inspired by securityinspired by security
Sichere Datenübertragung in der Cloud
Vom Serverraum zur Private Cloud – Wie sicher ist IT heute?
IT-Leiter-Treff – IT FOR WORKDarmstadt, 27.05.2014
inspired by security
IT-Leiter-Treff, 27.05.2014 2
Geschäftsführer Markus Sextro Matthias Nagel
Dienstleister für sichere IT Sicherheit, Netzwerke, Service www.snsconnect.de Microsoft, Linux, Sophos, Netfilter, Netzplanung, E-Mail, Monitoring, Cloud
Computing, Office 365, Exchange, Mdaemon, Sharepoint, Lync, Collaboration, sichere Internetdienste, Skriptprogrammierung, Automatisierung, Schnittstellen, Netzwerkanalyse, Optimierung, Domainverwaltung, etc.
inspired by security
IT-Leiter-Treff, 27.05.2014 3
Datenübertragung, Cloud => wie, was, wo Büros, Serverräume & Rechenzentren Browser, Browser, Browser Sicherheitsmythen Sinnvolle & Unsinnvolle Maßnahmen
Agenda
inspired by security
IT-Leiter-Treff, 27.05.2014 4
Cloud Computing?
– Nutzung von IT-Ressourcen über das Internet
Datenübertragung, Cloud => wie, was, wo
inspired by security
IT-Leiter-Treff, 27.05.2014 5
Cloud Computing?
– IaaS = Infrastructure as a Service
– PaaS = Plattform as a Service
– SaaS = Software as a Service
Datenübertragung, Cloud => wie, was, wo
inspired by security
IT-Leiter-Treff, 27.05.2014 6
Cloud Computing?
Datenübertragung, Cloud => wie, was, wo
inspired by security
IT-Leiter-Treff, 27.05.2014 7
Cloud Computing - warum?– Flexbilität, On-Demand Nutzung– Kostendruck, pay-per-use– Umsetzung (halbwegs) einfach in der Public-Cloud– Anspruchsvoll als Private- oder Hybrid Cloud– Ein paar virtuelle Server ≠ Cloud!
Datenübertragung, Cloud => wie, was, wo
inspired by security
IT-Leiter-Treff, 27.05.2014 8
On-Premise IT
Büros, Serverräume & Rechenzentren
inspired by security
IT-Leiter-Treff, 27.05.2014 9
On-Premise IT– Bei uns sind die Daten sicher!
Konzept? Budget? Backup? HA? RBAC? Grundschutz?
IT-Security ≠ Vertraulichkeit alleine– Vertraulichkeit, Authentizität, Integrität, Verfügbarkeit– Wovor muss ich etwas schützen?
Büros, Serverräume & Rechenzentren
inspired by security
IT-Leiter-Treff, 27.05.2014 10
Konzept? Planung?
Büros, Serverräume & Rechenzentren
inspired by security
IT-Leiter-Treff, 27.05.2014 11
Der Browser ist das neue OS– Google Chrome OS
Zugriffe erfolgen mehr und mehr über Browser– Management-Konsolen, Portale, Intranet, etc.
Browser sind totaaaaal sicher!
Browser, Browser, Browser
inspired by security
IT-Leiter-Treff, 27.05.2014 12
Browser = Standardtechnologie– Verschlüsselt, wenn‘s darauf ankommt => https– SSL, komplex, mehrere Standards– Hält die Admins auf Trab:
Apple SSL-Bug „go to fail“ Open-SSL-Bug „Heartbleed“
Sicherheitsmythen
inspired by security
IT-Leiter-Treff, 27.05.2014 13
SSL funktioniert mit Zertifikaten Ausgestellt von sog. „Certificate Authorities“
– VeriSign, Thawte, GeoTrust, Comodo, TeleSec, PSW, etc. Standort der meisten CA-Anbieter: USA Umsetzung in der Realität problematisch
– Schlüsselpaar, Private Key Sicherheit Sicherheit der CA-Betreiber?
– DigiNotar => Gmail-Hack
Sicherheitsmythen
inspired by security
IT-Leiter-Treff, 27.05.2014 14
Sicherheitsmythen
inspired by security
IT-Leiter-Treff, 27.05.2014 15
Exkurs: Wie überprüfe ich ein Zertifikat?
Sicherheitsmythen
inspired by security
IT-Leiter-Treff, 27.05.2014 16
Sicherheitsmythos 1:
Kennwörter
Sicherheitsmythen
inspired by security
IT-Leiter-Treff, 27.05.2014 17
Q!k9*4GzT#Bk
Schokoeis schmeckt super
Sicherheitsmythos Kennwörter
inspired by security
IT-Leiter-Treff, 27.05.2014 18
Alternativen
Sicherheitsmythos Kennwörter
inspired by security
IT-Leiter-Treff, 27.05.2014 19
Sicherheitsmythos 2:
Kontosperre
Sicherheitsmythen
inspired by security
IT-Leiter-Treff, 27.05.2014 20
Sicherheitsmythos 3:
Firewall
Sicherheitsmythen
inspired by security
IT-Leiter-Treff, 27.05.2014 21
Antiviren-Software Hauptsache es läuft! Update- & Change-Management Rollen- & Rechtevergabe Sicher durch Technik!
Sinnvolle & Unsinnvolle Maßnahmen
inspired by security
IT-Leiter-Treff, 27.05.2014 22
Antiviren-Software
inspired by security
IT-Leiter-Treff, 27.05.2014 23
Function follows Security Planung geht vor Basteln Funktioniert ist gut, wissen
warum ist besser Der Kunde will es aber so
Hauptsache es läuft!
inspired by security
IT-Leiter-Treff, 27.05.2014 24
Windows-Updates, nix Neues? Software aktuell? Add-Ins, Plug-Ins, Tools Aktive Inhalte
Update- & Change-Management
inspired by security
IT-Leiter-Treff, 27.05.2014 25
Ich bin Admin, ich darf das! UAC nervt Programm xyz läuft sonst nicht Einer für alles - nix ohne Einen?
Rollen- & Rechtevergabe
inspired by security
IT-Leiter-Treff, 27.05.2014 26
Ich hab eine Firewall, ich bin sicher! Der Benutzer darf bei uns nix
Sicher durch Technik!
inspired by security
IT-Leiter-Treff, 27.05.2014 27
Danke!
Q & A
Fragen
inspired by security
IT-Leiter-Treff, 27.05.2014 28
SNS Connect GmbHMarkus SextroHessen-Homburg-Platz 163452 Hanau
Kontakt