ºÝºÝߣ

ºÝºÝߣShare a Scribd company logo

Nixu pilvipalveluiden tietoturvallisuus

?
?
Kim Westerlund
Kim Westerlund

In finnish

1 of 19
ISACA 15.4.2010 Kim Westerlund johtava konsultti, Nixu Oy We?must?defend?the?Customer?from?risks,?but? purely?defensive?approach?may?prevent?us?from? seeing?opportuni:es.? ? Nixu 2010
Agenda ?? Pilvipalvelumallit lyhyesti ?? Pilvipalvelut ostajan n?k?kulmasta ?? Huomioitavia asioita tietoturvan osalta ?? Suosituksia ?? Tutkimushankkeen lyhyt esittely Huom!?T?m??esitys?on?suunna0u?1etohallintojohdolle?sek??? 1etoturvajohdon?vies1nt??n?liiketoimintajohdolle.? 4/15/10 ? Nixu 2010
Nixu Oy ?? Suomen suurin tietoturvan asiantuntijapalveluyritys ¨C yli 80 henke? ?? Perustettu 1988, liikevaihto yli 8 M€ ¨C? Yli 100 asiakasta yli 300 projektissa viime vuonna ?? Konsultoimme sek? pilvipalvelujen tuottajia ett? hankkijoita. ¨C? Kymmenet projektimme koskettivat viime vuonna verkon ylitse hankittavia palveluja. ?? 96 % asiakkaistamme on valmis suosittelemaan kollegalleen (syksy ¡¯09) ?? www.nixu.fi 4/15/10 ? Nixu 2010
Tekem?ss? ensimm?isi? siirtoja pilvipalveluiden hy?dynt?j?n?¡­ 4/15/10 ? Nixu 2009
Omasta verkosta pilvipalveluihin SoNware?as?a?Service?(SaaS)? tai palveluita yhdelt? kumppanilta¡± Private cloud eli yksityinen pilvi ¡°Virtualisoitua konetehoa, alustaoja ¡°CRM©\j?rjestelm??verkon?ylitse¡±? hallinta?v?henee,?riskit?kasvavat? Palvelukokonaisuus?laajenee? PlaIorm?as?a?Service?(PaaS)? ¡°Web©\hotelli?verkon?ylitse?omaa?verkkokauppaa?varten¡±? Windows?Azure,?Google?AppEngine? Infrastructure?as?a?Service?(IaaS)? ¡°K?y>?j?rjestelm?alustoja?verkon?ylitse?omaa? soDakehityst??varten¡±? Amazon?Web?Services,?Rackspace? Oman?verkon?konesalit? ¡°Oma?konesali?tai?ulkoistetut?dedikoidut?palvelimet? kytke>yn??omaan?verkkoon¡±? 4/15/10 ? Nixu 2010
Pilvipalvelut ostajan n?k?kulmasta +? Joustavia?(k?y0??ja?jae0avuus)? +? +? Vain?k?yt?st??maksetaaan? +? Palvelut?kehi0yv?t?toimi0ajien?toimesta? +? Hajaute0avuus?(turvaavat?saatavuu0a)? +? Skaalaedut?1etoturvan?toteutuksessa? -? KriiSsi??1etoja?tai?palveluja?siirtyy?kolmansille? ?? osapuolille? -? Hallinta?vain?sopimusteitse? -? Arkkitehtuurin?hallinta?vaikeutuu? -? Toiminta?ongelma1lanteissa? -? Palveluita?voidaan?ostaa?1etohallinnon?ohi? Kun?hajautetussa?pilvess??toimiva?liiketoimintakriiHnen?sovelluksesi?lakkaa? toimimasta?*mahdollises:*?pilvituo>ajan?ongelmista?johtuen,?kenelle? soitat?ja?kannustat?hoitamaan?ongelmat?kuntoon?? 4/15/10 ? Nixu 2010
CIO:den mielest? tietoturvallisuus on huoli nro 1 mietitt?ess? pilvipalveluita. 4/15/10 ? Nixu 2009
4/15/10 ? Nixu 2009
Cloud Security Alliance - 7 suurinta uhkaa 1.? rikollinen k?ytt? 2.? turvattomat rajapinnat 3.? pahaa tahtovat sis?piiril?iset 4.? jaetun teknologia-alustan eristys 5.? tiedon h?vi?minen tai tietovuoto 6.? k?ytt?j?tunnusten kaappaaminen 7.? tuntematon riski http://www.cloudsecurityalliance.org/topthreats/csathreats.v1.0.pdf 4/15/10 ? Nixu 2009
T?rke?? tietoa palomuurin ulkopuolella ?? Tietoturvalla ei ole vaatteita ¨C? Monista k?yt?nn?ist? puhuttu enemm?n kuin tehty ¨C? Loppujen lopuksi on luotettu l?hinn? palomuuriin ?? Pilvimaailmassa teht?v? enemm?n: ¨C? Tiedon luokittelu ?? mm. sopimukselliset sek? lains??d?nn?lliset vaatimukset ¨C? Riskianalyysiprosessi ¨C? Huolelliset jatkuvuussuunnitelmat ¨C? Toimittajien tarkastus ?? Miten kokonaisarkkitehtuuri saadaan 4/15/10 ? Nixu 2009 pidetty? otteessa?
Riskianalyysin kahdet kasvot MAHDOLLISUUKSI RISKINHALLINTA©\ EN?ja?RISKIEN? ARVON?HALLINTA? PROSESSI? TUNNISTAMINEN? ISACA Risk IT 4/15/10 ? Nixu 2009
Riskianalyysin 3 osaa Palvelun?k?y0?? ??Sopimukset? ja?tuotanto? ??Tiedon?palautus? ??Palvelutasolupaus?(SLA)? ??My?t?vaiku0amis©\ ??K?yte0?vyys? ??Tietotoriski? velvollisuus? ??Vastuut?ja?roolit? ??Opera1iviset?riskit? ??Sank1ot? ??Ohjausrakenteet? ??Tietoturvatapahtumien? ja?ongelmien?hallinta?? Palvelun? Palvelun? hankinta? lopetus? Ulkoistamisen?vanhat?synnit:? ???Ulkoistetaan?ongelma? KATSO MY?S http://www.enisa.europa.eu/act/rm/files/deliverables/ ???Valitaan?haluton?tai?kyvyt?n? cloud-computing-risk-assessment kumppani? 4/15/10 ? Nixu 2009 ???Tehd??n?surkea?sopimus?
Suosituksia ?? Laadi ja hyv?ksyt? yksinkertainen ohje pilvipalveluiden (etenkin SaaS) hankintaan muita yksik?it? varten ?? Suorita tietojen luokittelua ¨C? Mieti kumpi on t?rke?mp??: luottamuksellisuus vai saatavuus ?? Mieti arkkitehtuuria: ¨C? Kuinka k?ytt?valtuudet hallitaan, miten turva-arkkitehtuuria seurataan, audit trail¡­ ?? Tee riskianalyysi aina p??tett?ess? jonkin palvelun siirrosta pilveen ?? Sopimusta tehdess?, ymm?rr? SLA:t ?? Edellyt? tuottajan teett?m?? tietoturvatarkastusta (tai teet? itse) ja vaadi todisteita n?ht?v?ksi 4/15/10 ? Nixu 2010
IaaS-kelpoisen sovelluksen tietoturvaominaisuuksia ?? Tietovarasto on salattu ja varmistettavissa. ?? API-rajapinnat tukevat luottamuksellisuuden ja eheyden varmistamista (kuten SOAn WS- Security). ?? K?ytt?j?tunnistus on ulkoistettu, eli luottaa kotiverkon tunnistukseen (=federointi). ?? K?ytt?valtuushallinnan ulkoistus eli ns. claims based -sovellus tai k?ytt?valtuuksia voi yll?pit?? turvallisesti omasta IdM- j?rjestelm?st? k?sin (WS-SPML). ?? P??k?ytt?jien tunnistus on vahvempi. ?? Sovellukselle on tehty hyv? pentesti 4/15/10 ? Nixu 2009
Ty?asemabackup pilvest?: 5€/kk K?ytt??notto ilman riskienhallintaprosessia: 10 min Luottamukselliset tiedot vaatimusten vastaisesti ETA:n ulkopuolella ? nopea p??t?s lopettaa palvelun k?ytt?¡­ ¡­ ¡±PRICELESS¡± 4/15/10 ? Nixu 2009
Cloud Provider Security ¨Ckartoitus ?? Suunnitelmana toteuttaa tietoturvan kartoitushanke ¨C? 10-20 suomalaisen ja kansainv?lisen toimijan ¨C? Julkisen ja private cloud-toimijan ¨C? Kes?n 2010 aikana ?? Vertaamme ja arvioimme palvelujen turvallisuutta [AUDITOINTI] ¨C? Sek? havaittua laatua, palvelulupausta ett? SLA-ehtoja ?? Luomme luokittelun turva-tasoille ja riskikartoituspohjan ?? Etsimme mukaan kiinnostuneita jakamaan kartoituksen kustannuksia ja saamaan tutkimusraportin k?ytt??ns?. ?? Suunniteltu kustannustaso 10-15 k€ / osallistuva organisaatio ?? Kiinnostaako? ¨C? Jos riitt?v?sti kiinnostuneita l?ytyy, ty?st?mme varsinaisen tutkimussuunnitelman ja sovimme asiasta valittujen cloud-toimijoiden kanssa. 4/15/10 ? Nixu 2009
Muista n?m?! LUOKIT©\ TELU? RISKINHAL LINTA©\ PROSESSI? ARKKITEH©\ TUURI? SLA?ja? VALVONTA? 4/15/10 ? Nixu 2009
Kiitos, autamme mielell?mme tekem??n oikean siirron! p. 040 521 3125 Nixu Oy Keilaranta 15 02151 Espoo www.nixu.fi 4/15/10 ? Nixu 2009
Palvelualueemme Advise Build Develop? Inspect ohjeistaa rakentaa kehi5??? tarkastaa ?? Tietoturvastrategia ?? Identiteetinhallinnan ?? Turvallinen ?? PCI DSS auditoinnit ?? Riskienhallinta konsultointi ja toteutus ohjelmistokehitys ?? Tietoturva-auditoinnit ?? Jatkuvuussuunnittelu ?? P??synhallinta ?? Linux/embedded ?? Verkon murtotestaus ?? Tietoturvapolitiikat ja ?? PKI kehitys ohjelmistokehitys ?? Web-sovellusten ohjeistot ?? Lokienhallinnan ?? Secure SDLC murtotestaus ?? Tietoturvakulttuurin konsultointi ?? Forensiikka luonti ja jalkautus ?? Turva-arkkitehtuuri ?? Testausautomaatio ?? Vaatimustenmukaisuus Apr-15-10 ? Nixu 2010

More Related Content

Nixu pilvipalveluiden tietoturvallisuus

  • 1. ISACA 15.4.2010 Kim Westerlund johtava konsultti, Nixu Oy We?must?defend?the?Customer?from?risks,?but? purely?defensive?approach?may?prevent?us?from? seeing?opportuni:es.? ? Nixu 2010
  • 2. Agenda ?? Pilvipalvelumallit lyhyesti ?? Pilvipalvelut ostajan n?k?kulmasta ?? Huomioitavia asioita tietoturvan osalta ?? Suosituksia ?? Tutkimushankkeen lyhyt esittely Huom!?T?m??esitys?on?suunna0u?1etohallintojohdolle?sek??? 1etoturvajohdon?vies1nt??n?liiketoimintajohdolle.? 4/15/10 ? Nixu 2010
  • 3. Nixu Oy ?? Suomen suurin tietoturvan asiantuntijapalveluyritys ¨C yli 80 henke? ?? Perustettu 1988, liikevaihto yli 8 M€ ¨C? Yli 100 asiakasta yli 300 projektissa viime vuonna ?? Konsultoimme sek? pilvipalvelujen tuottajia ett? hankkijoita. ¨C? Kymmenet projektimme koskettivat viime vuonna verkon ylitse hankittavia palveluja. ?? 96 % asiakkaistamme on valmis suosittelemaan kollegalleen (syksy ¡¯09) ?? www.nixu.fi 4/15/10 ? Nixu 2010
  • 4. Tekem?ss? ensimm?isi? siirtoja pilvipalveluiden hy?dynt?j?n?¡­ 4/15/10 ? Nixu 2009
  • 5. Omasta verkosta pilvipalveluihin SoNware?as?a?Service?(SaaS)? tai palveluita yhdelt? kumppanilta¡± Private cloud eli yksityinen pilvi ¡°Virtualisoitua konetehoa, alustaoja ¡°CRM©\j?rjestelm??verkon?ylitse¡±? hallinta?v?henee,?riskit?kasvavat? Palvelukokonaisuus?laajenee? PlaIorm?as?a?Service?(PaaS)? ¡°Web©\hotelli?verkon?ylitse?omaa?verkkokauppaa?varten¡±? Windows?Azure,?Google?AppEngine? Infrastructure?as?a?Service?(IaaS)? ¡°K?y>?j?rjestelm?alustoja?verkon?ylitse?omaa? soDakehityst??varten¡±? Amazon?Web?Services,?Rackspace? Oman?verkon?konesalit? ¡°Oma?konesali?tai?ulkoistetut?dedikoidut?palvelimet? kytke>yn??omaan?verkkoon¡±? 4/15/10 ? Nixu 2010
  • 6. Pilvipalvelut ostajan n?k?kulmasta +? Joustavia?(k?y0??ja?jae0avuus)? +? +? Vain?k?yt?st??maksetaaan? +? Palvelut?kehi0yv?t?toimi0ajien?toimesta? +? Hajaute0avuus?(turvaavat?saatavuu0a)? +? Skaalaedut?1etoturvan?toteutuksessa? -? KriiSsi??1etoja?tai?palveluja?siirtyy?kolmansille? ?? osapuolille? -? Hallinta?vain?sopimusteitse? -? Arkkitehtuurin?hallinta?vaikeutuu? -? Toiminta?ongelma1lanteissa? -? Palveluita?voidaan?ostaa?1etohallinnon?ohi? Kun?hajautetussa?pilvess??toimiva?liiketoimintakriiHnen?sovelluksesi?lakkaa? toimimasta?*mahdollises:*?pilvituo>ajan?ongelmista?johtuen,?kenelle? soitat?ja?kannustat?hoitamaan?ongelmat?kuntoon?? 4/15/10 ? Nixu 2010
  • 7. CIO:den mielest? tietoturvallisuus on huoli nro 1 mietitt?ess? pilvipalveluita. 4/15/10 ? Nixu 2009
  • 8. 4/15/10 ? Nixu 2009
  • 9. Cloud Security Alliance - 7 suurinta uhkaa 1.? rikollinen k?ytt? 2.? turvattomat rajapinnat 3.? pahaa tahtovat sis?piiril?iset 4.? jaetun teknologia-alustan eristys 5.? tiedon h?vi?minen tai tietovuoto 6.? k?ytt?j?tunnusten kaappaaminen 7.? tuntematon riski http://www.cloudsecurityalliance.org/topthreats/csathreats.v1.0.pdf 4/15/10 ? Nixu 2009
  • 10. T?rke?? tietoa palomuurin ulkopuolella ?? Tietoturvalla ei ole vaatteita ¨C? Monista k?yt?nn?ist? puhuttu enemm?n kuin tehty ¨C? Loppujen lopuksi on luotettu l?hinn? palomuuriin ?? Pilvimaailmassa teht?v? enemm?n: ¨C? Tiedon luokittelu ?? mm. sopimukselliset sek? lains??d?nn?lliset vaatimukset ¨C? Riskianalyysiprosessi ¨C? Huolelliset jatkuvuussuunnitelmat ¨C? Toimittajien tarkastus ?? Miten kokonaisarkkitehtuuri saadaan 4/15/10 ? Nixu 2009 pidetty? otteessa?
  • 11. Riskianalyysin kahdet kasvot MAHDOLLISUUKSI RISKINHALLINTA©\ EN?ja?RISKIEN? ARVON?HALLINTA? PROSESSI? TUNNISTAMINEN? ISACA Risk IT 4/15/10 ? Nixu 2009
  • 12. Riskianalyysin 3 osaa Palvelun?k?y0?? ??Sopimukset? ja?tuotanto? ??Tiedon?palautus? ??Palvelutasolupaus?(SLA)? ??My?t?vaiku0amis©\ ??K?yte0?vyys? ??Tietotoriski? velvollisuus? ??Vastuut?ja?roolit? ??Opera1iviset?riskit? ??Sank1ot? ??Ohjausrakenteet? ??Tietoturvatapahtumien? ja?ongelmien?hallinta?? Palvelun? Palvelun? hankinta? lopetus? Ulkoistamisen?vanhat?synnit:? ???Ulkoistetaan?ongelma? KATSO MY?S http://www.enisa.europa.eu/act/rm/files/deliverables/ ???Valitaan?haluton?tai?kyvyt?n? cloud-computing-risk-assessment kumppani? 4/15/10 ? Nixu 2009 ???Tehd??n?surkea?sopimus?
  • 13. Suosituksia ?? Laadi ja hyv?ksyt? yksinkertainen ohje pilvipalveluiden (etenkin SaaS) hankintaan muita yksik?it? varten ?? Suorita tietojen luokittelua ¨C? Mieti kumpi on t?rke?mp??: luottamuksellisuus vai saatavuus ?? Mieti arkkitehtuuria: ¨C? Kuinka k?ytt?valtuudet hallitaan, miten turva-arkkitehtuuria seurataan, audit trail¡­ ?? Tee riskianalyysi aina p??tett?ess? jonkin palvelun siirrosta pilveen ?? Sopimusta tehdess?, ymm?rr? SLA:t ?? Edellyt? tuottajan teett?m?? tietoturvatarkastusta (tai teet? itse) ja vaadi todisteita n?ht?v?ksi 4/15/10 ? Nixu 2010
  • 14. IaaS-kelpoisen sovelluksen tietoturvaominaisuuksia ?? Tietovarasto on salattu ja varmistettavissa. ?? API-rajapinnat tukevat luottamuksellisuuden ja eheyden varmistamista (kuten SOAn WS- Security). ?? K?ytt?j?tunnistus on ulkoistettu, eli luottaa kotiverkon tunnistukseen (=federointi). ?? K?ytt?valtuushallinnan ulkoistus eli ns. claims based -sovellus tai k?ytt?valtuuksia voi yll?pit?? turvallisesti omasta IdM- j?rjestelm?st? k?sin (WS-SPML). ?? P??k?ytt?jien tunnistus on vahvempi. ?? Sovellukselle on tehty hyv? pentesti 4/15/10 ? Nixu 2009
  • 15. Ty?asemabackup pilvest?: 5€/kk K?ytt??notto ilman riskienhallintaprosessia: 10 min Luottamukselliset tiedot vaatimusten vastaisesti ETA:n ulkopuolella ? nopea p??t?s lopettaa palvelun k?ytt?¡­ ¡­ ¡±PRICELESS¡± 4/15/10 ? Nixu 2009
  • 16. Cloud Provider Security ¨Ckartoitus ?? Suunnitelmana toteuttaa tietoturvan kartoitushanke ¨C? 10-20 suomalaisen ja kansainv?lisen toimijan ¨C? Julkisen ja private cloud-toimijan ¨C? Kes?n 2010 aikana ?? Vertaamme ja arvioimme palvelujen turvallisuutta [AUDITOINTI] ¨C? Sek? havaittua laatua, palvelulupausta ett? SLA-ehtoja ?? Luomme luokittelun turva-tasoille ja riskikartoituspohjan ?? Etsimme mukaan kiinnostuneita jakamaan kartoituksen kustannuksia ja saamaan tutkimusraportin k?ytt??ns?. ?? Suunniteltu kustannustaso 10-15 k€ / osallistuva organisaatio ?? Kiinnostaako? ¨C? Jos riitt?v?sti kiinnostuneita l?ytyy, ty?st?mme varsinaisen tutkimussuunnitelman ja sovimme asiasta valittujen cloud-toimijoiden kanssa. 4/15/10 ? Nixu 2009
  • 17. Muista n?m?! LUOKIT©\ TELU? RISKINHAL LINTA©\ PROSESSI? ARKKITEH©\ TUURI? SLA?ja? VALVONTA? 4/15/10 ? Nixu 2009
  • 18. Kiitos, autamme mielell?mme tekem??n oikean siirron! p. 040 521 3125 Nixu Oy Keilaranta 15 02151 Espoo www.nixu.fi 4/15/10 ? Nixu 2009
  • 19. Palvelualueemme Advise Build Develop? Inspect ohjeistaa rakentaa kehi5??? tarkastaa ?? Tietoturvastrategia ?? Identiteetinhallinnan ?? Turvallinen ?? PCI DSS auditoinnit ?? Riskienhallinta konsultointi ja toteutus ohjelmistokehitys ?? Tietoturva-auditoinnit ?? Jatkuvuussuunnittelu ?? P??synhallinta ?? Linux/embedded ?? Verkon murtotestaus ?? Tietoturvapolitiikat ja ?? PKI kehitys ohjelmistokehitys ?? Web-sovellusten ohjeistot ?? Lokienhallinnan ?? Secure SDLC murtotestaus ?? Tietoturvakulttuurin konsultointi ?? Forensiikka luonti ja jalkautus ?? Turva-arkkitehtuuri ?? Testausautomaatio ?? Vaatimustenmukaisuus Apr-15-10 ? Nixu 2010