MolnsäKerhet (Symposia 2009)

1 1

Molnsäkerhet Per Hägerö, CTO

1

Agenda

•  Vad är molnet? •  Strategi för molnsäkerhet •  PortWise Moln erbjudande

2

3

•  För några •  Skräddarsytt •  Lokal produktion och kontroll •  Balans- och resultaträkning

4

•  För alla •  Standardiserat •  On-demand •  Resultaträkning

5

•  Valfrihet •  Komplement •  Personligt •  Skräddarsytt •  Lokal leverans och kontroll •  Balans- och resultaträkning

6

7

8 8

Kostnad

Säkerhet (Privacy) 400,000 användare

VAD ÄR MOLNET?

9

10

11 11

12 12

834

•  8 egenskaper –  Agilt, Opex, Oberoende, Fler-familjshus, Pålitlighet,

Skalbarhet, Säkerhet, Uthållighet

•  3 servicemodeller –  IaaS, PaaS, SaaS

•  4 spridningssätt –  Privat, Grupp, Publik, Hybrid

13

Kriterier för molntjänster

14

•  Publikt åtkomligt •  Administrationsgränssnitt via API •  Stöd för flera hyresgäster •  Rätt kostnad för kunden •  Skalbarhet och elastisitet •  Webbaserad administration •  Snabb tilldelning och självbetjäning •  Virtualisering och hårdvaruoberoende

Virtualisering och hårdvaruoberoende

•  Användare kan använda tjänsten oberoende av vad andra gör

• Obegränsat med kapacitet (?) •  Ingen hårdvarubegränsning

15

Snabb tilldelning och självbetjäning

• Det ska gå snabbt att få tillgång till nya resurser (minuter…istället för dagar och veckor)

• Det bör vara möjligt för kunden att själv kunna lägga till och ta bort resurser

16

Administration

•  Administrationen sker genom en tunn klient •  Standardiserade gränssnitt (?)

–  Utmaning: Admistrera fler moln från samma gränssnitt

17

Skalbarhet och elasticitet

•  Enkel och dynamisk skalbarhet –  Skala upp men också skala ner

• Minne, lagring, CPU kapacitet •  I run-time

18

Rätt kostnad för kunden

•  Kunden ska endast betala för det som kunden “konsumerar”

•  Idag finns det en flora av betalningsmodeller •  Leverantörer måste erbjuda modeller som är

relevanta för kunden

19

Stöd för flera hyresgäster

•  För att nå fördelarna måste tjänsten hantera flera hyresgäster

•  Låter enkelt men; –  Tänk på att olika kunder inte ska påverka varandra –  Säkerheten

20

Administrationsgränssnitt via API

• Måste tillhandahålla gränssnitt för administration för bl a; –  Användare –  Tilldelning av rättigheter –  Integration

• Webadmin = API Admin

21

Publikt åtkomligt

•  En molntjänst ska vara möjlig att använda och adminnistrera över Internet.

•  (Gäller inte privat moln och grupp moln)

22

Servicemodeller

23

IaaS

PaaS

SaaS

Infrastruktur som tjänst (IaaS)

• Hyr processor-, nätverks-, lagrings- och andra fundamentala IT-resurser

•  Kör egen programvara som inkluderar operativsystem och applikationer

•  Ingen kontroll över hårdvaran men har kontroll över övriga delar och kan t ex själv välja nätverkskomponenter som brandväggar och VPN

24

Plattform som tjänst (PaaS)

•  Kör egna applikationer i moln infrastrukturen genom att använda programspråk och verktyg som tjänsteleverantören stödjer (t ex Java, .Net)

•  Ingen kontroll över den underliggande infrastrukturen

•  Kontroll över applikationen och eventuellt konfigurationsmiljön för applikationen

25

Applikation som tjänst (SaaS)

•  Kör tjänsteleverantörens applikationer som är tillgängliga via tunna klienter helst över flera olika typer av enheter

•  Ingen kontroll över något egentligen förutom applikationsspecifika inställningar

26

Cirrus eller Altocumulus

27

SaaS

PaaS

IaaS

28 28

Tillämpning och använding

29

Privat moln (internt eller

hostat) Grupp moln Publikt

Moln Hybrid moln

STRATEGI FÖR MOLNSÄKERHET

30

Innebär det något nytt?

•  Visst det adderar ett antal frågetecken…. –  Tillit till leverantör –  Flera hyresgäster –  Kryptering –  Compliance –  Vem har åtkomst till mitt data? –  Lagras det säkert? –  Data recovery? –  Lösenord? –  Inlåsningseffekter?

31

Men ärligt….?

•  Är det inte så att molntjänster till viss del redan belyser svagheter och sårbarheter som redan finns in nuvarande “Enterprise Architecture”? –  Full koll på data åtkomst? –  Säker lagring? –  Data recovery? –  Lösenord? –  Micros, förlåt inlåsning?

32

Men visst…

•  det finns ingen anledning att göra om samma misstag flera gånger

•  det är lättare (?) att känna till egna brister och svårare att upptäcka dem hos tjänsteleverantören (det krävs tillit till leverantören)

•  det senare kan förstås vara skönt men kan vara extremt stressande vid kontrollbehov

•  Glöm inte vem som äger varumärket för din organisation eller ditt företag (ett fel hos leverantören är ditt fel)

33

Vissa saker är förstås ännu tydligare

•  Skalskydd –  Brandväggsförsvaret satt ur spel (kanske inte helt sant

för IaaS)

•  Identitetshantering –  Tydligare behov av en fungerande livscykelshantering

och provisioning (om framför allt de-provisioning)

•  Behovet av att värdera ur ett informationsvärdesperspektiv och sedan tillämpa rätt skydd (floskeltoppen ?)

34

Generella säkerhetsfördelar

•  Separering av publik data och känslig data innebär reducerad risk om det publika läggs I molnet

• Molnet är mer definierat och homogent vilket underlättar revision och testning

• Molnet skapar förutsättning för automatiserad “security management”

•  Inbyggt stöd för redundans och återskapning

35

Generella säkerhetsutmaningar

•  Tillit till leverantörens säkerhetslösning(ar) •  Kundens svårigheter att kunna “handla” på

saker som framkommer i en revision • Möjligheten att göra undersökningar i

leverantörens miljö •  Indirekta administratörer (superadmin) •  Ingen möjlighet att undersöka egentillverkade /

slutna lösningar •  Ingen fysisk kontroll

36

Fördelar vs. Utmaningar

• OBS! Dessa måste värderas unikt för varje leverantör och dessutom ur perspektivet vad tjänsten ska lösa

37

Fördelar med molnsäkerhet

•  Större IT-säkerhetsbudget (t ex dedikerat säkerhetsteam)

•  Bättre feltolerans, högre tillgänglighet •  Tillgång till för-akrediterade miljöer • On-demand säkerhet

38

Utmaningar med molnsäkerhet

•  Data utspridning och internationell lagstiftning –  EU’s direktiv för data skydd, PUL, U.S. Safe Harbor program –  Exponering av data för andra stater –  Information Management (Kvarhållning av data, borttagning)

•  Isolerad administration •  Flera hyresgäster •  Loggning •  Äganderätt över data •  Garantier för QoS •  Större belöning för hackare •  Säkerhet i hypervisors, virtuellt OS osv. •  Större driftsstopp •  Kryptering (åtkomst till resursadministration, administrativ åtkomst till OS,

åtkomst till applikationer, datalagring) •  Polices över olika moln

39

Ansvarstagande för säkerheten

40

IaaS PaaS SaaS

Kunden Ansvarstagande

Tjänsteleverantören

Flexibilitet i säkerheten

41

IaaS PaaS SaaS

Kunden Tjänsteleverantören

Flexibilitet

Riskexponering vs. Cost

42

Privat moln

Grupp moln

Publikt Moln

Kostnad

Riskexponering

Säkerhetsarkitektur

• Moln har oftast en säkerhetsarkitektur men kunderna har olika krav –  Molnen måste erbjuda en flexibilitet

•  Kontroll –  Privat > Grupp > Publikt

•  Känsligare data kommer att placeras i moln där organisationen har kontroll över säkerhetsarkitekturen

43

Värdera vid val

•  Governance och Riskhantering

•  Legala krav •  Electronic Discovery •  Compliance och Revision •  Livscykel för informationen •  Portabilitet och

Interoperabilitet •  Kontinuitetsplanering

•  Data Center Operations •  Incidenthantering och

rapportering, •  Applikations säkerhet •  Kryptering och

nyckelhantering •  Identitets- och

Åtkomsthantering •  Lagring •  Virtualisering

44 Ref: Cloud Security Alliance

Hur får jag ihop det?

• De flesta molnen kommer att behöva väldigt starka säkerhetskontroller

•  Välj rätt moln genom att väga riskexponering mot kostnader

• MOLNET finns inte, det finns många moln, modeller och arkitekturval

45

Komma igång

• Gör en översikt av möjliga tjänster •  Värdera tjänsten och vilken typ av moln som

passar bäst för dig

46

STANDARDISERING

47

Status

• Här finns det jobb att göra • Molnet använder i och för sig en massa

standarder men… • Det finns behov att hjälpa kunder med

interoperabilitet och utvärderingskriterier –  T ex migrering mellan tjänster

•  Kommer att vara lättare för IaaS och sedan med stigande svårighetsgrad

48

Exempel

•  IAM –  Federation (SAML, WS-federation, Liberty ID-FF) –  Stark autentisering (HOTP, OCRA, TOTP) –  Åtkomsthantering (XACML)

•  Kryptering –  PKI, PKCS,

•  Information Management –  ISO 15489

49

PORTWISE ERBJUDANDE

50

51

---------------------------------------------

52

Google Apps Salesforce.com

Windows Live Rackspace

Amazon EC2

Grupp Moln

UniPoint

Privata Moln

>> Autentisering >> Åtkomstkontroll >> Single Sign-On >> Personaliserad portal >> Provisioning >> Identitetshantering >> Spårbarhet >> Federering

---------------------------------------------

OpenAir

Skola 24 Dexter Fronter

Rexnet

Zoho

Projectplace

---------------------------------------------

---------------------------------------------

Enterprise Apps

frågor, funderingar, förslag…

•  Nu •  [email protected] •  linkedin.com/hagero •  facebook.com/hagero •  twitter.com/hagero •  [email protected] •  070-2691466 •  Färögatan 33, Kista •  eller hos Er

53

54