Risikofakor Cloud Dnd09

704 Aufrufe

Veröffentlicht am

Kurzreferat über Cloud Security und Cloud Governance auf der "discuss & discover 09" der Messe München

Veröffentlicht in: Technologie, Business
0 Kommentare
1 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

Keine Downloads
Aufrufe
Aufrufe insgesamt
704
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
14
Aktionen
Geteilt
0
Downloads
6
Kommentare
0
Gefällt mir
1
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

Risikofakor Cloud Dnd09

  1. 1. Securingthe Cloud<br />Warum die Wolken-IT neue Ansätze für Sicherheit braucht<br />Tim Cole<br />Kuppinger Cole + Partner<br />
  2. 2. Ziele von IT-Security<br />Schutz vor technischem Systemausfall<br />Schutz vor Sabotage oder Spionage<br />Schutz vor Betrug und Diebstahl<br />Schutz vor Systemmissbrauch, durch illegitime Ressourcennutzung, Veränderung von publizierten Inhalten, etc.<br />Quelle: Wikipedia, Stichwort „Informationssicherheit“<br />
  3. 3. SCHUTZ<br />
  4. 4. Ziele von Identity Management<br />Konsistenz und Aktualität der Nutzerdaten <br />Erleichterung bei der Einführung von neuen Diensten und Methoden (z.B. Single Sign-on) <br />Vereinfachung der Datenhaltung <br />dauerhafte Kosteneinsparungen in der Administration <br />bessere Kontrolle über die Ressourcen <br />optimale Unterstützung von internationalen Projekten im Bereich Cloud Computing <br />höhere Sicherheit <br />
  5. 5. KONTROLLE<br />
  6. 6. Klassischer Security-Ansatz: Perimeter Defense<br />Internet<br />corporation<br />datacenter<br />
  7. 7. Eine Wolke hat keinen „Perimeter“<br />
  8. 8. ?<br />?<br />?<br />?<br />?<br />?<br />?<br />Internet/Extranet/Intranet<br />datacenter<br />
  9. 9. applications<br />Identity-Ansatz: Lückenlose Kontrolle<br />AUDIT<br />company<br />customers<br />supplier<br />„extendedenterprise“<br />(things)<br />products / services<br />IT systems<br />(machines)<br />(people)<br />users<br />So whoisallowedto do whatwithinyourbusinessprocesses?<br />
  10. 10. 3 Thesen zu Identity & Security:<br />„Kunden wollen ihre Security Policies mit Benutzer- und Rollen-Management sowie mit Business-Prozessen in Einklang bringen.“<br />„Technische Lösungen müssen heute Identity & Access Management (IAM) auf allen Ebenen gewährleisten: Netzwerk-Infrastruktur, Anwendungen und Daten.“ <br />„Das ist nur durch die Kombination von IAM und IT Security möglich.“ <br />
  11. 11. „Identitäts-basierte Security und effektives Rollenmanagement in der Cloud ist Voraussetzung für nachhaltige Sicherheit.“<br />
  12. 12. IAM ist die Grundlage für sicheres Cloud Computing<br />IAM adressiertALLEAspekte von Cloud Security<br />DLP (Data Leakage Prevention)<br />Attestierung von Zugriffsberechtigungen<br />Schutz vor Insider-Angriffen<br />Missbrauch privilegierter Benutzerkonten („EvilAdmins“)<br />Fazit: Investitionen in Cloud Computing dürfen nicht zu Lasten von IAM gehen<br />
  13. 13. Cloud Governance<br />
  14. 14. CloudGovernance steckt noch in den Kinderschuhen<br />Segregation of Duties in der Cloud<br />Standard-basierte Bewertung von Risiken in der Cloud<br />Auditing über Systemgrenzen hinweg<br />Identifizierung von Benutzung, Steuerung von Berechtigungen über verschiedene Cloud Services hinweg<br />Mit Cloud Computing sind Compliance-Konflikte vorprogrammiert<br />USA/Homeland Security vs.EU-Datenschutzrichtlinie)<br />Welches Gericht ist zuständig?<br />Wer soll es machen?<br />„Governance-as-a-Service“?<br />
  15. 15. „Cloud-Universum 2009“<br />Cloud Service Provider/Reseller<br />„Cloud for<br />theMasses“<br />Google Apps<br />Novell<br />viele<br />Mozy<br />Amazon<br />Microsoft<br />Azure<br />Industry<br />Cloud<br />Microsoft<br />S+S<br />RM5<br />Kunden<br />SaaS<br />Classic<br />Outsourcing<br />HP<br />IBM<br />„cloud“<br />SalesForce<br />SAP<br />EMC<br />IBM „classic“<br />wenige<br />generisch<br />spezifisch<br />Wiederverwendbarkeit des Angebots<br />
  16. 16. Der Markt für Cloud Security<br />Microsoft und IBM sind am besten positioniert, um diese gesamtheitliche Sicht auf Identity und Security zu liefern. <br />Sie haben als einzige ein genügend breitgefächertes Portfolio<br />CA, HP, Google sind die großen Herausforderer. <br />Oracle könnte durch die Sun-Übernahme seinen Rückstand in Security ausgleichen und wäre ein weiterer Kandidat. <br />Novell konzentriert sich auf den „Nischenmarkt“ Provider<br />Reinen Security-Anbieter wie Symantec, Trend Micro oder McAfee haben kaum IAM-Kompetenz<br />Sie könnten dieses Manko aber durch Akquisitionen (Juniper, Courion?) schnell ausgleichen.<br />
  17. 17. „Questions to ask your IT people“<br />Was bringt Cloud Computing für unser Unternehmen?<br />Kostenvorteile<br />Nachhaltigkeit<br />Sicherheit (Zertifizierung!)<br />Firmenwert („was passiert bei M&As?“) <br />Welche Cloud-Strategie ist für unser Unternehmen die richtige?<br />Muss ich mich ganz entscheiden, oder kann ich Cloud für einzelne IT-Aufgaben verwenden und ansonsten weitermachen wie bisher?<br />Was sagen unsere Wirtschaftsprüfer?<br />Was sagen unsere Kunden? <br />Fühlen die sich wohl bei dem Gedanken, dass wir mit ihren Daten Cloud Computing betreiben?<br />Binde ich mich an einen bestimmten Provider, oder bin ich frei zwischen Providern zu wechseln?<br />
  18. 18. Fazit:<br />Unternehmen sollten nicht über „Cloud Computing“ sondern über „Cloud IT“ nachdenken. <br />Die setzt neue Organisationsformen und neue Ansätze in <br />Sicherheit, Identity Management, GRC(Governance, Risk Management & Compliance), Business ProcessDevelopment & Prozess-Management voraus und erzwingt damit eine völlig neue IT-Kultur im Unternehmen. <br />Cloud ist ein ganz neues Spiel, und keiner kommt daran vorbei!<br />
  19. 19. Vielen Dank!<br />tc@kuppingercole.de<br />

×