ISSS Security Lunch - Cloud Computing Technische Lösungsansätze Insert Andreas Your Kröhnert Name Insert Technical Your Account Title Manager Insert 6. Dezember Date 2010
The Cloud Unternehmensgrenzen verschwimmen Informationen existieren ausserhalb Ungewissheit über tatsächlichen Aufenthaltsort Die hier präsentierten Lösungen sind nicht neu, sondern bewährte Mittel, effizient auf die Cloud angewandt. 2
Ein Unternehmensszenario
Die Realität Identities Transactions Data Communication Datenbanken Zugriffskontrolle / Audit Transportsicherheit Vertraulichkeit bei Übertragung Dokumenten-Integrität Unkontrollierte Datenablage Dateiablage Unerlaubte Zugriffe / Archivierung Anwender Identität Authentisierung der Berechtigten 4
Daten-Integrität Problem: Daten, vor allem Dokumente, liegen unkontrolliert in der Cloud Modifikationen beim Transport oder auf Cloud- Systemen nicht ausgeschlossen Veränderungen von Dokumenten müssen nachvollziehbar sein. Beispiel: Kunden-Verträge, AGBs des Cloud Anbieters 5
Daten-Integrität Lösung: Digitale Signatur Prüfsumme wird über das gesamte Dokument, inklusive eingebetteter Daten, erstellt Diese wird mit einem einzigartigen Schlüssel unterschrieben Im Falle von Änderungen kann Signatur nur mit dem geheimen, privaten Schlüssel vorgenommen werden Prüfung jederzeit mit öffentlichem Schlüssel möglich 6
Daten-Integrität Lösung advanced : Digitaler Zeitstempel Ähnlich wie die digitale Signatur, allerdings wird eine Zeitinformation aus vertrauenswürdiger Quelle hinzugezogen Die Zeitinformation wird Teil der zu signierenden Daten Damit ist beweisbar, dass die Daten zu einem bestimmten Zeitpunkt existent waren 7
Authentisierung Problem: Identifikation der Nutzenden Zugriff auf Cloud basiertes System darf nur durch autorisierten Personenkreis erfolgen Kontrolle nach Möglichkeit nicht beim Serviceanbieter Clientsystem erlaubt keine Installation der notwendigen Middleware oder Authentisierung mittels USB Token oder Smartcard 8
Authentisierung Lösung: Token mit Identitäts-Zertifikat USB Token oder Smartcard Wird durch Zertifikatsanbieter ausgegeben Beispiel: SuisseID Einmalpasswörter Auf Knopfdruck wird ein einmaliges Passwort generiert. Einfache Integration in existierendes System kein Hardwareanschluss notwendig 9
Datentransport Problem: Datenübertragung in die Cloud Weg zum Cloud System kann nicht kontrolliert werden Verschiedene Carrier involviert Konfiguration oder externe Infrastrukturänderung nicht möglich Existierende Lösungen wie IPsec sind langsam 10
Datentransport Lösung: Leitungsverschlüsseler Transparente Layer-2 Verschlüsselung Nur Nutzdaten werden verschlüsselt und damit gesichert Transport-Informationen bleiben erhalten Damit unabhängig vom Transportnetz der Carrier 11
Storage Problem: Storageanbieter / Backupdienstleister Externe Dateiablage Backupsysteme Dienstleister wie Dropbox etc. Zugriff für mobile Endgeräte 12
Storage Lösung: transparente Datei- / Ordnerverschlüsselung Zentral verwaltete Nutzer- und Zugriffsrichtlinien Vollkommen transparent für Nutzenden Bei entsprechender Konfiguration ist sogar der Transportweg gesichert 13
Datenbanken Problem: Datenbanksysteme Anwendungen beziehen Informationen aus Datenbanken in der Cloud 14
Datenbanken Lösung: transparente Datenverschlüsselung Anwendung arbeitet mit klaren Daten Back-End ver- oder entschlüsselt ist transparent In der Datenbank gespeicherte Informationen sind gesichert, können dort nicht eingesehen werden Zugriffe sind geregelt Auditierbar, wenn entsprechend protokolliert wird 15
Datenbanken Lösung advanced : Transparente Verschlüsselung Datenbanksystem wird transparent an Sicherheitslösung gebunden Richtlinien werden geprüft vor dem Entschlüsselungsvorgang Administratoren / Betreiber bleiben draussen 16
Personenbezogene Daten Problem: Verknüpfungen erlauben Rückschlüsse auf Personen Bei Zugriff auf Daten können Rückschlüsse auf Personen getroffen werden In Verbindung mit anderen Systemen kann ein ungewollter Mehrwert geschaffen werden Beispiel: Verbund aus Name und Kontonummer in einer Datenbank 17
Personenbezogene Daten Lösung: Tokenisation Bindeglied wird entfernt und durch ein Token ersetzt Nur ein vertrauenswürdiges System kann Verbindung herstellen Notwendige Information kryptografisch gesichert Zugriff und Verwaltung zusätzlich gesichert 18
Keymanagement Neues Problem: Alle Lösungen benutzen kryptografische Schlüssel Sicherheit nur so gut wie Verwahrung der Schlüssel Weitere Zugriffskontrolle wird benötigt 19
Keymanagement Lösung: Hardware Security Module - HSM Hardware basiertes System nicht nur zur Speicherung der Schlüssel Auch zur Verarbeitung der sicherheitsrelevanten Daten Angriffsfall wird mit aktivem Löschen beantwortet Kontrolle durch Zwei-Faktoren Authentisierung 20
Keymanagement Lösung advanced : Key Management System Ebenfalls Hardware basiert Schlüsselberechtigungen nicht nur applikatorisch Sondern auch pro Individuum Zugriffe können nach Zeit oder Anzahl beschränkt sein Werden protokolliert Sperrung oder Neuausstellungen werden automatisch gehandhabt 21
Umsetzung Nicht alles kann nur durch den Cloud Anbieter oder die Unternehmung integriert werden Es braucht ein Zusammenspiel, auch was organisatorische Richtlinien angeht Aber es gibt auch eine weitere Definition von SaaS Security as a Service Sicherheitslösungen sind auch cloudfähig 22
Lösungsansätze I ikey und etoken Authentifikatoren Multi-format Authentifikatoren unterstützen nahezu jedes Business T Luna und ProtectServer Hardware Sicherheitsmodule (HSM) schützen Identitäten bei Transaktionen Hardware Schutz von kritischen Schlüsseln D DataSecure schützt sensitive Daten der Organisation Ermöglicht sicheres Zusammenarbeiten Kernkomponente um Compliance sicherzustellen C Ethernet, SONET Encryptoren stellen Vertraulichkeit bei der Übertragung sicher Ermöglicht sichere High-Speed Kommunikation 23
Abschliessende Worte Lösungen kann man nun bei individuellen Herstellern suchen oder man wendet sich an einen Spezialisten, welcher entsprechende Lösungen seit Jahrzehnten erfolgreich anbietet. SafeNet kann dort konkrete Lösungen anbieten, die alle genannten Bedürfnisse, und noch mehr, abdecken. 24
Vielen Dank! Insert SafeNet Your Technologies Name Schweiz AG Insert www.safenet-inc.com Your Title Insert Date Ergonomics AG www.ergonomics.ch 25