EuroCloud Deutschland_eco e.v

Transkript

1 Euro Deutschland_eco e.v eco KG Sicherheit Security und Monitoring von kritischen Parametern Andreas Weiss Euro Deutschland_eco e.v. Verband der Computing Wirtschaft am Marktplatz Deutschland

2 Über das Euro Netzwerk 22 Länder +10 Kandidaten Netzwerk von > 300 Spezialisten > 1000 Mitgliedsunternehmen in den Ländern Arbeitsbereiche Customers Confidence in Standards and Interoperability Legal Framework Harmonization Linking Europe s Industry globally Research and Innovation Start-Up Encouragement

3 Internationale Vernetzung Gemeinsame Initiativen und Projekte Konferenzen Awards ECSA - Zertifzierung Digital Agenda Select Industry Group SLA Code of Conduct Ceritification Certification Risk assements Security Guide fo SMEs Resilience Standards Interoperability SLA

4 Basisthemen " Recht und Compliance " Service Level Agreements " Security " Datenschutz

5 Die Herausforderung " Services sind als Lieferkette zu betrachten und besitzen eine hohe Agilität im technischen Aufbau " Kein Service gleicht dem anderen " Perimeterschutz ist nur noch ein untergeordnetes Schutzelement " Technische Systeme müssen permanent gegen Angriffe von außen und von innen überwacht werden " Fragen zur technischen und organisatorischen Sicherheit, zum Datenschutz und zur Servicequalität stehen an oberster Stelle Wir gestalten das Internet

6 Zulieferkette Kunde SaaS Anbieter Reseller Reseller Vermi9ler Lösungssanbieter Co Locator SaaS Anbieter Co Locator SaaS Anbieter IaaS Anbieter Co Locator PaaS Anbieter #1 DC PaaS SaaS Anbieter IaaS Anbieter # 1 DC IaaS SaaS Anbieter #1 Paas Anbieter #1 Iaas Anbieter # 1 DC #1 SaaS Anbieter #n Paas Anbieter #n Iaas Anbieter # n DC #n

7 IT Abteilung als Broker " Die IT Abteilungen der Unternehmen müssen sich zunehmend um IT Services kümmern, deren Betriebsverantwortung bei externen Anbietern liegt. IT IT IT IT IT

8 ENISA C-SIG Certification " CCSL - Certification Schemes List Ziele: Transparenz zu diversen Zertifizierungen Darstellung der organisatorischen Hintergründe Differenzierung nach Audit und Selbstaussage

9 Ausgangslage Traditionelle Zertifizierungsansätze " Manuelle Prüfung von Anforderungen eines Zertifikates " Statische Prüfungsintervalle (bzw. Gültigkeit) von ein bis drei Jahren Audit & Zertifizierung Audit Audit Jahre

10 Ausgangslage Problem traditioneller Zertifizierungsansätze " Zwischen den Prüfungspunkten verändert sich der zertifizierte -Service " Die Nicht-Erfüllung von Anforderungen eines Zertifikates kann eintreten, ohne bemerkt zu werden Audit & Zertifizierung Audit?? Audit Jahre

11 Ausgangslage Lösung: Automatisierte und fortlaufende Prüfung der Anforderungen " Automatisierter Abgleich von High-Level Anforderungen eines Zertifikates mit Informationen über den -Services (z.b. Verhalten anhand von Monitoringdaten zur Laufzeit des Services) Audit & Zertifizierung Audit?? Audit Jahre

12 Dynamische Zertifizierung Computing Hohe Dynamik und rasanter technischer Fortschritt bei - Services Zertifizierungen Viele Zertifikate existierten bereits vor der -Ära; jedoch wenige spezialisierte Zertifikate Hohe Anforderungen deutscher Unternehmen hinsichtlich Qualität, Datenschutz und Datensicherheit von -Services Hohe Komplexität durch Rekombination von -Services Forderung: Bestehende Zertifikate stellen eine Momentaufnahme dar; Gültigkeit von 1-3 Jahren Werden die Auditkriterien nach Konfigurationsanpassungen noch eingehalten? Kontinuierlicher Nachweis des Zertifizierungsstatus mit Hilfe einer dynamischen Zertifizierung

13 Dynamische Zertifizierung Entwicklung von Verfahren zur (teil-) automatisierten Analyse von cloud-basierten Prozessen auf die Einhaltung kritischer Anforderungen z.b.: Sicherheit Verfügbarkeit Datenschutz Servicevereinbarungen Geschäftsbedingungen Das bedeutet: Audit 1 Klassisches Audit Audit 2 Kontinuierliche Auditierung Kontinuierliche Auditierung von - Services auf Basis von definierten Kennzahlen Automatisierung von Elementen des Prüfprozesses Technische, organisatorische, rechtliche und wirtschaftliche Rahmenbedingungen für die Integration in den Regelbetrieb des Anbieters

14 Im Detail Zertifikate Kriterienkataloge Aggregation und Interpretation von -Sensordaten Juristische Complex Event Processing Machine Learning & Data Mining Daten- und Prozessmodell Monitoring & Testwerkzeuge -Ökosysteme Statusinformationen Begleitforschung Technisch ableitbare Kriterien automatisiert ondemand validieren

15 Dynamische Zertifizierung von -Infrastrukturen Hypothesen: Es ist möglich, kritische Anforderungen eines Zertifikats automatisiert zu prüfen. Eine rein automatisierte Zertifizierung ist (nur) für einzelne Prüfschritte möglich. Mit Hilfe automatisierter Prüfschritte kann die Erfüllung von Anforderungen hinsichtlich Qualität, Datenschutz und Datensicherheit rechtssicher erbracht werden. Anforderungen eines Zertifikates (Kontrollkatalog) Validierungsergebnis (Dashboard) Kontrollkataloge (Anforderungen aller Zertifikate) Automatisiert überprüfbare technische Anforderungen Detection rule set Analyser (z.b. CEP) =Validierer Metrik 1 (mit Schwellwert) Metrik N Monitoring System Nicht automatisiert überprüfbare Technische Anforderungen User

16 Umsetzungsziele Voraussetzungen " Spezifikation der Anforderungen in Form von Anwendungsfällen für eine dynamische Zertifizierung, sowie Beschreibung eines Referenzmodells; " Definition eines Kennzahlensystems inklusive der (teil-)automatisierten Messund Vergleichsverfahren sowie eine Taxonomie zur Beschreibung von - Services als Grundlage für eine dynamische Zertifizierung; " Design der Systemarchitektur und des Vorgehens für das kontinuierliche Monitoring sowie Reporting an die unterschiedlichen Interessengruppen; " Dokumentation möglicher Vertragsrahmen, der organisatorischen und betrieblichen Aspekte, der wirtschaftlichen Betrachtung sowie der Akzeptanz; " Prototypische Implementierung von Basis-Komponenten, von Monitoring- Services sowie eines eines (teil)automatisierten Zertifizierungsdienstes " Evaluationsergebnisse und Erprobungsbericht aus den Pilotierungen bei den Feldpartnern " Wissenschaftliche Publikationen

17 Neues Sicherheitsdenken " Es gibt keine allgemeine Sicherheit, jede Serviceverbindung muss für sich betrachtet werden. " Der Begriff Sicherheit in der Ära sollte neu definiert werden. " Durch kontinuierliche Prüfung kritischer Faktoren in allen genutzten Diensten kann ein für dritte nachvollziehbares angemessenes Schutzniveau erreicht werden

18 ECSA Katalog und Self Assessment

19 Danke für Ihre Aufmerksamkeit! Andreas Weiss Direktor Euro Deutschland_eco e.v " " " " " " " " " Wir gestalten das Internet

20 Mitglieder Euro und gemeinsame Aktivitäten Derzeit 135 Mitglieder Struktur Service Anbieter DC Betreiber ISP, Hosting & Managed Services Berater WP und Recht Systemhäuser Leitfäden (KG) Erläuterung der Rahmenbedingungen Verständliche Terminologie Empfehlungen und Checklisten Events Kongresse Messen Roadshows Firmenevents Pressearbeit Award und Best Practice Rechtsfragen Datenschutz Datensicherheit Initiative und Netzwerke Euro Europe Trusted EU Projekte

21 Initiativen und Förderprojekte " ingsmes " Catalyst " Trusted " NGCert " Horizon 2020 " Trust in (AT)