full cloud approach - chance oder ein no-go? - digicomp.ch · bedrohungen (csa) 1. data breaches 2....
TRANSCRIPT
KMUs Schweiz / Service-Modelle
7
36
3
7
7
67
30
63
65
2
12
6
3
11
71
40
41
0 20 40 60 80 100 120
XaaS (Everything/Anything as a Service
SaaS (Software as a Service)
PaaS (Plattform as a Service)
IaaS (Infrastructure as a Service)
Kenne ich nicht Kenne ich, keine Umsetzung geplant
Umsetzung geplant Kommt bereits zur Anwendung
KMUs Schweiz / Dienste in der Cloud
8
29
8
14
27
22
19
26
16
5
24
58
69
60
48
38
33
51
55
24
50
24
20
41
38
55
61
28
36
86
42
5
19
1
3
1
3
11
9
1
0
0 20 40 60 80 100 120
Benutzerverwaltung (z.B. Microsoft Azure AD)
Mobile Device Management (z.B. AirWatch, MobileIron)
Telefonie (z.B. Hosted PBX)
Dokumentenmanagement (z.B: Microsoft SharePoint)
E-Mail (z.B. Office 365)
Dateidienste (z.B. DropBox, OneDrive)
ERP (z.B. SAP, NAV)
CRM (z.B. Salesforce)
Webseite
Backup
Unvorstellbar Vorstellbar Bereits umgesetzt Nicht vorhanden
Bedrohungen (CSA)
1. Data Breaches
2. Insufficient Identity, Credential and Access Management
3. Insecure Interfaces and APIs
4. System Vulnerabilities
5. Account Hijacking
6. Malicious Insiders
7. Advanced Persistent Threats (ATP)
8. Data Loss
9. Insufficient Due Diligence
10. Abuse and Nefarious Use of Cloud Services
11. Denial of Service (DoS)
12. Shared Technology Vulnerabilities
10
Verantwortlichkeiten in der Cloud
18Cloud Computing
On-Premises(Eigentum)
InfrastructureIaaS
PlattformPaaS
SoftwareSaaS
Applikationen
Daten
Runtime
Middleware
Betriebssystem
Hypervisor
Server
Storage
Netzwerk
</>
</>
</>
</>
</>
</>
Applikationen
Daten
Runtime
Middleware
Betriebssystem
Hypervisor
Server
Storage
Netzwerk
</>
</>
</>
</>
</>
</>
Clo
ud
-N
utz
er
(Ab
on
nen
t)
Clo
ud
-P
rovi
der
Applikationen
Daten
Runtime
Middleware
Betriebssystem
Hypervisor
Server
Storage
Netzwerk
</>
</>
</>
</>
</>
</>
Clo
ud
-N
utz
er
(Ab
on
nen
t)
Clo
ud
-P
rovi
der
Applikationen
Daten
Runtime
Middleware
Betriebssystem
Hypervisor
Server
Storage
Netzwerk
</>
</>
</>
</>
</>
</>
Clo
ud
-P
rovi
der
</>
HardwareSoftware
Must Have > Cloud-Nutzer
20
Cloud-Strategie
Cloud-Sicherheitsrichtlinie
IT-Sicherheitskonzept
Cloud-Konzept
Evaluation
Cloud-Dokumentation
Verantwortungsbereich
Quelle: Informationssicherheitshandbuch für die Praxis [4], Seite 34
Aufgaben
Fazit
• Strategie erarbeiten
• Restrisiko akzeptieren
• Vor jedem Projekt ein Konzept erstellen
• Ihr Kerngeschäft ist Ihr Business
• Denken Sie an das Backup
24
A. Wisler Th. FurrerS. Müller
A. Kulhanek M. Hamborgstrøm M. Hennet
A. ZlatevaC. Mäder
S. Murati C. Canova
T. Schlatter S. Fröhlich M. Bachmann
Kernkompetenzen
27
Penetration Test IT-Security Konzepte
Beratung (z.B. ISO)
Schulung / Awareness
Audit
goTraining-Kurse
Weitere Informationen
Meine Blog-Reihe
• Teil 1 – Grundlagen Cloud
• Teil 2 – Risiken und Chancen
• Teil 3 – Informationssicherheit in der Cloud
• Teil 4 – Ergebnisse meiner Umfrage
• goSecurity Newsletter anmelden und nichts verpassen!
28
Weitere Informationen
Antonio Kulhanek
Security Consultant, Head of IT
E-Mail: [email protected]
Ausbildungen
• MAS in Information Security
• Dipl. Techniker HF, Kommunikationstechnik
• MCSE: Server Infrastructure
• MCSE: Cloud Platform and Infrastructure
• ITIL Foundation
• EC-Council Certified Ethical Hacker (CEH)
29