Speaker: Antonio Kulhanek

Full Cloud Approach - Chance oder ein No-Go?

2

3

4

Bedrohungslage - Fehlkonfiguration

Quelle: Heise.de

5

Bedrohungslage - Hackerangriffe

Quelle: Stern.de

6

No-Go?

KMUs Schweiz / Service-Modelle

7

36

3

7

7

67

30

63

65

2

12

6

3

11

71

40

41

0 20 40 60 80 100 120

XaaS (Everything/Anything as a Service

SaaS (Software as a Service)

PaaS (Plattform as a Service)

IaaS (Infrastructure as a Service)

Kenne ich nicht Kenne ich, keine Umsetzung geplant

Umsetzung geplant Kommt bereits zur Anwendung

KMUs Schweiz / Dienste in der Cloud

8

29

8

14

27

22

19

26

16

5

24

58

69

60

48

38

33

51

55

24

50

24

20

41

38

55

61

28

36

86

42

5

19

1

3

1

3

11

9

1

0

0 20 40 60 80 100 120

Benutzerverwaltung (z.B. Microsoft Azure AD)

Mobile Device Management (z.B. AirWatch, MobileIron)

Telefonie (z.B. Hosted PBX)

Dokumentenmanagement (z.B: Microsoft SharePoint)

E-Mail (z.B. Office 365)

Dateidienste (z.B. DropBox, OneDrive)

ERP (z.B. SAP, NAV)

CRM (z.B. Salesforce)

Webseite

Backup

Unvorstellbar Vorstellbar Bereits umgesetzt Nicht vorhanden

Die entscheidende Frage

9

Assets Bedrohungen

Bedrohungen (CSA)

1. Data Breaches

2. Insufficient Identity, Credential and Access Management

3. Insecure Interfaces and APIs

4. System Vulnerabilities

5. Account Hijacking

6. Malicious Insiders

7. Advanced Persistent Threats (ATP)

8. Data Loss

9. Insufficient Due Diligence

10. Abuse and Nefarious Use of Cloud Services

11. Denial of Service (DoS)

12. Shared Technology Vulnerabilities

10

Wie stelle ich die Schutzziele sicher?

11

Vertraulichkeit Verfügbarkeit Integrität Authentizität

Vertraulichkeit

12

Verschlüsselung IAM

Verfügbarkeit

13

Backup Redundanzen Pönalen Insolvenz

Integrität

14

Signieren Protokolle Prüfsummen

Authentizität

15

Signieren Wissen Haben Zugriff

MFA

Sensibilisierung

16

Mitarbeiter IT-Mitarbeiter

Chancen

17

Skalierbar Kernkompetenz Geräteunabhängig

SLA Kosten Effizienz

Verantwortlichkeiten in der Cloud

18Cloud Computing

On-Premises(Eigentum)

InfrastructureIaaS

PlattformPaaS

SoftwareSaaS

Applikationen

Daten

Runtime

Middleware

Betriebssystem

Hypervisor

Server

Storage

Netzwerk

</>

</>

</>

</>

</>

</>

Applikationen

Daten

Runtime

Middleware

Betriebssystem

Hypervisor

Server

Storage

Netzwerk

</>

</>

</>

</>

</>

</>

Clo

ud

-N

utz

er

(Ab

on

nen

t)

Clo

ud

-P

rovi

der

Applikationen

Daten

Runtime

Middleware

Betriebssystem

Hypervisor

Server

Storage

Netzwerk

</>

</>

</>

</>

</>

</>

Clo

ud

-N

utz

er

(Ab

on

nen

t)

Clo

ud

-P

rovi

der

Applikationen

Daten

Runtime

Middleware

Betriebssystem

Hypervisor

Server

Storage

Netzwerk

</>

</>

</>

</>

</>

</>

Clo

ud

-P

rovi

der

</>

HardwareSoftware

Must Have > Cloud-Anbieter

19

Must Have > Cloud-Nutzer

20

Cloud-Strategie

Cloud-Sicherheitsrichtlinie

IT-Sicherheitskonzept

Cloud-Konzept

Evaluation

Cloud-Dokumentation

Verantwortungsbereich

Quelle: Informationssicherheitshandbuch für die Praxis [4], Seite 34

Aufgaben

(Must) Have > Cloud-Nutzer

Zertifikat Audit / PenTest

Sicherheitsniveau

On-Premises vs. Cloud

Fazit

• Strategie erarbeiten

• Restrisiko akzeptieren

• Vor jedem Projekt ein Konzept erstellen

• Ihr Kerngeschäft ist Ihr Business

• Denken Sie an das Backup

24

A. Wisler Th. FurrerS. Müller

A. Kulhanek M. Hamborgstrøm M. Hennet

A. ZlatevaC. Mäder

S. Murati C. Canova

T. Schlatter S. Fröhlich M. Bachmann

Unser Motto

Experten für Ihre IT-Sicherheit

25

Referenzen

Sowie diverse Gemeinden in den Kantonen AG, SG, TG und ZH

26

Kernkompetenzen

27

Penetration Test IT-Security Konzepte

Beratung (z.B. ISO)

Schulung / Awareness

Audit

goTraining-Kurse

Weitere Informationen

Meine Blog-Reihe

• Teil 1 – Grundlagen Cloud

• Teil 2 – Risiken und Chancen

• Teil 3 – Informationssicherheit in der Cloud

• Teil 4 – Ergebnisse meiner Umfrage

• goSecurity Newsletter anmelden und nichts verpassen!

28

Weitere Informationen

Antonio Kulhanek

Security Consultant, Head of IT

E-Mail: kulhanek@goSecurity.ch

Ausbildungen

• MAS in Information Security

• Dipl. Techniker HF, Kommunikationstechnik

• MCSE: Server Infrastructure

• MCSE: Cloud Platform and Infrastructure

• ITIL Foundation

• EC-Council Certified Ethical Hacker (CEH)

29