Nada

Liftarens guide till
molntjänstrymden
Nada Kapidzic Cicovic
Ph.D., CISSP, CCSK
Styrelsemedlem CSA Sweden
Hur undviker man åskmoln?
2
Behov
• Tillgång till en lösning
• Så snabbt som möjligt
• Så billigt som möjligt
3
Molntjänster är attraktiva
•
•
•
•
4
Kort ”time to market”
”Pay as you go”
Skalar upp efter behov
Hög tillgänglighet
Utmaningar
• Säkerhetskravställning
• Utvärdering
• Avtal
• Audit / uppföljning
• Exit
5
Lämpligt att lagra i molnet?
• Lagkrav:
•
•
•
•
Personuppgiftslagen (PUL) och GDPR,
Offentlighets- och sekretesslagen (OSL)
PCI-DSS
…
• Safe Harbour – överföring till tredje land
6
Säkerhetskravställning
• ISO/IEC 27000 (kommande 27017):
• Tillgänglighet
• Autentisering och behörighetshantering
• Kryptering
• Nätverksäkerhet
• Spårbarhet
• Gallring
• Avveckling och förstöring
7
Vad finns under ytan?
• SaaS tjänst, som ligger ovanpå en
• PaaS tjänst, som använder en
• IaaS tjänst, och dess
• underleverantörer för datahall
8
Utvärdering
• Gruppera och ställ krav till rätt målgrupp:
• drift krav (alla nivåer)
• krav på tjänsten (SaaS)
• integrationskrav (SaaS)
9
Utvärdering - drift
•
•
•
•
•
•
10
Ändringshantering
Behörighetsprocess
Härdning / patchning
Lagring och backup
Spårbarhet - åtkomst till loggarna
Incidenthantering (inkl. säkerhet)
Utvärdering - tjänst
•
•
•
•
•
•
11
Säker utveckling (SDL, OWASP)
Säkerhetstester (pen-test)
Web Application Firewall (WAF)
Autentiseringsmekanismer
Kryptering av information
Spårbarhet
Utvärdering - integration
• Autentisering (SAML / ADFS)
• Vilka nät-integrationer krävs
• Vilken infrastruktur krävs internt
– API gateway
– integration gateway
– proxy lösningar
• Tredjepartsintegratörer
12
Avtal - one size does not fit all
• Alla relevanta krav bör vara med
• Ställs mot leverantören och alla dess
underleverantörer i alla led
• Viktigt att avtala villkor gällande:
– uppgraderingar - ny funktionalitet
– byte av underleverantör
13
Audit
• Hur skall man kunna följa upp det som
avtalats?
• Går det genomföra audit (med i avtalet)?
• Extern revision eller kunden själv?
• Regelbundna pentester
– kräva rapport av test och hantering av
upptäckta sårbarheter
14
Exit
• Strategy för exit?
• Finns det stöd i avtalet att informationen kan
exporteras till en annan tjänst eller kunden själv?
• Tas informationen bort efter exit?
• All information? Även behörigheter? Logg?
15
Gratis hjälp att tillgå
• Cloud Security Alliance (CSA):
https://cloudsecurityalliance.org/
–
–
–
–
–
16
Research
Education – professional certification - CCSK
Provider certification
Standards
Events
CSA Cloud Control Matrix
17
CSA Star
• CSA Star - Security, Trust and Assurance
Registry:
https://cloudsecurityalliance.org/star/
• CSA Star Watch:
https://cloudsecurityalliance.org/star/#_watch
18
CSA Star
19
Cloud Security Alliance
Sweden
• CSA chapter Sweden:
https://chapters.cloudsecurityalliance.org/sweden/
• LinkedIn:
https://www.linkedin.com/groups?gid=4524135
21
Cloud Security Alliance
Sweden - projekt
• En praktisk och lite enklare checklista för
införskaffande, användning och lämnande av
molntjänster
https://chapters.cloudsecurityalliance.org/sweden/thirddeliverable/
• Pågående projekt: En praktisk och enkel checklista för
Internet-of-Things
22
Slutsats 1 (2)
• Molntjänster är här för att stanna
• Många är bra, men det finns små spelare med
bristande rutiner
• Utvärdera kvalitet och säkerhet på alla nivåer
• Avtal bör innehålla alla relevanta delar
• Beräkna en totalkostnad inklusive integration
23
Slutsats 2 (2)
• Genomför risk- och sårbarhetsanalys
– vad blir konsekvensen för dig och din
information
– agera efter det
24
Frågor?
nada.kapidzic-cicovic@omegapoint.se
076-1640701
@nadakc
Cloud Security Alliance Sweden:
https://www.linkedin.com/groups?home=&gid=4524135
https://chapters.cloudsecurityalliance.org/sweden/
25