Cloud Security. 11.6.2013, Dr. Marcus Holthaus. 1. Security 2. The cloud as a security improvement 3. Moving to the cloud 4. Acceptance 5.

Cloud Security 11.6.2013, Dr. Marcus Holthaus 1. Security 2. The cloud as a security improvement 3. Moving to the cloud 4. Acceptance 5. Safety belt slides are in denglish IMSEC GmbH, Sonnhaldenstrasse 87, CH 6331 Hünenberg +41 41 780 00 11, http://www.imsec.ch, info@imsec.ch Seite 1

d u o l C o r y p t i r u c e S o r p Seite 2

Aspekte Wirtschaft Wirtschaft und und Gesellschaft Gesellschaft Outsourcer Outsourcer Akzeptanz Akzeptanz Betrieb Betrieb Konzepte Konzepte und und Technologie Technologie Grundlagen Grundlagen Seite 3

Security Functional view: Security is the fulfilment of my expectations. Emotional view: Security is when I am confident nothing unexpected will happen. Fatalistic view: Security is the absence of undesired events. Pragmatic view: Security is the result of risk management. Legal view: Security is a part of compliance. Seite 4

Sicherheitsanforderungen und Sicherheitsleistung Grundanforderungen Grundanforderungen//Base BaseRequirements Requirements Verfügbarkeit Verfügbarkeit Availability Availability Integrität Integrität Integrity Integrity Vertraulichkeit Vertraulichkeit Confidentiality Confidentiality Nachvollziehbarkeit Nachvollziehbarkeit Accountability Accountability Anforderung Anforderung Requirement Requirement Sicherheitsleistung Sicherheitsleistung Security SecurityPerformance Performance Unterdeckung Gap Inventar Massnahmen Controls Seite 5

Sicherheitsaufwand vs. Ertrag Risikomanagement Sicherheit 100% Sicherheitsziel Aufwand Seite 6

Security vs. Compliance Security Security: Tatsächliche Eigenschaften des Objekts in Beziehung zu den erwarteten Eigenschaften Compliance: Erfüllung (v.a. externer) Anforderungen aus gesetzlichen und vertraglichen Quellen sowie aus anwendbaren Standards Compliance Seite 7

ISO 27000 Seite 8

ISO 27001:2005 zertifizerte Unternehmen Seite 9

CSA Guide V3.0, 2012, 177p, intended as best practice Section I. Cloud Architecture Section II. Governing in the Cloud Domain 2: Governance and Enterprise Risk Management Domain 3: Legal Issues: Contracts and Electronic Discovery Domain 4: Compliance and Audit Management Domain 5: Information Management and Data Security Domain 6: Interoperability and Portability Section III. Operating in the Cloud Domain 1: Cloud Computing Architectural Framework Domain 7: Traditional Security, Business Continuity, and Disaster Recovery Domain 8: Data Center Operations Domain 9: Incident Response Domain 10: Application Security Domain 11: Encryption and Key Management Domain 12: Identity, Entitlement, and Access Management Domain 13: Virtualization Domain 14: Security as a Service From the foreword: The path to secure cloud computing is surely a long one, requiring the participation of a broad set of stakeholders on a global basis. Seite 10

ENISA Cloud Risk Assessment V1, 2009, 125p Summary, Target Audiences, Working Definitions, Existing Work 1. Security benefits of cloud computing 2. Risk Assessment 3. Risks 4. Vulnerabilities 5. Assets 6. Recommendations and Key Messages Policy Technical Legal Cloud-unspecific Information Assurance Framework Information Assuracen Requirements Research Recommendations Glossary, Bibliography, Annexes From the summary: The key conclusion of this paper is that the cloud s economies of scale and flexibility are both a friend and a foe from a security point of view. Seite 11

Cloud Components and their security Quelle: Wikipedia Seite 12

Risikomanagement interne internecloud Cloud Bestehende Bestehende interne interne ITIT externe externecloud Cloud Seite 13

Cloud Security Properties (ENISA) Cloud Usage Outsourcing Security economies of scale Formalized processes of security requirement and fulfilment engineering Multiple locations Edge Networks Improved timeliness of detection and response Threat Managment by highly skilled professionals Governance Standardized Interface for Managed Security Services Rapid, smart scaling of resources Audit and evidence gathering Security as a market differentiator More timely and effective an efficient updates and defaults Audits and SLAs force better risk management Benefits of resource concentration Technological, physical, emotional distance between user and supplier Seite 14

Risikomanagement interne Cloud: Ausbau der eigenen IT mit Cloud-Technologien Ziel: Erschliessung der Flexibilitäten der Cloud-Konzepte für interne Anwendung Pro Kontrolle, Daten und Funktionen bleiben im Haus; kurze Wege Contra externe Cloud: Verlagerung der internen IT-Services in die Cloud Ziel: Mittelfristige teilweise oder gesamte Auflösung der eigenen IT Pro: Massiv erhöhte Komplexität durch zusätzlichen Layer Zusätzliche Belastungen der Ressourcen durch Pflege einer weiteren Umgebung Risiko des Weiterbetriebs der bisherigen IT als Legacy Auflösung bestehender Komplexitäten, Ersatz durch strukturierte Services Budgetierbare Kosten Viel höhere Flexibilität Contra: Notwendigkeit formeller Prozesse, reduzierte Flexibilität Neue Abhängigkeiten strategisch (Vendor) und operativ (Connectivity etc.) Seite 15

Angepasste Organisationsstrukturen Geschäftsleitung Geschäftsleitung ITITGovernance Governance//CIO CIO ITITProject-Team Project-Team ITITOperations OperationsTeam Team ITITTechnical TechnicalStaff Staff ITITControlling Controlling&& Programm-Management Programm-Management ProjektProjektManagement Management SLAs SLAs ITITConfiguration Configuration Management Management Monitoring Monitoring Infrastructure InfrastructureStaff Staff Provider Provider (opaque) (opaque) Housing Housing Seite 16

ENISA Risk Matrix Very high (7) R.2 Loss of Governance R.3 Compliance Challenges R.22 Changes of Jurisdiction Very High (6) R.6 Cloud Provider Akquisition R.9 Isolation Failure R.10 Cloud Provider Malicious Insider R.11 Management Interface Compromise R.14 Insecure Deletion of Data R.26 Network Management Risks High (5) R.1 Lock-In R.12 Data Interception in Transit R.13 Data Leakage (Up-/Download, In-Cloud) R.15 DDoS R.19 Compromise Service Engine R.21 Subpoena and e-discovery R.23 Data Protection Risks R.25 Network Interruptions R.29 Social Engineering Attacks Seite 17

ISB Risk Matrix Cloud Schweiz Quelle: http://www.egovernment.ch/dokumente/cloud-strategie/dok_risikoanalyse_govcloud_v1-0.pdf Seite 18

Vertrauensbildende Massnahmen Quelle: http://www.eurocloud.de/files/2012/07/120628_abschlusspra%cc %88sentation_Cloud_Akzeptanz_Summary.pdf Seite 19

Wie sicher ist die Cloud und wie prüft man das? ISO 27000 Zertifikat Prüfdokumente SAS70 Eigene Revisionen bei genügender Kundengrösse http://www.windowsazure.com/en-us/support/trust-center/security/ Swisscom IT Services: The data centres from where we provision our services comply with the highest security requirements. Swisscom IT Services is certified to ISO 9001, ISO 14001, ISO/IEC 20000-1 and ISO/IEC 27001. http://www.swisscom-cloud-computing.ch/en/package/ Green: Die green.ch-datacenter werden gemäss ISO 27001, dem umfassenden Standard für Informationssicherheit, betrieben und sind durch SQS und IQ NET national sowie international zertifiziert. https://www.greenserver.ch/files/ueberuns.php Microsoft Azure Security Center: These geographically dispersed data centers comply with key industry standards, such as ISO/IEC 27001:2005, for security and reliability. IBM Cloud Security: To further enhance our security standards and the protection offered to our customers, IBM has completed the necessary steps to earn ISO 27001 Certification. http://www-935.ibm.com/services/us/en/cloud-enterprise/tab-details-security.html Amazon Web Services (AWS) Security: AWS hat bereits mehrere Audits gemäß SAS70 Type II erfolgreich durchlaufen. Jetzt veröffentlicht AWS einen SOC 1-Bericht (Service Organization Controls), Typ 2, gemäß den Standards SSAE 16 und ISAE 3402 sowie einen SOC 2-Bericht. Darüber hinaus hat AWS die ISO 27001-Zertifizierung erhalten und wurde für den Datensicherheitsstandard der Kreditkartenbranche (DSS/PCI) als Level 1 Service-Anbieter bestätigt. https://aws.amazon.com/de/security/ Seite 20

Sicherheitsmassnahmen Operativ Backup von der Cloud nach lokal oder zu einem anderen Cloud-Anbieter Strategisch Evaluation der Anbieter Unabhängigkeit von Provider-bezogenen geschlossenen Schnittstellen durch Wahl offener Standards OpenStack CloudFoundry Service Management Sicherheitsmanagement Inventar der schützenswerten Objekte Access Control Management Key Management Projektportfolio- / Programm-Management Einforderung von Sicherheitsschnittstellen Erste Angebote von Systemlieferanten für die Sicherheit der Cloud TrendMicro Kasperski Symantec (angekündigt für den Sommer 2013) Monitoring der eigenen Systeme bis zur Surveillance (Loganalyse, SIEM) Kryptographie Konsequente Nutzung allgemeiner Konzepte Redundanz Zertifizierungen Verschlüsselungen Identity and Access Management Inventar der Serivces und Prozesse Daten System-Images Konfigurationen Services Redundante Kommunikation Erste Angebote von Sicherheit für Standard-Cloud-Diensten SafeMonk für Dropbox SecureFolder / SecureSafe / DSwiss /... Seite 21 Cryptobox

Cloud-Kandidaten Online-EventManagement standardisiert Standard-PCArbeitsplatz MS Exchange / Mail MS Office Web-Shop Marketing ERP / SAP NetzwerkManagement geringe Dynamik MS Sharepoint FachAnwendungen hohe Dynamik Big Data Prozesssysteme individualisiert Seite 22

Cloud Richness and Openness Rich Offering Amazon Google Joyent Open Dell HP RackSpace Proprietary VMWare OpenStack Puppet Ubuntu JuJu Microsoft Chef CloudFoundry Targeted Offering Seite 23

Cloud Service Management Model Governing Governing Parties Parties Fees Fees&& Recompensations Recompensations Service Service Users Users Business Business Processes Processes Requirements Requirements Contracts Contracts and andslas SLAs User-related User-related Services Services Monitoring Monitoring Results Results Standardized Standardized Services Services Providers Providers Seite 24

SLA und Service Management Tools Quelle: http://www.inetsoftware.de/de/products/helpdesk Seite 25

Cloud Control Matrix (CSA) Seite 26

Security Management Tools Quelle: http://www.verinice.org/ Seite 27

Akzeptanz Akzeptanz Informatik-Trends Effect vs. Quality Weiter steigende Komplexität Kostendruck behindert Sicherheit Effekte beim technsichen Personal Vertrauen gegenüber unbekannten Personen Herausgabe von Daten in eine fremdbestimmte Umgebung Anspruch der eigenen Beherrschung der Technologie Reduktion der Möglichkeit direkter Einflussnahme Exponierung Latente Befürchtungen der Fremdauswertung Pflege des eigenen Gartens statt Untergehen in der Masse Cloud-Kunden liefern Stoff für Big Data? Gesellschaftliche Effekte You can never prove a negative aktuell: NSA PRISM - Whistleblower Snowden Comments by Weinstein: all about trust aktuell: Diskussion über die Revision des BÜPF Seite 28

Security Opacity No full independent audit trail No hook for perimeter security Multi-tenant separation, dirty disk problems Trust-building / managing the comfort level / risk tolerance No Certification possible? No defense technology implementations Probably solved: Network Access control (Authentication) System Management Data Leakage Detection Motivations of cloud provider staff members Providers hiding security events Incident handling by internal redundancies or internal reaction not harmful if agreed upon Full disclosure needed for own security management Seite 29

How to Cloud Vorbereitungsarbeiten Aufbau der oberen Schichten eine ITSM und ISMS: Governance Asset Management Service Requirement Definitions Projektportfoliomanagement Service Level Agreements Evaluation der Angebote, Aufteilung in potentielle Nutzungen der inkl. Security public cloud worldwide public cloud Europe public cloud Switzerland Prüfung von Zusammenschlüssen für community clouds Migrationsarbeiten Projektportfolioplanung basierend auf Anforderungen der Projekte Pilotanwendungen zur Technologiefindung Strategische Entscheidungen zur internen Informatik Menschlicher Faktor Akzeptanz der Technologimanager Arbeitsmethodiken der Nutzer Generationenproblematik Zu grosse Dynamik bei vielen Jugen Security Breaches als Kavaliersdelikt Seite 30

Wirtschaft Wirtschaft und und Gesellschaft Gesellschaft Cloud & Big Data Provider-Ambitionen und zu erwartende Landschaft Grosse Aufbruchstimmung, aber nur wenige aktuelle Anbieter in der Situation für ein durchgängiges nationales Angebotspotential Internet als digitale Grundversorgung Die wenigen Anbieter werden relevant für die Sicherheitsinfrastruktur Standort-Wettbewerb Bei vielen bestehenden Services ist das Durchsuchen der anvertrauten Daten Teil der AGB Cloud-Provider tauschen ausgewertete Daten aus Auch europäische Kundendaten im amerikanischen Markt verfügbar Big Data als Treiber für Einsichten für Marketing Schweiz als Standort hat Vorteile (Stabilität, Rechtssicherheit, Ausbildung des Personals, Zuverlässige Infrastruktur, geringe Steuerlast etc.) Schweiz im internationalen Wettbewerb um Data Center Kapazitäten Nationale informationelle Selbstbestimmung Protecting against foreign interests which technology from the same state Hardware from the Far East Basis-Software mainly from the USA Individual software from international sources, including libraries Seite 31

Legal Interception and Government Spying Seite 32

The Google Store Experience Quelle: http://allthingsd.com/20130222/the-google-store-experience-comic/ Seite 33

Fazit und Ausblick 1) The cloud revolution is over: the cloud is here. (WIRED). The cloud is good for security. 2) Don't build your own cloud unless you are big. Rather adapt your organisation. 3) Building and running your own cloud is hard for security reasons. 4) Protecting Swiss values using foreign technologies may lead to conflicts. Seite 34

Mit dem Sicherheitsgurt in die Wolke Sicherheitstechnik verfügbar Anwendung vor dem Start Sicherheitstechnik anwenden Nutzungskompetenzen erwerben Destinationen evaluieren Route planen Mit einfachen Situationen anfangen IAA / IAM Verschlüsselung Backup Umsichtig agieren und sicher ankommen! Seite 35