cloud Security](https://reader031.vdokument.com/reader031/viewer/2022022519/5b1517697f8b9a8f548da90b/html5/thumbnails/22.jpg)
Unser Wissen für Ihre Sicherheit
22
Power Audit Review
IT-Security Konzepte
Schulung / Awareness
Premium Audit
Penetration Test
![Page 23: Cloud Security Der sichere Weg in die Cloud · Andreas Wisler CEO goSecurity GmbH Dipl. Ing FH, CISSP, CISA, ECSA ISO 22301 + 27001 Lead Auditor wisler@goSecurity.ch Cloud Security](https://reader031.vdokument.com/reader031/viewer/2022022519/5b1517697f8b9a8f548da90b/html5/thumbnails/23.jpg)
Unsere Experten für Ihre IT-Sicherheit
23
A. Wisler Th. Furrer S. Müller
A. Kulhanek M. Hamborgstrøm M. Hennet C. Wehrli S. Walser