Cloud Computing  Risiken und Massnahmen           Marc Ruef          www.scip.ch                    22. November 2011Daten...
Agenda | Cloud Computing                                          Intro                                                   ...
Einführung | Wer bin ich                                               Intro                                              ...
Einführung | Aus dem Hype wird ein Trend          Intro                                                    Wer?           ...
Einführung | Definition von Cloud Computing                      Intro                                                    ...
Einführung | Vertriebsmodelle                      Intro                                                     Wer?         ...
Einführung | Infrastrukturmodelle                       Intro                                                          Wer...
Risiken | Fehlende Transparenz                                    Intro                                                   ...
Risiken | Vermengung von Objekten                     Intro                                                          Wer? ...
Risiken | Verlust der Kontrolle                              Intro                                                        ...
Risiken | Backup und Restore                                         Intro                                                ...
Risiken | Abhängigkeit vom Anbieter                          Intro                                                        ...
Risiken | Schwierigkeit bei Migration                                Intro                                                ...
Risiken | Juristische Konflikte                                     Intro                                                 ...
Risiken | Juristische Eigenverantwortung                     Intro                                                        ...
Risiken | Einbusse bei Knowhow                                     Intro                                                  ...
Risiken | Zentraler Angriffspunkt                              Intro                                                      ...
Zusammenfassung                                                Intro                                                      ...
Literatur                                                   Intro                                                         ...
Fragen                            Intro                                    Wer?                                    Was?   ...
Security is our Business!                                  Intro                                                          ...
Nächste SlideShare
Wird geladen in …5
×

Cloud Computing - Risiken und Massnahmen

3.352 Aufrufe

Veröffentlicht am

Veröffentlicht in: Technologie
0 Kommentare
1 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

Keine Downloads
Aufrufe
Aufrufe insgesamt
3.352
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
1.186
Aktionen
Geteilt
0
Downloads
12
Kommentare
0
Gefällt mir
1
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

Cloud Computing - Risiken und Massnahmen

  1. 1. Cloud Computing Risiken und Massnahmen Marc Ruef www.scip.ch 22. November 2011Datenschutz-Forum Zürich, Schweiz
  2. 2. Agenda | Cloud Computing Intro Wer? Was?◦ Einführung 2 min Risiken◦ Was ist Cloud Computing 2 min Transparenz Vermengung◦ Implementierungen 5 min Kontrolle◦ Sicherheitsprobleme 10 min Backup/Restore Abhängigkeit◦ Zusammenfassung 2 min Migration◦ Fragen 4 min Jur. Konflikte Verantwortung Knowhow Zentralisierung Abschluss Zusammenfassung Fragen Datenschutz-Forum 2011 2/21
  3. 3. Einführung | Wer bin ich Intro Wer? Was?Name Marc Ruef RisikenBeruf Mitinhaber / CTO, scip AG, Zürich Transparenz VermengungPrivate Webseite http://www.computec.ch KontrolleLetztes Buch „Die Kunst des Penetration Testing“, Backup/Restore Computer & Literatur Böblingen, Abhängigkeit Migration ISBN 3-936546-49-5 Jur. Konflikte Verantwortung Knowhow Zentralisierung Abschluss Zusammenfassung Fragen Übersetzung Datenschutz-Forum 2011 3/21
  4. 4. Einführung | Aus dem Hype wird ein Trend Intro Wer? Was? Risiken Transparenz Vermengung Kontrolle Backup/Restore Abhängigkeit Migration Jur. Konflikte Verantwortung Knowhow Zentralisierung Abschluss Zusammenfassung Fragen Datenschutz-Forum 2011 4/21
  5. 5. Einführung | Definition von Cloud Computing Intro Wer? Was? Risiken Transparenz Vermengung Kontrolle„[Cloud Computing ist] ein modulares System, in dem Backup/Restorefür Nutzer die Ressourcen transparent sowie Abhängigkeitdynamisch zugewiesen, verarbeitet und verrechnet Migration Jur. Konfliktewerden.“ Verantwortung Knowhow Zentralisierung – scip AG Abschluss Zusammenfassung Fragen Datenschutz-Forum 2011 5/21
  6. 6. Einführung | Vertriebsmodelle Intro Wer? Was? Risiken Transparenz Software as a Vermengung Service Kontrolle Backup/Restore Abhängigkeit Platform as a Migration Jur. Konflikte Service Verantwortung Knowhow Zentralisierung Infrastructure Abschluss as a Service Zusammenfassung Fragen Datenschutz-Forum 2011 6/21
  7. 7. Einführung | Infrastrukturmodelle Intro Wer? Was? Risiken Hybride Transparenz Cloud Vermengung Kontrolle Backup/Restore Öffentliche Private Abhängigkeit Migration Cloud Cloud Jur. Konflikte Verantwortung Knowhow Zentralisierung Abschluss Kunde Zusammenfassung Fragen Datenschutz-Forum 2011 7/21
  8. 8. Risiken | Fehlende Transparenz Intro Wer? ◦ Unbekannte Was? Risiken ◦ Prozesse Transparenz ◦ Abläufe Vermengung Die sehen ◦ Vorgaben Kontrolle *nie*, was wir ◦ Umsetzungen Backup/Restore machen … Weiterschlafen ◦ Abnahmen Abhängigkeit ! Migration ◦ Sicherheit Jur. Konflikte ◦ … Verantwortung ◦ Beispiel Fragen: Knowhow ◦ Werden Versprechen Zentralisierung eingehalten? Abschluss ◦ Ist die gewährte Zusammenfassung Sicherheit annehmbar? Fragen Datenschutz-Forum 2011 8/21
  9. 9. Risiken | Vermengung von Objekten Intro Wer? ◦ Branchen Was? Risiken ◦ Finanzunternehmen Transparenz ◦ Behörden Vermengung ◦ Industrie Kontrolle ◦ … Backup/Restore ◦ Kunden Abhängigkeit Migration ◦ Bank Swiss AG Jur. Konflikte ◦ Bank USA Ltd. VerantwortungHaben keine ◦ Banque France SA Knowhow Hardware ◦ … Zentralisierungmehr. Lassmal ein paar ◦ Datentypen AbschlussKunden auf Zusammenfassung der ◦ Öffentliche Daten Fragen *gleichen* ◦ Interne Daten Maschine laufen! ◦ Kundendaten ◦ … Datenschutz-Forum 2011 9/21
  10. 10. Risiken | Verlust der Kontrolle Intro Wer? ◦ Weiterverarbeitung Was? Risiken ◦ Unternehmensdaten Transparenz Uups! Ich ◦ Mitarbeiterdaten Vermengung dachte, wi ◦ … Kontrolle r seien *sicher* ◦ Weitergabe Backup/Restore … Abhängigkeit ◦ Persönliche Daten Migration ◦ Statistische Daten Jur. Konflikte ◦ … Verantwortung ◦ Weiterverkauf Knowhow ◦ Kundeninformationen Zentralisierung ◦ Geschäfts-geheimnisse Abschluss Zusammenfassung ◦ … Fragen Datenschutz-Forum 2011 10/21
  11. 11. Risiken | Backup und Restore Intro Wer? ◦ Keine klaren, einheitlichen, Was? offenen Schnittstellen Risiken Transparenz ◦ Eigene Prozesse bleiben Vermengung Was erforderlich müssen Kontrolle wir alles ◦ Komplexe Anbindung Backup/Restore sichern? Keine möglich Abhängigkeit Ahnung. Lass Migration einfach Jur. Konflikte mal irgendwas Verantwortung kopieren. Knowhow Zentralisierung Abschluss Zusammenfassung Fragen Datenschutz-Forum 2011 11/21
  12. 12. Risiken | Abhängigkeit vom Anbieter Intro Wer? ◦ Präsenz Was? Risiken Deine Frau will einen ◦ Existenz (Insolvenz) neuen Swimmingpool? Transparenz Lass uns mal die Preise ◦ Lokation (Wegzug) Vermengung *modifizieren* … ◦ Erreichbarkeit Kontrolle ◦ Preise Backup/Restore ◦ Aufwand Abhängigkeit Migration ◦ Ressourcen Jur. Konflikte ◦ Spesen Verantwortung ◦ Arbeit Knowhow ◦ Angebot Zentralisierung ◦ Umfang Abschluss Zusammenfassung ◦ Qualität Fragen Datenschutz-Forum 2011 12/21
  13. 13. Risiken | Schwierigkeit bei Migration Intro Wer? ◦ Eventuell fehlende Was? Unterstützung durch den Risiken Partner Transparenz Vermengung ◦ Inkompatible Mechanismen Kontrolle ◦ Mangelhafte Backup/Restore Ich kann Ihnen einen Deckungsgleichheit Abhängigkeit Wegzug unterschiedlicher Angebote Migration *nicht* empfehlen. Jur. Konflikte Verantwortung Knowhow Zentralisierung Abschluss Zusammenfassung Fragen Datenschutz-Forum 2011 13/21
  14. 14. Risiken | Juristische Konflikte Intro Wer? ◦ z.B. Datenschutz muss Was? gewahrt bleiben (DSG) Risiken Transparenz ◦ Unterschiedliche nationale Vermengung Gesetzgebungen Kontrolle ◦ Data Protection Act 1998 Backup/Restore UK Abhängigkeit ◦ Privacy Act of 1974 USA Migration ◦ Länderübergreifende Jur. Konflikte Abkommen Verantwortung ◦ Europäische Knowhow … Datenschutzkonvention Zentralisierung forse! AbschlussYes, w ◦ Internationalee can Zusammenfassung … … не Rechtshilfebegehren действит Fragen ельно! ◦ langwierig ◦ komplex ◦ aufwendig Datenschutz-Forum 2011 14/21
  15. 15. Risiken | Juristische Eigenverantwortung Intro Wer? ◦ Das Unternehmen bleibt Was? trotzdem haftbar für: Risiken Was heisst Transparenz hier, sie ◦ Vorgaben waren Vermengung „sicher“? ◦ Richtlinien Kontrolle ◦ Prozesse Backup/Restore ◦ Abläufe Abhängigkeit ◦ Angebote Migration Jur. Konflikte ◦ Daten Verantwortung ◦ Infrastruktur Knowhow ◦ Handlungen Zentralisierung ◦ Mitarbeiter Abschluss ◦ … Zusammenfassung Fragen Datenschutz-Forum 2011 15/21
  16. 16. Risiken | Einbusse bei Knowhow Intro Wer? ◦ Interne Mitarbeiter kennen Was? Durch eine technische Hintergründe Risiken temporäre Was heisst Race-Condition hier, sie nicht mehr Transparenzim TCP/IP-Stack waren Vermengung konnte ein „sicher“? ◦ Externer (Cloud-)Partner hat Kontrolle Integer- Wissensvorsprung Overflow Backup/Restore erzwungen ◦ Verhandlungen und Abhängigkeit werden. Die Diskussionen werden darauf folgende Migration Speicherschutz schwieriger Jur. Konflikte verletzung hat den Heap ◦ Probleme können nicht mehr Verantwortung partiell selber angegangen werden Knowhow überschriebenund zum totalen ◦ Abhängigkeit Zentralisierung Ausfall der ◦ Trägheit Abschluss neuen Zusammenfassung tokenbasiertenAuthentisierung Fragen geführt. Sorry. Datenschutz-Forum 2011 16/21
  17. 17. Risiken | Zentraler Angriffspunkt Intro Wer? ◦ Die Cloud an sich ist Was? grundlegender Single Point Risiken of Failure (SPOF) Transparenz Vermengung ◦ Die Cloud wird zentrale Kontrolle Anlaufstelle für Angriffe Backup/Restore Hey, was ◦ Vertrauensbeziehungen Abhängigkeitmachen wirdenn heute innerhalb der Cloud sind Migration Abend? gefährlich Jur. Konflikte Verantwortung Dasselbe Knowhow wie jeden Abend: Wir Zentralisierung versuchen, Abschluss die Cloud an uns zu Zusammenfassung reissen! Fragen Datenschutz-Forum 2011 17/21
  18. 18. Zusammenfassung Intro Wer? Was?◦ Cloud Computing ist ein neuer Name für ein altes Konzept Risiken (Outsourcing, Grid Computing, ASP, …) Transparenz◦ Es handelt sich um einen marketing-getriebenen Hype Vermengung (Beginn ca. Q1-2008) Kontrolle Backup/Restore◦ Es gibt verschiedene Ansätze und Produkte des Cloud Abhängigkeit Computing (SaaS, PaaS, IaaS, …) Migration◦ Eine wohlüberlegte Migration kann durchaus Vorteile Jur. Konflikte erlangen lassen Verantwortung Knowhow◦ Aber eine Vielzahl an sicherheitstechnischen Zentralisierung Überlegungen sprechen gegen Abschluss Outsourcing, Virtualisierung und Cloud Computing Zusammenfassung Fragen Datenschutz-Forum 2011 18/21
  19. 19. Literatur Intro Wer? Was?◦ Die Sicherheit von Cloud Computing, Risiken http://www.scip.ch/?labs.20111110 Transparenz◦ 10 sicherheitsrelevante Gründe gegen Cloud Computing, Vermengung http://www.scip.ch/?labs.20091127 Kontrolle Backup/Restore Abhängigkeit Migration Jur. Konflikte Verantwortung Knowhow Zentralisierung Abschluss Zusammenfassung Fragen Datenschutz-Forum 2011 19/21
  20. 20. Fragen Intro Wer? Was? Risiken Transparenz Vermengung Kontrolle Backup/Restore Abhängigkeit Migration Jur. Konflikte Verantwortung Knowhow Zentralisierung Abschluss Zusammenfassung Fragen Datenschutz-Forum 2011 20/21
  21. 21. Security is our Business! Intro Wer? Was?scip AG RisikenBadenerstrasse 551 TransparenzCH-8048 Zürich Vermengung Kontrolle Backup/RestoreTel +41 44 404 13 13 AbhängigkeitFax +41 44 404 13 14 Migration Jur. KonflikteMail info@scip.ch VerantwortungWeb http://www.scip.ch KnowhowTwitter http://twitter.com/scipag Zentralisierung Abschluss Zusammenfassung Strategy | Consulting Fragen Auditing | Testing Forensics | Analysis Datenschutz-Forum 2011 21/21

×