Cloud Computing. Standortbestimmung, Sicherheit, Prüfverfahren. Hendrik A. Reese, Principal Consultant, TÜV Rheinland

Transkript

1 Cloud Computing. Standortbestimmung, Sicherheit, Prüfverfahren. Hendrik A. Reese, Principal Consultant, TÜV Rheinland

2 Cloud Entwicklung. Gegebenheiten unserer Zeit für die Cybersecurity. Bevölkerung 6,3 Mrd. 390 Mio. Internetnutzer Mail Verschlüsselung, FW Malware Exemplare Mobility & BYOD Was ist das? 2016 Bevölkerung 7,3 Mrd. 15 Mrd. Endgeräte 3 Mrd. Internetnutzer Datenvolumen: 8,6 Tsd. Exabyte Cloud Umsatz: 183 Mrd. USD 2020 Bevölkerung 7,8 Mrd. 41 Mrd. Endgeräte 4 Mrd. Internetnutzer Datenvolumen: 40 Tsd. Exabyte Cloud Umsatz: 500 Mrd. USD iphone Google Tag der IT-Sicherheit - IHK Saarland

3 Cloud Computing. Marktsituation in Deutschland. 30% 65% 90% Marktwachstum von 2015 auf 2016 Interviewte Personen: Nachgewiesene Compliance ist ein MUSS. Interviewte Personen: Die Nachweisfähigkeit muss verbessert werden Tag der IT-Sicherheit - IHK Saarland

4 Was ändert sich durch die aktuelle Jurisdiktion zu Safe Harbor? DIE UNWIRKSAMKEIT VON VERTRÄGEN AUF GRUNDLAGE VON SAFE HARBOR HAT NUR RECHTLICHE IMPLIKATIONEN Tag der IT-Sicherheit - IHK Saarland

5 Sicherheit in der Cloud. Auswahl wesentlicher Elemente. 1 Auswahlprozess 2 Sichere Architektur 3 Vertrauen und Kontrolle Tag der IT-Sicherheit - IHK Saarland

6 Cloud entlässt den Cloud Nutzer nicht aus der Verantwortung für die Sicherheit. Ein Beispiel. Sichere Architektur, Verschlüsselung, Zugriffssicherheit, Härtung, Überwachung Betrieb und Konfiguration Virtualisierung Daten Applikationen OS Virtuelle Netzwerke Virtuelle Firewalls Cloud Nutzer verantwortlich für Sicherheit und Betrieb der eigenen Infrastruktur in der Public Cloud Virtuelle Infrastruktur Physische Infrastruktur Compute Compute Storage Storage Data Center Infrastructure Network Network Database Database Public Cloud Provider verantwortlich für Sicherheit und Betrieb Tag der IT-Sicherheit - IHK Saarland

7 Der Einsatz von Cloud Services. Sicherheitsmanagement als Steuerungs- und Kontrollfunktion. Plan Build Run Manage Untersuchung der Architekturanforderungen an Cloud Services und Konzeption der Architektur Auswahl der richtigen Cloud Services unter gleichzeitiger Berücksichtigung von funktionalen Anforderungen, Performance und Kapazität sowie Sicherheit und Compliance Einsatz von passenden Sicherheitslösungen im Umfeld von Monitoring, Access Management und Verschlüsselung zur Absicherung des Cloud Einsatzes Implementierung der Sicherheitslösungen in Verbindung mit belastbaren Sicherheitskonzepten Betrieb von Sicherheitslösungen im produktiven Betrieb von Cloud Services an der Schnittstelle zwischen Cloud Service, onpremise IT und Cloud User Steuerung der Serviceerbringung über den Interlock mit dem Provider integriertes Risk- und Compliance- Management, KPIs, Service Reports, Meldewesen, Kontrolle der Serviceerbringung auf die Einhaltung von Sicherheits- und Complianceanforderungen Infrastruktur Datensicherheit Organisation Compliance Prozesse Betrieb Sicherheit und Verfügbarkeit der Cloud Service Infrastruktur. 1 Architektur des Cloud Services. Sicherheit des Netzwerks, der Systeme und Virtualisierung. 2 Rollen, Verantwortlichkeiten und Kompetenzen für Betrieb und Entwicklung des Cloud Services. 3 Effektives Management von vertraglichen und gesetzlichen Verpflichtungen. 4 Service Prozesse für das kontinuierliche Management der Erbringung des Cloud Services. 5 Definition und Belastbarkeit der Betriebsprozesse für den Cloud Service Tag der IT-Sicherheit - IHK Saarland

8 Belastbare Auswahl von Cloud Services. Auswahlprozess entscheidet über den Erfolg. Anforderungserhebung Bewertungskriterien Analyse Cloud Service Empfehlung Identifizierung von generellen Anforderungen sowie für spez. IT-Services hins. IT-Sicherheit und Compliance Ableitung eines Anforderungsprofils Zusammenfassung der Anforderungen in Bewertungsprofile Klassifizierung und Gewichtung von Kriterien, einschl. k.o.-kriterien Analyse des Cloud Services gegenüber dem Bewertungsprofil Bewertung der Sicherheitsfunktionen und merkmale des Cloud Services hins. Customizing Fähigkeit Ableitung von Empfehlungen für den Einsatz des untersuchten Cloud Services Chancen und Risiken des Cloud Einsatzes Tag der IT-Sicherheit - IHK Saarland

9 Sicherheit in der Cloud impliziert operative Sicherheitsverantwortung des Cloud Nutzers. Cloud Owner Management process monitoring Reliable security and compliance management Management process encryption Incident response Security Information and Event Management Trust and Secure Authentication monitoring access Cloud Application stack Shared Virtualization Database stack Shared Storage Tag der IT-Sicherheit - IHK Saarland

10 Cloud Anforderungskatalog. Prüfung von Qualität aus Sicht des Serviceversprechens. Infrastruktur Datensicherheit Organisation Compliance Prozesse Betrieb Sicherheit und Verfügbarkeit der Cloud Service Infrastruktur Architektur des Cloud Services. Sicherheit des Netzwerks, der Systeme und Virtualisierung. Rollen, Verantwortlichkeiten und Kompetenzen für Betrieb und Entwicklung des Cloud Services Effektives Management von vertraglichen und gesetzlichen Verpflichtungen Service Prozesse für das kontinuierliche Management der Erbringung des Cloud Services Definition und Belastbarkeit der Betriebsprozesse für den Cloud Service Interviews Dokumentenprüfung Technische Analyse (Penetration Tests) Bewertung Tag der IT-Sicherheit - IHK Saarland

11 Benchmark der Sicherheit bei komplexen Anforderungen. Unterschiede in der Belastbarkeit Schwache Aussage Aussage zu Fähigkeiten Detaillierte Aussage Designprüfung Implementierungsprüfung Effektivitätsprüfung. Compliance Datensicherheit Prozesse Netzwerksicherheit Datenschutz IKS Betrieb Service Zugriffssicherheit Exportkontrolle Monitoring Systemsicherheit Tag der IT-Sicherheit - IHK Saarland

12 Cloud Anforderungskatalog. Elemente einer belastbaren Prüfung. Interviews Konfigurationsreviews Bewertung der Effektivität von Maßnahmen Qualität und Belastbarkeit von Prozessen Dokumentenprüfung Architekturreview Policy- und Prozessreview Technische Analyse Penetration test gegen Cloud Schnittstellen Widerstandsfähigkeiten gegenüber Attacken Tag der IT-Sicherheit - IHK Saarland

13 TÜV Rheinland. STARKE REPUTATION ALS FÜHRENDER UNABHÄNGIGER ANBIETER DER INFORMATIONS- SICHERHEIT HOHER ERFAHRUNGS- SCHATZ UND VIELZAHL AN KOMPETENZEN FÜR CLOUD SERVICE PRÜFUNGEN HOHE VERTRAUENS- STELLUNG IN VERBINDUNG MIT BREITER ANERKENNUNG IM EUROPÄISCHEN CLOUD MARKT Tag der IT-Sicherheit - IHK Saarland

14 Fragen? Hendrik A. Reese Principal Consultant TÜV Rheinland i-sec GmbH Am Grauen Stein Telefon: Mobil: Tag der IT-Sicherheit - IHK Saarland

15 Auf allen Kontinenten zuhause. Kennzahlen 2014 Umsatz in Mio Auslandsanteil (in %) 49,0 EBIT (in %) 6,4 Mitarbeiter (-innen) Auslandsanteil (in %) 60,0 Standorte: Über 500 in 69Ländern TÜV Rheinland i-sec GmbH

16 Umsatz nach Geschäftsbereichen. Academy & Life Care Systeme 11% ICT & Business Solutions 7% 7% Industrie Service 29% Mobilität 24% 22% Produkte TÜV Rheinland i-sec GmbH

17 Die Welt von ICT & Business Solutions. Weltweite Standorte Umsatz 2014: Circa 123 Mio. Geschäftsfelder IT Services & Cyber Security Telco Solutions, Business & Engineering Services Management Consulting R&D Management TÜV Rheinland i-sec GmbH

18 TÜV Rheinland i-sec. Informations- und IT-Sicherheit. Führender unabhängiger Dienstleister für Informationssicherheit in Deutschland Beratungs- und Lösungskompetenz in ganzheitlicher Informationssicherheit von der Steuerungsebene bis ins Rechenzentrum inkl. betriebsunterstützender Leistungen Exzellente Technologie-Expertise, umfassendes Branchen-Know-how, Partnerschaften mit Marktführern International zählen wir im Verbund mit OpenSky zu den wichtigsten unabhängigen Anbietern Zertifiziert nach ISO TÜV Rheinland i-sec GmbH

19 TÜV Rheinland i-sec GmbH. Fakten und Zahlen. Standorte Deutschland Fachliches Kompetenzteam! Köln (HQ) München Gelnhausen Saarbrücken 15 x Sales 20 x Security Engineering 60 x Management Beratung 45 x Professional Service und Betrieb Projekteinsatz an Tagen in 2014 Branchen und Sitz unserer Kunden Finanzen Automobil Telekommunikation Int. Mischkonzerne Transport/Logistik Energiewirtschaft Militär Öffentlicher Dienst Chemie/Pharma IT-Dienstleister Handel Touristik Deutschland Österreich Schweiz Frankreich TÜV Rheinland i-sec GmbH

20 Lösungskompetenz. Informations- und IT-Sicherheit. 1 Zielsetzung 2 Steuerung 3 Konzeption 4 Betrieb 5 und Strategie und Planung und Implementierung Prüfung Businessanforderung Management der Informationssicherheit Sichere Architekturen und Prozesse für Netzwerke, Rechenzentren, Mobil Sicherheit im Betrieb Sicherheitsaudits Strategie Datenschutz und Datensicherheit Anwendungssicherheit Betrieb und Support von IT Security Lösungen Zertifizierung von Prozessen und Diensten Steuerungsprozesse IT Risikomanagement nach ISO und Security Incident Response Team (SIRT) ISMS, BCM und GRC Toolauswahl/-einführung! Branchenlösungen, individuelle Konzepte, professionelle Beratung und stark in der Umsetzung TÜV Rheinland i-sec GmbH