Litt om operativ sikkerhet i skysammenheng UNINETT fagdager, Olaf.Schjelderup@uninett.no 4. mai 2017
Operativ sikkerhet i skyen - Hva vet vi egentlig om det? Dessverre vet vi i realiteten nokså lite... 2
3
Skal vi bygge tro eller tillit? Man kan ikke kreve å få tillitt - tillit bygges i millimeter, kan rives i (kilo)meter Tillitsbygging er i slekt med merkevarebygging, og tar tid Tillit kan f.eks. bygges med Positiv egenerfaring med leverandøren/produktet over tid. Ditto andres erfaring. Leverandørens demonstrerte faglige innsikt, ressurser, praksis og evne til god drift Vi gis løpende teknisk innsikt i løsningen/produktet, dens bruk og forvaltning m.m. Tillitt er bra, like viktig er bevisstheten og dokumentasjon på hvordan tilliten har oppstått. Skal vi kunne mene noe om sikkerheten må vi vite, ikke tro. En sikkerhetssituasjon kan endre seg på subsekunder Too big to fail? Tvungen tillit? Har vi råd til at leverandøren feiler? Må staten trekke gullkortet? Gir dette risikoapetitt? 4
Hva handler skybølgen om? Bedre tjenester? Fler tjenester tidligere? Forfengelighet? Økonomi? Fokus lenger opp i verdikjeden? Økt konsentrasjon av informasjonsverdier? Økt driftskvalitet? Forholdet til vedlikehold av egen driftskompetanse? Øke bestillerkompetanse? Gir totaliteten i dette bedre sikkerhet? 5
Opprettelige skader Påvirkes positivt av backup, RPO, RTO, fornuftig retention, recovery-site, redundans, geodiversitet, teknologidiversitet, gode mekanismer for fail-over, beredskap, basisvern m.m. Kan jo ta litt tid og komme på lufta igjen da, men likevel. 6
Uopprettelige skader Evig tap av data Høytilgjengelighet starter med tallet 3 (både nett, lagring, kraft, lokasjon, teknologi...) Sensitive data på avveie er et også evig tap, selv om dataene fremdeles er tilgjengelige for formålet. En eller flere kopier på avveie rapporterer sjelden om sin eksistens, hvor dataene befinner seg, hvem som har kontroll over dem, hvilket omfang, hvor mange instanser, hva formålet er, hvor dataene... Tilbakekalling av data på avveie er umulig 7
Det vi må gjøre som en del av anskaffelsen: Klassifisering og vedlikeholdt oversikt over våre data og tjenester (ledelsessystem for informasjonssikkerhet) ROS, som vesentlig del av anskaffelsen (og i forbindelse med endringer): Både teknisk og vår tiltenkte bruk av anskaffelsen ROS i seg selv løser ikke alle sikkerhetsproblemer (noen later til å tro det). Man må lukke avvikene også! Compliance (ISO-dokumenter). ROS av skyløsninger er ofte ulik ROS av egne håndfaste systemer - mye papirarbeid Sjekke avhengigheter! (Lange og uoversiktiglige verdikjeder kan være en stor trussel) Hvem er underleverandører? Krav til sikkerhetsarkitektur! Stille krav til (og gjennomføre) kontroll av etterlevelse Stille krav til håndtering og rapportering av drift- og sikkerhetshendelser Grundige og omfattende anskaffelsesprosesser gjør leverandørene gode - og da lykkes vi som kunder gode også. 8
Monitorering og varsling er en forutsetning Både kunde og leverandør må kunne monitorere Trafikkdata/bruksdata IDS Logger Sjekke plausibilitet løpende Hvor data befinner seg m.m. Tydelig ansvarsdeling, men også kryssmonitorering IaaS, detaljering er viktig (liten tue kan velte stort lass). Hvilke tjenester er avhengig av hvilke komponenter Hvilke komponenter påvirker hvilke tjenester Pass på at ikke tidligere driftsuvaner bare gjenoppstår i ny drakt 9
Tirsdag 2 mai - en sikkerhetsmessig milepæl i UH-land Organisasjon Teamnavn Leder E-post Key ID 1 Arkitektur- og designhøgskolen i Oslo Frode Gether-Rønning irt@aho.no E642427A 2 Høgskolen i Molde IRT HiMolde Kjetil Kroknes irt@himolde.no 7A32F85C 3 Høgskolen i Oslo og Akershus CSIRT HiOA Per Steinar Iversen csirt@hioa.no 94B4BD37 4 Høgskolen i Sørøst-Norge USN-IRT Anne Moe usn-irt@usn.no C9747FB2 5 Høgskolen i Østfold Høgskolen i Østfold IRT Ted M. Sørlie irt@hiof.no DC240834 6 Høgskulen i Volda IRT Høgskulen i Volda Peder Sefland irt@hivolda.no E08B9C22 7 Høgskulen på Vestlandet CSIRT HVL Idar Flemmen csirt@hvl.no 4934D07C 8 Kunsthøgskolen i Oslo IRT KhiO Geir Hamre Moe irt@khio.no 0B4B779C 9 NMBU NMBU CSIRT Håvard Myhrer csirt@nmbu.no A861A940 10 Nord universitet IRT Nord Odd Asbjørn Halseth irt.nord@nord.no 9E0C9765 11 Norges Handelshøyskole NHH IRT Thor-Inge Næsset irt@nhh.no B90F76E1 12 Norges musikkhøgskole NMH IRT Robert Haugan hendelsesresponsteam@nmh.no EC26EC9C 13 NTNU NTNU SOC Christoffer Hallstensen soc@ntnu.no C95AF4BF 14 Sámi allaskuvla Irt SamiskHs Lemet Ivar Hætta irt@samiskhs.no FE3C8314 15 Universitetet i Bergen UiB IRT Øivind Hope irt@uib.no 7BFE18ED 16 Universitetet i Oslo UiO-CERT Martin Bore cert@uio.no 8F081CF9 17 UiT Norges arktiske universitet UiT CSIRT Bjørn Torsteinsen csirt@uit.no F06ECE8A 18 Universitetet i Agder CSIRT UiA Helge Høynes csirt@uia.no 92B93411 19 Universitetet i Stavanger UiS IRT Arild Morten Olsen irt@uis.no 376058F0 20 Handelshøyskolen BI BI CERT Thomas Bjørseth cert@bi.no 0BC9ADC1 21 Fagskolen Innlandet IRT Fagskolen innlandet Trond Endrestøl irt@fagskolen-innlandet.no DCABA96A 22 UNIS UNIS IRT Kjell Ivar Haugnes irt@unis.no F7BD8F43 23 Norges forskningsråd IRT forskningsrådet Gjermund Marqvardsen irt@rcn.no F325F54F 24 Høgskolen i innlandet INN IRT Bjørnulf Hafstad irt@inn.no B11954BD 25 Norges idrettshøgskole NH IRT Hans O. Krogsæter irt@nih.no Oppdatert 2017-05-04 10
Hva kan et IRT hjelpe til med Basis hendelseshåndtering Koordinering mellom involverte aktører Varsling Sårbarhetshåndtering Anomalideteksjon Penetrasjonstest og analyse 11
Still krav til skyleverandører, vi ønsker å gjøre både dem og oss selv gode! Grundig ROS, involvere fagkompetanse i bredde og dybde, i forkant og ved endringer Sjekk compliance - alle kan ikke sjekke alt Aktiv monitorering og sjekk av etterlevelse Definert kontaktpunkt (CERT/IRT) hos leverandøren (gjør responstest!) Dialog Åpningstider, tilgangsmuligheter (kreves serviceavtale el.l.?) Vær forberedt på at dette koster God etterlevelse av krav bygger tillit 12