Cloud Zertifizierung und Kompetenz. Hendrik A. Reese, Principal Consultant, TÜV Rheinland

Transkript

1 Cloud Zertifizierung und Kompetenz. Hendrik A. Reese, Principal Consultant, TÜV Rheinland

2 Cloud Computing. Marktsituation in Deutschland. 30% 65% 90% Marktwachstum von 2015 auf 2016 Interviewte Personen: Nachgewiesene Compliance ist ein MUSS. Interviewte Personen: Die Nachweisfähigkeit muss verbessert warden TÜV Rheinland i-sec GmbH

3 Was ändert sich durch die aktuelle Jurisdiktion zu Safe Harbor? DIE UNWIRKSAMKEIT VON VERTRÄGEN AUF GRUNDLAGE VON SAFE HARBOR HAT NUR RECHTLICHE IMPLIKATIONEN 3

4 Cloud Transformation in Unternehmen. Die Sicherheitsdebatte ist latent. 4

5 Sicherheit in der Cloud. Auswahl wesentlicher Elemente. 1 Auswahlprozess 2 Sichere Architektur 3 Vertrauen und Kontrolle 5

6 Cloud entlässt den Nutzer nicht aus der Verantwortung für die Sicherheit. Ein Beispiel. Sichere Architektur, Verschlüsselung, Zugriffssicherheit, Härtung, Überwachung Betrieb und Konfiguration Virtualisierung Daten Applikationen OS Virtuelle Netzwerke Virtuelle Firewalls Cloud Nutzer verantwortlich für Sicherheit und Betrieb der eigenen Infrastruktur in der Public Cloud Virtuelle Infrastruktur Physische Infrastruktur Compute Compute Storage Storage Data Center Infrastructure Network Network Database Database Public Cloud Provider verantwortlich für Sicherheit und Betrieb 6

7 Belastbare Auswahl von Cloud Services. Auswahlprozess entscheidet über den Erfolg. Anforderungserhebung Bewertungskriterien Analyse Cloud Service Empfehlung Identifizierung von generellen Anforderungen sowie für spez. IT-Services hins. IT-Sicherheit und Compliance Ableitung eines Anforderungsprofils Zusammenfassung der Anforderungen in Bewertungsprofile Klassifizierung und Gewichtung von Kriterien, einschl. k.o.-kriterien Analyse des Cloud Services gegenüber dem Bewertungsprofil Bewertung der Sicherheitsfunktionen und merkmale des Cloud Services hins. Customizing Fähigkeit Ableitung von Empfehlungen für den Einsatz des untersuchten Cloud Services Chancen und Risiken des Cloud Einsatzes 7

8 Sicherheit in der Cloud impliziert operative Sicherheitsverantwortung des Cloud Nutzers. Cloud Owner Management process monitoring Reliable security and compliance management Management process encryption Incident response Security Information and Event Management Trust and Secure Authentication monitoring access Cloud Application stack Shared Virtualization Database stack Shared Storage 8

9 Cloud Anforderungskatalog. Prüfung von Qualität aus Sicht des Serviceversprechens. Infrastruktur Datensicherheit Organisation Compliance Prozesse Betrieb Sicherheit und Verfügbarkeit der Cloud Service Infrastruktur Architektur des Cloud Services. Sicherheit des Netzwerks, der Systeme und Virtualisierung. Rollen, Verantwortlichkeiten und Kompetenzen für Betrieb und Entwicklung des Cloud Services Effektives Management von vertraglichen und gesetzlichen Verpflichtungen Service Prozesse für das kontinuierliche Management der Erbringung des Cloud Services Definition und Belastbarkeit der Betriebsprozesse für den Cloud Service Interviews Dokumentenprüfung Technische Analyse (Penetration Tests) Bewertung TÜV Rheinland i-sec GmbH

10 Benchmark der Sicherheit bei komplexen Anforderungen. Unterschiede in der Belastbarkeit Schwache Aussage Aussage zu Fähigkeiten Detaillierte Aussage Designprüfung Implementierungsprüfung Effektivitätsprüfung. Compliance Datensicherheit Prozesse Netzwerksicherheit Datenschutz IKS Betrieb Service Zugriffssicherheit Exportkontrolle Monitoring Systemsicherheit TÜV Rheinland i-sec GmbH

11 Cloud Anforderungskatalog. Elemente einer belastbaren Prüfung. Interviews Konfigurationsreviews Bewertung der Effektivität von Maßnahmen Qualität und Belastbarkeit von Prozessen Dokumentenprüfung Architekturreview Policy- und Prozessreview Technische Analyse Penetration test gegen Cloud Schnittstellen Widerstandsfähigkeiten gegenüber Attacken 11

12 TÜV Rheinland. STARKE REPUTATION ALS FÜHRENDER UNABHÄNGIGER ANBIETER DER INFORMATIONS- SICHERHEIT HOHER ERFAHRUNGS- SCHATZ UND VIELZAHL AN KOMPETENZEN FÜR CLOUD SERVICE PRÜFUNGEN HOHE VERTRAUENS- STELLUNG IN VERBINDUNG MIT BREITER ANERKENNUNG IM EUROPÄISCHEN CLOUD MARKT TÜV Rheinland i-sec GmbH

13 Fragen? Hendrik A. Reese Principal Consultant TÜV Rheinland i-sec GmbH Am Grauen Stein Telefon: Mobil: TÜV Rheinland i-sec GmbH