SlideShare ist ein Scribd-Unternehmen logo
Sicherheit aus der Cloud und für die Cloud
                Was ist machbar und sinnvoll?




Wolfram Funk
Senior Advisor
Experton Group AG
Wolfram.funk@experton-group.com



23.09.2010                        www.experton-group.de   2
Agenda

 Grundsätzliches zum Thema Cloud Computing & Services
 Cloud-basierte Security Services
 Cloud Computing aus der Outsourcing-Perspektive
 Risiken und Nebenwirkungen von Cloud Services
 Zehn Regeln für Cloud Security
 Sicherheit für Cloud Computing aus technischer Sicht
 Welches Modell passt für Ihr Unternehmen?
 Fazit




 23.09.2010                   www.experton-group.de     3
Beschäftigen Sie sich derzeit aktiv mit
               Cloud Computing
   beziehungsweise erwägen Sie den Einsatz?




23.09.2010         www.experton-group.de   4
Definition von Cloud Computing (I)

“Cloud Computing beschreibt ein neues Computing-Paradigma,
     nach dem IT-Ressourcen (CPU, Speicher, Applikationen,
        Daten) dynamisch über das Internet bereitgestellt,
             gemanaged und abgerechnet werden.”




               Private Cloud       Hybrid Cloud        Public Cloud




  23.09.2010                   www.experton-group.de              5
Definition von Cloud Computing (II)



 1) Bereitstellung nach Self-Service-Modell
                        Self-Service-

 2) Orts- und geräteunabhängiger Zugriff über IP-Netze
    Orts-                                     IP-

 3) Dynamisches Kapazitätsmanagement für hohe Skalierung

 4) Abstrahierte, virtualisierte Infrastruktur für standardisierte Auslieferung

 5) Nutzungsabhängige Bezahlung


                                                          Quelle: Experton Group, 2010




 23.09.2010                       www.experton-group.de                                  6
Definition Cloud Computing (III)



                  Software-as-a-Service:
         SaaS     CRM, Office, Collab., Content, ERP




                  Platform-as-a-Service:
         PaaS     App Server, Dev. Tools, APIs




                   Infrastructure-as-a-Service:
          IaaS     Storage, CPU, DB


                                                        Quelle: Experton Group, 2010




 23.09.2010                     www.experton-group.de                            7
Vorteile von Cloud Computing


              Kosten                                                 Agilität

    Optimierte Auslastung von                               Schnellere Bereitstellung von IT-
    RZ-Ressourcen (Peak vs. Grundlast)                      Ressourcen (CPU, Speicher, VMs)
    Weniger Fixkosten                                       Beschleunigtes „Time-to-Market“
    Ausnutzung von Skaleneffekten                           bei Anwendungsentwicklung
    CAPEX zu OPEX                                           Mehr Flexibilität bei Auswahl von IT-
                                                            Ressourcen und Entwicklungstools
                                                            Weniger Infrastruktur-Administration
                                                            sorgt für Investitionsspielraum auf
                                                            Innovationsseite




 23.09.2010                         www.experton-group.de                                     8
Cloud-
             Cloud-basierte Security Services




23.09.2010                www.experton-group.de   9
Varianten am Beispiel Cloud-basierter Security
     Services und anderen Service-Modellen
Hosting
            Kunden      Dienstleister   Einflussfaktoren                                           Monitoring                 Remote           Hosting &              Cloud Service
beim
                                         und Anforderungen                                                                  Management        Management
                                                                                                  Fernüberwachung            Konfiguration,       dediziert             Shared Service
Kernbereiche -IT-Sicherheit                                                                       durch Dienstleister          Response       beim Dienstleister       beim Dienstleister




                                            Standardisierung & Integration – Risikomanagement –
Infrastruktur-Sicherheit                                                                                                                                                *Web Application




                                              Servicequalität & Performanz – Compliance – [ ]
                                                                                                                                                                           Firewall
Netzwerk + Anwendungen




                                                 Kosten – Geschäftsprozessunterstützung -
Endpunkt-Sicherheit                                                                                                                                                   *hybride AV-Modelle
Arbeitsplatz + mobile Geräte


Messaging/Web Security                                                                                                                                                *Schutz vor Spam/
                                                                                                                                                                     Malware/Web Threats
Endpunkt, Server, Gateway

Identitäts- & Zugriffs-                                                                                                                                                   *Web SSO
Management
Sicherheits-Management                                                                                                                                                    *Vulnerability
                                                                                                                                                                            Scanning
& Betrieb
Backup & Recovery                                                                                                                                                       *Cloud Backup
                                                                                                                                                                          & Recovery
Sicherung + Wiederherstellung

Governance, Risk Mgmt.                                                                                                                                                    *GRC SaaS
& Compliance
          23.09.2010   Quelle: Experton Group, 2010                                                 www.experton-group.de                                          *Beispiele! 10
Externe Sicherheits-Dienstleistungen:
                  Einsatzgrad und Planungen
                  - DACH, 2009-10 -

hoch                                                                  CONS-STRAT                                    BC&DR: Business Continuity/ Disaster Recovery /
                                                                                                                    Wiederanlaufverfahren (Vorhalten von Infrastruktur)
  Relative Einsatz-Wachstumsrate 2009-10



                                                                                                                    CONS-TECH: Technologische Beratung (ohne Implementierung)
                                                                                                                    CONS-STRAT: IT-Sicherheits-Strategie- und Prozessberatung
                   Wachstumsrate 2009




                                                                                                                    MAIN-SUPP: Wartung und Support
                                                                        TRAIN                                       MSS: Managed Security Services (Überwachung und/oder
                                                           BC&DR                                                    Betrieb/Konfiguration von Sicherheits-Systemen)
                                                                                                                    SI-IMPL: Implementierungs-/ Integrationsdienstleistungen
                                                                          VULN-PENTEST                              (Entwicklung von Lösungen, Integration und Anpassung)
                                                                                                                    TRAIN: Sicherheits-Training (für IT-Personal / Anwender,
                                                                                                                    auch produktorientierte Schulungen)
                                                        MSS-CLOUD                                                   VULN-PENTEST: Schwachstellen-Audits (z.B. Penetrations-
                                                                         MSS                                        Tests, Scannen von Netzwerken)
                                                            MSS-MGMT
                                                                                                                    -------------------------------------------------------------------------------------
                                                           MSS-MONI                                                 MSS-MONI: Betrieb des Sicherheitssystems im eigenen RZ;
                                                                                CONS-TECH                           Fernüberwachung (Monitoring) durch externen Dienstleister
                                               MSS-HOST
                                                                                                                    MSS-MGMT: Betrieb im eigenen RZ; Remote Management
                                                                   SI-IMPL                                          (Konfigurationsänderungen oder Response) durch Dienstleister
                                                                                                                    MSS-HOST: Hosting/Management eines dedizierten Sicherheits-
                                                                                                                    systems durch den externen Dienstleister in seinem RZ /
                                                                                                                    Security Operations Center (SOC)
                                                                                                                    MSS-CLOUD: Shared MSS ohne dediziertes Sicherheitssystem,
                                                                                         MAIN-SUPP                  z.B. „in the cloud“ oder als „Software as a Service“ (SaaS).




gering                                                                                                    hoch
                                                              Einsatzgrad Ende 2009
Quelle: Experton Group, 2010
                                           23.09.2010                                       www.experton-group.de                                                                          11
Wer bietet Cloud-basierte Security Services?
                                                    Technologie              Cloud Service   Beratung   Vertrieb




Technologie-Anbieter
Hardware / Software                                                             ( )                     ( )
ICT-Dienstleister
inkl. Systemintegratoren



Carrier / Internet Service Provider


Dedizierter Cloud Service Provider


Berater                                                                                                 ( )
Reseller + Distributor                                                                       ( )
        23.09.2010   Quelle: Experton Group, 2010    www.experton-group.de                                 12
Cloud Computing
             aus der Outsourcing-Perspektive
                     Outsourcing-




23.09.2010              www.experton-group.de   13
Cloud Services & Security – Status Quo

   Viele Unternehmen im deutschsprachigen Raum prüfen derzeit extern
   angebotene Cloud Services.
   Kontrovers diskutiert werden:
     •        Sicherheit von Cloud Services
     •        Compliance-Aspekte
     •        Interoperabilität von Clouds / zwischen Cloud und On-Premise-Installation
   Einzelne Dienste sind bereits am Markt platziert und erprobt.
   Paradoxe Situation: grundsätzlich ermöglichen es externe Cloud Services
   der Mehrzahl der Kunden, die Sicherheit bestimmter Anwendungen und
   Dienste auf ein höheres Niveau als bislang zu heben.
     •        Da externe Cloud-Dienstleister ihre Dienste für eine Vielzahl von Kunden
              anbieten, verfügen sie über die Skaleneffekte, die hohe Investitionen in eine
              hochsichere Infrastruktur erlauben.
   Soweit die Theorie.
 23.09.2010                                www.experton-group.de                       14
Risiken und Nebenwirkungen von Cloud Services




  23.09.2010       www.experton-group.de   15
(Sicherheits-) Risiken bei Cloud Services

                      Provider ist attraktives Ziel für gezielte
                      (interne/externe) Angriffe                           Unsaubere Definition der Schnitt-
                                                                           stellen zwischen Provider und
                                                                           Kunde (Prozesse, Technologie)
Provider = Single Point of Failure?


 Verstoss gegen lokale                                                           Geringe Erfahrung d. Kunden
 Regulatorien                                                                    beim Provider-Management


Derzeit frühe Marktreifephase                                                         Provider-“Lock-in“
und geringe Transparenz der
Angebote
                                                                           Technologische Schwachstellen
                                                                           beim Provider / Kunden
                  Mangelnde Auditierbarkeit der
                  Cloud-Infrastruktur durch Kunden


     23.09.2010                                    www.experton-group.de                               16
Interoperabilität verschiedener Clouds

   Cloud Services verschiedener Anbieter (z.B. Geschäftsanwendungen oder
   Speicherlösungen) sind nicht unbedingt kompatibel.
   Problem 1: keine Interoperabilität zwischen verschiedenen Anwendungen
   in der Cloud oder zwischen Cloud und lokaler Installation
   (z.B.: Unified Communications, Produktivitätsanwendungen)
   Problem 2: geringe Flexibilität, wenn der Cloud Service nicht mehr oder in
   schlechter Qualität erbracht wird (Provider-Wechsel)
   Standardisierungsbemühungen stecken noch in den Kinderschuhen:
     •        XML, SOAP, REST      - OK -
     •        Open Virtualization Format (OVF) - neu
     •        Cloud Data Management Interface (CDMI) - neu
     •        Open Cloud Computing Interface (OCCI) Spezifikation – noch nicht veröffentlicht
     •        Open Cloud Consortium - Interoperabilitäts-Standard für grosse „Data Clouds“, noch
              nicht veröffentlicht – Arbeitsgruppe
 23.09.2010                                  www.experton-group.de                              17
Identity Management in der Cloud –
Beispiel-Szenario für SaaS/PaaS


                                                                      Projektmanagement
                                                SMS-Auth.
   LDAP        Nutzer                                                  SP* 1      Directory


                                                                      CRM

                                                                       SP* 2       Directory


                                                                      Produktivitätsanwendung

                                                                       SP* 3      Directory
    Wo werden die Nutzerrechte verwaltet
    (Provisioning / De-Provisioning)?                                 Unified Communications.

    Muss ich mich bei jedem Cloud Service mit einem                    SP* 4      Directory
    eigenen “Credential” (z.B. Passwort) anmelden?

    Welche Authentisierungsmethoden und -
    Standards unterstützt der Cloud Service
    Provider?

    Brauche ich für jeden Cloud Service
    verschiedene Authentisierungsmethoden?
                                                                               *SP = Service Provider
  23.09.2010                                  www.experton-group.de                                 18
Identity Management in der Cloud –
Beispiel-Szenario für SaaS/PaaS – mit Federation/Web SSO


                                                                        Projektmanagement
                                            SMS-Auth. - SAML 1.0
   LDAP        Nutzer                                                    SP* 1      Directory
                Authentisierungsmethode X

                                                                        CRM

                                                                         SP* 2      Directory


                                                                        Produktivitätsanwendung

                                                                         SP* 3      Directory


                                                                        Unified Communications

               IdP**                                                     SP* 4      Directory



    Der Nutzer versucht, auf eine Ressource des SP zuzugreifen

    Der IdP authentisiert den Nutzer und stellt dem SP ausgewählte
    Attribute des Nutzers zur Verfügung
                                                                                *SP = Service Provider
    Der SP gewährt dem Nutzer auf Basis der Attribute Zugriff                   **IdP = Identity Provider
  23.09.2010                                    www.experton-group.de                                   19
Identity Management & Federation in der Cloud
 Standards, Initiativen, Frameworks

                Standards:
  •SAML (Security Assertion Markup Language)
               •WS-Federation
 •SPML (Service Provisioning Markup Language)
•Key Management Interoperability Protocol (KMIP)
                      •[   ]

                                      Initiativen:
                                   •OpenID Foundation
                                          •OAuth
                                  •Windows CardSpace
                                         •Higgins
                                     •Liberty Alliance
                                    •Kantara Initiative
                                              •[   ]

                                                                    Lösungen:
                                                          •Open Source oder herstellerneutral:
                                                            Shibboleth, OpenID, OpenSSO
                                                                (ForgeRock OpenAM)
                                                              •Kommerzielle Anbieter: [ ]
   23.09.2010                           www.experton-group.de                                    20
Rechtliche Aspekte bei Cloud Services

ZIELE                 Schutz - Verfügbarkeit - Nachvollziehbarkeit – Transparenz - Sorgfalt


KERN-            Informations-     Risiko-          Informations-     Internes           Mitwirkungs-
                     schutz      management         management      Kontrollsystem   /Informationspflicht
BEREICHE


PROBLEMATIK         Wo werden personenbezogene Daten gespeichert?
BEI CLOUD           Wie wird die Vertraulichkeit und Integrität der (personen-
SERVICES
                    bezogenen) Informationen und Prozesse gewährleistet?
                    Wie steht es um die Nachvollziehbarkeit rund um Informationen
                    und Prozesse (Auditierbarkeit)?

LÖSUNGS-            Lokale / regionale Rechenzentren der Diensteanbieter
ANSÄTZE
                    Technologie, z.B. Auditwerkzeuge für SaaS, Verschlüsselung
                    Safe Harbor / Düsseldorfer Kreis



    23.09.2010                           www.experton-group.de                                     21
Zehn Regeln für Cloud Security




23.09.2010               www.experton-group.de   22
Zehn Regeln für Cloud Security
Outsourcing-Szenario



          1. Management von Informationssicherheit (IS) intern sauber aufsetzen

          2. Die Verantwortung für IS und Provider-Management bleibt im Unternehmen

          3. Risikoanalyse für den Cloud Service und relevante Prozesse / Informationen

          4. Business Case definieren und prüfen

          5. Sicherheitsarchitektur, Arbeitsteilung und Schnittstellen zum Provider klären

          6. Prozesse für Reporting, Incident Management und Audits abstimmen

          7. Leistungsfähigkeit des Cloud-Service-Anbieters / seiner Sublieferanten prüfen

          8. Compliance-Anforderungen klären und in SLAs regeln

          9. Nur messbare Kriterien in Service Levels festschreiben

          10. Exit-Bedingungen im Vorfeld regeln


  23.09.2010                             www.experton-group.de                          23
Sicherheit für Cloud Computing
                  aus technischer Sicht




23.09.2010               www.experton-group.de   24
Cloud Services: Technische Besonderheiten

 Tendenziell erlaubt es das SaaS-Modell am ehesten, mit überschaubarem
 Aufwand ein hohes Sicherheitsniveau zu erreichen.

 •      Schnittstelle zwischen Provider und Kunde i.d.R. sehr gut beschrieben - Zugriff
        über Webbrowser, Verschlüsselung der Übertragungsstrecke durch SSL/TLS

 •      Zu klären: Compliance - Reporting aus der SaaS-Anwendung heraus möglich?
        Wie sieht es mit Backup und e-Discovery aus? Verschlüsselung beim Provider?

 PaaS oder IaaS: höhere Anforderungen an die detaillierte Festlegung der
 Arbeitsteilung zwischen Kunde und Anbieter.

 •      Mehr Outsourcing-Erfahrung notwendig.

 Externe Berater können bei der Entscheidungsfindung und der Sicherheits-
 Architektur für Cloud Services hilfreich sein.


 23.09.2010                           www.experton-group.de                       25
Wichtige Technologien für Cloud Security

                 Identitäts- und
                 Zugriffsmanagement                    Virtualisierungssicherheit


                                                                 Anwendungssicherheit
Netzwerkverschlüsselung

                                                                      Business Continuity &
                                                                      Disaster Recovery
Datenverschlüsselung

                                                                   Überwachung und GRC

       Schlüsselmanagement                                    Sicherheitsgateway



    23.09.2010                        www.experton-group.de                          26
Virtualisierungssicherheit
Ausgewählte Herausforderungen und Lösungen


               Herausforderungen:
•VMs verschiedener Kunden auf einem Hypervisor/HW
                •„Exfiltration attacks“
                 •Mobilität von VMs
      •Unterschiedliche Schutzbedarfe von VMs
                  •Schlafende VMs
                   •Schadsoftware
                       •[   ]



                                                            Lösungsansätze:
                                                 •Härten des Supervisors
                                           •Hardware-nahe Sicherheitslösungen
                                      •Virenschutzlösungen auf Virtualisierungsebene
                                                •Sicherheitsgateways, IPS
                                                          •SIEM
                                                          •GRC
                                                                  •[   ]



  23.09.2010                        www.experton-group.de                          27
Verschlüsselung (Vertraulichkeit / Integrität)
Ausgewählte Herausforderungen und Lösungen



                     Herausforderungen:
                 •Machbarkeit: IaaS vs. PaaS vs. SaaS
               •Performanz (Datenbankverschlüsselung)
                      •Verschlüsselungs-“Strecke“
                        •Schlüsselmanagement
                                •[   ]




                                                                   Lösungsansätze:
                                          •Möglichst lange Verschlüsselungsstrecke in den SP hinein
                                         •Gewaltenteilung: Verschlüsselung vs. Schlüsselmanagement
                                                                •Sicheres VPN
                                                       •Performante DB-Verschlüsselung
                                                    (z.B. homomorphe Ansätze, Corisecio)
                                                                         •[   ]




  23.09.2010                                     www.experton-group.de                         28
Welches Modell passt für Ihr Unternehmen?




23.09.2010       www.experton-group.de   29
Welches Modell passt nun für Ihr Unternehmen?

                         Externer          Klassisches                   Interne Cloud         Klassisch
                       Cloud Service       Outsourcing               (z.B. Virtualisierung)   „On-Premise“



                             Hohe Outsourcing-Kompetenz

                             Sicherheitsverantwortlicher/CISO vorhanden
Anforderungen




                             ISMS vorhanden und „gelebt“

                             Anforderungen an Cloud Security erfüllbar

                             Anforderungen an Compliance erfüllbar

                             Guter Business Case gegenüber „On-Premise“ vorhanden

                             Geringe Risikoaversität

                             IT-Lösungsthema ist kein Kerngeschäft

                23.09.2010                             www.experton-group.de                           30
Fazit




23.09.2010   www.experton-group.de   31
Cloud Computing allgemein

   Zwischen externen Cloud Services und interner Realisierung gibt es viele
   Varianten, ICT-Dienste im Unternehmen bereitzustellen.

   Prüfen Sie, welche Variante für Sie am meisten geeignet ist:

     •        Wie werden jeweils Ihre geschäftlichen Ziele erfüllt?

     •        Lassen sich jeweils die Anforderungen an Informationssicherheit und die
              regulatorischen Anforderungen einhalten, z.B. bei “sensiblen Daten”?

     •        Wie gut sind Ihre internen Ressourcen für die jeweilige Variante qualifiziert?

   Basis für die Sicherheit von externen Cloud Services sind ein solides
   Risiko- und Providermanagement sowie angemessene SLAs.

   Nehmen Sie die Hilfe externer Berater in Anspruch, wenn es um
   Sicherheits- und Compliance-Aspekte geht.

 23.09.2010                                www.experton-group.de                        32
Wann machen Cloud-basierte Security
Services Sinn?
   „Filetstücke“ aus Sicht der IT-Organisation beim Kunden – es ist keine
   komplexe Integration mit der bestehenden Security-Infrastruktur
   notwendig bzw. es gibt klare Schnittstellen, in die der Service eingeklinkt
   wird.

   Geringer Bedarf an Individualisierung bzw. Customizing auf Kundenseite,
   sowohl auf technischer als auch auf Prozessseite.

   Die Lösung beantwortet aktuelle dringliche Fragen, insbesondere das
   Senken von Kosten, die Verbesserung der Servicequalität und –effizienz,
   Verminderung akuter Sicherheitsrisiken.




 23.09.2010                      www.experton-group.de                    33
Was müssen die Anbieter von Cloud Services
noch tun?
   Die Standards für Cloud Security aktiv
   mitgestalten
   Dafür sorgen, dass anbieterübergreifend
   ein hohes Sicherheitsniveau erreicht wird
   Grosses Augenmerk auf
   vertrauensbildende Massnahmen bei den
   künftigen Kunden legen
   Mehr Transparenz in den Cloud-Service-
   Angeboten schaffen.




 23.09.2010                     www.experton-group.de   34
23.09.2010          www.experton-group.de   35
       24.09.2010

Weitere ähnliche Inhalte

Was ist angesagt?

120613 conference v mware v-forum-juergen urbanski-final-de
120613 conference v mware v-forum-juergen urbanski-final-de120613 conference v mware v-forum-juergen urbanski-final-de
120613 conference v mware v-forum-juergen urbanski-final-deMichael Pauly
 
Go Salesforce - Swiss eEconomy Forum 2011
Go Salesforce - Swiss eEconomy Forum 2011Go Salesforce - Swiss eEconomy Forum 2011
Go Salesforce - Swiss eEconomy Forum 2011
PARX
 
Dokumentenmanagement mit Alfresco
Dokumentenmanagement mit AlfrescoDokumentenmanagement mit Alfresco
Dokumentenmanagement mit Alfresco
Christoph Steinhauer
 
Cloud Characteristics
Cloud CharacteristicsCloud Characteristics
Cloud Characteristics
Tom Peruzzi
 
IT-Governance matters. Drei Geschichten über Chancen und Risiken der Cloud-Nu...
IT-Governance matters. Drei Geschichten über Chancen und Risiken der Cloud-Nu...IT-Governance matters. Drei Geschichten über Chancen und Risiken der Cloud-Nu...
IT-Governance matters. Drei Geschichten über Chancen und Risiken der Cloud-Nu...
Dietmar Georg Wiedemann
 
CEC Cloud & Mittelstand DE
CEC Cloud & Mittelstand DECEC Cloud & Mittelstand DE
CEC Cloud & Mittelstand DE
COMMON Europe
 
Unic AG - Flug in die Wolke (Cloud Computing in a Nutshell)
Unic AG - Flug in die Wolke (Cloud Computing in a Nutshell)Unic AG - Flug in die Wolke (Cloud Computing in a Nutshell)
Unic AG - Flug in die Wolke (Cloud Computing in a Nutshell)
Unic
 
Gil2013 gridsolut public
Gil2013 gridsolut publicGil2013 gridsolut public
Gil2013 gridsolut public
Jochen Traunecker
 
Schnittstellen und Web-Services
Schnittstellen und Web-ServicesSchnittstellen und Web-Services
Schnittstellen und Web-Services
Ivan Schwab-Germann
 

Was ist angesagt? (9)

120613 conference v mware v-forum-juergen urbanski-final-de
120613 conference v mware v-forum-juergen urbanski-final-de120613 conference v mware v-forum-juergen urbanski-final-de
120613 conference v mware v-forum-juergen urbanski-final-de
 
Go Salesforce - Swiss eEconomy Forum 2011
Go Salesforce - Swiss eEconomy Forum 2011Go Salesforce - Swiss eEconomy Forum 2011
Go Salesforce - Swiss eEconomy Forum 2011
 
Dokumentenmanagement mit Alfresco
Dokumentenmanagement mit AlfrescoDokumentenmanagement mit Alfresco
Dokumentenmanagement mit Alfresco
 
Cloud Characteristics
Cloud CharacteristicsCloud Characteristics
Cloud Characteristics
 
IT-Governance matters. Drei Geschichten über Chancen und Risiken der Cloud-Nu...
IT-Governance matters. Drei Geschichten über Chancen und Risiken der Cloud-Nu...IT-Governance matters. Drei Geschichten über Chancen und Risiken der Cloud-Nu...
IT-Governance matters. Drei Geschichten über Chancen und Risiken der Cloud-Nu...
 
CEC Cloud & Mittelstand DE
CEC Cloud & Mittelstand DECEC Cloud & Mittelstand DE
CEC Cloud & Mittelstand DE
 
Unic AG - Flug in die Wolke (Cloud Computing in a Nutshell)
Unic AG - Flug in die Wolke (Cloud Computing in a Nutshell)Unic AG - Flug in die Wolke (Cloud Computing in a Nutshell)
Unic AG - Flug in die Wolke (Cloud Computing in a Nutshell)
 
Gil2013 gridsolut public
Gil2013 gridsolut publicGil2013 gridsolut public
Gil2013 gridsolut public
 
Schnittstellen und Web-Services
Schnittstellen und Web-ServicesSchnittstellen und Web-Services
Schnittstellen und Web-Services
 

Andere mochten auch

Agregadores RSS
Agregadores RSSAgregadores RSS
Agregadores RSS
ShunkitaLinda
 
kiss_projekt
kiss_projektkiss_projekt
kiss_projektmatzela
 
Lanzamiento del disco
Lanzamiento del discoLanzamiento del disco
Lanzamiento del disco
davidjoelmedinavelin
 
Autorregulacion
AutorregulacionAutorregulacion
Autorregulacion
Daniel Puga
 
London im September 2000
London im September 2000London im September 2000
London im September 2000guest0f8a51
 
Taller no. 1
Taller no. 1Taller no. 1
Trabajo de sociales
Trabajo de socialesTrabajo de sociales
Trabajo de sociales
lydiacasadomartin
 
La Empresa
La EmpresaLa Empresa
Sistemas operativos maritza vargas
Sistemas operativos maritza vargasSistemas operativos maritza vargas
Sistemas operativos maritza vargas
ositapreciosa
 
hobit 2014 - Vorstellung des Studiengangs "BA Pädagogik" der TU Darmstadt
hobit 2014 - Vorstellung des Studiengangs "BA Pädagogik" der TU Darmstadthobit 2014 - Vorstellung des Studiengangs "BA Pädagogik" der TU Darmstadt
hobit 2014 - Vorstellung des Studiengangs "BA Pädagogik" der TU Darmstadt
Franco Rau
 
Tecnologias emergentes
Tecnologias emergentesTecnologias emergentes
Tecnologias emergentespocoya22
 
ESEconf2011 - Arrenbrecht Peter: "Literate Testing: Stimmige API's machen meh...
ESEconf2011 - Arrenbrecht Peter: "Literate Testing: Stimmige API's machen meh...ESEconf2011 - Arrenbrecht Peter: "Literate Testing: Stimmige API's machen meh...
ESEconf2011 - Arrenbrecht Peter: "Literate Testing: Stimmige API's machen meh...Aberla
 
Antizipatory Experiences - die Zukunft der UX?
Antizipatory Experiences - die Zukunft der UX?Antizipatory Experiences - die Zukunft der UX?
Antizipatory Experiences - die Zukunft der UX?Agnieszka Maria Walorska
 
Los peces
Los pecesLos peces
Los peces
carlinchi
 
Erstattung von zinsen (floßwiese)
Erstattung von zinsen (floßwiese)Erstattung von zinsen (floßwiese)
Erstattung von zinsen (floßwiese)guestd8616bd
 
Trance
TranceTrance
Trance
satitu
 
áLbum de fotografías
áLbum de fotografíasáLbum de fotografías
áLbum de fotografías
thebigearth
 
WikiPREx - ein Praxisbericht
WikiPREx - ein PraxisberichtWikiPREx - ein Praxisbericht
WikiPREx - ein Praxisbericht
Franco Rau
 
Competencias sistemicas
Competencias sistemicasCompetencias sistemicas
Competencias sistemicas
luis alvarez
 

Andere mochten auch (20)

Agregadores RSS
Agregadores RSSAgregadores RSS
Agregadores RSS
 
kiss_projekt
kiss_projektkiss_projekt
kiss_projekt
 
Lanzamiento del disco
Lanzamiento del discoLanzamiento del disco
Lanzamiento del disco
 
Autorregulacion
AutorregulacionAutorregulacion
Autorregulacion
 
London im September 2000
London im September 2000London im September 2000
London im September 2000
 
Taller no. 1
Taller no. 1Taller no. 1
Taller no. 1
 
Trabajo de sociales
Trabajo de socialesTrabajo de sociales
Trabajo de sociales
 
La Empresa
La EmpresaLa Empresa
La Empresa
 
Sistemas operativos maritza vargas
Sistemas operativos maritza vargasSistemas operativos maritza vargas
Sistemas operativos maritza vargas
 
hobit 2014 - Vorstellung des Studiengangs "BA Pädagogik" der TU Darmstadt
hobit 2014 - Vorstellung des Studiengangs "BA Pädagogik" der TU Darmstadthobit 2014 - Vorstellung des Studiengangs "BA Pädagogik" der TU Darmstadt
hobit 2014 - Vorstellung des Studiengangs "BA Pädagogik" der TU Darmstadt
 
Tecnologias emergentes
Tecnologias emergentesTecnologias emergentes
Tecnologias emergentes
 
ESEconf2011 - Arrenbrecht Peter: "Literate Testing: Stimmige API's machen meh...
ESEconf2011 - Arrenbrecht Peter: "Literate Testing: Stimmige API's machen meh...ESEconf2011 - Arrenbrecht Peter: "Literate Testing: Stimmige API's machen meh...
ESEconf2011 - Arrenbrecht Peter: "Literate Testing: Stimmige API's machen meh...
 
Antizipatory Experiences - die Zukunft der UX?
Antizipatory Experiences - die Zukunft der UX?Antizipatory Experiences - die Zukunft der UX?
Antizipatory Experiences - die Zukunft der UX?
 
Los peces
Los pecesLos peces
Los peces
 
Erstattung von zinsen (floßwiese)
Erstattung von zinsen (floßwiese)Erstattung von zinsen (floßwiese)
Erstattung von zinsen (floßwiese)
 
Trance
TranceTrance
Trance
 
áLbum de fotografías
áLbum de fotografíasáLbum de fotografías
áLbum de fotografías
 
WikiPREx - ein Praxisbericht
WikiPREx - ein PraxisberichtWikiPREx - ein Praxisbericht
WikiPREx - ein Praxisbericht
 
Presentación1
Presentación1Presentación1
Presentación1
 
Competencias sistemicas
Competencias sistemicasCompetencias sistemicas
Competencias sistemicas
 

Ähnlich wie Sicherheit aus der Cloud und für die Cloud

Oracle Cloud
Oracle CloudOracle Cloud
Oracle Cloud
Tim Cole
 
Cloud Computing ­- eine Revolution? by Hartmut Streppel
Cloud Computing ­- eine Revolution? by Hartmut StreppelCloud Computing ­- eine Revolution? by Hartmut Streppel
Cloud Computing ­- eine Revolution? by Hartmut Streppel
Medien Meeting Mannheim
 
Technologien 2011 Einblick in die Zukunft von Citrix
Technologien 2011 Einblick in die Zukunft von CitrixTechnologien 2011 Einblick in die Zukunft von Citrix
Technologien 2011 Einblick in die Zukunft von CitrixDigicomp Academy AG
 
Steinzeit war gestern! Wege der Cloud-nativen Evolution.
Steinzeit war gestern! Wege der Cloud-nativen Evolution.Steinzeit war gestern! Wege der Cloud-nativen Evolution.
Steinzeit war gestern! Wege der Cloud-nativen Evolution.
QAware GmbH
 
Cloud Computing – erwachsen genug für Unternehmen? by Dr. Michael Pauly
Cloud Computing – erwachsen genug für Unternehmen? by Dr. Michael PaulyCloud Computing – erwachsen genug für Unternehmen? by Dr. Michael Pauly
Cloud Computing – erwachsen genug für Unternehmen? by Dr. Michael Pauly
Medien Meeting Mannheim
 
SecTXL '11 | Frankfurt - Dr. Dietmar Wiedemann: "IT-Governance matters. - Dre...
SecTXL '11 | Frankfurt - Dr. Dietmar Wiedemann: "IT-Governance matters. - Dre...SecTXL '11 | Frankfurt - Dr. Dietmar Wiedemann: "IT-Governance matters. - Dre...
SecTXL '11 | Frankfurt - Dr. Dietmar Wiedemann: "IT-Governance matters. - Dre...Symposia 360°
 
Cloud Computing.Status, Herausforderungen, Optionen.
Cloud Computing.Status, Herausforderungen, Optionen. Cloud Computing.Status, Herausforderungen, Optionen.
Cloud Computing.Status, Herausforderungen, Optionen.
Dietmar Georg Wiedemann
 
Holistische Sicherheit für Microservice Architekturen
Holistische Sicherheit für Microservice ArchitekturenHolistische Sicherheit für Microservice Architekturen
Holistische Sicherheit für Microservice Architekturen
QAware GmbH
 
Die Cloud als Grundlage für die IT von Morgen
Die Cloud als Grundlage für die IT von MorgenDie Cloud als Grundlage für die IT von Morgen
Die Cloud als Grundlage für die IT von Morgen
ARS Computer und Consulting GmbH
 
Cloud-Nutzung aus Anwendersicht, Thomas Witt, Infopark
Cloud-Nutzung aus Anwendersicht, Thomas Witt, InfoparkCloud-Nutzung aus Anwendersicht, Thomas Witt, Infopark
Cloud-Nutzung aus Anwendersicht, Thomas Witt, Infopark
CloudOps Summit
 
Public Cloud? Aber sicher! Orchestrierung komplexer Cloud-Lösungen - Partner...
Public Cloud? Aber sicher!  Orchestrierung komplexer Cloud-Lösungen - Partner...Public Cloud? Aber sicher!  Orchestrierung komplexer Cloud-Lösungen - Partner...
Public Cloud? Aber sicher! Orchestrierung komplexer Cloud-Lösungen - Partner...
AWS Germany
 
Cloud Computing - Technologie und Missbrauchspotentiale
Cloud Computing - Technologie und MissbrauchspotentialeCloud Computing - Technologie und Missbrauchspotentiale
Cloud Computing - Technologie und Missbrauchspotentialeadesso AG
 
Hybrid cloud architecture & connectivity
Hybrid cloud architecture & connectivityHybrid cloud architecture & connectivity
Hybrid cloud architecture & connectivity
Wolfgang Schmidt
 
Cloud Services von PC-studio
Cloud Services von PC-studioCloud Services von PC-studio
Cloud Services von PC-studio
pc_studio
 
IHK Vortrag Sichere Cloudanwendungen Passion4IT 270922023.pdf
IHK Vortrag Sichere Cloudanwendungen Passion4IT 270922023.pdfIHK Vortrag Sichere Cloudanwendungen Passion4IT 270922023.pdf
IHK Vortrag Sichere Cloudanwendungen Passion4IT 270922023.pdf
FLorian Laumer
 
Cloud Konzepte und Strategien
Cloud Konzepte und StrategienCloud Konzepte und Strategien
Cloud Konzepte und Strategien
ARS Computer und Consulting GmbH
 
bccon-2014 str05 ibm-smart_cloud-for-social-business
bccon-2014 str05 ibm-smart_cloud-for-social-businessbccon-2014 str05 ibm-smart_cloud-for-social-business
bccon-2014 str05 ibm-smart_cloud-for-social-business
ICS User Group
 
Die Zukunft liegt in der Cloud
Die Zukunft liegt in der CloudDie Zukunft liegt in der Cloud
Die Zukunft liegt in der Cloud
eBusiness-Lotse Potsdam
 

Ähnlich wie Sicherheit aus der Cloud und für die Cloud (20)

Oracle Cloud
Oracle CloudOracle Cloud
Oracle Cloud
 
Cloud Computing ­- eine Revolution? by Hartmut Streppel
Cloud Computing ­- eine Revolution? by Hartmut StreppelCloud Computing ­- eine Revolution? by Hartmut Streppel
Cloud Computing ­- eine Revolution? by Hartmut Streppel
 
Technologien 2011 Einblick in die Zukunft von Citrix
Technologien 2011 Einblick in die Zukunft von CitrixTechnologien 2011 Einblick in die Zukunft von Citrix
Technologien 2011 Einblick in die Zukunft von Citrix
 
CLOUDPILOTS @ IBM JamCamp
CLOUDPILOTS @ IBM JamCamp CLOUDPILOTS @ IBM JamCamp
CLOUDPILOTS @ IBM JamCamp
 
Cloud computing services
Cloud computing servicesCloud computing services
Cloud computing services
 
Steinzeit war gestern! Wege der Cloud-nativen Evolution.
Steinzeit war gestern! Wege der Cloud-nativen Evolution.Steinzeit war gestern! Wege der Cloud-nativen Evolution.
Steinzeit war gestern! Wege der Cloud-nativen Evolution.
 
Cloud Computing – erwachsen genug für Unternehmen? by Dr. Michael Pauly
Cloud Computing – erwachsen genug für Unternehmen? by Dr. Michael PaulyCloud Computing – erwachsen genug für Unternehmen? by Dr. Michael Pauly
Cloud Computing – erwachsen genug für Unternehmen? by Dr. Michael Pauly
 
SecTXL '11 | Frankfurt - Dr. Dietmar Wiedemann: "IT-Governance matters. - Dre...
SecTXL '11 | Frankfurt - Dr. Dietmar Wiedemann: "IT-Governance matters. - Dre...SecTXL '11 | Frankfurt - Dr. Dietmar Wiedemann: "IT-Governance matters. - Dre...
SecTXL '11 | Frankfurt - Dr. Dietmar Wiedemann: "IT-Governance matters. - Dre...
 
Cloud Computing.Status, Herausforderungen, Optionen.
Cloud Computing.Status, Herausforderungen, Optionen. Cloud Computing.Status, Herausforderungen, Optionen.
Cloud Computing.Status, Herausforderungen, Optionen.
 
Holistische Sicherheit für Microservice Architekturen
Holistische Sicherheit für Microservice ArchitekturenHolistische Sicherheit für Microservice Architekturen
Holistische Sicherheit für Microservice Architekturen
 
Die Cloud als Grundlage für die IT von Morgen
Die Cloud als Grundlage für die IT von MorgenDie Cloud als Grundlage für die IT von Morgen
Die Cloud als Grundlage für die IT von Morgen
 
Cloud-Nutzung aus Anwendersicht, Thomas Witt, Infopark
Cloud-Nutzung aus Anwendersicht, Thomas Witt, InfoparkCloud-Nutzung aus Anwendersicht, Thomas Witt, Infopark
Cloud-Nutzung aus Anwendersicht, Thomas Witt, Infopark
 
Public Cloud? Aber sicher! Orchestrierung komplexer Cloud-Lösungen - Partner...
Public Cloud? Aber sicher!  Orchestrierung komplexer Cloud-Lösungen - Partner...Public Cloud? Aber sicher!  Orchestrierung komplexer Cloud-Lösungen - Partner...
Public Cloud? Aber sicher! Orchestrierung komplexer Cloud-Lösungen - Partner...
 
Cloud Computing - Technologie und Missbrauchspotentiale
Cloud Computing - Technologie und MissbrauchspotentialeCloud Computing - Technologie und Missbrauchspotentiale
Cloud Computing - Technologie und Missbrauchspotentiale
 
Hybrid cloud architecture & connectivity
Hybrid cloud architecture & connectivityHybrid cloud architecture & connectivity
Hybrid cloud architecture & connectivity
 
Cloud Services von PC-studio
Cloud Services von PC-studioCloud Services von PC-studio
Cloud Services von PC-studio
 
IHK Vortrag Sichere Cloudanwendungen Passion4IT 270922023.pdf
IHK Vortrag Sichere Cloudanwendungen Passion4IT 270922023.pdfIHK Vortrag Sichere Cloudanwendungen Passion4IT 270922023.pdf
IHK Vortrag Sichere Cloudanwendungen Passion4IT 270922023.pdf
 
Cloud Konzepte und Strategien
Cloud Konzepte und StrategienCloud Konzepte und Strategien
Cloud Konzepte und Strategien
 
bccon-2014 str05 ibm-smart_cloud-for-social-business
bccon-2014 str05 ibm-smart_cloud-for-social-businessbccon-2014 str05 ibm-smart_cloud-for-social-business
bccon-2014 str05 ibm-smart_cloud-for-social-business
 
Die Zukunft liegt in der Cloud
Die Zukunft liegt in der CloudDie Zukunft liegt in der Cloud
Die Zukunft liegt in der Cloud
 

Mehr von Aberla

Mobile Banking 2011: Clairmail
Mobile Banking 2011: ClairmailMobile Banking 2011: Clairmail
Mobile Banking 2011: Clairmail
Aberla
 
Mobile Banking 2011: DAB
Mobile Banking 2011: DABMobile Banking 2011: DAB
Mobile Banking 2011: DABAberla
 
Mobile Banking 2011: Sparkasse
Mobile Banking 2011: SparkasseMobile Banking 2011: Sparkasse
Mobile Banking 2011: SparkasseAberla
 
Mobile Banking 2011: Credit Suisse
Mobile Banking 2011: Credit SuisseMobile Banking 2011: Credit Suisse
Mobile Banking 2011: Credit Suisse
Aberla
 
Mobile Banking 2011: Danske Bank
Mobile Banking 2011: Danske BankMobile Banking 2011: Danske Bank
Mobile Banking 2011: Danske Bank
Aberla
 
Mobile Banking 2011: Postfinance
Mobile Banking 2011: PostfinanceMobile Banking 2011: Postfinance
Mobile Banking 2011: PostfinanceAberla
 
ESeconf2011 - Haug Thomas: "Sauberer Code mit Metriken"
ESeconf2011 - Haug Thomas: "Sauberer Code mit Metriken"ESeconf2011 - Haug Thomas: "Sauberer Code mit Metriken"
ESeconf2011 - Haug Thomas: "Sauberer Code mit Metriken"Aberla
 
ESEconf2011 - Cruywagen Leon: "Cool ways to work smarter in the cloud"
ESEconf2011 - Cruywagen Leon: "Cool ways to work smarter in the cloud"ESEconf2011 - Cruywagen Leon: "Cool ways to work smarter in the cloud"
ESEconf2011 - Cruywagen Leon: "Cool ways to work smarter in the cloud"
Aberla
 
ESEconf2011 - Wichmann Klaus-Peter: "Kennen Sie die Leistungsfähigkeit Ihres ...
ESEconf2011 - Wichmann Klaus-Peter: "Kennen Sie die Leistungsfähigkeit Ihres ...ESEconf2011 - Wichmann Klaus-Peter: "Kennen Sie die Leistungsfähigkeit Ihres ...
ESEconf2011 - Wichmann Klaus-Peter: "Kennen Sie die Leistungsfähigkeit Ihres ...Aberla
 
ESEconf2011 - Hanin Makram: "Embedding Performance into Continuous Integratio...
ESEconf2011 - Hanin Makram: "Embedding Performance into Continuous Integratio...ESEconf2011 - Hanin Makram: "Embedding Performance into Continuous Integratio...
ESEconf2011 - Hanin Makram: "Embedding Performance into Continuous Integratio...
Aberla
 
ESEconf2011 - Lorenz Oliver: "'Agil heisst nicht beliebit' - Scrum als wirksa...
ESEconf2011 - Lorenz Oliver: "'Agil heisst nicht beliebit' - Scrum als wirksa...ESEconf2011 - Lorenz Oliver: "'Agil heisst nicht beliebit' - Scrum als wirksa...
ESEconf2011 - Lorenz Oliver: "'Agil heisst nicht beliebit' - Scrum als wirksa...Aberla
 
ESEconf2011 - Schilling Rüdiger: "Generative Konzepte für den Plattform-Zoo -...
ESEconf2011 - Schilling Rüdiger: "Generative Konzepte für den Plattform-Zoo -...ESEconf2011 - Schilling Rüdiger: "Generative Konzepte für den Plattform-Zoo -...
ESEconf2011 - Schilling Rüdiger: "Generative Konzepte für den Plattform-Zoo -...Aberla
 
ESEconf2011 - Freixa Vidal Roger: "Oracle's Java Strategy"
ESEconf2011 - Freixa Vidal Roger: "Oracle's Java Strategy"ESEconf2011 - Freixa Vidal Roger: "Oracle's Java Strategy"
ESEconf2011 - Freixa Vidal Roger: "Oracle's Java Strategy"
Aberla
 
ESEconf2011 - Westphal Ralf: "Slice me nice - Produktiv, schnell, zufrieden"
ESEconf2011 - Westphal Ralf: "Slice me nice - Produktiv, schnell, zufrieden"ESEconf2011 - Westphal Ralf: "Slice me nice - Produktiv, schnell, zufrieden"
ESEconf2011 - Westphal Ralf: "Slice me nice - Produktiv, schnell, zufrieden"Aberla
 
ESEconf2011 - Caine Matthew: "Creating an Environment of Teamwork, Quality, I...
ESEconf2011 - Caine Matthew: "Creating an Environment of Teamwork, Quality, I...ESEconf2011 - Caine Matthew: "Creating an Environment of Teamwork, Quality, I...
ESEconf2011 - Caine Matthew: "Creating an Environment of Teamwork, Quality, I...
Aberla
 
ESEconf2011 - Schwaber Ken: "Scrum: Necessary but not sufficient for agility"
ESEconf2011 - Schwaber Ken: "Scrum: Necessary but not sufficient for agility"ESEconf2011 - Schwaber Ken: "Scrum: Necessary but not sufficient for agility"
ESEconf2011 - Schwaber Ken: "Scrum: Necessary but not sufficient for agility"
Aberla
 
ESEconf2011 - Kaiser Traian: "How to measure productivity in software develop...
ESEconf2011 - Kaiser Traian: "How to measure productivity in software develop...ESEconf2011 - Kaiser Traian: "How to measure productivity in software develop...
ESEconf2011 - Kaiser Traian: "How to measure productivity in software develop...
Aberla
 
ESEconf2011 - Haas Thomas & Jenni Joscha: "Ein Softwareprojekt zum Festpreis ...
ESEconf2011 - Haas Thomas & Jenni Joscha: "Ein Softwareprojekt zum Festpreis ...ESEconf2011 - Haas Thomas & Jenni Joscha: "Ein Softwareprojekt zum Festpreis ...
ESEconf2011 - Haas Thomas & Jenni Joscha: "Ein Softwareprojekt zum Festpreis ...Aberla
 
ESEconf2011 - Buschmann Frank: "What architects need to know"
ESEconf2011 - Buschmann Frank: "What architects need to know"ESEconf2011 - Buschmann Frank: "What architects need to know"
ESEconf2011 - Buschmann Frank: "What architects need to know"
Aberla
 
ESEconf2011 - Bosch Andy: "JavaServer Faces im Portal - Statusbestimmung"
ESEconf2011 - Bosch Andy: "JavaServer Faces im Portal - Statusbestimmung"ESEconf2011 - Bosch Andy: "JavaServer Faces im Portal - Statusbestimmung"
ESEconf2011 - Bosch Andy: "JavaServer Faces im Portal - Statusbestimmung"Aberla
 

Mehr von Aberla (20)

Mobile Banking 2011: Clairmail
Mobile Banking 2011: ClairmailMobile Banking 2011: Clairmail
Mobile Banking 2011: Clairmail
 
Mobile Banking 2011: DAB
Mobile Banking 2011: DABMobile Banking 2011: DAB
Mobile Banking 2011: DAB
 
Mobile Banking 2011: Sparkasse
Mobile Banking 2011: SparkasseMobile Banking 2011: Sparkasse
Mobile Banking 2011: Sparkasse
 
Mobile Banking 2011: Credit Suisse
Mobile Banking 2011: Credit SuisseMobile Banking 2011: Credit Suisse
Mobile Banking 2011: Credit Suisse
 
Mobile Banking 2011: Danske Bank
Mobile Banking 2011: Danske BankMobile Banking 2011: Danske Bank
Mobile Banking 2011: Danske Bank
 
Mobile Banking 2011: Postfinance
Mobile Banking 2011: PostfinanceMobile Banking 2011: Postfinance
Mobile Banking 2011: Postfinance
 
ESeconf2011 - Haug Thomas: "Sauberer Code mit Metriken"
ESeconf2011 - Haug Thomas: "Sauberer Code mit Metriken"ESeconf2011 - Haug Thomas: "Sauberer Code mit Metriken"
ESeconf2011 - Haug Thomas: "Sauberer Code mit Metriken"
 
ESEconf2011 - Cruywagen Leon: "Cool ways to work smarter in the cloud"
ESEconf2011 - Cruywagen Leon: "Cool ways to work smarter in the cloud"ESEconf2011 - Cruywagen Leon: "Cool ways to work smarter in the cloud"
ESEconf2011 - Cruywagen Leon: "Cool ways to work smarter in the cloud"
 
ESEconf2011 - Wichmann Klaus-Peter: "Kennen Sie die Leistungsfähigkeit Ihres ...
ESEconf2011 - Wichmann Klaus-Peter: "Kennen Sie die Leistungsfähigkeit Ihres ...ESEconf2011 - Wichmann Klaus-Peter: "Kennen Sie die Leistungsfähigkeit Ihres ...
ESEconf2011 - Wichmann Klaus-Peter: "Kennen Sie die Leistungsfähigkeit Ihres ...
 
ESEconf2011 - Hanin Makram: "Embedding Performance into Continuous Integratio...
ESEconf2011 - Hanin Makram: "Embedding Performance into Continuous Integratio...ESEconf2011 - Hanin Makram: "Embedding Performance into Continuous Integratio...
ESEconf2011 - Hanin Makram: "Embedding Performance into Continuous Integratio...
 
ESEconf2011 - Lorenz Oliver: "'Agil heisst nicht beliebit' - Scrum als wirksa...
ESEconf2011 - Lorenz Oliver: "'Agil heisst nicht beliebit' - Scrum als wirksa...ESEconf2011 - Lorenz Oliver: "'Agil heisst nicht beliebit' - Scrum als wirksa...
ESEconf2011 - Lorenz Oliver: "'Agil heisst nicht beliebit' - Scrum als wirksa...
 
ESEconf2011 - Schilling Rüdiger: "Generative Konzepte für den Plattform-Zoo -...
ESEconf2011 - Schilling Rüdiger: "Generative Konzepte für den Plattform-Zoo -...ESEconf2011 - Schilling Rüdiger: "Generative Konzepte für den Plattform-Zoo -...
ESEconf2011 - Schilling Rüdiger: "Generative Konzepte für den Plattform-Zoo -...
 
ESEconf2011 - Freixa Vidal Roger: "Oracle's Java Strategy"
ESEconf2011 - Freixa Vidal Roger: "Oracle's Java Strategy"ESEconf2011 - Freixa Vidal Roger: "Oracle's Java Strategy"
ESEconf2011 - Freixa Vidal Roger: "Oracle's Java Strategy"
 
ESEconf2011 - Westphal Ralf: "Slice me nice - Produktiv, schnell, zufrieden"
ESEconf2011 - Westphal Ralf: "Slice me nice - Produktiv, schnell, zufrieden"ESEconf2011 - Westphal Ralf: "Slice me nice - Produktiv, schnell, zufrieden"
ESEconf2011 - Westphal Ralf: "Slice me nice - Produktiv, schnell, zufrieden"
 
ESEconf2011 - Caine Matthew: "Creating an Environment of Teamwork, Quality, I...
ESEconf2011 - Caine Matthew: "Creating an Environment of Teamwork, Quality, I...ESEconf2011 - Caine Matthew: "Creating an Environment of Teamwork, Quality, I...
ESEconf2011 - Caine Matthew: "Creating an Environment of Teamwork, Quality, I...
 
ESEconf2011 - Schwaber Ken: "Scrum: Necessary but not sufficient for agility"
ESEconf2011 - Schwaber Ken: "Scrum: Necessary but not sufficient for agility"ESEconf2011 - Schwaber Ken: "Scrum: Necessary but not sufficient for agility"
ESEconf2011 - Schwaber Ken: "Scrum: Necessary but not sufficient for agility"
 
ESEconf2011 - Kaiser Traian: "How to measure productivity in software develop...
ESEconf2011 - Kaiser Traian: "How to measure productivity in software develop...ESEconf2011 - Kaiser Traian: "How to measure productivity in software develop...
ESEconf2011 - Kaiser Traian: "How to measure productivity in software develop...
 
ESEconf2011 - Haas Thomas & Jenni Joscha: "Ein Softwareprojekt zum Festpreis ...
ESEconf2011 - Haas Thomas & Jenni Joscha: "Ein Softwareprojekt zum Festpreis ...ESEconf2011 - Haas Thomas & Jenni Joscha: "Ein Softwareprojekt zum Festpreis ...
ESEconf2011 - Haas Thomas & Jenni Joscha: "Ein Softwareprojekt zum Festpreis ...
 
ESEconf2011 - Buschmann Frank: "What architects need to know"
ESEconf2011 - Buschmann Frank: "What architects need to know"ESEconf2011 - Buschmann Frank: "What architects need to know"
ESEconf2011 - Buschmann Frank: "What architects need to know"
 
ESEconf2011 - Bosch Andy: "JavaServer Faces im Portal - Statusbestimmung"
ESEconf2011 - Bosch Andy: "JavaServer Faces im Portal - Statusbestimmung"ESEconf2011 - Bosch Andy: "JavaServer Faces im Portal - Statusbestimmung"
ESEconf2011 - Bosch Andy: "JavaServer Faces im Portal - Statusbestimmung"
 

Sicherheit aus der Cloud und für die Cloud

  • 1.
  • 2. Sicherheit aus der Cloud und für die Cloud Was ist machbar und sinnvoll? Wolfram Funk Senior Advisor Experton Group AG Wolfram.funk@experton-group.com 23.09.2010 www.experton-group.de 2
  • 3. Agenda Grundsätzliches zum Thema Cloud Computing & Services Cloud-basierte Security Services Cloud Computing aus der Outsourcing-Perspektive Risiken und Nebenwirkungen von Cloud Services Zehn Regeln für Cloud Security Sicherheit für Cloud Computing aus technischer Sicht Welches Modell passt für Ihr Unternehmen? Fazit 23.09.2010 www.experton-group.de 3
  • 4. Beschäftigen Sie sich derzeit aktiv mit Cloud Computing beziehungsweise erwägen Sie den Einsatz? 23.09.2010 www.experton-group.de 4
  • 5. Definition von Cloud Computing (I) “Cloud Computing beschreibt ein neues Computing-Paradigma, nach dem IT-Ressourcen (CPU, Speicher, Applikationen, Daten) dynamisch über das Internet bereitgestellt, gemanaged und abgerechnet werden.” Private Cloud Hybrid Cloud Public Cloud 23.09.2010 www.experton-group.de 5
  • 6. Definition von Cloud Computing (II) 1) Bereitstellung nach Self-Service-Modell Self-Service- 2) Orts- und geräteunabhängiger Zugriff über IP-Netze Orts- IP- 3) Dynamisches Kapazitätsmanagement für hohe Skalierung 4) Abstrahierte, virtualisierte Infrastruktur für standardisierte Auslieferung 5) Nutzungsabhängige Bezahlung Quelle: Experton Group, 2010 23.09.2010 www.experton-group.de 6
  • 7. Definition Cloud Computing (III) Software-as-a-Service: SaaS CRM, Office, Collab., Content, ERP Platform-as-a-Service: PaaS App Server, Dev. Tools, APIs Infrastructure-as-a-Service: IaaS Storage, CPU, DB Quelle: Experton Group, 2010 23.09.2010 www.experton-group.de 7
  • 8. Vorteile von Cloud Computing Kosten Agilität Optimierte Auslastung von Schnellere Bereitstellung von IT- RZ-Ressourcen (Peak vs. Grundlast) Ressourcen (CPU, Speicher, VMs) Weniger Fixkosten Beschleunigtes „Time-to-Market“ Ausnutzung von Skaleneffekten bei Anwendungsentwicklung CAPEX zu OPEX Mehr Flexibilität bei Auswahl von IT- Ressourcen und Entwicklungstools Weniger Infrastruktur-Administration sorgt für Investitionsspielraum auf Innovationsseite 23.09.2010 www.experton-group.de 8
  • 9. Cloud- Cloud-basierte Security Services 23.09.2010 www.experton-group.de 9
  • 10. Varianten am Beispiel Cloud-basierter Security Services und anderen Service-Modellen Hosting Kunden Dienstleister Einflussfaktoren Monitoring Remote Hosting & Cloud Service beim und Anforderungen Management Management Fernüberwachung Konfiguration, dediziert Shared Service Kernbereiche -IT-Sicherheit durch Dienstleister Response beim Dienstleister beim Dienstleister Standardisierung & Integration – Risikomanagement – Infrastruktur-Sicherheit *Web Application Servicequalität & Performanz – Compliance – [ ] Firewall Netzwerk + Anwendungen Kosten – Geschäftsprozessunterstützung - Endpunkt-Sicherheit *hybride AV-Modelle Arbeitsplatz + mobile Geräte Messaging/Web Security *Schutz vor Spam/ Malware/Web Threats Endpunkt, Server, Gateway Identitäts- & Zugriffs- *Web SSO Management Sicherheits-Management *Vulnerability Scanning & Betrieb Backup & Recovery *Cloud Backup & Recovery Sicherung + Wiederherstellung Governance, Risk Mgmt. *GRC SaaS & Compliance 23.09.2010 Quelle: Experton Group, 2010 www.experton-group.de *Beispiele! 10
  • 11. Externe Sicherheits-Dienstleistungen: Einsatzgrad und Planungen - DACH, 2009-10 - hoch CONS-STRAT BC&DR: Business Continuity/ Disaster Recovery / Wiederanlaufverfahren (Vorhalten von Infrastruktur) Relative Einsatz-Wachstumsrate 2009-10 CONS-TECH: Technologische Beratung (ohne Implementierung) CONS-STRAT: IT-Sicherheits-Strategie- und Prozessberatung Wachstumsrate 2009 MAIN-SUPP: Wartung und Support TRAIN MSS: Managed Security Services (Überwachung und/oder BC&DR Betrieb/Konfiguration von Sicherheits-Systemen) SI-IMPL: Implementierungs-/ Integrationsdienstleistungen VULN-PENTEST (Entwicklung von Lösungen, Integration und Anpassung) TRAIN: Sicherheits-Training (für IT-Personal / Anwender, auch produktorientierte Schulungen) MSS-CLOUD VULN-PENTEST: Schwachstellen-Audits (z.B. Penetrations- MSS Tests, Scannen von Netzwerken) MSS-MGMT ------------------------------------------------------------------------------------- MSS-MONI MSS-MONI: Betrieb des Sicherheitssystems im eigenen RZ; CONS-TECH Fernüberwachung (Monitoring) durch externen Dienstleister MSS-HOST MSS-MGMT: Betrieb im eigenen RZ; Remote Management SI-IMPL (Konfigurationsänderungen oder Response) durch Dienstleister MSS-HOST: Hosting/Management eines dedizierten Sicherheits- systems durch den externen Dienstleister in seinem RZ / Security Operations Center (SOC) MSS-CLOUD: Shared MSS ohne dediziertes Sicherheitssystem, MAIN-SUPP z.B. „in the cloud“ oder als „Software as a Service“ (SaaS). gering hoch Einsatzgrad Ende 2009 Quelle: Experton Group, 2010 23.09.2010 www.experton-group.de 11
  • 12. Wer bietet Cloud-basierte Security Services? Technologie Cloud Service Beratung Vertrieb Technologie-Anbieter Hardware / Software ( ) ( ) ICT-Dienstleister inkl. Systemintegratoren Carrier / Internet Service Provider Dedizierter Cloud Service Provider Berater ( ) Reseller + Distributor ( ) 23.09.2010 Quelle: Experton Group, 2010 www.experton-group.de 12
  • 13. Cloud Computing aus der Outsourcing-Perspektive Outsourcing- 23.09.2010 www.experton-group.de 13
  • 14. Cloud Services & Security – Status Quo Viele Unternehmen im deutschsprachigen Raum prüfen derzeit extern angebotene Cloud Services. Kontrovers diskutiert werden: • Sicherheit von Cloud Services • Compliance-Aspekte • Interoperabilität von Clouds / zwischen Cloud und On-Premise-Installation Einzelne Dienste sind bereits am Markt platziert und erprobt. Paradoxe Situation: grundsätzlich ermöglichen es externe Cloud Services der Mehrzahl der Kunden, die Sicherheit bestimmter Anwendungen und Dienste auf ein höheres Niveau als bislang zu heben. • Da externe Cloud-Dienstleister ihre Dienste für eine Vielzahl von Kunden anbieten, verfügen sie über die Skaleneffekte, die hohe Investitionen in eine hochsichere Infrastruktur erlauben. Soweit die Theorie. 23.09.2010 www.experton-group.de 14
  • 15. Risiken und Nebenwirkungen von Cloud Services 23.09.2010 www.experton-group.de 15
  • 16. (Sicherheits-) Risiken bei Cloud Services Provider ist attraktives Ziel für gezielte (interne/externe) Angriffe Unsaubere Definition der Schnitt- stellen zwischen Provider und Kunde (Prozesse, Technologie) Provider = Single Point of Failure? Verstoss gegen lokale Geringe Erfahrung d. Kunden Regulatorien beim Provider-Management Derzeit frühe Marktreifephase Provider-“Lock-in“ und geringe Transparenz der Angebote Technologische Schwachstellen beim Provider / Kunden Mangelnde Auditierbarkeit der Cloud-Infrastruktur durch Kunden 23.09.2010 www.experton-group.de 16
  • 17. Interoperabilität verschiedener Clouds Cloud Services verschiedener Anbieter (z.B. Geschäftsanwendungen oder Speicherlösungen) sind nicht unbedingt kompatibel. Problem 1: keine Interoperabilität zwischen verschiedenen Anwendungen in der Cloud oder zwischen Cloud und lokaler Installation (z.B.: Unified Communications, Produktivitätsanwendungen) Problem 2: geringe Flexibilität, wenn der Cloud Service nicht mehr oder in schlechter Qualität erbracht wird (Provider-Wechsel) Standardisierungsbemühungen stecken noch in den Kinderschuhen: • XML, SOAP, REST - OK - • Open Virtualization Format (OVF) - neu • Cloud Data Management Interface (CDMI) - neu • Open Cloud Computing Interface (OCCI) Spezifikation – noch nicht veröffentlicht • Open Cloud Consortium - Interoperabilitäts-Standard für grosse „Data Clouds“, noch nicht veröffentlicht – Arbeitsgruppe 23.09.2010 www.experton-group.de 17
  • 18. Identity Management in der Cloud – Beispiel-Szenario für SaaS/PaaS Projektmanagement SMS-Auth. LDAP Nutzer SP* 1 Directory CRM SP* 2 Directory Produktivitätsanwendung SP* 3 Directory Wo werden die Nutzerrechte verwaltet (Provisioning / De-Provisioning)? Unified Communications. Muss ich mich bei jedem Cloud Service mit einem SP* 4 Directory eigenen “Credential” (z.B. Passwort) anmelden? Welche Authentisierungsmethoden und - Standards unterstützt der Cloud Service Provider? Brauche ich für jeden Cloud Service verschiedene Authentisierungsmethoden? *SP = Service Provider 23.09.2010 www.experton-group.de 18
  • 19. Identity Management in der Cloud – Beispiel-Szenario für SaaS/PaaS – mit Federation/Web SSO Projektmanagement SMS-Auth. - SAML 1.0 LDAP Nutzer SP* 1 Directory Authentisierungsmethode X CRM SP* 2 Directory Produktivitätsanwendung SP* 3 Directory Unified Communications IdP** SP* 4 Directory Der Nutzer versucht, auf eine Ressource des SP zuzugreifen Der IdP authentisiert den Nutzer und stellt dem SP ausgewählte Attribute des Nutzers zur Verfügung *SP = Service Provider Der SP gewährt dem Nutzer auf Basis der Attribute Zugriff **IdP = Identity Provider 23.09.2010 www.experton-group.de 19
  • 20. Identity Management & Federation in der Cloud Standards, Initiativen, Frameworks Standards: •SAML (Security Assertion Markup Language) •WS-Federation •SPML (Service Provisioning Markup Language) •Key Management Interoperability Protocol (KMIP) •[ ] Initiativen: •OpenID Foundation •OAuth •Windows CardSpace •Higgins •Liberty Alliance •Kantara Initiative •[ ] Lösungen: •Open Source oder herstellerneutral: Shibboleth, OpenID, OpenSSO (ForgeRock OpenAM) •Kommerzielle Anbieter: [ ] 23.09.2010 www.experton-group.de 20
  • 21. Rechtliche Aspekte bei Cloud Services ZIELE Schutz - Verfügbarkeit - Nachvollziehbarkeit – Transparenz - Sorgfalt KERN- Informations- Risiko- Informations- Internes Mitwirkungs- schutz management management Kontrollsystem /Informationspflicht BEREICHE PROBLEMATIK Wo werden personenbezogene Daten gespeichert? BEI CLOUD Wie wird die Vertraulichkeit und Integrität der (personen- SERVICES bezogenen) Informationen und Prozesse gewährleistet? Wie steht es um die Nachvollziehbarkeit rund um Informationen und Prozesse (Auditierbarkeit)? LÖSUNGS- Lokale / regionale Rechenzentren der Diensteanbieter ANSÄTZE Technologie, z.B. Auditwerkzeuge für SaaS, Verschlüsselung Safe Harbor / Düsseldorfer Kreis 23.09.2010 www.experton-group.de 21
  • 22. Zehn Regeln für Cloud Security 23.09.2010 www.experton-group.de 22
  • 23. Zehn Regeln für Cloud Security Outsourcing-Szenario 1. Management von Informationssicherheit (IS) intern sauber aufsetzen 2. Die Verantwortung für IS und Provider-Management bleibt im Unternehmen 3. Risikoanalyse für den Cloud Service und relevante Prozesse / Informationen 4. Business Case definieren und prüfen 5. Sicherheitsarchitektur, Arbeitsteilung und Schnittstellen zum Provider klären 6. Prozesse für Reporting, Incident Management und Audits abstimmen 7. Leistungsfähigkeit des Cloud-Service-Anbieters / seiner Sublieferanten prüfen 8. Compliance-Anforderungen klären und in SLAs regeln 9. Nur messbare Kriterien in Service Levels festschreiben 10. Exit-Bedingungen im Vorfeld regeln 23.09.2010 www.experton-group.de 23
  • 24. Sicherheit für Cloud Computing aus technischer Sicht 23.09.2010 www.experton-group.de 24
  • 25. Cloud Services: Technische Besonderheiten Tendenziell erlaubt es das SaaS-Modell am ehesten, mit überschaubarem Aufwand ein hohes Sicherheitsniveau zu erreichen. • Schnittstelle zwischen Provider und Kunde i.d.R. sehr gut beschrieben - Zugriff über Webbrowser, Verschlüsselung der Übertragungsstrecke durch SSL/TLS • Zu klären: Compliance - Reporting aus der SaaS-Anwendung heraus möglich? Wie sieht es mit Backup und e-Discovery aus? Verschlüsselung beim Provider? PaaS oder IaaS: höhere Anforderungen an die detaillierte Festlegung der Arbeitsteilung zwischen Kunde und Anbieter. • Mehr Outsourcing-Erfahrung notwendig. Externe Berater können bei der Entscheidungsfindung und der Sicherheits- Architektur für Cloud Services hilfreich sein. 23.09.2010 www.experton-group.de 25
  • 26. Wichtige Technologien für Cloud Security Identitäts- und Zugriffsmanagement Virtualisierungssicherheit Anwendungssicherheit Netzwerkverschlüsselung Business Continuity & Disaster Recovery Datenverschlüsselung Überwachung und GRC Schlüsselmanagement Sicherheitsgateway 23.09.2010 www.experton-group.de 26
  • 27. Virtualisierungssicherheit Ausgewählte Herausforderungen und Lösungen Herausforderungen: •VMs verschiedener Kunden auf einem Hypervisor/HW •„Exfiltration attacks“ •Mobilität von VMs •Unterschiedliche Schutzbedarfe von VMs •Schlafende VMs •Schadsoftware •[ ] Lösungsansätze: •Härten des Supervisors •Hardware-nahe Sicherheitslösungen •Virenschutzlösungen auf Virtualisierungsebene •Sicherheitsgateways, IPS •SIEM •GRC •[ ] 23.09.2010 www.experton-group.de 27
  • 28. Verschlüsselung (Vertraulichkeit / Integrität) Ausgewählte Herausforderungen und Lösungen Herausforderungen: •Machbarkeit: IaaS vs. PaaS vs. SaaS •Performanz (Datenbankverschlüsselung) •Verschlüsselungs-“Strecke“ •Schlüsselmanagement •[ ] Lösungsansätze: •Möglichst lange Verschlüsselungsstrecke in den SP hinein •Gewaltenteilung: Verschlüsselung vs. Schlüsselmanagement •Sicheres VPN •Performante DB-Verschlüsselung (z.B. homomorphe Ansätze, Corisecio) •[ ] 23.09.2010 www.experton-group.de 28
  • 29. Welches Modell passt für Ihr Unternehmen? 23.09.2010 www.experton-group.de 29
  • 30. Welches Modell passt nun für Ihr Unternehmen? Externer Klassisches Interne Cloud Klassisch Cloud Service Outsourcing (z.B. Virtualisierung) „On-Premise“ Hohe Outsourcing-Kompetenz Sicherheitsverantwortlicher/CISO vorhanden Anforderungen ISMS vorhanden und „gelebt“ Anforderungen an Cloud Security erfüllbar Anforderungen an Compliance erfüllbar Guter Business Case gegenüber „On-Premise“ vorhanden Geringe Risikoaversität IT-Lösungsthema ist kein Kerngeschäft 23.09.2010 www.experton-group.de 30
  • 31. Fazit 23.09.2010 www.experton-group.de 31
  • 32. Cloud Computing allgemein Zwischen externen Cloud Services und interner Realisierung gibt es viele Varianten, ICT-Dienste im Unternehmen bereitzustellen. Prüfen Sie, welche Variante für Sie am meisten geeignet ist: • Wie werden jeweils Ihre geschäftlichen Ziele erfüllt? • Lassen sich jeweils die Anforderungen an Informationssicherheit und die regulatorischen Anforderungen einhalten, z.B. bei “sensiblen Daten”? • Wie gut sind Ihre internen Ressourcen für die jeweilige Variante qualifiziert? Basis für die Sicherheit von externen Cloud Services sind ein solides Risiko- und Providermanagement sowie angemessene SLAs. Nehmen Sie die Hilfe externer Berater in Anspruch, wenn es um Sicherheits- und Compliance-Aspekte geht. 23.09.2010 www.experton-group.de 32
  • 33. Wann machen Cloud-basierte Security Services Sinn? „Filetstücke“ aus Sicht der IT-Organisation beim Kunden – es ist keine komplexe Integration mit der bestehenden Security-Infrastruktur notwendig bzw. es gibt klare Schnittstellen, in die der Service eingeklinkt wird. Geringer Bedarf an Individualisierung bzw. Customizing auf Kundenseite, sowohl auf technischer als auch auf Prozessseite. Die Lösung beantwortet aktuelle dringliche Fragen, insbesondere das Senken von Kosten, die Verbesserung der Servicequalität und –effizienz, Verminderung akuter Sicherheitsrisiken. 23.09.2010 www.experton-group.de 33
  • 34. Was müssen die Anbieter von Cloud Services noch tun? Die Standards für Cloud Security aktiv mitgestalten Dafür sorgen, dass anbieterübergreifend ein hohes Sicherheitsniveau erreicht wird Grosses Augenmerk auf vertrauensbildende Massnahmen bei den künftigen Kunden legen Mehr Transparenz in den Cloud-Service- Angeboten schaffen. 23.09.2010 www.experton-group.de 34
  • 35. 23.09.2010 www.experton-group.de 35 24.09.2010