1 / 14

Megbízható felhő - garanciák a biztonságos cloudszolgáltatáshoz

Megbízható felhő - garanciák a biztonságos cloudszolgáltatáshoz. Krasznay Csaba HP Magyarország. A CIO igényei és aggodalmai. 1,4 Goldman Sachs Equity Research, January 2011 2,3 IDC, Enterprise Panel Survey, November 2010. A felhő kockázatai. Megosztott erőforrások miatti problémák

haley
Télécharger la présentation

Megbízható felhő - garanciák a biztonságos cloudszolgáltatáshoz

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Megbízható felhő - garanciák a biztonságos cloudszolgáltatáshoz Krasznay Csaba HP Magyarország

  2. A CIO igényei és aggodalmai 1,4 Goldman Sachs Equity Research, January 2011 2,3 IDC, Enterprise Panel Survey, November 2010

  3. A felhő kockázatai • Megosztott erőforrások miatti problémák • Cloud szolgáltatás befejezése • Cloud szolgáltató felvásárlása • Szállítási lánc megszakadása • Nem megfelelő törlés • DDoS • EDoS (Gazdasági DoS) • Titkosító kulcs elvesztése • Külső támadási próbálkozások • Kompromittált szolgáltatási motor • Nem megfelelő hardening • Üzemeltetési naplók sérülése • Biztonsági naplók elvesztése • Mentések elvesztése • Nem jogosult fizikai hozzáférés • Lopás • Természeti katasztrófa Forrás: ENISA, CloudComputing: Benefits, risks and recommendations forinformationsecurity

  4. A bizalom betűszavai

  5. Mit jelent a bizalom? A Bizalom Elv:Legyen a bizalom elemi összetevője a felhő szolgáltatásnak úgy, hogy a bizalom minden cloud alapú üzleti folyamat részévé kell, hogy váljon! ISACA: Guiding Principles for Cloud Computing Adoption and Use • Legyenek tiszta CIA elvek! • Cloud jelentette különleges bizalmi követelmények legyenek azonosítva! • A követelmények legyenek ismertek és teljesítettek szervezeten kívül és belül! • Folyamatosan biztosítsuk a rendszerek megbízhatóságát! • Ellenőrizzük a követelmények teljesítését a cloud szolgáltatónál is! • Legyen a monitorozva a cloud használata biztonsági szempontból is!

  6. Védelmi követelmények Cloud Security Alliance:SecurityGuidanceforCriticalAreas of FocusinCloudComputing v3.0

  7. Tanúsítók, tanúsítványok

  8. Tanúsítók, tanúsítványok

  9. Audit területek • ISO 27002 • IBIR audit • Az IBIR kialakítása kockázatelemzéssel kezdődik!!! • Szabályzati rendszer • Biztonsági szervezet • Vagyontárgyak kezelése • Személyi biztonság • Fizikai és környezeti biztonság • Kommunikáció és üzemeltetés biztonsága • Hozzáférés-ellenőrzés • Információs rendszerek beszerzése, fejlesztése és karbantartása • Incidenskezelés • Üzletmenet-folytonosság • Megfelelőség • PCI DSS • Bankkártya adatok • 1. követelmény: A kártyabirtokos adatainak védelméért tűzfalat kell telepíteni és üzemeltetni. • 2. követelmény: Nem szabad a gyártók által használt alapbeállítású rendszerjelszavakat és biztonsági paramétereket használni. • 3. követelmény: Védeni kell a kártyabirtokosok tárolt adatait. • 4. követelmény: A nyílt hálózatokon történő adatátvitel során titkosítani kell a kártyabirtokos adatait. • 5. követelmény: Vírusvédelmi megoldásokat kell használni, és rendszeresen frissíteni. • 6. követelmény: Biztonságos rendszereket és alkalmazásokat kell fejleszteni és üzemeltetni. • 7. követelmény: A kártyabirtokos adataihoz csak az férhessen hozzá, akire az tartozik. • 8. követelmény: Minden olyan ember, aki hozzáférhet a rendszerhez, rendelkezzen egyedi azonosítóval. • 9. követelmény: A kártyabirtokos adataihoz való fizikai hozzáférést meg kell akadályozni. • 10. követelmény: A hálózati erőforrásokhoz és a kártyabirtokos adataihoz való minden hozzáférést követni és monitorozni kell. • 11. követelmény: A biztonsági rendszereket és folyamatokat rendszeresen tesztelni kell. • 12. követelmény: Információbiztonsági szabályzatot kell fenntartani. • CSA CAIQ • Cloud szolgáltatások • Megfelelőség • Adatkezelés • Létesítménybiztonság • Humán biztonság • Információbiztonság • Jogi megfelelőség • Üzemeltetés-biztonság • Kockázatkezelés • Kibocsátások kezelése • Üzletmenet-folytonosság • Biztonsági architektúra

  10. SAS 70/SOC 1/SSAE 16/ISAE 3402/SysTrust • Audit területek: • Biztonság szervezete • Hozzáférés-kontroll • Logikai biztonság • Biztonságos adatkezelés • Fizikai és környezeti biztonság • Változáskezelés • Adatok integritása, rendelkezésre állása és redundanciája • Incidenskezelés • A legfontosabb cloud tanúsítványok halmaza • Egy forrásból építkeznek, céljuk egyértelműen az informatikai szolgáltatók által nyújtott szolgáltatások kontrolljainak ellenőrzése bizonyos szempontok alapján. • Kezdetben volt a SAS 70. • Ennek a helyét vette át az SSAE 16 az USA-ban. • Ennek nemzetközi változata az ISAE 3402. • A SysTrust pedig egy SAS 70 alapú célzott CIA audit, mely kimondottan a rendszer megbízhatóságára kíváncsi. • A SOC 1 Report – Report on Controls at a Service Organization Relevant to User Entities’ Internal Control over Financial Reporting az audit riportolásának elfogadott formája

  11. Safe Harbor egyezmény • Hivatalos neve International Safe Harbor PrivacyPrinciples • Célja az EU 95/46/EC számú adatvédelmi direktívájának betartatása az USA-ban működő szervezeteknél • 7 alapelvet fogalmat meg: • Tájékoztatás • Választási lehetőség • Személyes adatok továbbítása • Hozzáférés • Biztonság • Adatok sértetlensége • Érvényesíthetőség és felügyelet

  12. Információ vs. infrastruktúra KOCKÁZAT

  13. A mérleg két oldala

  14. Köszönöm szépen!Web: www.krasznay.huE-mail: csaba.krasznay@hp.comTwitter: www.twitter.com/csabika25Tumblr: csabika25.tumblr.com

More Related