IAM in the Cloud - Guidance der Cloud Security Alliance

Größe: px

Ab Seite anzeigen:

Download "IAM in the Cloud - Guidance der Cloud Security Alliance"

Birgit Beltz
vor 8 Jahren
Abrufe

1 Klaus Gribi United Security Providers IAM in the Cloud - Guidance der Cloud Security Alliance MEET SWISS INFOSEC, 26. Juni 2013

2 Agenda Vorstellung der Cloud Security Alliance (CSA) Vorstellung CSA Switzerland Chapter Cloud IAM Herausforderungen Cloud IAM Modelle CSA Guidance IAM in the Cloud Kontakt Seite 2

3 Vorstellung der Cloud Security Alliance HQ in den USA Not for profit Mitglieder-getrieben IAM in the Cloud Guidance der Cloud Security Alliance, MSI 26. Juni 2013 Seite 3

Vorstellung CSA Switzerland Chapter Erarbeiten von Cloud Security Best Practices und Guidelines, damit die Compliance zur Schweizerischen Gesetzgebung gewährleistet werden kann Fördern des

4 Vorstellung CSA Switzerland Chapter Erarbeiten von Cloud Security Best Practices und Guidelines, damit die Compliance zur Schweizerischen Gesetzgebung gewährleistet werden kann Fördern des gemeinsamen Verständnisses bezüglich Informations- und Datenschutz, Legal Compliance und Governance zwischen den involvierten Cloud Parteien Transformation von unabhängigen Forschungsergebnissen in Best Practices und Guidelines, in Zusammenarbeit mit staatlichen Institutionen und dem Bildungswesen Durchführen von Cloud Security Awareness-Kampagnen und Schulungsprogrammen Bearbeiten von fachlichen Fragestellungen in Zusammenarbeit mit der CSA Global IAM in the Cloud Guidance der Cloud Security Alliance, MSI 26. Juni 2013 Seite 4

Forschungsergebnissen in Best Practices und Guidelines, in Zusammenarbeit mit staatlichen Institutionen und dem Bildungswesen Durchführen von Cloud Security Awareness-Kampagnen und

5 CSA Switzerland Chapter Board of Directors Klaus Gribi Gründer, Präsident United Security Providers Dominik Birk Vize-Präsident Zurich Insurance Panos Zarkadakis Mitglieder Swisscom Dominique Brack Finanzen Reputelligence Nicole Beranek Recht De la Cruz Beranek Rechtsanwälte Jens Piesbergen Allianzen Netcetera Jean-Henry Morin Akademische Arbeiten Universität Genf Pascal Kocher Beisitzer Swissminds Sean O Tool Beisitzer Swisscom Andreas Münger Beisitzer United Security Providers IAM in the Cloud Guidance der Cloud Security Alliance, MSI 26. Juni 2013 Seite 5

Jens Piesbergen Allianzen Netcetera Jean-Henry Morin Akademische Arbeiten Universität Genf Pascal Kocher Beisitzer Swissminds Sean O Tool

6 Cloud IAM Herausforderungen Fehlende Standards Schutz der Identitäts-Informationen Nichtverfügbarkeit des Identity Providers Unterschiedliche Funktionsweise der CSP Berechtigungssysteme Vollständige Entfernung der Identitäts-Informationen Fehlende Interoperabilität mit der existierenden On Premise IT Erhaltung der Privacy über mehre Mandanten hinweg Fehlende Zusammenarbeit zwischen Identity- und Service-Provider Durchgängiges Echtzeit-Provisioning / De-Provisioning Fehlende Abstimmung mit den Geschäftsmodellen IAM in the Cloud Guidance der Cloud Security Alliance, MSI 26. Juni 2013 Seite 6

Premise IT Erhaltung der Privacy über mehre Mandanten hinweg Fehlende Zusammenarbeit zwischen Identity- und Service-Provider Durchgängiges

7 Cloud IAM Modelle IAM to the Cloud (SaaS) Benutzer Account Sync Directory IAM IAM in the Cloud Guidance der Cloud Security Alliance, MSI 26. Juni 2013 Seite 7

8 Cloud IAM Modelle IAM in the Cloud (SaaS) Benutzer Authentication, Provisioning SSO Portal Account Sync Directory IAM IAM in the Cloud Guidance der Cloud Security Alliance, MSI 26. Juni 2013 Seite 8

9 CSA IAM Guidance Die verschiedenen CSA Dokumente Erläuterung jeder SecaaS Kategorie Implementation Guidance Security Guidance IAM in the Cloud Guidance der Cloud Security Alliance, MSI 26. Juni 2013 Seite 9

10 CSA IAM SecaaS Guidance Inhalt SecaaS Kategorien Identity and Access Management Data Loss Prevention Web Security Mail Security Security Assessment Beschreibung Hauptfunktionen Optionale Funktionen Herausforderungen Involvierte Services/Standards Intrusion Management SIEM Encryption BCM and Disaster Recovery Network Security Zuweisung zu Schutzfunktionen Adressierte Bedrohungen Beispiele IAM Cloud Provider Referenzen Weitere Ressourcen IAM in the Cloud Guidance der Cloud Security Alliance, MSI 26. Juni 2013 Seite 10

10 Intrusion Management SIEM Encryption BCM and Disaster Recovery Network Security Zuweisung zu Schutzfunktionen Adressierte

11 CSA IAM SecaaS Guidance Konkretes Beispiel Involvierte Services Identity Provider Identity Life Cycle Management Federated Identity Management Entitlement Management Web SSO, SAML, SPML, SCIM, XAML OAuth, OpenID Active Directory Federation Services WS-Federation, WS-Privacy, WS-Auth Related Services: DLP, SIEM Cloud Service Modelle: PaaS, SaaS, DBaaS Adressierte Bedrohungen/Gefährdungen Diebstahl / Missbrauch von Identitäten Unberechtigter Zugriff Unberechtigte Erhöhung von Zugriffsrechten Zu viele Zugriffsrechte Fehlende Audit Mechanismen Keine Kontrolle von privilegierten Benutzern DoS Attacken auf das IAM System Unzureichendes Hardening des IAM Systems Fehlerhafte Konfiguration des IAM Systems IAM in the Cloud Guidance der Cloud Security Alliance, MSI 26. Juni 2013 Seite 11

Diebstahl / Missbrauch von Identitäten Unberechtigter Zugriff Unberechtigte Erhöhung von Zugriffsrechten Zu viele Zugriffsrechte Fehlende Audit Mechanismen Keine Kontrolle von privilegierten

12 CSA IAM Implementation Guidance Inhalt Planung Centralized Directory Services Access Management Services Identity Management Services Assessment Identity Federation Services Role Based Access Control Privileged User Management Segregation of duties IAM Reporting Services Design Implementation IAM in the Cloud Guidance der Cloud Security Alliance, MSI 26. Juni 2013 Seite 12

Based Access Control Privileged User Management Segregation of duties IAM Reporting Services

13 CSA IAM Implementation Guidance Konkretes Beispiel Auszug aus der Implementation Guidance für privilegierte Accounts Identifikation der privilegierten Accounts Administrative Accounts Cloud Consumer Administrative Accounts Cloud Provider Applikations- und Service-/API-Accounts System-Accounts (IaaS) Authentisierung Multifaktor Authentisierung Zertifikate bei Applikationen/WebServices Komplexe Passwörter bei System Accounts Risikobasierende Authentisierung Kontrolle der privilegierten Accounts Benutzung der privilegierten Accounts Ausübung von privilegierten Aktionen Audit-Log SIEM-Integration Management der privilegierten Accounts Sicherer Aufbewahrungsort der Accounts Automatisierte Policies und Workflows Monitoring, Logging, Reporting Automatisiertes Account Discovery Privileged User Management System = sollte Vertragsbestandteil sein IAM in the Cloud Guidance der Cloud Security Alliance, MSI 26. Juni 2013 Seite 13

Passwörter bei System Accounts Risikobasierende Authentisierung Kontrolle der privilegierten Accounts Benutzung der privilegierten Accounts Ausübung von privilegierten Aktionen Audit-Log

14 CSA IAM Security Guidance Inhalt Domains Cloud Architecture Governance / Risk Management Legal Issues Compliance and Audit Management Information / Data Security Interoperability / Portability Traditional Security / BCM / DR Data Center Operations Incident Response Application Security Encryption and Key Management Identity, Entitlement, Access Mgmt Cloud Identity Architektur Identity Federation Governance für Identitäten Entitlement Prozess Authorization und Access Management Account Provisioning in Cloud Lösungen Compliance und Audit Management Schutz der Identitäten und Daten Identity Service Providers Empfehlungen Virtualization Security as a Service Anforderungen Seite 14

Entitlement, Access Mgmt Cloud Identity Architektur Identity Federation Governance für Identitäten Entitlement Prozess Authorization und Access Management Account Provisioning in

15 CSA IAM Security Guidance Konkretes Beispiel IAM in the Cloud Guidance der Cloud Security Alliance, MSI 26. Juni 2013 Seite 15

16 CSA IAM Security Guidance Konkretes Beispiel Requirements: The Cloud IAM Provider must provide to the cloud consumer segregation of duties based on identity entitlement multifactor authentication centralized policy management unified access control and audit role based access control federated provisioning of cloud applications interoperability among various cloud providers privileged user and password management policy and regulatory centric compliance reporting tamper-proof storage of audit records granular access management risk based authentication IAM in the Cloud Guidance der Cloud Security Alliance, MSI 26. Juni 2013 Seite 16

applications interoperability among various cloud providers privileged user and password management policy and regulatory centric compliance reporting

17 CSA IAM Security Guidance Zusammenfassung Bild: Swisscom IAM in the Cloud Guidance der Cloud Security Alliance, MSI 26. Juni 2013 Seite 17

18 Kontakt Wir stehen Ihnen gerne zur Verfügung. Marcel Neiger Head of Business Unit IAM & Consulting Klaus Gribi Manager Perimeter Security Gründer und Präsident CSACH IAM in the Cloud Guidance der Cloud Security Alliance, MSI 26. Juni 2013 Seite 14

Ähnliche Dokumente

TÜV Rheinland. Ihr Partner für Informationssicherheit.

TÜV Rheinland. Ihr Partner für Informationssicherheit. 2017 Zahlen 2016. 1,881 Milliarden Umsatz Umsatz nach Geschäftsbereichen Umsatz nach Regionen 7% Zentral- und Osteuropa 1,9% 8% 27% Industrie Services