Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
-
Upload
petri-aukia -
Category
Technology
-
view
2.496 -
download
3
Transcript of Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
Petri Aukia • Lic. Tech, CISSP, CSSLP • Codento Oy
– Pilvipalvelujen arkkitehtuuri ja konsultointi
– Järjestelmätoteutukset – Amazon ja Eucalyptus
–kumppani – Toistakymmentä
pilvihanketta viime vuosina
Jonna Särs • DI, CISSP • Nixu Oy
– Tietoturvaperiaatteet ja -strategiat, riskienhallinta ja jatkuvuussuunnittelu
– Tietoturva-arkkitehtuurit, IAM, SIEM, PKI
– Tietoturva ohjelmistokehityksessä
– Tietoturva-auditoinnit ja -testaukset
– n. 400 projektia 150 asiakkaalle vuonna 2010
Perinteiset suojamekanismit käyttökelvottomia
• Ei fyysistä kontrollia • Ei palomuuria • Salasana todennukseen
riittämätön
Hajautettu malli
• Missä tiedot sijaitsevat? • Ketkä systeemiä pyörittävät? • Minkä maan lainsäädäntö?
Musta laatikko / sika säkissä
• Ei kontrollia • Ei näkyvyyttä riskeihin • Ei auditointimahdollisuutta
Pilven sisällä pilvi, jonka sisällä pilvi, jonka sisällä…
• Korostaa haasteita entisestään • Miten toimitaan ongelmatilanteissa?
Mistä kannattaa aloittaa?
1. Selvitä toimintatapoja 2. Osallistu pilotteihin 3. Kehitä hallintamalli
Vanhat synnit
• Systematiikan puute • Sovellusvirheet • Alustavaikeudet • Asiakasympäristö • Puutteellinen operointi
Tiedon luokittelu
• Tunne järjestelmät • Luo kategoriat • Vie pilveen ensin siitä hyötyvät
järjestelmät • Ymmärrä mihin pilvi ei ole valmis
Sertifiointi vääjäämätöntä
• Yleisiä / spesifisiä • Mallit hakusessa • Tavalliset asiakkaat eivät
voi auditoida pilvipalveluja
Yleiset sertifikaatit
• ISO 27001 / SAS 70 / PCI DSS • Hyviä rehellisissä käsissä • Pelottavia tarjouksissa
Vaatimuksenmukaisuus
• 3. osapuolelle osoittamisen mahdollisuudet rajatut
• Järjestelmäarkkitehtuuri poikkeaa vaatimusmallien oletuksista
• Arkkitehtuuri helposti ristiriidassa lainsäädännön kanssa
Luottamus
• Pohjautuuko faktoihin? • Luottamus henkilöstöön? • Tiedon omistus • Yhdistetyt palvelut • Riskienhallinta
Arkkitehtuuri
• Saatavuus • Hyökkäyspinta • Verkkoratkaisut • Kriittinen tieto • Selaimen suojaus • Palvelimien suojaus
Pilvipalvelujen haitat
• Järjestelmien monimutkaisuus • Monen asiakkaan ympäristöt • Internet avaukset • Kontrollin puute
Pilvipalvelujen edut
• Henkilöstön erikoistuminen • Alustan vahvuus • Resurssien saatavuus • Varakopiointi • Mobiilikäyttö • Tiedon keskittäminen
Toimi luotsina
• Luotettava kumppani myrskyssä
• Tuo aina satamaan • Ei kyseenalaista
merenkulkua • Oman alansa
ammattilainen
Lähteitä http://wiki.cloudsecurityalliance.org/guidance/index.php/References http://www.delicious.com/peba/cloud http://csrc.nist.gov/publications/drafts/800-144/Draft-SP-800-144_cloud-computing.pdf http://www.gartner.com/it/page.jsp?id=1464514 http://www.sans.org/reading_room/analysts_program/mcafee_carbird_08_2010.pdf http://www.opengroup.org/jericho/publications.htm http://cloudaudit.com/ http://www.springerlink.com/content/0159w45v27661549/fulltext.pdf Kuvat: http://www.flickr.com/, Creative Commons