Security in der Voice Cloud Was es bei der Wahl des richtigen Service Providers zu beachten gilt

Transkript

1 Security in der Voice Cloud Was es bei der Wahl des richtigen Service Providers zu beachten gilt IT Trends Sicherheit MS Franz-Josef Nölke Leiter Consulting & Design BS Consulting & Design VA 28. Version 1.0 Final Release NIS Seite 1

2 Security in der Unified Communications Cloud Was es bei der Wahl des richtigen Service Providers zu beachten gilt IT Trends Sicherheit MS Franz-Josef Nölke Leiter Consulting & Design BS Consulting & Design VA 28. Version 1.0 Final Release NIS Seite 2

3 Cyberkriminalität Unternehmenskommunikation ist das nächste Ziel! Seite 3 Page

4 Siemens Enterprise Communications Unternehmenskommunikation seit über 160 Jahren Ein junges Unternehmen mit einer langen Geschichte Ein weltweit führendes Unternehmen für Kommunikationslösungen seit 2008 rechtlich eigenständig Shareholders: 51% The Gores Group - 49% Siemens AG Seite 4

5 Innovative Kommunikationslösungen für Unternehmen Seite 5

6 5 Megatrends treiben Unified Communication Lösungen auch als Cloud Lösung Die Nutzeransprüche wachsen Die CIO- Anforderungen ändern sich/steigen Social Collaboration Grenzenlose Mobilität: Benutzererlebnis Flexible Implementierung Zuverlässigkeit und Sicherheit 76 % aller CIOs werden innerhalb der kommenden 12 Monate Maßnahmen ergreifen* Seite 6 * Quelle: In Auftrag gegebene Studie, Loudhouse, September 2011

7 Das Cloud Computing Ökosystem Public Cloud Virtual Private Cloud Hybrid Cloud Internet Intranet Private Cloud (Next Gen Data Center) Private Cloud (Next Gen Data Soziale Center) Netze Seite 7

8 Cloud Computing Chancen und Risiken Die wichtigsten Gründe Die größten Barrieren Quelle: Brocade, 2010 Seite 8

9 Sicherheit kommt nicht von alleine! You can t secure The Cloud. There is no The Cloud. If you don t have a robust security program, cloud computing will make it worse. Chris Hoff Mai 2011 Page 9 Seite 9

10 Sicherheit und Verfügbarkeit von Cloud Diensten Aus Sicht des Cloud Anbieters Erfüllen der Anforderungen (technisch/organisatorisch/rechtlich) Verfügbarkeit Zuverlässigkeit Sicherheit Ausfallsicherheit Governance Datenschutz Risiken kennen & Kriterien definieren (Governance) Voraussetzungen schaffen & bereitstellen (Infrastruktur) Aus Sicht des Nutzers von Cloud Diensten Seite 10

11 Risikobeispiele und mögliche Folgen Identitäts-diebstahl Datenwiederherstellung Datenschutz Fallback Optionen Traffic-Hijacking Kompromittierung Verlust der Kontrolle über Unternehmensdaten Datenmissbrauch / Verlust der Unternehmensreputation Unternehmensdaten können unwiederbringlich verloren gehen Geschäftsfähigkeit & Recht Verlust von Unternehmensinternas / personenbezogene Daten Rechtliche Folgen Verlust der Unternehmensreputation Fallback auf traditionelle IT / Austausch Cloud-Anbieters nicht möglich Abhängigkeitsverhältnis Ausfall der Verfügbarkeit / Verlust von Daten Geschäftsfähigkeit Angriffe auf die Public / Private Cloud Infrastruktur Verlust von Kontrolle über Daten, Plattformen und Dienste Seite 11

12 Für VoIP gibt es hervorragende Literatur Hervorragende Beschreibung der Angriffszenarien sowie deren Vermeidung. Hacking VoIP Protocols, Attacks and Countermeasures von Himanshu Dwivedi Erschienen bei no starch press ISBN: September 2011 Seite 12

13 Sicherheit von Siemens Enterprise Auf allen Ebenen Bereitstellen von Lösungen und Produkten Beraten Unterstützen Betreiben Seite 13

14 OpenScape Cloud Services Der neue Maßstab für sicheren und zuverlässigen Cloud-Zugriff Zuverlässigkeit Sicherheit Verfügbarkeit Ausfallsicherheit Governance Datenschutz Höchste Verfügbarkeit Rechenzentren der TIA-942-Klasse Sprachredundanz Sichere Endpunkte Ausfallsicherheitsoption für Edge und Branch Lokales Trunking IPSec/VPN Lokale Firewalls, SBC und Media Server Web Application Sicherheit Mehrschichtiges rollenbasiertes Zugriffsmanagement Zertifizierung nach ISO 27001* Automatische Verwaltung und Bereitstellung Rechenzentrenschutz auf Anwendungsebene Lückenlose Verschlüsselung in der Cloud Datenspeicherung im selben Land Sichere Mehrinstanzenfähigkeit Datenschutz-Audits Über Benutzer Über Systeme Private Cloud-Erfahrung City of Enfield Seite 14 * in Arbeit

15 Ganzheitlicher Ansatz für umfassende Sicherheit Infrastruktur für sichere Netzwerke und DataCenter Partnerschaften mit Security Produktherstellern Beratung, Implementierung und Managed Services Sicherheitserweiterungen für UC-Projekte Seite 15

16 Sicherheitserweiterungen für Unfied Communications IP Network Services für UC Anti-Virus für UC-Server Certificate Services für UC OpenScape Session Border Controller S I C H E R H E I T OpenScape Identity Lifecycle Assistant OpenScape Sign-On OpenScape Location and Identity Assurance OpenScape UC Firewall Seite 16 Page

17 Wie geht SEN in solchen Projekten vor? Beispiel Virtualisierung Evaluate INVENTORY & OFFER PREPARATION Gathering Information about Network (Voice, Data), Security, Applications Data Center, Sites, etc Virtualization Solution Pre -Assessment CONTRACT Virtualization Strategy Analysis Virtualization Security Assessment Virtual Data Center Assessment Energy Efficiency Check DETAILED ANALYSIS & RECOMMENDATIONS Assessment of IT environment with respect to security policies, technical security requirements, IP network performance, services and management. Improve Evaluate OpenScale Services Design Operate Implement Implement Design OFFER PREPARATION Clear definition of deliverables and responsibilities Scope of Work Definition LEGEND Pre-Sales Activities D&I Package Services Value-Add Professional Services Module Virtual Network and Storage Design Project Definition Workshop Technical Design Specification Solution Integration & Acceptance Testing Virtualization Design & Integration SOLUTION DESIGN Develop the architecture and the detailed technical design to avoid any risk during solution implementation SOLUTION IMPLEMENTATION Integration of the Solution into customer s ITC environment Virtual Environment Operations Training Page Mai 17 Seite

18 Kriterien an die Sicherheit für die Auswahl eines Cloud Providers definieren Sicherheitsmanagement (Methoden, wie ITIL, COBIT; Zertifizierungen ISO 27001) Sicherheitsarchitektur (Rechenzentrensicherheit, Redundanz d. Systeme, ggf d. Rechenzentren, Netzsicherheit, Content Sicherheit, Verschlüsselung, Härtung, etc) Identity- und Rechtemanagement (starke Authentisierung, Zugriffskontrollisten für Benutzer und Administratoren, Least Privilege Model) Monitoring- und Incident Management (Logdatenerfassung- und Auswertung, 24/7 Cloud Management) Sicherheitsüberprüfung- und nachweis (regelmäßige Penetrationstests) Personal (Ausbildung, Sicherheitssensibilisierung, etc) Transparenz Kontrollmöglichkeiten für Nutzer Portabilität der Daten, Interoperabilität Datenschutz und Compliance (Einhaltung deutsches Recht, BDSG, Speicherung von pers. Daten nur innerhalb EU) Quelle BSI Mai 2011 Page 18 Seite 18

19 Zusammenfassung Wir sichern Ihre Unternehmenskommunikation Bewährte Sicherheitsfachkompetenz: Unsere OpenSmart Security Best Practices basieren auf bewährten Erfahrungen und gehen über Standardlösungen hinaus. Grundlegende Sicherheitsmerkmale sind in unsere Produkte, Dienstleistungen und Lösungen bereits integriert. Umfassendes Sicherheitsportfolio: Siemens Enterprise Communications bietet branchenweit das umfassendste Unified Communications-Sicherheitsportfolio einschließlich Produkte, Dienstleistungen und Lösungen. Führende Sicherheitslösungen: Das OpenScape Fusion-Ecosystem bietet einen herstellerunabhängigen Zugriff auf Best-of-Breed- Sicherheitslösungen. Globale Multi-Vendor-Sicherheits-Services: Unsere OpenScale Security Services umfassen Integration, Implementierung, Betrieb und Cloud Services (ITIL-basiert, herstellerunabhängig und global verfügbar). Sichere Cloud Services: OpenScape Cloud Services bieten durchgängige Sicherheit und physikalisch sichere sowie geographisch redundante Support Center. Seite 19

20 Siemens Enterprise Communications delivers UC solutions today! Pront Besuchen Sie uns auf unserem Stand! Seite 20 Page 20