Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011

Pilvipalvelut – vääjäämättömyys vai mahdottomuus?

Petri Aukia, Codento Oy Jonna Särs, Nixu Oy

Petri Aukia •  Lic. Tech, CISSP, CSSLP •  Codento Oy

–  Pilvipalvelujen arkkitehtuuri ja konsultointi

–  Järjestelmätoteutukset –  Amazon ja Eucalyptus

–kumppani –  Toistakymmentä

pilvihanketta viime vuosina

Jonna Särs •  DI, CISSP •  Nixu Oy

–  Tietoturvaperiaatteet ja -strategiat, riskienhallinta ja jatkuvuussuunnittelu

–  Tietoturva-arkkitehtuurit, IAM, SIEM, PKI

–  Tietoturva ohjelmistokehityksessä

–  Tietoturva-auditoinnit ja -testaukset

–  n. 400 projektia 150 asiakkaalle vuonna 2010

Pilvipalveluja helppo hankkia…

•  …ohi virallisten hankintaprosessien

Sopimusehdot

•  Toimittaja sanelee •  Ei lupauksia

tietoturvasta •  Riitojen ratkaisu

ulkomailla

Perinteiset suojamekanismit käyttökelvottomia

•  Ei fyysistä kontrollia •  Ei palomuuria •  Salasana todennukseen

riittämätön

Hyökkäyskohteena houkuttelevampi

•  Usean organisaation tiedot samassa kasassa

Hajautettu malli

•  Missä tiedot sijaitsevat? •  Ketkä systeemiä pyörittävät? •  Minkä maan lainsäädäntö?

Monimutkaisuus

•  Enemmän pisteitä missä jokin voi mennä pieleen

Musta laatikko / sika säkissä

•  Ei kontrollia •  Ei näkyvyyttä riskeihin •  Ei auditointimahdollisuutta

Tiedot vankina?

•  Entä jos palveluntarjoaja lakkaa olemasta?

Oma vastuu unohtuu

•  Päätelaitteet •  Henkilöstön

ohjeistus

Pilven sisällä pilvi, jonka sisällä pilvi, jonka sisällä…

•  Korostaa haasteita entisestään •  Miten toimitaan ongelmatilanteissa?

Tulossa…

…vääjäämättömästi

Mikä on tärkeää?

+ Parempi saatavuus -  Huonompi luottamuksellisuus -  Huonompi eheys

Mistä kannattaa aloittaa?

1.  Selvitä toimintatapoja 2.  Osallistu pilotteihin 3.  Kehitä hallintamalli

Järjestelmien luokittelu

1.  Mahdottomat 2.  Vaikeat 3.  Samantekevät 4.  Hyötyvät

Integraation haasteet

Tutkittava ajoissa

Vanhat synnit

•  Systematiikan puute •  Sovellusvirheet •  Alustavaikeudet •  Asiakasympäristö •  Puutteellinen operointi

Tiedon luokittelu

•  Tunne järjestelmät •  Luo kategoriat •  Vie pilveen ensin siitä hyötyvät

järjestelmät •  Ymmärrä mihin pilvi ei ole valmis

Sertifiointi vääjäämätöntä

•  Yleisiä / spesifisiä •  Mallit hakusessa •  Tavalliset asiakkaat eivät

voi auditoida pilvipalveluja

Yleiset sertifikaatit

•  ISO 27001 / SAS 70 / PCI DSS •  Hyviä rehellisissä käsissä •  Pelottavia tarjouksissa

Middleware -ongelma

•  IAM •  Hyökkäyksenhavainnointi •  Logienhallinta

Vaatimuksenmukaisuus

•  3. osapuolelle osoittamisen mahdollisuudet rajatut

•  Järjestelmäarkkitehtuuri poikkeaa vaatimusmallien oletuksista

•  Arkkitehtuuri helposti ristiriidassa lainsäädännön kanssa

Luottamus

•  Pohjautuuko faktoihin? •  Luottamus henkilöstöön? •  Tiedon omistus •  Yhdistetyt palvelut •  Riskienhallinta

Arkkitehtuuri

•  Saatavuus •  Hyökkäyspinta •  Verkkoratkaisut •  Kriittinen tieto •  Selaimen suojaus •  Palvelimien suojaus

Identiteetinhallinta

•  Autentikointi – SAML, (OpenId)

•  Pääsynhallinta – XACML, oAuth

Pilvipalvelujen haitat

•  Järjestelmien monimutkaisuus •  Monen asiakkaan ympäristöt •  Internet avaukset •  Kontrollin puute

Pilvipalvelujen edut

•  Henkilöstön erikoistuminen •  Alustan vahvuus •  Resurssien saatavuus •  Varakopiointi •  Mobiilikäyttö •  Tiedon keskittäminen

Toimi luotsina

•  Luotettava kumppani myrskyssä

•  Tuo aina satamaan •  Ei kyseenalaista

merenkulkua •  Oman alansa

ammattilainen

Lähteitä http://wiki.cloudsecurityalliance.org/guidance/index.php/References http://www.delicious.com/peba/cloud http://csrc.nist.gov/publications/drafts/800-144/Draft-SP-800-144_cloud-computing.pdf http://www.gartner.com/it/page.jsp?id=1464514 http://www.sans.org/reading_room/analysts_program/mcafee_carbird_08_2010.pdf http://www.opengroup.org/jericho/publications.htm http://cloudaudit.com/ http://www.springerlink.com/content/0159w45v27661549/fulltext.pdf Kuvat: http://www.flickr.com/, Creative Commons

Kiitos!

Kysymyksiä?