SlideShare ist ein Scribd-Unternehmen logo

SecTXL '11 | Hamburg - Ulf Feger: "Der Weg zur Cloud Security - ein Transformationsprozess"

Symposia 360°
Symposia 360°
TechnologieBusiness
1 von 26
Downloaden Sie, um offline zu lesen
Der Weg zur Cloud Security - ein Transformationsprozess Konzepte, Prozesse und Werkzeuge Ulf Feger Security Architect, CISSP Competence Leader Tivoli - Data Center Automation, Cloud & Security © 2011 IBM Corporation
Der Weg zur Cloud Security - ein Transformationsprozess Konzepte, Prozesse und Werkzeuge Teil I – Transformation wozu und wovon ? Teil II – Workshop - Vorstellung und Diskussion der vielseitigen technischen Sicherheitsschichten und (notwendigen) Prozessabbildungen - Sichtweisen auf die Anforderungen gestellt durch das BSI-Eckpunktepapier und deren mögliche Umsetzungen © 2011 IBM Corporation
Cloud & Security Die private Cloud - Ausgangssituation “Cloud” Test/Dev Training Applikationen ... 3 Standardisierung Standardisierung / Service Katalog / Image Katalog Ressourcenplanung Request Freigabe Workflow (Beschaffung) Bereitstellung/Nutzung 4 Automatisierung Abbau (Abrechnung/Kostenverteilung) Process Automation Engine Monitoring High Availability Dynamische Sichere und Provisionierung Security 5 hochverfügbare Repository  Secure virt. env. private Cloud  Identity & Access Mgmt. Virtualisierung Power VM, VMware, KVM… 2 Virtualisierung Ressourcen 1 Konsolidierung © 2011 IBM Corporation 3
Cloud & Security Standardisierung / Service Katalog / Image Katalog Ressourcenplanung Request Freigabe Workflow Die private Cloud - Ausgangssituation (Beschaffung) Bereitstellung/Nutzung Abbau (Abrechnung/Kostenverteilung) Process Automation Engine Virtualisierung Power VM, VMware, KVM… Ressourcen Virtualisierung Power VM, VMware, KVM… Ressourcen Virtualisierung Power VM, VMware, KVM… Virtualisierung Power VM, VMware, KVM… Ressourcen Ressourcen Virtualisierung Power VM, VMware, KVM… Virtualisierung Power VM, VMware, KVM… Ressourcen Ressourcen Virtualisierung Power VM, VMware, KVM… Ressourcen © 2011 IBM Corporation 4
Cloud & Security Cloud – Workload – Daten und Prozesse Enterprise Provider Department A Department B Customer A Customer B Private Cloud Services Hosted Cloud Services Use Case 1 Use Case 2 Case specific challenges & pains Case specific challenges & pains + challenges faced by internal providers Workload Workload Workload Workload Workload Workload Type 1 Type 2 Type 2 Type 1 Type 2 Type 3 Test & Production Test & Production VDI VDI Development Workloads Development Workloads Not all potential Cloud adopters are IT Service Providers Workload Type 4 facing Service Provider challenges, however the individual Workload Types are still relevant in these instances – e.g. Test & Dev Hosted SaaS © 2011 IBM Corporation 5
Cloud & Security Cloud Transformationsphasen zur eigenen Cloud Wo bleibt da die Security ? 1 2 3 4 5 IT IT IT IT IT Prozesse Prozesse Prozesse Prozesse Prozesse GS Transition Cloud Prz 4 Transition GS Automatisierung Prz 3 GS Transition Standardisierung Prz 2 GS Virtualisierung Prz 1 GS Konsolidierung Prz Eliminierung Bsp: Baseline VSP Richtlinien Approval GRC Ziele Security SIEM Workflows Reporting Approval © 2011 IBM Corporation 6
Der Weg zur Cloud Security - ein Transformationsprozess Konzepte, Prozesse und Werkzeuge Teil II – Workshop - Vorstellung und Diskussion der vielseitigen technischen Sicherheitsschichten und (notwendigen) Prozessabbildungen - Sichtweisen auf die Anforderungen gestellt durch das BSI-Eckpunktepapier und deren mögliche Umsetzungen © 2011 IBM Corporation
Cloud & Security Private Cloud Konstrukte - mehr Möglichkeiten als man denkt © 2011 IBM Corporation 8
Cloud & Security Private Cloud Firmen-RZ Struktur Cloud RZ Struktur Cloud RZ Struktur – lokal, verteilt ✪ Deutschland, 1 BL Cloud  Deutschland, x BL E T&A P Dienste + Infrastruktur   Cloud Dienste + Infrastruktur EU weit  Admin Cloud RZ Struktur – lokal verteilt Cloud RZ Struktur – beliebig, verteilt  weltweit Cloud Cloud Dienste + Infrastruktur Dienste + Infrastruktur Deutschland, 1 BL © 2011 IBM Corporation 9
Cloud & Security Anforderungen – Cloud Computing & Sicherheit Sicherheitsanforderungen bezüglich  Datenschutz und Datensicherheit Cloud Services  Zugriffs- und Identitätsmanagment  Applikations- und Dienstebereitstellung inkl. “Entsorgung”  Applikations- und Systemtests inkl. Daten Cloud Computing Model  Service Level Agreement – SLA Management  Schwachstellen Management und Beseitigung  Dienstverfügbarkeit inkl. (überregionalem) Lastausgleich  Auditierbarkeit & Governance (GRC – Governance, Risk & Compliance)  Grenzüberschreitende Gesetzeseinhaltung, z.B. personenbezogener Informationen  Grenzüberschreitende Eigentumsrechte & Exportbegrenzungen  Buchungs- und Rechungsgrundlagen und deren Informationsbasis  Exit-Management © 2011 IBM Corporation 10
Cloud & Security IBM Cloud Lösungskomponenten – mehr als nur Virtualisierung 10. Manage 9. Visualize and supported Service align the Service Level with business Agreements (SLAs) 8. Collect, objectives and analyze, service levels Report and bill based on Service usage and costs Common Cloud Management Platform 1. Anforderung/ 3. Provision Service Cloud Services 7. Real-time Katalog management and consolidation of events associated BSS with Business Service 4. Integrate with OSS 6. Monitor the 2. Integrate with Storage area Service to service desk network (SAN) and detect bottlenecks and IT asset network pools and and potential management security mngment problems; generate processes alerts 5. Discover the Service; track configuration and changes to the Service = Software, Platform, Infrastructure (i.e. Composite Service Application, Physical / Virtual OS, Middleware, Network, Storage Not in all cases will all steps exist in a client engagement © 2011 IBM Corporation 11
Cloud & Security ng Unterstützende Sicherheits ”landschaft” ru ie is Admin User am User Self- Admin. service Identity Synchronisation Reporting Workflow & Lifecycle Identity HR yn Entitlement Policy Store System Auditor Provisioning Engine Management Domain D Reconciliation Provisioning SSO WS Fed Web Policy Policy SSO Policy Mgmt Mgmt Conf. Mgmt Admin(s) Policy Enforce Web Web Authentication and App Web Single Signon Web Authentication and Portal Portal Web Single Signon HTTP Server Authorization HTTP Server Authorization Web Consumer App Enterprise Single Signon User Authentication Web Internet App Other Employee/ FedSSO Apps Staff A&A FedSSO A&A WS ESB Business Gateway (SOA) Windows Windows Windows Apps Policy Apps Identity Apps Enforce Mapping Enterprise Dir Collect Collect Collect Collect Collect Collect Collect Collect Collect Log Log Log Log Log Log Log Log Log Audit Log Consolidation Audit Policy Compliance Reporting © 2011 IBM Corporation 12 Auditor Auditor
Cloud & Security Unterstützende Sicherheits ”landschaft” Desktop/Client Security Policy Connection Repository HTTP (incl. SOAP/ HTTP) Connection Identity Repository Admin User Web Services (Person & Account) Connection User Self- Admin. service Identity Synchronisation Reporting Tivoli Identity Manager (TIM) Workflow & Lifecycle Tivoli Access Manager for e-business (TAMeb) Common Cloud Entitlement Policy Identity HR Store System Tivoli Federated Identity Manager (TFIM) Auditor Management Platform Provisioning Engine Management Domain Tivoli Security Policy Manager (TSPM) Reconciliation Provisioning Tivoli Access Manager for Enterprise Single Signon (TAM E-SSO) SSO WS Fed Web Policy Policy SSO Policy Tivoli Compliance Insight Manager (TCIM) Mgmt Mgmt Conf. Mgmt Admin(s) Policy Enforce Cloud Services Web Web Authentication and App Web Single Signon Web Authentication and Portal Portal Web Single Signon HTTP Server Authorization HTTP Server Authorization Web Consumer App Enterprise Single Signon User Authentication Web Internet App Other Employee/ FedSSO A&A FedSSO BSS Apps Staff A&A WS ESB Business Gateway (SOA) Windows Windows Windows Apps Policy Apps Identity Apps Enforce Mapping Enterprise Dir Collect Collect Collect Collect Collect Collect Collect Collect Collect Log Log Log Log Log Log Log Log Log Audit Policy OSS Audit Log Consolidation Compliance Reporting © 2011 IBM Corporation 13 Auditor Auditor
Cloud & Security Unterstützende Sicherheits ”landschaft” Desktop/Client Security Policy Connection Repository HTTP (incl. SOAP/ HTTP) Connection Identity Repository Admin User Web Services (Person & Account) Connection User Self- Admin. service Identity Synchronisation Reporting Tivoli Identity Manager (TIM) Workflow & Lifecycle Tivoli Access Manager for e-business (TAMeb) Entitlement Policy Identity HR Store System Tivoli Federated Identity Manager (TFIM) Auditor Provisioning Engine Management Domain Tivoli Security Policy Manager (TSPM) Reconciliation Provisioning Tivoli Access Manager for Enterprise Single Signon (TAM E-SSO) SSO WS Fed Web Policy Policy SSO Policy Tivoli Compliance Insight Manager (TCIM) Mgmt Mgmt Conf. Mgmt Admin(s) Policy Enforce Web Web Authentication and App Common Cloud Web Single Signon Web Authentication and Management Platform Portal Portal Web Single Signon HTTP Server Authorization HTTP Server Authorization Web Consumer App Enterprise Single Signon Cloud Services User Authentication Web Internet App Other Employee/ BSS FedSSO Apps Staff A&A FedSSO A&A WS ESB Business Gateway (SOA) Windows Windows OSS Windows Apps Policy Apps Identity Apps Enforce Mapping Enterprise Dir Collect Collect Collect Collect Collect Collect Collect Collect Collect Log Log Log Log Log Log Log Log Log Audit Log Consolidation Audit Policy Compliance Reporting © 2011 IBM Corporation 14 Auditor Auditor
Cloud & Security Unterstützende Sicherheits ”landschaft” Admin User User Self- Admin. service Identity Synchronisation Common Cloud Reporting Workflow & Lifecycle Identity HR Entitlement Policy Auditor Management Platform Provisioning Engine Store System Management Domain Reconciliation Provisioning SSO WS Fed Web Policy Policy SSO Policy Mgmt Mgmt Conf. Mgmt Policy Cloud Services Admin(s) Enforce Web Web Authentication and App Web Single Signon Web Authentication and Portal Portal Web Single Signon HTTP Server Authorization HTTP Server Authorization Web Consumer App Enterprise Single Signon User Authentication Web Internet App FedSSO FedSSO BSS Other Apps Employee/ Staff A&A A&A WS ESB Business Gateway (SOA) Windows Windows Windows Apps Policy Apps Identity Apps Enforce Mapping Enterprise Dir Collect Collect Collect Collect Collect Collect Collect Collect Collect Log Log Log Log Log Log Log Log Log OSS Audit Log Consolidation Audit Policy Compliance Reporting © 2011 IBM Corporation 15 Auditor Auditor
Welche Herausforderungen sind zu lösen - eine lange Liste, eine neue Liste ? Cloud & Security ng Cloud - Nutzer IT - “klassisch” Cloud – (Dienst-)Anbieter ru • Zugriffskontrolle, inkl. Regelwerk und • Zugriffskontrolle, inkl. Regelwerk und Nutzen: • Diensteangebotie Richtlinienverwaltung Richtlinienverwaltung is • Benutzer- und Berechtigungsmgmnt inkl. • Benutzer- und Berechtigungsmgmnt inkl. am Prozessverwaltung und –automation Prozessverwaltung und –automation Pflichten: yn • Rollenbasierte Funktionstrennung • Rollenbasierte Funktionstrennung - Authentifizierung D - Autorisierung • Security Policy Management • Security Policy Management - del. Administration • Security Monitoring, Auditing, Compliance • Security Monitoring, Auditing, - Rechung begleichen Reporting Compliance Reporting Erwartungen: • Funktionstrennung, Mandantenfähigkeit • Funktionstrennung, Mandantenfähigkeit -SLA Erfüllung • Berichtswesen – Security Information • Berichtswesen – Security Information -Richlinienkonformität und Event Management und Event Management -detailiertes Berichts- • Compliance Audit & Reporting über die IT • Compliance Audit & Reporting über die IT wesen • Absicherung von virtuellen Maschinen • Absicherung von virtuellen Maschinen und der Hosts und der Hosts • Sicherheits- und Compliance Werkzeug • Sicherheits- und Compliance Werkzeug zur Verifikation der Server zur Verifikation der Server • Configuration and Change Management • Configuration and Change Management • Mandantenfähigkeit • Mandantenfähigkeit • Verknüpfung mit dem Rechnungswesen • Verknüpfung mit dem Rechnungswesen © 2011 IBM Corporation 16 / Accounting / Accounting
Cloud & Security Daten und Prozesse, Prozess-Zertifizierung Cloud - Kommunikation Szenarien DN DA Cloud-Dienste & DN DA DN - Dienstnutzer = IP S F W F W IP S Infrastruktur 1 DA - Dienstanbieter DN DA1 DA2 * * * * * * * * 2 1 .. n, n>>1 DAM  Geschäftapplikationen  Infrastrukturapplikationen  Verzeichnisdienste DN DA1 DAN 3 DAM+1  Container: WS, AS, ..  hoch dynamisch  Last reaktiv DAM+P  Service managed  autom. Provisioniert  Security managed © 2011 IBM Corporation 17
Cloud & Security https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Mindestanforderungen/Eckpunktepapier-Sicherheitsempfehlungen-CloudComputing-Anbieter.pdf?__blob=publicationFile © 2011 IBM Corporation 18
Cloud & Security Eckpunktepapier Sicherheitsempfehlungen für Cloud Computing Anbieter Sicherheitsmanagement beim Anbieter  Rechenzentrumssicherheit • BSI-Standard 100-2  Server-Sicherheit • IT-Grundschutz  Netzsicherheit • ISO 27001 u.27002  Sicherheitszone für das Management der Cloud • Cloud Security Alliance – German Chapter  Sicherheitszone für die Live Migration, falls Servervirtualisierung • ISF – Information Security Forum eingesetzt wird • TMForum – Tele Management Forum  Sicherheitszone für das Storage-Netz  Eigene Sicherheitszonen für die virtuellen Maschinen eines Kunden bei IaaS  Anwendungs- und Plattformsicherheit  Datensicherheit  Verschlüsselung und Schlüsselmanagement Interaktives Erarbeiten  ID- und Rechtemanagement  Authentisierung weiterer Themen  Autorisierung  Kontrollmöglichkeiten für Nutzer  Monitoring und Security Incident Management +  Notfallmanagement  Portabilität und Interoperabilität  Sicherheitsprüfung und -nachweis Diskussion  Anforderungen an das Personal  Vertragsgestaltung  Service Level Agreement (SLA)  Datenschutz und Compliance © 2011 IBM Corporation 19
Cloud & Security 20 https://www.pcisecuritystandards.org/documents/Rth87Wp/Virtualization_InfoSupp_v2.pdf © 2011 IBM Corporation
Cloud & Security Ausschnitt  Virtualization Overview – Virtualization Concepts and Classes – Virtual System Components and Scoping Guidance  Risks for Virtualized Environments – Vulnerabilities in the Physical Environment Apply in a Virtual Environment – Hypervisor Creates New Attack Surface – Increased Complexity of Virtualized Systems and Networks – More Than One Function per Physical System – Mixing VMs of Different Trust Levels – Lack of Separation of Duties – Dormant Virtual Machines – VM Images and Snapshots – Immaturity of Monitoring Solutions – Information Leakage between Virtual Network Segments – Information Leakage between Virtual Components  Recommendations 15 – Recommendations for Mixed-Mode Environments – Recommendations for Cloud Computing Environments – Guidance for Assessing Risks in Virtual Environments  Virtualization Considerations for PCI DSS © 2011 IBM Corporation 21
Cloud & Security Risk Management and Security Themenübersicht • Gesetzliche Grundlagen für das Betreiben von Cloud Computing (National, International ) • Risiko Planung • Risiko Management in Public Cloud Umgebungen • Risiko Management in Privat Cloud Umgebungen • Sicherheits Planung • Security Management in Public Cloud Umgebungen • Security Management in Privat Cloud Umgebungen • Verfügbarkeits Aspekte in Cloud Umgebungen (Hardware Verfügbarkeit - Server, Netzwerk, Storage, Services etc.) • Überprüfung von Security Policys und deren Qualität • Datensicherung und Backup Infrastrukturen in der Cloud • Desaster Recovery Lösungen • Einhaltung von Standards • ITIL in Cloud Umgebungen • Service to Service • Authentifizierungsmethoden in Cloud Umgebungen • Datenschutzbeauftragter und Cloud Computing © 2011 IBM Corporation 22
Cloud & Security Ulf Feger Security Architect, CISSP IBM Software Group Q&A Gustav-Heinemann Ufer 120 50968 Cologne, Germany Mobile.: +49-171-22 619 22 E-Mail: ulf.feger@de.ibm.com http://www.ibm.com/security/cloud-security.html IBM Cloud Computing: ibm.com/cloudcomputing ibm.com/de/cloud/ Trustworthy Cloud tclouds-project.eu/ IBM Enterprise Security: ibm.com/security IBM Internet Security Systems: ibm.com/services/security IBM X-Force® Security Alerts and Advisories: xforce.iss.net Cloud Standards Customer Council cloud-council.org/ © 2011 IBM Corporation 23
Cloud & Security Sicherheit ist eines der wichtigsten Anliegen beim Cloud-Computing Das IBM Security Framework bietet hierfür eine speziell konzipierte Struktur Benutzer und Identitäten Reduzierung der Risiken bei Benutzerzugriffen auf Unternehmensressourcen i Daten und Informationen Ermittlung, Implementierung und Auditierung der Kontrollen für den Zugriff auf (sensible) Daten und deren Verwendung Anwendungen und Prozesse Schutz der Anwendungen vor einer Nutzung in bösartiger oder betrügerischer Absicht sowie vor Ausfällen Netzwerk, Server und Endpunkte Optimierung der Serviceverfügbarkeit durch Senkung des Risikos für Netzwerkkomponenten Physische Infrastruktur Bereitstellung sinnvoller Informationen zum aktuellen Sicherheitsstatus der physischen Infrastruktur und den entsprechenden Empfehlungen © 2011 IBM Corporation 24
IBM Security Framework Cloud & Security IBM Security Framework - IBM Security Lösungen © 2011 IBM Corporation 25
Cloud & Security Compliance Anforderungen verstehen – Data Privacy – Data Security Erwartung 1  Verbesserung der Sicherheit 2  Innere Sicherheit 4 Wie weise ich  Kostenreduktion  Äußere Sicherheit nach?  Auslastoptimierung  Operationale Sicherheit 3 5 Fokussierung auf Nachweisbarkeit „Was brauche ich“ Ziel Unternehmensrisiken Sicherheitsrichtlinien verstehen & -programme Sicherheitsrichtlinien Management Überwachung & Durchsetzung & Prüfung Automatisierung © 2011 IBM Corporation 26

Empfohlen

SecTXL '11 | Frankfurt - Ulf Feger: "Der Weg zur Cloud Security – ein Transfo...
SecTXL '11 | Frankfurt - Ulf Feger: "Der Weg zur Cloud Security – ein Transfo...SecTXL '11 | Frankfurt - Ulf Feger: "Der Weg zur Cloud Security – ein Transfo...
SecTXL '11 | Frankfurt - Ulf Feger: "Der Weg zur Cloud Security – ein Transfo...
Symposia 360°
 
Sicherheit aus der Cloud und für die Cloud
Sicherheit aus der Cloud und für die CloudSicherheit aus der Cloud und für die Cloud
Sicherheit aus der Cloud und für die Cloud
Aberla
 
Einsatzmöglichkeiten von Virtual Private Workspace
Einsatzmöglichkeiten von Virtual Private WorkspaceEinsatzmöglichkeiten von Virtual Private Workspace
Einsatzmöglichkeiten von Virtual Private Workspace
University St. Gallen
 
CEC Cloud & Mittelstand DE
CEC Cloud & Mittelstand DECEC Cloud & Mittelstand DE
CEC Cloud & Mittelstand DE
COMMON Europe
 
German .NEXT on Tour Keynote and Technical Slidedeck
German .NEXT on Tour Keynote and Technical SlidedeckGerman .NEXT on Tour Keynote and Technical Slidedeck
German .NEXT on Tour Keynote and Technical Slidedeck
NEXTtour
 
PCTY 2012, Cloud security (real life) v. Ulf Feger
PCTY 2012, Cloud security (real life) v. Ulf FegerPCTY 2012, Cloud security (real life) v. Ulf Feger
PCTY 2012, Cloud security (real life) v. Ulf Feger
IBM Danmark
 
Cloud Computing Potentiale
Cloud Computing PotentialeCloud Computing Potentiale
Cloud Computing Potentiale
abta
 
Webinar 4 Server in der Cloud – die AWS Compute Dienste
Webinar 4 Server in der Cloud – die AWS Compute DiensteWebinar 4 Server in der Cloud – die AWS Compute Dienste
Webinar 4 Server in der Cloud – die AWS Compute Dienste
AWS Germany
 

Empfohlen

SecTXL '11 | Frankfurt - Ulf Feger: "Der Weg zur Cloud Security – ein Transfo...
SecTXL '11 | Frankfurt - Ulf Feger: "Der Weg zur Cloud Security – ein Transfo...SecTXL '11 | Frankfurt - Ulf Feger: "Der Weg zur Cloud Security – ein Transfo...
SecTXL '11 | Frankfurt - Ulf Feger: "Der Weg zur Cloud Security – ein Transfo...
Symposia 360°
 
Sicherheit aus der Cloud und für die Cloud
Sicherheit aus der Cloud und für die CloudSicherheit aus der Cloud und für die Cloud
Sicherheit aus der Cloud und für die Cloud
Aberla
 
Einsatzmöglichkeiten von Virtual Private Workspace
Einsatzmöglichkeiten von Virtual Private WorkspaceEinsatzmöglichkeiten von Virtual Private Workspace
Einsatzmöglichkeiten von Virtual Private Workspace
University St. Gallen
 
CEC Cloud & Mittelstand DE
CEC Cloud & Mittelstand DECEC Cloud & Mittelstand DE
CEC Cloud & Mittelstand DE
COMMON Europe
 
German .NEXT on Tour Keynote and Technical Slidedeck
German .NEXT on Tour Keynote and Technical SlidedeckGerman .NEXT on Tour Keynote and Technical Slidedeck
German .NEXT on Tour Keynote and Technical Slidedeck
NEXTtour
 
PCTY 2012, Cloud security (real life) v. Ulf Feger
PCTY 2012, Cloud security (real life) v. Ulf FegerPCTY 2012, Cloud security (real life) v. Ulf Feger
PCTY 2012, Cloud security (real life) v. Ulf Feger
IBM Danmark
 
Cloud Computing Potentiale
Cloud Computing PotentialeCloud Computing Potentiale
Cloud Computing Potentiale
abta
 
Webinar 4 Server in der Cloud – die AWS Compute Dienste
Webinar 4 Server in der Cloud – die AWS Compute DiensteWebinar 4 Server in der Cloud – die AWS Compute Dienste
Webinar 4 Server in der Cloud – die AWS Compute Dienste
AWS Germany
 
SecTXL '11 | Frankfurt - Dr. Dietmar Wiedemann: "IT-Governance matters. - Dre...
SecTXL '11 | Frankfurt - Dr. Dietmar Wiedemann: "IT-Governance matters. - Dre...SecTXL '11 | Frankfurt - Dr. Dietmar Wiedemann: "IT-Governance matters. - Dre...
SecTXL '11 | Frankfurt - Dr. Dietmar Wiedemann: "IT-Governance matters. - Dre...
Symposia 360°
 
SecTXL '11 | Frankfurt - Jan Schneider: "Cloud Compliance Was Provider und Nu...
SecTXL '11 | Frankfurt - Jan Schneider: "Cloud Compliance Was Provider und Nu...SecTXL '11 | Frankfurt - Jan Schneider: "Cloud Compliance Was Provider und Nu...
SecTXL '11 | Frankfurt - Jan Schneider: "Cloud Compliance Was Provider und Nu...
Symposia 360°
 
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
Symposia 360°
 
SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt...
SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt...SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt...
SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt...
Symposia 360°
 
SecTXL '11 | Frankfurt - Andreas Weiss: "Cloud Computing und SaaS - Sicher!"
SecTXL '11 | Frankfurt - Andreas Weiss: "Cloud Computing und SaaS - Sicher!"SecTXL '11 | Frankfurt - Andreas Weiss: "Cloud Computing und SaaS - Sicher!"
SecTXL '11 | Frankfurt - Andreas Weiss: "Cloud Computing und SaaS - Sicher!"
Symposia 360°
 
SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...
SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...
SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...
Symposia 360°
 
SecTXL '11 | Hamburg - Dr. Markus Wulf: "Vertragliche Fallstricke beim Cloud ...
SecTXL '11 | Hamburg - Dr. Markus Wulf: "Vertragliche Fallstricke beim Cloud ...SecTXL '11 | Hamburg - Dr. Markus Wulf: "Vertragliche Fallstricke beim Cloud ...
SecTXL '11 | Hamburg - Dr. Markus Wulf: "Vertragliche Fallstricke beim Cloud ...
Symposia 360°
 
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...
Symposia 360°
 
SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...
SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...
SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...
Symposia 360°
 
SecTXL '11 | Hamburg - Florian von-Kurnatowski: "Das ENX-Netzwerk der Automob...
SecTXL '11 | Hamburg - Florian von-Kurnatowski: "Das ENX-Netzwerk der Automob...SecTXL '11 | Hamburg - Florian von-Kurnatowski: "Das ENX-Netzwerk der Automob...
SecTXL '11 | Hamburg - Florian von-Kurnatowski: "Das ENX-Netzwerk der Automob...
Symposia 360°
 
SecTXL '11 | Hamburg - Dr. Dietmar Wiedemann: "IT-Governance - die Wolke fest...
SecTXL '11 | Hamburg - Dr. Dietmar Wiedemann: "IT-Governance - die Wolke fest...SecTXL '11 | Hamburg - Dr. Dietmar Wiedemann: "IT-Governance - die Wolke fest...
SecTXL '11 | Hamburg - Dr. Dietmar Wiedemann: "IT-Governance - die Wolke fest...
Symposia 360°
 
SecTXL '11 | Hamburg - Christian Els: "Bewertung von Risikoszenarien am Beisp...
SecTXL '11 | Hamburg - Christian Els: "Bewertung von Risikoszenarien am Beisp...SecTXL '11 | Hamburg - Christian Els: "Bewertung von Risikoszenarien am Beisp...
SecTXL '11 | Hamburg - Christian Els: "Bewertung von Risikoszenarien am Beisp...
Symposia 360°
 
SecTXL '11 | Hamburg - Andreas Weiss: "Cloud Computing ist die Zukunft- aber ...
SecTXL '11 | Hamburg - Andreas Weiss: "Cloud Computing ist die Zukunft- aber ...SecTXL '11 | Hamburg - Andreas Weiss: "Cloud Computing ist die Zukunft- aber ...
SecTXL '11 | Hamburg - Andreas Weiss: "Cloud Computing ist die Zukunft- aber ...
Symposia 360°
 

Weitere ähnliche Inhalte

Mehr von Symposia 360°

SecTXL '11 | Frankfurt - Dr. Dietmar Wiedemann: "IT-Governance matters. - Dre...
SecTXL '11 | Frankfurt - Dr. Dietmar Wiedemann: "IT-Governance matters. - Dre...SecTXL '11 | Frankfurt - Dr. Dietmar Wiedemann: "IT-Governance matters. - Dre...
SecTXL '11 | Frankfurt - Dr. Dietmar Wiedemann: "IT-Governance matters. - Dre...
Symposia 360°
 
SecTXL '11 | Frankfurt - Jan Schneider: "Cloud Compliance Was Provider und Nu...
SecTXL '11 | Frankfurt - Jan Schneider: "Cloud Compliance Was Provider und Nu...SecTXL '11 | Frankfurt - Jan Schneider: "Cloud Compliance Was Provider und Nu...
SecTXL '11 | Frankfurt - Jan Schneider: "Cloud Compliance Was Provider und Nu...
Symposia 360°
 
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
Symposia 360°
 
SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt...
SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt...SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt...
SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt...
Symposia 360°
 
SecTXL '11 | Frankfurt - Andreas Weiss: "Cloud Computing und SaaS - Sicher!"
SecTXL '11 | Frankfurt - Andreas Weiss: "Cloud Computing und SaaS - Sicher!"SecTXL '11 | Frankfurt - Andreas Weiss: "Cloud Computing und SaaS - Sicher!"
SecTXL '11 | Frankfurt - Andreas Weiss: "Cloud Computing und SaaS - Sicher!"
Symposia 360°
 
SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...
SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...
SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...
Symposia 360°
 
SecTXL '11 | Hamburg - Dr. Markus Wulf: "Vertragliche Fallstricke beim Cloud ...
SecTXL '11 | Hamburg - Dr. Markus Wulf: "Vertragliche Fallstricke beim Cloud ...SecTXL '11 | Hamburg - Dr. Markus Wulf: "Vertragliche Fallstricke beim Cloud ...
SecTXL '11 | Hamburg - Dr. Markus Wulf: "Vertragliche Fallstricke beim Cloud ...
Symposia 360°
 
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...
Symposia 360°
 
SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...
SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...
SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...
Symposia 360°
 
SecTXL '11 | Hamburg - Florian von-Kurnatowski: "Das ENX-Netzwerk der Automob...
SecTXL '11 | Hamburg - Florian von-Kurnatowski: "Das ENX-Netzwerk der Automob...SecTXL '11 | Hamburg - Florian von-Kurnatowski: "Das ENX-Netzwerk der Automob...
SecTXL '11 | Hamburg - Florian von-Kurnatowski: "Das ENX-Netzwerk der Automob...
Symposia 360°
 
SecTXL '11 | Hamburg - Dr. Dietmar Wiedemann: "IT-Governance - die Wolke fest...
SecTXL '11 | Hamburg - Dr. Dietmar Wiedemann: "IT-Governance - die Wolke fest...SecTXL '11 | Hamburg - Dr. Dietmar Wiedemann: "IT-Governance - die Wolke fest...
SecTXL '11 | Hamburg - Dr. Dietmar Wiedemann: "IT-Governance - die Wolke fest...
Symposia 360°
 
SecTXL '11 | Hamburg - Christian Els: "Bewertung von Risikoszenarien am Beisp...
SecTXL '11 | Hamburg - Christian Els: "Bewertung von Risikoszenarien am Beisp...SecTXL '11 | Hamburg - Christian Els: "Bewertung von Risikoszenarien am Beisp...
SecTXL '11 | Hamburg - Christian Els: "Bewertung von Risikoszenarien am Beisp...
Symposia 360°
 
SecTXL '11 | Hamburg - Andreas Weiss: "Cloud Computing ist die Zukunft- aber ...
SecTXL '11 | Hamburg - Andreas Weiss: "Cloud Computing ist die Zukunft- aber ...SecTXL '11 | Hamburg - Andreas Weiss: "Cloud Computing ist die Zukunft- aber ...
SecTXL '11 | Hamburg - Andreas Weiss: "Cloud Computing ist die Zukunft- aber ...
Symposia 360°
 

Mehr von Symposia 360° (13)

SecTXL '11 | Frankfurt - Dr. Dietmar Wiedemann: "IT-Governance matters. - Dre...
SecTXL '11 | Frankfurt - Dr. Dietmar Wiedemann: "IT-Governance matters. - Dre...SecTXL '11 | Frankfurt - Dr. Dietmar Wiedemann: "IT-Governance matters. - Dre...
SecTXL '11 | Frankfurt - Dr. Dietmar Wiedemann: "IT-Governance matters. - Dre...
 
SecTXL '11 | Frankfurt - Jan Schneider: "Cloud Compliance Was Provider und Nu...
SecTXL '11 | Frankfurt - Jan Schneider: "Cloud Compliance Was Provider und Nu...SecTXL '11 | Frankfurt - Jan Schneider: "Cloud Compliance Was Provider und Nu...
SecTXL '11 | Frankfurt - Jan Schneider: "Cloud Compliance Was Provider und Nu...
 
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
 
SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt...
SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt...SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt...
SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt...
 
SecTXL '11 | Frankfurt - Andreas Weiss: "Cloud Computing und SaaS - Sicher!"
SecTXL '11 | Frankfurt - Andreas Weiss: "Cloud Computing und SaaS - Sicher!"SecTXL '11 | Frankfurt - Andreas Weiss: "Cloud Computing und SaaS - Sicher!"
SecTXL '11 | Frankfurt - Andreas Weiss: "Cloud Computing und SaaS - Sicher!"
 
SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...
SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...
SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...
 
SecTXL '11 | Hamburg - Dr. Markus Wulf: "Vertragliche Fallstricke beim Cloud ...
SecTXL '11 | Hamburg - Dr. Markus Wulf: "Vertragliche Fallstricke beim Cloud ...SecTXL '11 | Hamburg - Dr. Markus Wulf: "Vertragliche Fallstricke beim Cloud ...
SecTXL '11 | Hamburg - Dr. Markus Wulf: "Vertragliche Fallstricke beim Cloud ...
 
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...
 
SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...
SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...
SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...
 
SecTXL '11 | Hamburg - Florian von-Kurnatowski: "Das ENX-Netzwerk der Automob...
SecTXL '11 | Hamburg - Florian von-Kurnatowski: "Das ENX-Netzwerk der Automob...SecTXL '11 | Hamburg - Florian von-Kurnatowski: "Das ENX-Netzwerk der Automob...
SecTXL '11 | Hamburg - Florian von-Kurnatowski: "Das ENX-Netzwerk der Automob...
 
SecTXL '11 | Hamburg - Dr. Dietmar Wiedemann: "IT-Governance - die Wolke fest...
SecTXL '11 | Hamburg - Dr. Dietmar Wiedemann: "IT-Governance - die Wolke fest...SecTXL '11 | Hamburg - Dr. Dietmar Wiedemann: "IT-Governance - die Wolke fest...
SecTXL '11 | Hamburg - Dr. Dietmar Wiedemann: "IT-Governance - die Wolke fest...
 
SecTXL '11 | Hamburg - Christian Els: "Bewertung von Risikoszenarien am Beisp...
SecTXL '11 | Hamburg - Christian Els: "Bewertung von Risikoszenarien am Beisp...SecTXL '11 | Hamburg - Christian Els: "Bewertung von Risikoszenarien am Beisp...
SecTXL '11 | Hamburg - Christian Els: "Bewertung von Risikoszenarien am Beisp...
 
SecTXL '11 | Hamburg - Andreas Weiss: "Cloud Computing ist die Zukunft- aber ...
SecTXL '11 | Hamburg - Andreas Weiss: "Cloud Computing ist die Zukunft- aber ...SecTXL '11 | Hamburg - Andreas Weiss: "Cloud Computing ist die Zukunft- aber ...
SecTXL '11 | Hamburg - Andreas Weiss: "Cloud Computing ist die Zukunft- aber ...
 

SecTXL '11 | Hamburg - Ulf Feger: "Der Weg zur Cloud Security - ein Transformationsprozess"

  • 1. Der Weg zur Cloud Security - ein Transformationsprozess Konzepte, Prozesse und Werkzeuge Ulf Feger Security Architect, CISSP Competence Leader Tivoli - Data Center Automation, Cloud & Security © 2011 IBM Corporation
  • 2. Der Weg zur Cloud Security - ein Transformationsprozess Konzepte, Prozesse und Werkzeuge Teil I – Transformation wozu und wovon ? Teil II – Workshop - Vorstellung und Diskussion der vielseitigen technischen Sicherheitsschichten und (notwendigen) Prozessabbildungen - Sichtweisen auf die Anforderungen gestellt durch das BSI-Eckpunktepapier und deren mögliche Umsetzungen © 2011 IBM Corporation
  • 3. Cloud & Security Die private Cloud - Ausgangssituation “Cloud” Test/Dev Training Applikationen ... 3 Standardisierung Standardisierung / Service Katalog / Image Katalog Ressourcenplanung Request Freigabe Workflow (Beschaffung) Bereitstellung/Nutzung 4 Automatisierung Abbau (Abrechnung/Kostenverteilung) Process Automation Engine Monitoring High Availability Dynamische Sichere und Provisionierung Security 5 hochverfügbare Repository  Secure virt. env. private Cloud  Identity & Access Mgmt. Virtualisierung Power VM, VMware, KVM… 2 Virtualisierung Ressourcen 1 Konsolidierung © 2011 IBM Corporation 3
  • 4. Cloud & Security Standardisierung / Service Katalog / Image Katalog Ressourcenplanung Request Freigabe Workflow Die private Cloud - Ausgangssituation (Beschaffung) Bereitstellung/Nutzung Abbau (Abrechnung/Kostenverteilung) Process Automation Engine Virtualisierung Power VM, VMware, KVM… Ressourcen Virtualisierung Power VM, VMware, KVM… Ressourcen Virtualisierung Power VM, VMware, KVM… Virtualisierung Power VM, VMware, KVM… Ressourcen Ressourcen Virtualisierung Power VM, VMware, KVM… Virtualisierung Power VM, VMware, KVM… Ressourcen Ressourcen Virtualisierung Power VM, VMware, KVM… Ressourcen © 2011 IBM Corporation 4
  • 5. Cloud & Security Cloud – Workload – Daten und Prozesse Enterprise Provider Department A Department B Customer A Customer B Private Cloud Services Hosted Cloud Services Use Case 1 Use Case 2 Case specific challenges & pains Case specific challenges & pains + challenges faced by internal providers Workload Workload Workload Workload Workload Workload Type 1 Type 2 Type 2 Type 1 Type 2 Type 3 Test & Production Test & Production VDI VDI Development Workloads Development Workloads Not all potential Cloud adopters are IT Service Providers Workload Type 4 facing Service Provider challenges, however the individual Workload Types are still relevant in these instances – e.g. Test & Dev Hosted SaaS © 2011 IBM Corporation 5
  • 6. Cloud & Security Cloud Transformationsphasen zur eigenen Cloud Wo bleibt da die Security ? 1 2 3 4 5 IT IT IT IT IT Prozesse Prozesse Prozesse Prozesse Prozesse GS Transition Cloud Prz 4 Transition GS Automatisierung Prz 3 GS Transition Standardisierung Prz 2 GS Virtualisierung Prz 1 GS Konsolidierung Prz Eliminierung Bsp: Baseline VSP Richtlinien Approval GRC Ziele Security SIEM Workflows Reporting Approval © 2011 IBM Corporation 6
  • 7. Der Weg zur Cloud Security - ein Transformationsprozess Konzepte, Prozesse und Werkzeuge Teil II – Workshop - Vorstellung und Diskussion der vielseitigen technischen Sicherheitsschichten und (notwendigen) Prozessabbildungen - Sichtweisen auf die Anforderungen gestellt durch das BSI-Eckpunktepapier und deren mögliche Umsetzungen © 2011 IBM Corporation
  • 8. Cloud & Security Private Cloud Konstrukte - mehr Möglichkeiten als man denkt © 2011 IBM Corporation 8
  • 9. Cloud & Security Private Cloud Firmen-RZ Struktur Cloud RZ Struktur Cloud RZ Struktur – lokal, verteilt ✪ Deutschland, 1 BL Cloud  Deutschland, x BL E T&A P Dienste + Infrastruktur   Cloud Dienste + Infrastruktur EU weit  Admin Cloud RZ Struktur – lokal verteilt Cloud RZ Struktur – beliebig, verteilt  weltweit Cloud Cloud Dienste + Infrastruktur Dienste + Infrastruktur Deutschland, 1 BL © 2011 IBM Corporation 9
  • 10. Cloud & Security Anforderungen – Cloud Computing & Sicherheit Sicherheitsanforderungen bezüglich  Datenschutz und Datensicherheit Cloud Services  Zugriffs- und Identitätsmanagment  Applikations- und Dienstebereitstellung inkl. “Entsorgung”  Applikations- und Systemtests inkl. Daten Cloud Computing Model  Service Level Agreement – SLA Management  Schwachstellen Management und Beseitigung  Dienstverfügbarkeit inkl. (überregionalem) Lastausgleich  Auditierbarkeit & Governance (GRC – Governance, Risk & Compliance)  Grenzüberschreitende Gesetzeseinhaltung, z.B. personenbezogener Informationen  Grenzüberschreitende Eigentumsrechte & Exportbegrenzungen  Buchungs- und Rechungsgrundlagen und deren Informationsbasis  Exit-Management © 2011 IBM Corporation 10
  • 11. Cloud & Security IBM Cloud Lösungskomponenten – mehr als nur Virtualisierung 10. Manage 9. Visualize and supported Service align the Service Level with business Agreements (SLAs) 8. Collect, objectives and analyze, service levels Report and bill based on Service usage and costs Common Cloud Management Platform 1. Anforderung/ 3. Provision Service Cloud Services 7. Real-time Katalog management and consolidation of events associated BSS with Business Service 4. Integrate with OSS 6. Monitor the 2. Integrate with Storage area Service to service desk network (SAN) and detect bottlenecks and IT asset network pools and and potential management security mngment problems; generate processes alerts 5. Discover the Service; track configuration and changes to the Service = Software, Platform, Infrastructure (i.e. Composite Service Application, Physical / Virtual OS, Middleware, Network, Storage Not in all cases will all steps exist in a client engagement © 2011 IBM Corporation 11
  • 12. Cloud & Security ng Unterstützende Sicherheits ”landschaft” ru ie is Admin User am User Self- Admin. service Identity Synchronisation Reporting Workflow & Lifecycle Identity HR yn Entitlement Policy Store System Auditor Provisioning Engine Management Domain D Reconciliation Provisioning SSO WS Fed Web Policy Policy SSO Policy Mgmt Mgmt Conf. Mgmt Admin(s) Policy Enforce Web Web Authentication and App Web Single Signon Web Authentication and Portal Portal Web Single Signon HTTP Server Authorization HTTP Server Authorization Web Consumer App Enterprise Single Signon User Authentication Web Internet App Other Employee/ FedSSO Apps Staff A&A FedSSO A&A WS ESB Business Gateway (SOA) Windows Windows Windows Apps Policy Apps Identity Apps Enforce Mapping Enterprise Dir Collect Collect Collect Collect Collect Collect Collect Collect Collect Log Log Log Log Log Log Log Log Log Audit Log Consolidation Audit Policy Compliance Reporting © 2011 IBM Corporation 12 Auditor Auditor
  • 13. Cloud & Security Unterstützende Sicherheits ”landschaft” Desktop/Client Security Policy Connection Repository HTTP (incl. SOAP/ HTTP) Connection Identity Repository Admin User Web Services (Person & Account) Connection User Self- Admin. service Identity Synchronisation Reporting Tivoli Identity Manager (TIM) Workflow & Lifecycle Tivoli Access Manager for e-business (TAMeb) Common Cloud Entitlement Policy Identity HR Store System Tivoli Federated Identity Manager (TFIM) Auditor Management Platform Provisioning Engine Management Domain Tivoli Security Policy Manager (TSPM) Reconciliation Provisioning Tivoli Access Manager for Enterprise Single Signon (TAM E-SSO) SSO WS Fed Web Policy Policy SSO Policy Tivoli Compliance Insight Manager (TCIM) Mgmt Mgmt Conf. Mgmt Admin(s) Policy Enforce Cloud Services Web Web Authentication and App Web Single Signon Web Authentication and Portal Portal Web Single Signon HTTP Server Authorization HTTP Server Authorization Web Consumer App Enterprise Single Signon User Authentication Web Internet App Other Employee/ FedSSO A&A FedSSO BSS Apps Staff A&A WS ESB Business Gateway (SOA) Windows Windows Windows Apps Policy Apps Identity Apps Enforce Mapping Enterprise Dir Collect Collect Collect Collect Collect Collect Collect Collect Collect Log Log Log Log Log Log Log Log Log Audit Policy OSS Audit Log Consolidation Compliance Reporting © 2011 IBM Corporation 13 Auditor Auditor
  • 14. Cloud & Security Unterstützende Sicherheits ”landschaft” Desktop/Client Security Policy Connection Repository HTTP (incl. SOAP/ HTTP) Connection Identity Repository Admin User Web Services (Person & Account) Connection User Self- Admin. service Identity Synchronisation Reporting Tivoli Identity Manager (TIM) Workflow & Lifecycle Tivoli Access Manager for e-business (TAMeb) Entitlement Policy Identity HR Store System Tivoli Federated Identity Manager (TFIM) Auditor Provisioning Engine Management Domain Tivoli Security Policy Manager (TSPM) Reconciliation Provisioning Tivoli Access Manager for Enterprise Single Signon (TAM E-SSO) SSO WS Fed Web Policy Policy SSO Policy Tivoli Compliance Insight Manager (TCIM) Mgmt Mgmt Conf. Mgmt Admin(s) Policy Enforce Web Web Authentication and App Common Cloud Web Single Signon Web Authentication and Management Platform Portal Portal Web Single Signon HTTP Server Authorization HTTP Server Authorization Web Consumer App Enterprise Single Signon Cloud Services User Authentication Web Internet App Other Employee/ BSS FedSSO Apps Staff A&A FedSSO A&A WS ESB Business Gateway (SOA) Windows Windows OSS Windows Apps Policy Apps Identity Apps Enforce Mapping Enterprise Dir Collect Collect Collect Collect Collect Collect Collect Collect Collect Log Log Log Log Log Log Log Log Log Audit Log Consolidation Audit Policy Compliance Reporting © 2011 IBM Corporation 14 Auditor Auditor
  • 15. Cloud & Security Unterstützende Sicherheits ”landschaft” Admin User User Self- Admin. service Identity Synchronisation Common Cloud Reporting Workflow & Lifecycle Identity HR Entitlement Policy Auditor Management Platform Provisioning Engine Store System Management Domain Reconciliation Provisioning SSO WS Fed Web Policy Policy SSO Policy Mgmt Mgmt Conf. Mgmt Policy Cloud Services Admin(s) Enforce Web Web Authentication and App Web Single Signon Web Authentication and Portal Portal Web Single Signon HTTP Server Authorization HTTP Server Authorization Web Consumer App Enterprise Single Signon User Authentication Web Internet App FedSSO FedSSO BSS Other Apps Employee/ Staff A&A A&A WS ESB Business Gateway (SOA) Windows Windows Windows Apps Policy Apps Identity Apps Enforce Mapping Enterprise Dir Collect Collect Collect Collect Collect Collect Collect Collect Collect Log Log Log Log Log Log Log Log Log OSS Audit Log Consolidation Audit Policy Compliance Reporting © 2011 IBM Corporation 15 Auditor Auditor
  • 16. Welche Herausforderungen sind zu lösen - eine lange Liste, eine neue Liste ? Cloud & Security ng Cloud - Nutzer IT - “klassisch” Cloud – (Dienst-)Anbieter ru • Zugriffskontrolle, inkl. Regelwerk und • Zugriffskontrolle, inkl. Regelwerk und Nutzen: • Diensteangebotie Richtlinienverwaltung Richtlinienverwaltung is • Benutzer- und Berechtigungsmgmnt inkl. • Benutzer- und Berechtigungsmgmnt inkl. am Prozessverwaltung und –automation Prozessverwaltung und –automation Pflichten: yn • Rollenbasierte Funktionstrennung • Rollenbasierte Funktionstrennung - Authentifizierung D - Autorisierung • Security Policy Management • Security Policy Management - del. Administration • Security Monitoring, Auditing, Compliance • Security Monitoring, Auditing, - Rechung begleichen Reporting Compliance Reporting Erwartungen: • Funktionstrennung, Mandantenfähigkeit • Funktionstrennung, Mandantenfähigkeit -SLA Erfüllung • Berichtswesen – Security Information • Berichtswesen – Security Information -Richlinienkonformität und Event Management und Event Management -detailiertes Berichts- • Compliance Audit & Reporting über die IT • Compliance Audit & Reporting über die IT wesen • Absicherung von virtuellen Maschinen • Absicherung von virtuellen Maschinen und der Hosts und der Hosts • Sicherheits- und Compliance Werkzeug • Sicherheits- und Compliance Werkzeug zur Verifikation der Server zur Verifikation der Server • Configuration and Change Management • Configuration and Change Management • Mandantenfähigkeit • Mandantenfähigkeit • Verknüpfung mit dem Rechnungswesen • Verknüpfung mit dem Rechnungswesen © 2011 IBM Corporation 16 / Accounting / Accounting
  • 17. Cloud & Security Daten und Prozesse, Prozess-Zertifizierung Cloud - Kommunikation Szenarien DN DA Cloud-Dienste & DN DA DN - Dienstnutzer = IP S F W F W IP S Infrastruktur 1 DA - Dienstanbieter DN DA1 DA2 * * * * * * * * 2 1 .. n, n>>1 DAM  Geschäftapplikationen  Infrastrukturapplikationen  Verzeichnisdienste DN DA1 DAN 3 DAM+1  Container: WS, AS, ..  hoch dynamisch  Last reaktiv DAM+P  Service managed  autom. Provisioniert  Security managed © 2011 IBM Corporation 17
  • 19. Cloud & Security Eckpunktepapier Sicherheitsempfehlungen für Cloud Computing Anbieter Sicherheitsmanagement beim Anbieter  Rechenzentrumssicherheit • BSI-Standard 100-2  Server-Sicherheit • IT-Grundschutz  Netzsicherheit • ISO 27001 u.27002  Sicherheitszone für das Management der Cloud • Cloud Security Alliance – German Chapter  Sicherheitszone für die Live Migration, falls Servervirtualisierung • ISF – Information Security Forum eingesetzt wird • TMForum – Tele Management Forum  Sicherheitszone für das Storage-Netz  Eigene Sicherheitszonen für die virtuellen Maschinen eines Kunden bei IaaS  Anwendungs- und Plattformsicherheit  Datensicherheit  Verschlüsselung und Schlüsselmanagement Interaktives Erarbeiten  ID- und Rechtemanagement  Authentisierung weiterer Themen  Autorisierung  Kontrollmöglichkeiten für Nutzer  Monitoring und Security Incident Management +  Notfallmanagement  Portabilität und Interoperabilität  Sicherheitsprüfung und -nachweis Diskussion  Anforderungen an das Personal  Vertragsgestaltung  Service Level Agreement (SLA)  Datenschutz und Compliance © 2011 IBM Corporation 19
  • 20. Cloud & Security 20 https://www.pcisecuritystandards.org/documents/Rth87Wp/Virtualization_InfoSupp_v2.pdf © 2011 IBM Corporation
  • 21. Cloud & Security Ausschnitt  Virtualization Overview – Virtualization Concepts and Classes – Virtual System Components and Scoping Guidance  Risks for Virtualized Environments – Vulnerabilities in the Physical Environment Apply in a Virtual Environment – Hypervisor Creates New Attack Surface – Increased Complexity of Virtualized Systems and Networks – More Than One Function per Physical System – Mixing VMs of Different Trust Levels – Lack of Separation of Duties – Dormant Virtual Machines – VM Images and Snapshots – Immaturity of Monitoring Solutions – Information Leakage between Virtual Network Segments – Information Leakage between Virtual Components  Recommendations 15 – Recommendations for Mixed-Mode Environments – Recommendations for Cloud Computing Environments – Guidance for Assessing Risks in Virtual Environments  Virtualization Considerations for PCI DSS © 2011 IBM Corporation 21
  • 22. Cloud & Security Risk Management and Security Themenübersicht • Gesetzliche Grundlagen für das Betreiben von Cloud Computing (National, International ) • Risiko Planung • Risiko Management in Public Cloud Umgebungen • Risiko Management in Privat Cloud Umgebungen • Sicherheits Planung • Security Management in Public Cloud Umgebungen • Security Management in Privat Cloud Umgebungen • Verfügbarkeits Aspekte in Cloud Umgebungen (Hardware Verfügbarkeit - Server, Netzwerk, Storage, Services etc.) • Überprüfung von Security Policys und deren Qualität • Datensicherung und Backup Infrastrukturen in der Cloud • Desaster Recovery Lösungen • Einhaltung von Standards • ITIL in Cloud Umgebungen • Service to Service • Authentifizierungsmethoden in Cloud Umgebungen • Datenschutzbeauftragter und Cloud Computing © 2011 IBM Corporation 22
  • 23. Cloud & Security Ulf Feger Security Architect, CISSP IBM Software Group Q&A Gustav-Heinemann Ufer 120 50968 Cologne, Germany Mobile.: +49-171-22 619 22 E-Mail: ulf.feger@de.ibm.com http://www.ibm.com/security/cloud-security.html IBM Cloud Computing: ibm.com/cloudcomputing ibm.com/de/cloud/ Trustworthy Cloud tclouds-project.eu/ IBM Enterprise Security: ibm.com/security IBM Internet Security Systems: ibm.com/services/security IBM X-Force® Security Alerts and Advisories: xforce.iss.net Cloud Standards Customer Council cloud-council.org/ © 2011 IBM Corporation 23
  • 24. Cloud & Security Sicherheit ist eines der wichtigsten Anliegen beim Cloud-Computing Das IBM Security Framework bietet hierfür eine speziell konzipierte Struktur Benutzer und Identitäten Reduzierung der Risiken bei Benutzerzugriffen auf Unternehmensressourcen i Daten und Informationen Ermittlung, Implementierung und Auditierung der Kontrollen für den Zugriff auf (sensible) Daten und deren Verwendung Anwendungen und Prozesse Schutz der Anwendungen vor einer Nutzung in bösartiger oder betrügerischer Absicht sowie vor Ausfällen Netzwerk, Server und Endpunkte Optimierung der Serviceverfügbarkeit durch Senkung des Risikos für Netzwerkkomponenten Physische Infrastruktur Bereitstellung sinnvoller Informationen zum aktuellen Sicherheitsstatus der physischen Infrastruktur und den entsprechenden Empfehlungen © 2011 IBM Corporation 24
  • 25. IBM Security Framework Cloud & Security IBM Security Framework - IBM Security Lösungen © 2011 IBM Corporation 25
  • 26. Cloud & Security Compliance Anforderungen verstehen – Data Privacy – Data Security Erwartung 1  Verbesserung der Sicherheit 2  Innere Sicherheit 4 Wie weise ich  Kostenreduktion  Äußere Sicherheit nach?  Auslastoptimierung  Operationale Sicherheit 3 5 Fokussierung auf Nachweisbarkeit „Was brauche ich“ Ziel Unternehmensrisiken Sicherheitsrichtlinien verstehen & -programme Sicherheitsrichtlinien Management Überwachung & Durchsetzung & Prüfung Automatisierung © 2011 IBM Corporation 26