DevSecOps/ Sikkerhet i skyen

Like dokumenter

C L O U D S E C U R I T Y A L L I A N C E

Vurdering av risiko og sikkerhet i skytjenester. Håvard Reknes

MED PUBLIC CLOUD INNOVASJON OG MULIGHETER. Altinn Servicelederseminar September 2017

Azure Stack. - når skyen blir lokal. Foredragsholder: Odd Egil Bergaust

Hybrid Cloud and Datacenter Monitoring with Operations Management Suite (OMS)

mnemonic frokostseminar

Dumme spørsmål gir ubrukelige svar Om kvalitet på risikovurderinger knyttet til personvern og cloud tjenester

Hva må jeg tenke på for å være sikker på at data er trygt lagret i skyen? Marius Sandbu

En monopolvirksomhets sikkerhetsferd mot den offentlige skyen

Innebygd informasjonssikkerhet hvordan ivareta sikkerhet i prosjekter?

ISO-standarderfor informasjonssikkerhet

En praktisk anvendelse av ITIL rammeverket

Cloud Readiness Assessment

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Difi, Oslo

Skytjenester (Cloud computing)

BASEFARM. Dato Author: Sven Ole Skrivervik CTO & Produkt-direktør

FINN.no. Driving - business growth - developer speed - employee satisfaction. by just a few hundred decisions. Cloud and Data

Dataforeningen Østlandet Cloud Computing DEN NORSKE DATAFORENING Vi engasjerer, påvirker og skaper fremtid!

Systemleverandører anno 2011

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Cloud Inspiration Day, UBC

Enterprise Mobility + Security (EM+S)

Brukers Arbeidsflate. Tjeneste Katalog. Hva vi leverer... Presentasjon Administrasjon Automatisering

Erfaringer fra en Prosjektleder som fikk «overflow»

RUSSISKE HACKERE I AKSJON. Copyright 2016 EMC Corporation. All rights reserved.

RS402 Revisjon i foretak som benytter serviceorganisasjon

Skyløsninger. Sikkerhet og leveransemodell

Hvordan bedømmer Gartner de lange linjene?

Bakom Skyene finnes stjernene?

HVA ER SKYTJENESTER? Balanserte anskaffelser 19.juni

Konfidensiell - Navn på presentasjon.ppt

Digital Transformasjon

En monopolvirksomhets ferd mot skyen Hvordan Lånekassen rigger seg for ytterligere effektivisering og innovasjon

Forbedret kundeopplevelse og reduserte driftskostnader ved bruk av maskinlæring i nettskyen. Heidi Brunborg IT-direktør i Lånekassen

Strategi med kunden i fokus

Tingenes tilstand: Programvaresikkerhet i offentlig sektor

HONSEL process monitoring

Den europeiske byggenæringen blir digital. hva skjer i Europa? Steen Sunesen Oslo,

Mål med prosjektet. proactima.com. Utvikle, markedsføre og selge den beste løsningen for Risikostyring og HMS ledelse for det globale markedet

Studierektor/Associate Dean Handelshøyskolen BI Institutt for ledelse og organisasjon Bedriftsrådgiver BHC A/S

We are Knowit. We create the new solutions.

Takk for invitasjonen!

Trust in the Personal Data Economy. Nina Chung Mathiesen Digital Consulting

FIBER - SIKKER TRANSPORT TIL OG FRA SKYEN. UTFORDRINGER OG MULIGHETER MED FIBER VIDAR.MYRER@KVANTEL.NO

Future Defined Datacenter

Cybersikkerhet for vannbransjen Fra Jon Bing til Jon Gelius?

Nyttestyring og viktigheten av den gode kunde

Standarder med relevans til skytjenester

CYBER SECURITY AUTONOME SYSTEMER. Marie Moe, forskningsleder for Cyber Security,

God praksis på personalutvikling i TTO/KA. Presentasjon FORNY Seminar Sommaroy

Bak skyen: Behandling av personopplysninger. Tommy Tranvik, Senter for rettsinformatikk NOIKOS,

IT Service Management

Nyttestyring og viktigheten av den gode kunde. Magne Jørgensen

Det 7. norske arkivmøtet Informasjonssikkerhet i endringsprosesser. 6. April 2016

Kort om IPnett. Henrik Jørgensen Solution Architect Tel Mob

Datacenter Appliance hva moren din IKKE fortalte deg om effektiv infrastruktur i datasenteret Sven Ole Skrivervik Direktør Kundetjenester Proact IT

Quality Policy. HSE Policy

Informasjonssikkerhet En tilnærming

IEA PVPS. Trond Moengen. Global co-operation towards sustainable deployment of photovoltaic power systems

Evaluering av digitalisering i offentlig sektor Hvor gode er vi? Evaluerer vi det som er viktig? Trenger vi mer eller annen type evaluering?

System integration testing. Forelesning Systems Testing UiB Høst 2011, Ina M. Espås,

Jarle Langeland. Mellom IT-sikkerhet og personvern 2

Kontinuitetsplanlegging teori og praksis. Arve Sandve Scandpower AS ESRA,

Skyen-først arkitektur (CNA)

Ekte versus hybride skyløsninger. IT-puls Trondheim 12.mai 2016 Helge Strømme

Fremtiden er (enda mer) mobil

Fremtidens trusler hva gjør vi? PwC sine fokusområder innen CyberSikkerhet og hvordan vi jobber inn mot internasjonale standarder

Moderne integrasjonsarkitektur for B2C og B2E. Steinar Kolnes, Senior utvikler

Sikkerhet, risikoanalyse og testing: Begrepsmessig avklaring

Itled 4021 IT Governance Fra IT-strategi til digital forretningsstrategi og plattformer

Blockchain 2/22/2019. Hva er Blockchain for Business. IBMs platform & løsninger. Hvordan komme igang? Hva er det og hvordan komme igang?

Industrien må ha tilgang til helsedata for å kunne levere innovative produkter for fremtidens helsetjenester Er vi klare?

Det handler om å vite Christopher Kiønig KAM (ISO27001 LI)

Public roadmap for information management, governance and exchange SINTEF

Tradisjonelt har næringslivet gruppert sin verdiskapning i 3 distinkte modeller:

Vipps reisen. Fra kanalspesifikke til kanaluavhengige løsninger basert på API er 0.1. Per Jørgen Johnsen, IT Arkitekt Bankløsninger & Eiendom

Tåkeprat om Skyen. Leif Arne Brandsæter Country Manager Questback Norge /

Tingenes tilstand: Programvaresikkerhet i offentlig sektor

Marin Prosjektering. IMT linjevalg 2012

Hvordan komme i kontakt med de store

Software Innovation med Public 360 Online. Odd-Henrik Hansen, Salgsdirektør og partneransvarlig Oktober 2014

Atea Klientologi. - Læren om leveranse av innhold til klienter

Følger sikkerhet med i digitaliseringen?

Capturing the value of new technology How technology Qualification supports innovation

Når beste praksis rammeverk bidrar til bedre governance. Ingar Brauti, RC Fornebu Consulting AS

HP ConvergedSystem 700 Vidar Audum

BUSINESS SERVICE MANAGEMENT

Q2 Results July 17, Hans Stråberg President and CEO. Fredrik Rystedt CFO

CORBA Component Model (CCM)

Mindre papirer, mer IT i finanssektoren Følger internrevisor med i utviklingen?

Aleksander Thanem Bjøru Seniorkonsulent MCSE og Citrix CCIA

We Need to do More! Cybersecurity

IKT løsninger for fremtiden? Smartgridkonferansen september 2014

Samhandling utenfor serverrommet

Innhold. Fokuset er: Forhold til cloud leverandør Partsforhold Kunde perspektiv Leverandør perspektiv

NETWORK FUNCTION VIRTUALIZATION (NFV) HVA OG HVORFOR?

NTNU Forskningsprogram for informasjonssikkerhet. Stig F. Mjølsnes

WORLD CLASS INTEGRITY SOLUTIONS. Børge Gjeldvik Axess

Samhandlingsrevolusjonen hvordan utnytte mulighetene?

From Policy to personal Quality

Transkript:

IN2120 Information Security Universitetet i Oslo - Institutt for Informatikk Høst 2019 Eirik Gulbrandsen Cloud Security Alliance Norway / Datatilsynet DevSecOps/ Sikkerhet i skyen

I N 2 1 2 0 I N F O R M A T I O N S E C U R I T Y

I N 2 1 2 0 I N F O R M A T I O N S E C U R I T Y

I N 2 1 2 0 I N F O R M A T I O N S E C U R I T Y

I N 2 1 2 0 I N F O R M A T I O N S E C U R I T Y «Komfortsonen» til IT sikkerhet (velfortjent eller ikke) Hvor forretningen ønsker å være IT med fokus på forretningsmål Sikkerhet går automatisk til «nei» SAAS = Office 365 PAAS = Azure Web Services IAAS = Windows Server (VM) On Premises = Exchange Server

I N 2 1 2 0 I N F O R M A T I O N S E C U R I T Y

«Skya» @ Norge = IBM Cloud Alibaba Cloud

I N 2 1 2 0 I N F O R M A T I O N S E C U R I T Y

I N 2 1 2 0 I N F O R M A T I O N S E C U R I T Y

I N 2 1 2 0 I N F O R M A T I O N S E C U R I T Y The use of shared remote computing devices for the purpose of providing improved efficiencies, performance, reliability, scalability and security.

Samarbeidet setter Equinor i stand til å utforme og fremskynde utviklingen av hensiktsmessige IT-tjenester for energibransjen, og sikre en raskere overgang til skytjenester. Å kunne utnytte skyen er en forutsetning for industriens digitale framtid. Sikker, pålitelig og kostnadseffektiv drift er en forutsetning for Equinors bruk av skytjenester. Den raske teknologiutviklingen skaper nye muligheter, og samarbeidet muliggjør vår digitale reise for levere sikrere og mer effektiv drift. Equinors ambisjon er å bli en digital leder innen vår industri, og et skydatasenter i Norge vil forenkle og fremskynde Equinors bruk av skyen, sier Equinors IT-direktør (CIO) Åshild Hanne Larsen.

I N 2 1 2 0 I N F O R M A T I O N S E C U R I T Y Big Data Kunstig Intelligens Integrasjon/samhandling Innebygget sikkerhet (DevSecOps) Automatiske oppgraderinger Kvantekryptografi Osv osv

I N 2 1 2 0 I N F O R M A T I O N S E C U R I T Y

HVORFOR LOGISTIKKLEDELSE - SUPPLY CHAIN MANAGEMENT? Fordypningen skal gi deg dyptgående, ledelsesorientert kunnskap og forståelse om utvikling og ledelse av forsyningskjeder og om bedriftsintern logistikk. Videre vil du lære de fysiske og administrative prosesser som er knyttet til det å anskaffe, håndtere, lagre, planlegge produksjon, transportere og levere varer skytjenester på en måte som oppfyller kundenes servicekrav på en kostnadseffektiv måte. Du vil forståelse for hvordan forskjellige logistikkløsninger påvirker miljøet og hvilke etiske utfordringer man kan møte på i innkjøpsarbeidet.

I N 2 1 2 0 I N F O R M A T I O N S E C U R I T Y

Containers Public Cloud Physical Servers Virtual Servers Virtual Desktops

Public Cloud Containers...evnen til å konstruere og kjøre applikasjoner i «løselig isolert» miljø... Lar utviklere fokusere på funksjonalitet og ikke infrastruktur. Physical Servers Virtual Servers Virtual Desktops

I N 2 1 2 0 I N F O R M A T I O N S E C U R I T Y Containers...evnen til å konstruere og kjøre applikasjoner i «løselig isolert» miljø... Lar utviklere fokusere på funksjonalitet og ikke infrastruktur. Vmware/VShpere Hyper-V XenServer Orchestra Windows Linux Native AWS EKS Google GKE Microsoft Azure

Containers Serverless! Public Cloud AWS Lambda Azure Functions Google Functions Physical Servers Virtual Servers Virtual Desktops

I N 2 1 2 0 I N F O R M A T I O N S E C U R I T Y I en serverless verden tenker du ikke på containers mer, du skriver bare kode

AUTOMASJON AV PRODUKSJONSPROSESSER = HASTIGHET! Pipeline Management & Deployment Environments AWS OpsWorks IT Service Management Monitoring Tools Amazon SNS AWS CloudTrail AWS Config

I N 2 1 2 0 I N F O R M A T I O N S E C U R I T Y

I N 2 1 2 0 I N F O R M A T I O N S E C U R I T Y S H I F T L E F T S E C U R I T Y P R O D U C T I V I T Y ( A S C O D E ) A U T O M A T I O N

I N 2 1 2 0 I N F O R M A T I O N S E C U R I T Y

I N 2 1 2 0 I N F O R M A T I O N S E C U R I T Y MAPPING OF ON-PREMISES SECURITY CONTROLS VS MAJOR CLOUD PROVIDERS

I N 2 1 2 0 I N F O R M A T I O N S E C U R I T Y AZURE SECURITY STACK VS. NIST CYBERSECURITY FRAMEWORK

I N 2 1 2 0 I N F O R M A T I O N S E C U R I T Y

Bestillerkompetanse! Virksomhetskompetanse Sikkerhetskompetanse Integrasjonskompetanse Kompetanse om anskaffelser Juridisk kompetanse - For å kunne definere behov og stille nødvendige krav. - For å kunne vurdere risiko og stille riktige sikkerhetskrav. Dette gjelder alle områder av sikkerhet dvs. fysisk, personell- og informasjonssikkerhet. - For å kunne forstå hvordan tjenestene kan integreres i virksomheten på best mulig måte. - Slik at anskaffelsen kan gjennomføres på en måte som støtter virksomhetens forretningsmessige og funksjonelle behov på best måte. - Slik at virksomhetens juridiske krav og behov ivaretas og at kontrakten kan oppfylles i produksjonen. Grunnleggende IKT-kompetanse er en forutsetning for kvalitet i kompetanseområdene over.

Fremme av god praksis for å sikre skytjenester, og gi opplæring i bruk av skytjenester for å sikre alle andre former for databehandling. www.cloudsecurityalliance.no

I N 2 1 2 0 I N F O R M A T I O N S E C U R I T Y 9 0, 0 0 0 + I N D I V I D U A L M E M B E R S 75+ C H A P T E R S 2 0 0 9 C S A F O U N D E D OUR COMMUNITY 300+ C O R P O R A T E M E M B E R S 19 A C T I V E W O R K I N G G R O U P S S E A T T L E / B E L L I N G H A M, W A / / A M E R I C A S H E A D Q U A R T E R S B E R L I N // E M E A H E A D Q U A R T E R S Strategic partnerships with governments, research institutions, professional associations and industry CSA research is FREE! S I N G A P O R E / / A S I A P A C I F I C H E A D Q U A R T E R S www.cloudsecurityalliance.no/linkedin

En praktisk veiledning for å spesifisere sikkerhetskrav til skytjenester https://cloudsecurityalliance.org/download/security-guidance-v4/

Del I: Generelt Del II: Styring Del III: Drift Formulering av sikkerhetskrav til skytjenester

133 kontrollkrav (14 kontrollområder) 295 Ja/Nei-spørsmål (CAIQ)

16 kontrollområder AIS Application & Interface Security DSI Data Security & Information Lifecycle Management HRS Human Resources MOS Mobile Security AAC Audit Assurance & Compliance DCS Datacenter Security IAM Identity & Access Management SEF Security Incident Management, E-Discovery, & Cloud Forensics BCR Business Continuity Management & Operational Resilience EKM Encryption & Key Management IVS Infrastructure & Virtualization Security STA Supply Chain Management, Transparency, and Accountability CCC Change Control & Configuration Management GRM Governance and Risk Management IPY Interoperability & Portability TVM Threat and Vulnerability Management

DSI Data Security & Information Lifecycle Management Control specification 7 spørsmål DSI-01 DSI-02 DSI-03 DSI-04 DSI-05 DSI-06 DSI-07 Classification Data Inventory / Flows E-commerce Transactions Handling / Labeling / Security Policy Nonproduction Data Ownership / Stewardship Secure Disposal

DSI-01 Classification Kontrollspørsmål (CAIQ) DSI-01.4 Can you provide the physical location/geography of storage of a tenant s data upon request? DSI-01.5 Can you provide the physical location/geography of storage of a tenant's data in advance?

https://cloudsecurityalliance.org/star I N 2 1 2 0 I N F O R M A T I O N S E C U R I T Y

Kontrollspørsmål (CAIQ) DSI-01.4 Can you provide the physical location/geography of storage of a tenant s data upon request? DSI-01.5 Can you provide the physical location/geography of storage of a tenant's data in advance?

Er ikke et rammeverk for å gjennomføre risikovurdering kan dokumentere sikkerhetskrav i et standardisert format Er ikke en metode for å identifisere alle dine sikkerhetskrav kunnskap, begreper og konsepter for å identifisere kravene CCM er metode for å raskt, strukturert og på en forutsigbar måte (for begge parter) sikkerhetsevaluere ulike skytjenester og besvarer risikovurderingen i kontekst spesifikt av skytjenester ved å dokumentere om det er akseptabelt for din virksomhet å flytte den spesifikke informasjonen, applikasjonen og/eller prosessen til en bestemt (del av en) skytjeneste.

I N 2 1 2 0 I N F O R M A T I O N S E C U R I T Y

1. Data Breaches 2. Insufficient Identity, Credential and Access mgt 3. Insecure Interfaces and APIs 4. System Vulnerabilities 5. Account Hijacking 6. Malicious Insiders 7. Advanced Persistent Threats 8. Data Loss 9. Insufficient Due Diligence 10. Abuse and Nefarious Use of Cloud Services 11. Denial of Service 12. Shared Technology Vulnerabilities

www.anskaffelser.no/verktoy/veiledere/metodevurdering-av-sikkerhet-i-skytjenester-cloud

I N 2 1 2 0 I N F O R M A T I O N S E C U R I T Y

I N 2 1 2 0 I N F O R M A T I O N S E C U R I T Y

I N 2 1 2 0 I N F O R M A T I O N S E C U R I T Y Tilgangsstyring (brukerkatalog, prosesser) Konfigurasjonstyring (DevSecOps) Applikasjonssikkerhet (OWASP, HTTP, API) Synlighet (logging, hybrid) Sikkerhetskopiering/katastrofehåndtering www.anskaffelser.no/verktoy/veiledere/metode-vurdering-av-sikkerhet-i-skytjenester-cloud www.cloudsecurityalliance.no

I N 2 1 2 0 I N F O R M A T I O N S E C U R I T Y whatis.techtarget.com/definition/lift-and-shift

I N 2 1 2 0 I N F O R M A T I O N S E C U R I T Y PrivJIT

Allmenn Hybrid Privat/ «stacks» Eget datasenter

C L O U D S E C U R I T Y A L L I A N C E

C L O U D S E C U R I T Y A L L I A N C E O W A S P

I N 2 1 2 0 I N F O R M A T I O N S E C U R I T Y

IN2120 INFORMATION SECURITY Begynn med forretningsbehov eller visjon går deretter tilbake i modellene «Sky først SaaS først" - er det mulig? Vurdèr deretter andre modeller inkl «egen kjeller» (if it work, don t fix it ) Ikke "Lift and Shift", såfremt du ikke vet nøyaktig hvorfor Re-factor, gjerne til SaaS-tjenester, modeller kan/må kombineres Bruk re-factoring mot SaaS-tjenester som hovedstrategi Skytjenester kan styres etter prinsipper om forsyningstjenester (SCM) Sikkerhet må automatiseres (ShiftLeft) og integreres i prosessløpet; DevSecOps) Velg/utfordre leverandører med 3dje part sertifiseringer (CSA/CCM, SOC-2, ISO27K) ZeroTrust og JIT-filosofier reduserer angrepsflate og risiko DU har ALLTID ansvar for: Hvis du ikke har en skystrategi vil du tape forretnings Egen risikovurdering handlerom og -hastighet på både kort og spesielt lang sikt Operere ihht lover og regler (bare spør Equinor...) Kontroll på egen data (inkl personvern) Tilgangsstyring/brukeradministrasjon Det finnes tjenester i markedet som tilbyr "buyback" av egen datasenterhardware + lisensadministrasjon via portal Konfigurasjon av tjenester (S3 buckets ) Typisk tiltak ved bruk av skytjenester; ekstra fokus på endepunktsikkerhet

I N 2 1 2 0 I N F O R M A T I O N S E C U R I T Y

I N 2 1 2 0 I N F O R M A T I O N S E C U R I T Y THE PURPOSE AND INTENT OF DEVSECOPS, IS TO BUILD ON THE MINDSET THAT EVERYONE IS RESPONSIBLE FOR SECURITY WITH THE GOAL OF SAFELY DISTRIBUTING SECURITY DECISIONS AT SPEED AND SCALE TO THOSE WHO HOLD THE HIGHEST LEVEL OF CONTEXT WITHOUT SACRIFICING THE SAFETY REQUIRED. - SHANNON LIETZ

DevOps Ven Diagram The intersection of 3 Key domains

D E V S E C O P S

D E V S E C O P S SECURITY SHIFTING TO THE LEFT STATIC CODE ANALYSIS (SAST) DYNAMIC TESTING (DAST) RUNTIME PROTECTION (RASP) DESIGN CODE TEST, INTEGRATION & STAGING PRODUCTION APPLICATION DEVELOPMENT IT OPERATIONS SHIFT LEFT

By The Numbers High performers - 30X frequent deployments and doing so 200X faster High Performers - 60X more successful & fix problems 168X faster High Performers - 2X more likely to exceed profit, market share, and productivity goals & have a 50% higher market cap growth over 3 years Time and Cost to Fix www.securityinnovationeurope.com/the-business-case-forsecurity-in-the-software-development-lifecycle-sdlc

REQUIREMENTS DESIGN/ ARCHITECTURE CODING TESTING DEPLOYMENTS/ MAINTENANCE COST TO REMEDIATE D E V S E C O P S Security shifting to the left 30X SOMEBODY BUILDS INSECURE SOFTWARE IT DEPLOYS THE INSECURE SOFTWARE WE ARE BREACHED OR PAY TO HAVE SOMEONE TELL US OUR CODE IS BAD WE CONVINCE AND PAY THE DEVELOPER TO FIX IT SOMEBODY BUILDS INSECURE SOFTWARE QA FINDS VULNERABILITIES IN SOFTWARE WE CONVINCE & PAY THE DEVELOPER TO FIX IT THEREBY DELAYING THE RELEASE 15X 7X

D E V S E C O P S Integrating security in DevOps Code Review SAST Secure code review Release Deploy Dev Ops Plan Threat modeling Risk assessment Build SAST SCA Monitor Operate Test DAST Fuzzing PenTest RASP SIEM

D E V S E C O P S TECHNICAL BENEFITS: CONTINUOUS SOFTWARE DELIVERY LESS COMPLEX PROBLEMS TO FIX FASTER RESOLUTION OF ISSUES WHEN THEY ARISE SECURE ENVIRONMENT BUSINESS BENEFITS: FASTER DELIVERY OF FEATURES MORE STABLE OPERATING ENVIRONMENTS MORE TIME AVAILABLE TO ADD VALUE (RATHER THAN WASTE IT WITH FIXES/MAINTENANCE) NO BREACHES / BETTER IMAGE

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding