Hva må jeg tenke på for å være sikker på at data er trygt lagret i skyen? Marius Sandbu marius.sandbu@evry.com
De største leverandørene i markedet
Markedet og trender for offentlig skyløsninger AWS vokser med 55 % siste år Microsoft Azure vokster med 93 % siste år (IaaS) Mer enn 85 millioner kontoer på Office365 Salesforce vokser med 27 % de siste 3 årene Gartner: Vekst fra 178 til 208 milliarder dollar fra 2015 til 2016 Kilde: http://www.gartner.com/newsroom/id/3443517, http://www.gartner.com/newsroom/id/3384720
Gevinstene Kostnadskontroll Fleksibilitet Skalerbarhet Elastisitet Sikkerhet Selvbetjening
Kan vi stole på dem?
Sikkerhetsrisikoer ved å flytte til skyen Ondsinnede insidere eller underleverandører Usikre APIer eller tjenester Delte tjenester Datatap eller datalekkasje Kapring av kontoer Pass på kreditten
Retningslinjer og regler - informasjonssikkerhet Standard for ivaretakelse av informasjonssikkerhet (ISO 27001 / CSA) Standarder for ivaretakelse av informasjonssikkerhet i skytjenester (ISO/IEC 27018) Datadelingsavtale (EU Model Clauses) Datadelingsavtale (EU-U.S Privacy Shield) Standard for alle forretninger som håndterer kortdata (PCI-DSS)
General Data Protection Regulation (GDPR) Virksomheter har plikt til å dokumentere evne til å etterleve kravene Personer har rett til å kreve flytting av sine data til andre tjenesteleverandører Personer har rett til innsyn i hvordan dataene deres behandles Personer har «rett til å bli glemt» og kreve sletting av sine data Personer har rett til informasjon om sikkerhetsbrudd relatert til sine data (må meldes til nasjonal myndighet) Strengere håndhevelse av reglene kan bety bøter i størrelsesorden 4 % av årsomsetningen eller
Finn balansen mellom risiko og produktivitet
Vet vi hva vi får?
Vet vi hvor dataene blir lagret?
Oppfyller leverandøren mine krav? Microsoft https://www.microsoft.com/en-us/trustcenter/compliance Google https://cloud.google.com/security/compliance AWS https://aws.amazon.com/compliance/ IBM http://www.softlayer.com/compliance
Ansvarsfordelig ved bruk av skyløsninger
Hva må du tenke på? - IaaS Cloud Management Cloud Provider region 1 Redundans gruppe Storage konto Management Access Proxy Server Virtual Machine instances Automatiseringsverktøy Identity Server Sluttbrukere Web løsning DMZ Sone On-premises Secure tunnel S2S Direct Connection Identity Server Database Server
Hva må du tenke på? - PaaS IoT Gateway Cloud Provider region Autoscaling Langtidslagring IoT Enheter Web-service Backend Database Sluttbrukere Global Load Balancing Cloud Provider region Autoscaling Transform Analytics Web-service Backend Database Innsikt Systemeiere Utviklere Kildekode repository
Hva må du tenke på? - SaaS Data Data Data Identitetskatalog SaaS SaaS SaaS Administrert Maskin Eksterne brukere On-premises Sluttbrukere Hjemmebrukere Intern fillager Identitetestjeneste Terminalserver VPN Web-tjenester Fillager Web tjenester
10 råd for å minimalisere risiko Ta i bruk MFA og federert tilgang Automatisert brukeradministrasjon Endre og eller fjerne standard management-tilgang Spesifisert regelsett på automatiseringsløsning Lås viktige ressurser og definer rollebasert tilgang Sett opp databeskyttelse og kryptering av data Samle logger og hendelsesdata lokalt for gransking Forsterke sikkerheten på applikasjonen ved å ta i bruk nyere SSL/TLS funksjoner via LB Se på behovet for å ta i bruk Applikasjonsbrannmur og DDOS beskyttelsesfunksjoner Se på leverandørens sikkerhetstjenester å snakk med dem
Oppsummering Sikkerhet i cloud er en av de største bekymringene Forstå tjenestene Gjør en risikovurdering Ikke glem basistingene Snakk med leverandøren
Til slutt Nasjonal strategi for bruk av skytjenester, Regjering.no http://bit.ly/2li6gq7 Sjekkliste for sikkerhet i skytjenester, Sintef.no http://bit.ly/2lhiiim Shared Reponsibility in Cloud computing http://aka.ms/sharedresponsibility Cloud Adoption Framework, Security Perspective http://bit.ly/2khbx83 Kontakt msandbu msandbu.org marius.sandbu@evry.com
PRESENTATION 20 TITLE