Executive Circle Industrie 4.0 meets The Internet of Your Things Wie die Konvergenz von IT und Industrie Leben und Arbeiten revolutioniert Berlin, 11. November 2014
Executive Circle Damit Your Things auch Ihre bleiben: Welche Herausforderung Industrie 4.0 für Sicherheit und Datenschutz darstellt Michael Kranawetter Head of Information Security, Chief Security Advisor Germany, Microsoft Deutschland GmbH
Industrie 4.0" meets The Internet of Your Things Dienstag, 11. November 2014 / Microsoft Berlin
Compliance, Sicherheit, Identität und Zugriff bei der Verwaltung und Analyse von IoT Devices 4
Informations-Sicherheit Informations-Sicherheit ist kein Selbstzweck, sondern notwendig zum Schutz von Werten, Gütern, Daten usw.. Der Ansatz muss sich folglich dem Zweck anpassen und entsprechend umfassend sein (effizient und effektiv) Sicherheit ist (für uns) nicht nur ein Produkt oder Service, sondern ein integrierter, ganzheitlicher Ansatz.
Komponenten eines sicheren Internet der Dinge Sicherheitsrelevante Komponenten sind: Dinge physisch, Betriebssystem, Daten und die Netzwerke. Das Risiko dieser Komponenten muss betrachtet und endsprechende Schutzmaßnahmen etabliert werden. Gerät Betriebssystem Gateway Netzwerk Server Daten
Steuerung der Informations-Sicherheit auch bei IoT IoT Sicherheitsaspekte benötigen die gleichen Mechanismen wie jegliches Sicherheitsmanagement. Ein adäquates Rahmenwerk muss etabliert oder ein bestehendes ausgebaut werden. Richtlinien & Standards wissen, verstehen, umsetzten Compliance fördern, ermöglichen, überwachen, berichten Governance Programm Risiko Management etablieren, akzeptieren, sanieren Beratung & Support Dienste Schulen, Awareness & Kommunikation, Ratschlag & Beratung, Umsetzung
8 Aufeinander abgestimmte Systeme im Zyklus, keine autonomen Elemente Sicherheitsmaßnahmen sind zyklische Prozesse, die kontinuierlich verbessert werden. Schutz- und Reaktionsmechanismen müssen aufeinander abgestimmt sein. Unternehmensziele Risikotoleranz Compliance Anforderungen Schutz Sicherheitsarchitektur Authentifizierung & Autorisierung Verschlüsselung, weitere Steuerung Anforderungen an Unternehmen Reaktion auf Störungen Forensische Ermittlungen Druchsetzung von Gesetzen Reaktion Recover Respond & Contain Respond & Contain Recover Überwachung der Nutzeraktivitäten Data In Motion/At Rest Monitoring Egress Monitoring, Containment Geschäftskontinuität Ownership Proof (Besitznachweis) Strafverfolgung/Gerichtsverfahren
Microsoft s Sicht auf IoT im Verbund mit InfoSec IoT beginnt mit Ihren Dingen: Your Things. Aufbauened auf Ihre existierende Infrastruktur. Verwaltet werden einfach mehr Devices mit gleichen Mitteln. Mehr Details aus den Daten die Sie (schon) haben. Bestehende Sicherheitsmaßnahmen werden adaptiert und ggf erweitert und in Prozesse integriert. Erkennen Sie das Potenzial des Internet of Your Things.
IoT: Nutzungsschichten und gemeinsame Merkmale IoT umfasst unterschiedliche Schichten mit unterschiedlichen Daten. Jede Schicht muss differenziert betrachtet und entsprechend ausgeprägt werden. Endpunkte Nutzungsschichten IoT intelligentes System Hauptmerkmale Nutzer Produktivitätsschicht Geräte Anwendungsschicht Analytische Schicht Datenschicht Nutzererfahrungen Analytik Handhabbarkeit Sicherheit Identität Konnektivität Infrastrukturschicht
Compliance, Sicherheit, Identität/Zugriff Management für IoT Diese 3 Themen sind wesentliche Punkte für die Entwicklung Ihrer Lösung. Für eine erfolgreiche IoT Anwendung müssen diese Punkte geklärt und adressiert werden. Compliance Identität / Zugriff Sicherheit Steuerung wer von wo und wann auf Geräte, Konfigurationen und Daten zugreifen kann, Verhinderung unautorisiertem Zugriffs. Risikobasierte Maßnahmen zum Schutz vor Fehlern, Manipulationen und arglistigen Angriffen von innen oder außen. Grundlegende Regeln, die Einhaltung und Umsetzung relevanter Vorschriften und selbst auferlegter Richtlinien bildet die Basis für jede Implementierung.
Sicherheitshauptmerkmale bei IoT Microsoft Intelligent System Service A Device Agent Intelligent Systems Service Sensors User Input Alerts Gateway Customer Portal Sicherheit ist ein weites Gebiet. Die Hauptbestandteile befassen sich mit: 1. Identität 2. Zugriff 3. Sicherheitsarchitektur (Maßnahmen) 4. Datenschutz Regelungen und Maßnahmen 5. Compliance Sicherstellung Monitoring Identität Datenschutz Zugriff Compliance Sicherheit 12
Identitätserstellung Zugriffsgewährung Was macht eine digitale Identität aus? Identitäten im Kontext. Identitäten der Dinge und der Backend Systeme Zugriff ist gewährt Durch Vertrauen und Kontrolle Session Nutzer Gruppen Identität Vertrauen Identifikation des Anfragenden und des Empfängers (Authentifikation ) Durch Regel für den Zugriffs (Autorisation - RBAC) Durch Schutz vor ungewolltem Zugriff (Access Protection) Durch Nachvollziehbarkeit (Audit) Geräte Nutzer Zugriff Ausgehend vom Zugriffsbedarf auf Ressourcen, Daten und Konnektivität Identitäten
Integration in bestehende Prozesse, Umgebungen und Tools IoT Dinge werden wie Devices in den bekannten Systemen verwaltet, um diese zu steuern und zu konfigurieren. Maschine zu Maschine Kommunikation soll mit gleichen Schutzmaßnahmen laufen wie Mensch zu Maschine. Identität Zugriff Sicherheit
Sicherheit intelligenter Systeme: viele Ebenen zur Sicherheitsanwendung Die Ausweitung der Sicherheitsmerkmale Ihres Unternehmens auf Intelligent System Service Sicherheitslösungen Bedrohungsbereich Software Lösungen Hardware Lösungen Erweiterte Lösungen Best Practices ANWENDUNGEN Windows Server AppLocker Abriegelung gefährdeter Merkmale AD Rights Management Aufgliederung der Anwendungen und Berechtigungen Identity Ebenen BETRIEBSSYSTEM DATEN In Windows 8 eingebaute Sicherheit / BitLocker System Center Data Protection Manager/ Datenverschlüsselung Abriegelung gefährdeter Merkmale/Secure HW Boot Sicherheit der Datenzentren/Backups/ Kopie Erweiterte Authentifizierung SSL/https für Datentransfer Installation von Updates Konfiguration/Backups zu HW GERÄTE System Center Endpoint Protection Eingebettete Abriegelungsmerkmale AD Rights Management Training sachgemäßer Nutzung PHYSISCHER ZUGRIFF System Center Operations Management Begrenzter Zugriff auf Geräte/Lock-up Mehr-Faktor Authentifizierung Durchsetzung von Sicherheitsrichtlinien VERBINDUNGEN Direct Access VPN Genaue Überwachung von Knotenpunkten/Routers/usw Machine to Machine (M2M) Sicherer Netzwerkanbieter/Nutzung von Sicherheitsprotokollen Intelligent System Service Alles oben genannte Alles oben genannte Alles oben genannte Alles oben genannte
Identitäts- und Sicherheits-Hauptmerkmale der Microsoft Plattform Microsoft hat ein ganzes Sortiment an Zugriffs- und Sicherheitsmerkmalen, das alle Bereiche der IT von Servern, Datenzenten, Anwendungen, bis hin zu Clients und Geräte, umfasst. Microsoft Azure Active Directory Active Directory Rights Management Services Sicherer Fernzugriff, auf Informationen und Fernabriegelung Active Directory Integrierte, flexible, Rollen-/Szenario-basierte Authentifizierung On Premise und in der Cloud z.b.. Windows Embedded 8.1 knüpft an diese Technologien an Group Policy BitLocker AppLocker Gekörntes Gerät, Anwendung, Nutzerrichtlinien und -prüfung Zentralisierte Rollen- /Szenario- Basierte, allgemeine Zugriffsrichtlinien Einheitlicher Endpunktschutz, Überwachung und Verwaltung
Windows Embedded 8.1 Windows Embedded 8 Standard Windows Embedded 8.1 Industry Windows Embedded 8.1 Pro Anti-Schadsoftware Windows Defender Firewall Windows Firewall geschützter Boot Verschlüsselung Secure Boot Early Launch Anti-Malware (ELAM) Measured Boot BitLocker BitLocker To Go Encrypted File System (EFS)
Microsoft Azure und Security
Microsoft Azure: IaaS Paas Light PaaS
Public Cloud Engineering Roadmap Private Cloud Produkte Architektur, Implementierung und Betrieb Lösungen
Chicago Dublin Amsterdam Quincy Hong Kong Des Moines Boydton Japan San Antonio Singapore Privacy Disclosure & Transparency Microsoft Online Service Privacy Statement Microsoft Online Code of Conduct Microsoft Online Subscription Agreement EU Safe Harbor Certification
Forderung Maßnahme Microsoft Ergebnis ADV-Vertrag mit EU- Auftragnehmer Dataprocessing Agreeement (DPA) Offenlegung von Subunternehmern (inkl. Relevanter Vertragsinhalte) Technische und organisatorische Maßnahmen (TOM) Kontrolle durch AG Vorort-Kontrollen oder Zertifizierungs-/Gütesiegelverfahren einer unabhängigen Prüfstelle Model Clauses (Ziffer 5j, 11.4) Trust Center Dataprocessing Agreeement (Ziffer 5a) In Model Clauses (Appendix 2) Model Clauses Zertifizierung nach ISO 27001 plus TOM nach 9 BDSG (DPA Ziffer 5b) Drittstaatentransfer: angemessene Garantien, z.b. Model Clauses Dataprocessing Agreement (Ziffer 5a) In Model Clauses (Appendix 2) Drittstaatentransfer: zusätzlich ADV-Vertrag Ergänzende Regelungen zu Model Clauses mit MSFT Corp (Appendix 1 und 2)
Zutritt Netzwerk Identität und Zugriff Host Security Anwendungen Informationen
24 Security Program Vielschichtiger, risikobasierter Ansatz von Schutzmechanismen DATA USER APPLICATION HOST INTERNAL NETWORK NETWORK PERIMETER FACILITY
Security Program Sichere Entwicklung integriert in die Prozesse inkl. Überprüfung Training Requirements Design Implementation Verification Release Response Security Development Lifecycle Prozess (http://www.microsoft.com/sdl ) Koordination in den Produktgruppen Entwickler Teams verwenden Checklisten, Fragebögen und andere Dokumentationen zur Validierung, dass der SDL korrekt angewendet wurde. Threat Model Review TMR Teams analysieren die Threat Models der Produktgruppen zur Verifizierung, dass sie vollständig und aktuell sind. Security Bugs Review Alle Bugs, die Security und Privacy von Kundendaten betreffen werden überprüft und berücksichtigt. Validierung der Nutzung von Tools Audit Teams stellen sicher, dass die Produktgruppen die zur Verfügung stehenden Tools, Code- Dokumentationen, Patterns und Best Practices richtig genutzt und eingebunden werden.
Kontinuierliche Verbesserung COMPLIANCE MANAGEMENT Auditierung und Zertifizierung gegen das Rahmenwerk
Schutz der Daten im Transfer, im Gebrauch, im Ruhezustand Ruhezustand Daten im Ruhezustand, gespeichert in Datenbanken. Der wichtigste Sicherheitsaspekt ist die Softwarebasierte Verschlüsselung von Daten, die das unautorisierte Lesen der Daten verhindern kann. In intelligenten Systemen werden Daten von Gerät-Endpunkten mitunter in Datenbanken gespeichert. Ruhezustand Gebrauch Transfer Transfer Daten im Transfer sind Daten in Überleitung durch ein Netzwerk oder kabellos. Datenverkehr zwischen Gerät-Endpunkten sind Daten im Transfer und im selben Maße gefährdet wie der reguläre Internetverkehr. Endpunkte sind der verwundbarste Teil eines intelligenten Systems Gebrauch Daten im Gebrauch beziehen sich auf ständig geänderte Daten, so zum Beispiel eine täglich aktualisierte Tabellenkalkulation mit Endpunktdaten. Microsoft Azure Active Directory Auf Computern, Laptops und Notebooks angesiedelte Daten sind am besten durch eine Festplattenverschlüsselung geschützt. Hardware-basierte Sicherheitslösungen können das Lesen und Schreiben eines Datenzugriffs verhindern und bieten einen starken Schutz gegen Hacker, Manipulation und unautorisierten Zugriff.
Verstärkte Sicherheitsmerkmale verstärkte Abwehr von Schadsoftware Brandneue Geräteverschlüsselung verbesserte Biometrik Bessere Handhabbarkeit verstärkte Unternehmensverbindung und Integration Neue Verwaltungsszenarien mit System Center Aktualisiertes Remote Desktop Protokoll Tiefere Abriegelungskontrolle Anpassbare Abriegelungsszenarien Verbesserte Abriegelungskonfiguration Neuer USB und HW Button Abriegelung Aktualisierte Nutzererfahrung Verbesserungen der Nutzerschnittstelle Aktualisierte Anreize Verbesserte Multi-Monitor Unterstützung Internet Explorer 11 Erweiterte Peripherie-Fähigkeiten Windows 8 App Magnetstreifen-leser Windows 8 App Barcode-scanner Verbesserte Konnektivität und Mobilität Verstärkung des Roaming Bluetooth 4.0 Unterstützung Nahfeld-Kommunikation Druckerunterstützung
Definition AppLocker zum Management und zur Kontrolle welche Anwendungen und Dateien Nutzer, Dienste oder Devices ausführen dürfen. BitLocker und BitLocker To Go eine zentral managebare Laufwerkverschlüsselungs-Lösung Nutzung AppLocker für die ie eingebettete Geräteverwaltung VORTEILE: Bestimmen Sie welche Software auf den eingebetteten Geräten erlaubt wird und verhindern Sie, dass Nutzer unautorisierte Anwendungen installieren und nutzen. Führen Sie eine Anwendungskontrollrichtlinie ein, um die Teile der Sicherheitsrichtlinie oder Compliance- Anforderungen des Unternehmens zu erfüllen. BitLocker und BitLocker To Go als Teil Ihrer Sicherheitsstrategie für Intelligent System Service Devices
Eingebettete Geräte, Sicherheit und Intelligent System Service Sichere Identitätsverwaltung verbunden mit weiterentwickelten Gerätemerkmalen Geräte Lockdown of vulnerable features Windows Embedded 8.1 built-in Security Kabellose Übertragung vorhandene Infrastruktur Active Directory VLAN Verbindung Infrastruktur im Firmenhauptsitz Built-in Security Active Directory Rights Management AppLocker/BitLocker Endpoint Protection Data Protection Management Data Encryption Feedback an Geräte Feedback an Geräte Infrastrukturverwaltung verbunden mit Intelligent System Service OS: Windows Embedded 8.1 Industry
Microsofts Art Identität und Zugriff zu verwalten Identität Active Directory Zugriff Die Active Directory Struktur ist eine hierarchische Anordnung von Informationen über Objekte. Sicherheit Active Directory Sicherheit Geräte Infrastruktur Domain Controller
Unternehmensverzeichnis in der Cloud synchronisiert mit On-premise Identitäten Active Directory überall auf Cloud und on-premise Anwendungen und Mehr-Faktor Authentifizierung Internet Internet Cloud On-Premise
Schutz und Verwaltung der Endpunkte (Devices) Ein Infrastruktur Tool zur Aufstellung und Verwaltung eines Endpunktschutzes aller Ihrer Resourcen On Premise oder in der Cloud kann der Schutz für Ihre Endpunkte so konfiguriert werden, wie er benötigt wird Erleichtere Aufstellung Basiert auf dem System Center Configuration Manager Unterstütz mehrere Betriebssysteme, darunter Windows Client and Server und Windows Embedded Unterstütz unterschiedlichste Hersteller, OEMs, Standards und Topologien Verstärkter Schutz Schutz gegen alle Schadsoftware-Arten Proaktive Sicherheit gegen Zero-Day Bedrohungen Produktivitätsorientierte, voreingestellte Konfiguration und weitere Vorlagen z.b. auch Integrierte Verwaltung der Host Firewall Vereinfachte Verwaltung Einheitliche Administrator- Erfahrung Einfache, betriebsorientierte Richtlinienverwaltung Historische Berichterstattung für die Sicherheitsverwaltung (Audits)
Definition VORTEILE: Nutzung Die Daten bleiben verschlüsselt, unabhängig vom Ort der Speicherung, dem Gerät oder dem Betriebssystem Bietet zudem eine Menge an Nutzungsbeschränkungen, wie z.b. auch das Verhindern von Screenshots von Ihren sensiblen Daten Unterstützt zentrale verwaltete Schutzrichtlinien und Vorlagen Vorteile Schutz sensibler Informationen Ende zu Ende Schutz Verschlüsselung Entschlüsselung Nutzungs-Steuerung (Drucken, Kopieren..) Active Directory Rights Management
2 Beispiele für Identitäts- und Sicherheitsszenarien ABRIEGELUNGS-MERKMALE EINMALIGES ANMELDEN
Abriegelungsmerkmale für kontrollierte, eingebettete Gerätenutzung Eine Möglichkeit, um Sicherheit für eingebettete Geräte zu bieten, ist die Beschränkung ihrer Funktion auf ihren beabsichtigten Zweck. Allgemeines Verkaufsszenario Die Windows Embedded Familie von Betriebssystemen ist auf handliche und tragbare Geräte, Verkaufsstände und schlanke Clients ausgerichtet und ausgestattet mit einer Menge an Abriegelungsmerkmalen, die als Teil des eingebetteten Betriebssystems installiert werden können. Diese Abriegelungsmerkmale werden versehentliche Unfälle und Funktionsstörungen, ebenso wie schädliche Eingriffe, verhindern. VORTEILE Geräte können beispielsweise nicht für den Zugriff auf verbotene Anwendungen oder Daten genutzt werden. Sie können nicht ungültige Daten zurück an den Server schicken oder die Verkaufserfahrung des Kunden stören. Die Geräte können nur das tun was sie eigentlich tun sollen. Windows Embedded 8.1 Ein Handgerät für Ladeninventar kann nur die eine gewünschte Funktion: Artikel in Regalfächern registrieren Barcode-Scanner Handgeräte haben keine weiteren Funktionen
Identitätsmitnahme im Unternehmen mit einmaligem Anmelden Vereinfacht den Nutzerzugriff auf intelligente Systeme Synchronisiert on-premise Identitäten mit Windows Azure AD und ermöglicht die Einmalanmeldung zur Vereinfachung des Nutzerzugriffs auf Cloud Anwendungen. Bietet Nutzern ein Einzelset an Anmeldedaten für alle Anwendungen und Geräte, auf die Sie zugreifen. Active Directory Szenario im Gesundheitswesen Geräte Anwendungen tragbarer MRI Einmalanmeldung Windows Server Vorteil der Identitätsmitnahme für alle Anwendungen, Geräte und Orte: schneller und zuverlässiger Zugriff auf wichtige Informationen. Mehr Zeit für Patienten! Active Directory Schützt Daten, Anwendungen und Geräte, setzt Sicherheitsregeln um
Devices und Services für IoT, geschützt! Windows Devices PCs/ Laptops Connected Windows POS Self Checkout Point of Kiosks Stations Service Devices devices that enable your people with consistent, Digital Logic Remote Medical compelling, Signs Controllers and Monitors intuitive experiences Terminals Automation Devices Security Smart Phones ATM Thin Clients Slates/ Tablets Vending Machines Handhelds Servers Diagnostic Equipment Kinect Specialized Devices Microsoft Services Cloud Services Intelligent Systems Service Services that allow you to easily connect and manage all your devices and data; Line-of-Business and transform insights into action Data and BI Services HDInsight Power BI for Office 365 M2M Services Services Other Enterprise Things Chips And connect to Sensors other things across your Enterprise Other Devices Applications and Portals
Executive Circle Industrie 4.0 meets The Internet of Your Things Wie die Konvergenz von IT und Industrie Leben und Arbeiten revolutioniert Berlin, 11. November 2014