1 Cloud Computing Leitstand Risiko- und Sicherheits-Management für virtualisierte IT-Infrastrukturen Thomas Köhler Leiter Public Sector RSA The Security Division of EMC Thomas.Koehler@rsa.com
2 Government Cloud Schuldenbremse Effizienzsteigerung Datenschutz Kostensenkung Demographischer Wandel Cyber Sicherheit Revision Open Government
3 Agenda Dynamik der IT-Landschaft Kompetenzen für die Vertrauensbildung Basis für vertrauenswürdige Clouds Cloud Leitstand: Vertrauen durch Transparenz
DAS DIGITALE UNIVERSUM Wachstumsfaktor: 44 Ein Zettabyte (ZB) = 10 21 Byte 2020 35 ZB 2009 0.8 ZB Quelle: IDC Digital Universe Studie, gesponsert von EMC, Mai 2010 4
IT MANAGEMENT KRISE Das Informationsvolumen wird um das 44-fache wachsen. Die Anzahl an IT Fachpersonal wird nur um das 1,4fache wachsen. 2009 2020 Quelle: IDC Digital Universe Studie, gesponsert von EMC, Mai 2010 5
VIRTUALISIERUNG Die Vertrauensfrage Quelle: IDC. 6
SigG IT-Sicherheitsrichtlinien Datenschutz Archivierungs Gesetz BilMoG Gütesiegel BSI Grundschutz LDSG StarAudit INSPIRE EGovG ISO27001 ISO/PAS 22399 TKG BDSG SGB Dienstanweisungen 7
Veränderung der Risikolandschaft 1. Steigender Betrug durch Einsatz von Malware und Exploits für Mobiltelephone 2. Malware im Unternehmen Advanced Persistent Threats 3. Merger & Acquisition: Wettbewerb unter Malware Entwicklern auf dem Schwarzmarkt führt zu neuen Funktionalitäten und kürzeren Entwicklungszyklen 4. Vermehrt lautlose Trojanische Pferde für hochspezialisierte Angriffe (Stuxnet, Qakbot, Nimkey, Lamp) 5. Phishing Angriffe und Angriffsziele haben die nächste Evolutionsstufe erreicht 8
Kompetenzen für die Vertrauensbildung 9
Kompetenzen für die Vertrauensbildung Fachverfahren Rechtliche Anforderungen Standards & Richtlinien Technologien 1 BDSG BSI GS Virtualisierung 2 SGB ISO 27001 Netzwerk EGovG ITIL Storage n Verwaltungs- Wissen Juristisches Wissen Compliance Wissen Technisches Wissen 10
Kompetenzen für die Vertrauensbildung Abwägen Erkennen Handlungskompetenz Risikobewusstsein Korrelation Antizipation 11
Governance, Risk & Compliance Reifegrad Basis für vertrauenswürdige Clouds Migration in die Cloud Fachverfahren Dynamik 12
Der Cloud Lasten Filter Profilieriung der Anwendungen nach ökonomischen-, funktionalen und Vertrauenanforderungen Wirtschafliche Evaluation Vertrauens Assessment Funktionales Assessment Trust assessment Functionality assessment Profilierung der Anwendung en für die Cloud Migration Anwendungen die günstigere Betriebskosten in der Cloud (Public/Private/H ybride) verursachen Anwendungen die höhere Betriebsosten in der Cloud verursachen Anwendungen die in Cloud verlagert werden können - angemessenes Vertrauensniveau Anwendungen die Aufgrund des Schutzbedarfs nicht in die Cloud können Anwendungen die in die Cloud verlagert werden können ohne Funktionalitätsverlust Anwendungen die durch techn. Limitationen nicht in die Cloud verlagert können Dieser vereinfachter Ansatz berücksichtigt nicht die Prioritätensetzung bei der Entscheidungsfindung 13
9 Kernfunktionen des Leitstandes 14
Cloud Leitstand: Vertrauen durch Transparenz 15
Ziele Transparenz schaffen z.b. Sicherheitskritische Ereignisse überwachen integriertes Störfall /SLA Management System Einhaltung von Sicherheits-, Datenschutzrichtlinien Höhere Automatisierungsgrad Konvergenzen fördern Compliance Reifegrad Verbesserung IT-Sicherheit & Governance, Risk und Compliance Verkürzung von Audits & Zertifizierungsprozesse 16
Zentrale für das Richtlinien Management 17
Beispiel: VMware Infrastruktur Übersicht der VMware Infrastruktur Definition der Sicherheitsrichtlinien Management der Sicherheitsvorfälle die den Compliance Status beeinflussen. RSA Archer egrc Manuelles und automatisiertes Assessment der Konfiguration Korrektur der Controls die nicht regelkonform sind 18
Erfassung der VMware Infrastruktur Automated Measurement Agent Erfassung der VI Komponenten Analyse des Konfigurationstatus RSA Archer egrc (Cloud Leitstand) GoldenGate Warnmeldungen RSA envision (SIEM) 19
Beispiel: Betriebliches Kontinuitätsmanagement Analyse der potentiellen Auswirkungen Dokumentation der Kontinuitätsmanagement Pläne Dokumentation Krisenpläne Nachverfolgung von Krisensituationen Automatische Aktualisierung der Pläne Durchlauftests der Pläne 20
Absicherung des Vblocks Anwendungen Virtuelle Maschinen Netwerk vsphere UCS RSA Archer egrc (Cloud Leitstand) Storage 21
RSA Archer für die Virtualisierung und Cloud Zusatzkomponenten für Vbock in 2011 Verfügbar heute Virtuelle Maschinen vsphere Netzwerk RSA Archer egrc 2011 Server blades Storage 22
Fazit 1. Kompetenzübergreifende Zusammenarbeit ist elementar für eine Migration in das Cloud Computing Modell 2. Vertrauenswürdige Clouds benötigen einen hohen Automatisierungsgrad für das Sicherheits-, Risiko und Compliance Management 3. Eine Zentrale in der alle risikorelevanten Informationen zusammenlaufen machen Cloud Computing beherrschbarer 23
Image Credit: NASA