Liftarens guide till molntjänstrymden Nada Kapidzic Cicovic Ph.D., CISSP, CCSK Styrelsemedlem CSA Sweden Hur undviker man åskmoln? 2 Behov • Tillgång till en lösning • Så snabbt som möjligt • Så billigt som möjligt 3 Molntjänster är attraktiva • • • • 4 Kort ”time to market” ”Pay as you go” Skalar upp efter behov Hög tillgänglighet Utmaningar • Säkerhetskravställning • Utvärdering • Avtal • Audit / uppföljning • Exit 5 Lämpligt att lagra i molnet? • Lagkrav: • • • • Personuppgiftslagen (PUL) och GDPR, Offentlighets- och sekretesslagen (OSL) PCI-DSS … • Safe Harbour – överföring till tredje land 6 Säkerhetskravställning • ISO/IEC 27000 (kommande 27017): • Tillgänglighet • Autentisering och behörighetshantering • Kryptering • Nätverksäkerhet • Spårbarhet • Gallring • Avveckling och förstöring 7 Vad finns under ytan? • SaaS tjänst, som ligger ovanpå en • PaaS tjänst, som använder en • IaaS tjänst, och dess • underleverantörer för datahall 8 Utvärdering • Gruppera och ställ krav till rätt målgrupp: • drift krav (alla nivåer) • krav på tjänsten (SaaS) • integrationskrav (SaaS) 9 Utvärdering - drift • • • • • • 10 Ändringshantering Behörighetsprocess Härdning / patchning Lagring och backup Spårbarhet - åtkomst till loggarna Incidenthantering (inkl. säkerhet) Utvärdering - tjänst • • • • • • 11 Säker utveckling (SDL, OWASP) Säkerhetstester (pen-test) Web Application Firewall (WAF) Autentiseringsmekanismer Kryptering av information Spårbarhet Utvärdering - integration • Autentisering (SAML / ADFS) • Vilka nät-integrationer krävs • Vilken infrastruktur krävs internt – API gateway – integration gateway – proxy lösningar • Tredjepartsintegratörer 12 Avtal - one size does not fit all • Alla relevanta krav bör vara med • Ställs mot leverantören och alla dess underleverantörer i alla led • Viktigt att avtala villkor gällande: – uppgraderingar - ny funktionalitet – byte av underleverantör 13 Audit • Hur skall man kunna följa upp det som avtalats? • Går det genomföra audit (med i avtalet)? • Extern revision eller kunden själv? • Regelbundna pentester – kräva rapport av test och hantering av upptäckta sårbarheter 14 Exit • Strategy för exit? • Finns det stöd i avtalet att informationen kan exporteras till en annan tjänst eller kunden själv? • Tas informationen bort efter exit? • All information? Även behörigheter? Logg? 15 Gratis hjälp att tillgå • Cloud Security Alliance (CSA): https://cloudsecurityalliance.org/ – – – – – 16 Research Education – professional certification - CCSK Provider certification Standards Events CSA Cloud Control Matrix 17 CSA Star • CSA Star - Security, Trust and Assurance Registry: https://cloudsecurityalliance.org/star/ • CSA Star Watch: https://cloudsecurityalliance.org/star/#_watch 18 CSA Star 19 Cloud Security Alliance Sweden • CSA chapter Sweden: https://chapters.cloudsecurityalliance.org/sweden/ • LinkedIn: https://www.linkedin.com/groups?gid=4524135 21 Cloud Security Alliance Sweden - projekt • En praktisk och lite enklare checklista för införskaffande, användning och lämnande av molntjänster https://chapters.cloudsecurityalliance.org/sweden/thirddeliverable/ • Pågående projekt: En praktisk och enkel checklista för Internet-of-Things 22 Slutsats 1 (2) • Molntjänster är här för att stanna • Många är bra, men det finns små spelare med bristande rutiner • Utvärdera kvalitet och säkerhet på alla nivåer • Avtal bör innehålla alla relevanta delar • Beräkna en totalkostnad inklusive integration 23 Slutsats 2 (2) • Genomför risk- och sårbarhetsanalys – vad blir konsekvensen för dig och din information – agera efter det 24 Frågor? nada.kapidzic-cicovic@omegapoint.se 076-1640701 @nadakc Cloud Security Alliance Sweden: https://www.linkedin.com/groups?home=&gid=4524135 https://chapters.cloudsecurityalliance.org/sweden/ 25
© Copyright 2024