Cloud Computing Governance. Thomas Köhler Leiter Public Sector RSA The Security Division of EMC

Transkript

1 Cloud Computing Governance Thomas Köhler Leiter Public Sector RSA The Security Division of EMC

2 Definition Cloud - Wolke Wolke, die; -, -n; Wölkchen: Hoch in der Luft schwebende Massen feiner Wassertröpfchen

3 Wassertröpfen-Computing oder was meinen Sie?

4 Cloud Computing IT Sicht

5

6

7 Realisierte Einsparungspotentiale Die Migration in die Private Cloud IT Dienste Verwaltungsdienste IT-As-A-Service Kostenreduktion Verbesserung QoS Höhere Agilität 85% 95% 50% 30% Fachverfahren 15% Platinum Gold Reifegrad der Compliance-Automatisierung

8 Traditioneller Security Ansatz Team Team Team Policy Point Tool Policy Point Tool Policy Point Tool Netzwerke Endpoint Anwendungen Operative Inseln Unflexibel Uneinheitlich Kostenintensiv

9 Cloud Computing Governance

10 CLOUD GOVERNANCE Wo liegen meine Daten? Welcher Schutzbedarf wird benötigt? Wie werden personenbezogene Daten behandelt? Welche regulatorischen Vorschriften muss ich beachten? Wer kann/darf auf meine Daten zugreifen? Welche Compliance Risiken existieren? Welche Online Risiken = Echtzeit Angriffe gibt es? Reichen die Zertifizierungen (BSI/ISO) des Anbieters aus? Welche Kontrollpflichten haben wir?.

11 EU Data Protection Directives SigG SGB LDSG Dienstanweisungen ArchiSig Sicherheitsrichtlinien ISO27001 BSI Grundschutz BDSG

12 Zugangstechnologien Integriertes Service- Systems- & Netz-Management Integrierte Entwicklungsumgebung egovernment Zielarchitektur* Basiskomponenten VPS Prozess Management Fachanwendungen Identitäts- Management egovernment Plattformen Fachunabhängige Anwendungen Sicherheitsinfrastruktur (Firewalls, Virenscanner, ) RZ-Infrastruktur (web, Server, DBMS, ) Netzwerkinfrastruktur *Fraunhofer Fokus Referenzarchitektur für Serviceorientierte Architekturen

13 Zugangstechnologien Integriertes Service- Systems- & Netz-Management Integrierte Entwicklungsumgebung Cloud Security Framework Komponenten InfoSec/Compliance, Richtlinien Durchsetzung Basiskomponenten und Risiko Minimierung Prozess Management Fachanwendungen Identitäts- Management egovernment Plattformen Datensicherheit, Kontrolle und Zugang Sicherheitsinfrastruktur (Firewalls, Virenscanner, ) RZ-Infrastruktur (web, Server, DBMS, ) Netzwerkinfrastruktur *Fraunhofer Fokus Refernzarchitektur für Serviceorientierte Architekturen Fachunabhängige Anwendungen Interoperabilität, Integration und Identity Federation Applikationssicherheit Service Verfügbarkeit und Zuverlässigkeit

14 Cloud Computing Governance Transparenz schaffen Sicherheitskritische Ereignisse in Echtzeit überwachen Einhaltung von Sicherheits-, Datenschutzrichtlinien Höhere Automatisierung Konvergenzen fördern IT-Sicherheit & Governance, Risk und Compliance Audits & Zertifizierungenprozesse

15 Governance & Automatisierung Autoritative Quellen Direktiven (EU 95/46, BDSG, SGB, BSI Grundschutz etc.) CIO/CISO/CRO Kontroll-Standards Generalisierte Sicherheit und Datenschutz Steuerelemente (Controls) Kontroll-Prozesse Technologie-spezifische Controls Admin

16 Monitoring von Controls Security Admin Server Admin Projekt Manager Netzwerk Admin VI Admin

17 Beispiel Virtualisierung Übersicht der VMware Infrastruktur Definition der Sicherheitsrichtlinien Management der Sicherheitsvorfälle die den Compliance Status beieinflussen. Manuelles und automatisiertes Assessment der Konfiguration RSA Archer egrc Anpassung der Controls die nicht regelkonform sind

18 Automatisiertes Assessment Automatisiertes Suche und Assessment von VMware Infrastruktur via PowerCLI RSA Archer egrc VMware Objekte(ESX, vswitches, etc ) werden automatisch in Archer abgebildet Objekte können im Anschluss auf die Controls z.b von ISO27001 oder andere Standards (BSI) zugeordnet. Über 40% sind bereits automatisch geprüft über PowerCLI Ergebnisse werden an Archer für die Generierung von Berichten bereitgestellt.

19 Cloud Kontroll Prozeduren

20 RSA Cloud Security & Compliance Regularien, Standards Allegemeine Sicherheit Controls VMware-spezifische Sicherheit Controls vsphere liefert Information an Archer über SDK Automatisiertes Assessment Konfiguration Status VMware Cloud Infrastruktur (vsphere, vshield, VCD) RSA envision Sicherheitsrelevante Events envision stellt Security Information Event Management (SIEM) Dienste zur Verfügung Ecosystem (HyTrust, Ionix,)

21 Vblock Security Validated with Vblock Ionix SCM für Security config und Patch management RSA SecurID für Fernzugriff Authentifizierung VMware Infrastructure On Vblock RSA DLP für Schutz der Daten Active Directory (VM) VMware View Manager (VM) VMware vcenter (VM) Clients RSA SecurID für ESX Service Console und vma RSA envision log Collector Für VMware vcenter, ESX, View, RSA SecurID und DLP

22 Compliance Leitstand für Virtualisierung

23 egrc Strategie für die Verwaltung

24 Für die meisten Menschen ist es genug, wenn alles funktioniert. Zum Funktionieren braucht es keine Vernunft nur regelkonformes Verhalten. Gunter Dueck, Supramanie (2. Auflage) Regeln sollten auf Basis der Vernunft entwickelt werden. Damit regelkonformes Verhalten auch vernünftig ist. Thomas Köhler