Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.

GWAVACon 2015: Microsoft MVP - Ist die Cloud wirklich sicher?

726 Aufrufe

Veröffentlicht am

Azure, Office 365: Ist die Cloud wirklich sicher?

Veröffentlicht in: Technologie
  • DOWNLOAD FULL eBOOK INTO AVAILABLE FORMAT ......................................................................................................................... ......................................................................................................................... 1.DOWNLOAD FULL. PDF eBook here { https://tinyurl.com/y3nhqquc } ......................................................................................................................... 1.DOWNLOAD FULL. EPUB eBook here { https://tinyurl.com/y3nhqquc } ......................................................................................................................... 1.DOWNLOAD FULL. doc eBook here { https://tinyurl.com/y3nhqquc } ......................................................................................................................... 1.DOWNLOAD FULL. PDF eBook here { https://tinyurl.com/y3nhqquc } ......................................................................................................................... 1.DOWNLOAD FULL. EPUB eBook here { https://tinyurl.com/y3nhqquc } ......................................................................................................................... 1.DOWNLOAD FULL. doc eBook here { https://tinyurl.com/y3nhqquc } ......................................................................................................................... ......................................................................................................................... ......................................................................................................................... .............. Browse by Genre Available eBooks ......................................................................................................................... Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, CookeBOOK Crime, eeBOOK Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult,
       Antworten 
    Sind Sie sicher, dass Sie …  Ja  Nein
    Ihre Nachricht erscheint hier
  • Gehören Sie zu den Ersten, denen das gefällt!

GWAVACon 2015: Microsoft MVP - Ist die Cloud wirklich sicher?

  1. 1. Ist die Cloud wirklich sicher? - Microsofts Cloud Lösungen auf dem Prüfstand - Michael Kirst (MVP Office 365) Raphael Köllner (MVP Office 365) 1
  2. 2. Raphael Köllner WissMit CBH Rechtsanwälte IT & Jura Trainer und Dozent E-Mail: raphael.koellner@rakoellner.com  http://products.office.com/de-de/business/office-365-trust-center-cloud-computing- security  Blog | http://www.rakoellner.de und www.rakoellner.com  Microsoft | https://mvp.microsoft.com/en-us/mvp/Raphael%20Koellner-5000185  Podcast | iTunes oder direkt über meinen Blog oder www.mvpkaffeeklatsch.de
  3. 3. Michael Kirst-Neshva ANK Business Services GmbH Senior IT-Infrastructure Architect Cloud Ambassador MVP Office 365, MCT Trainer Communities: Office 365 Community Deutschland (Lead) UserGroup Office 365 Deutschland (Lead) Azure Community Deutschland (Mitglied) E-Mail: mkn@ankbs.de Twitter: ankbs  Blog | http://blog.ugoffice365.ms
  4. 4. Agenda 4 Digitales Arbeiten technisch juristische Anforderungen Q&A + Diskussion
  5. 5. Realitätscheck! Wie sind Sie aufgestellt? Ihre Sicherheits- und Compliance Prozesse? Verfügbarkeit? ISO Zertifizierungen? z.B. ISO27001, ISO 27018 Red und Blue Teams? Angriffsreporting? Einhaltung aller Empfehlungen der Trusted Cloud? 5
  6. 6. Reise nach München Do & Fr 19:30 Stammtisch Mo & Di „Braukrug“ Meeting Webseite 25.02.2015 Schwiegereltern besuchen SA Konferenz- Speaker Mo 07:00 Tennis jeden Mittwoch 16:00 Uhr
  7. 7. Vertrauen vs. Angst 8
  8. 8. Datendiebe im ICE 9 Opfer: • Dieter Kempf • Vorstandsvorsitzende des Nürnberger IT-Dienstleisters Datev • Präsident des IT-Dachverbands Bitkom • 14. IT-Sicherheitskongress in Bonn, wo er eine Expertenrunde über „sichere mobile Kommunikation“ moderieren.
  9. 9. Microsofts Grundprinzip It’s your data You own it, you control it We run the service for you We are accountable to you
  10. 10. MDM/ EMS RMS Tracking Office 365 Activity API for Security and compliance monitoring Wie ist Microsoft aufgestellt? Expertenworkshop | Donnerstag, 27. Mai 2015 11 ISO 27018 2015 Advantage Threat Protection Compliance Center IRS 1075 Trust Center
  11. 11. Sicherheit & Datenschutz bei O365 Expertenworkshop | Donnerstag, 27. Mai 2015 12 Bedrohung Gegenmaßnahmen 1. Datenschutzverletzung Encryption at-Rest & In-Transit, erweiterte physische Kontrollen, Compliance Center, APIs, RMS, use your own key 2. Datenverlust (Backup/Recovery) Geo-replizierter Storage, VM Capture & Storage Snapshots, Azure Site-Replica, DLP 3. Account Hijacking Azure Active Directory Multifaktor-Authentifizierung, TLS-Verschlüsselung erzwungen, Abwehr-Team, Begrenzung der Loginversuche 4. Unsichere API-Zugriffe Umfangreicher Secure-Development-Lifecycle, Red-/Blue Team Penetration Testing 5. Denial-of-Service Attacken Nicht öffentliche Anwendungen können vom Internet isoliert werden, Geo-redundantes Failover, hohe Investitionen in DDoS Mechanismen
  12. 12. Office 365 - Rechenzentren [6] United States RZ: Location: US Central Iowa US Ost Virginia US Ost 2 Virginia US Nord Central Illinois US Süd Central Texas US West California [2] Europe RZ: Location: Europe Nord Irland Europa West Niederlande (more Power) [1] Brasilien RZ: Location: Brasilien Süd Sao Paulo [2] Japan RZ: Location: Japan Nord Isaitama Japan West Osaka [2] Asien RZ: Location: Asien Ost Hong Kong Asien Südost Singapur NEW: [7] Kanada 2016 RZ: Location: Kanada Toronto Kanada Quebec
  13. 13. Security& Complaince by Design 14 - ADV
  14. 14. Integrierte Sicherheit durch Verteidigung in der Tiefe Physical controls, video surveillance, access control Edge routers, firewalls, intrusion detection, vulnerability scanning Dual-factor authentication, intrusion detection, vulnerability scanning Access control and monitoring, anti-malware, patch and configuration management Secure engineering (SDL), access control and monitoring, anti-malware Account management, training and awareness, screening Threat and vulnerability management, security monitoring, and response, access control and monitoring, file/data integrity, encryption Facility Network perimeter Internal network Host Application Admin Data
  15. 15. Network Security 16 Quelle: O365 Security & Control BRK2194 - Ignite
  16. 16. Microsofts Wachsamkeit 17 Quelle: O365 Security & Control BRK2194 - Ignite
  17. 17. Verschlüsselung und Sicherheit atRest InTransit 18 Verschlüsselte Verbindung  File, Message Level Encryption  Data loss prevention (DLP)  Rights Management Service ISO 27001  (ISO 27018) • Backend Verschlüsselung der Daten (Fort-Knox) • regelmäßige Sicherungen • getrennte virtuelle Storage • Bitlocker • Encryption Gateway 99,99% SLA: Letztes Quartal • Transport Layer Security • SSL Content Level Encryption Cosumer Control  Customer controlled keys  Azure Key Vault
  18. 18. OneDrive: Per-file Encryption (Fort Knox) 19
  19. 19. Schutz durch optimale Mechanismen 20 Erzwingung von starken Kennwörtern für den Zugriff in die Cloud Mehrfachauthentifizierung (Multi-Faktor) über App, Telefon bzw. SMS
  20. 20. Sicherheit & Datenschutz bei SharePoint Online 21 Zertifizierungen Sicherheit Sicherheitseinrichtungen DLP -Operational Security Assurance (OSA) -SDLC Bitlocker MDM Multifaktor Information Right Management Safe Harbor
  21. 21. Audits bei Microsoft • regelmäßige Prüfungen durch Dritte (AICIPA, ISO, FedRamp, JAB) • Kunde kann den letzten Report anfordern • zusätzliche Zertifizierungen (Nachfragen) • Compliance-Programm • Office 365 Produkt Team ist immer ansprechbar (itpronetwork – Yammer) 22
  22. 22. Microsoft Transparenz Center 23 Quelle: http://blogs.microsoft.com/eupolicy/transparency-center/ • Einblick in den Quellcode
  23. 23. Hand in Hand (Auszug) 24 • Microsofts Part • Access Control, • Risk Assessment, • Communication Protection, • Auditing & Logging, • Identification & Authorisation & Information Integrity, • Incident Response • Unser Part • eDiscovery • Office 365 Message Encryption • RBAC (Role Based Acccess Control) • Right Management • Data Loss Protection (DLP) • S/MIME • Legal Hold Microsoft informiert: • Vorträge (z.B. Cloud Roadshow (MS) oder des Partners) • Broschüren (Whitepapers, etc.) • Hotline (Support) • LCA (Rechtsabteilung von MS) • Individuelle Beratung des MS Partners & seinem Kunden
  24. 24. Office 365 aus rechtlicher Sicht - Verträge 25 • Microsoft Online Services Security Amendment Amendment ID MOS10 • Zusatzvereinbarung zum Microsoft Online-Abonnement- Vertrag/zur Open-Programm-Lizenz Datenverarbeitungsvertrag für Microsoft-Onlinedienste Zusatzvereinbarung ID MOS11 • Zusatzvereinbarung zum Microsoft Online-Abonnement- Vertrag/zur Open-Programm-Lizenz Zusatzvereinbarung zur Datenverarbeitung bei Microsoft-Onlinediensten (mit EU- Standardvertragsklauseln) Zusatzvereinbarung ID MOS12 • Business Associate Amendment Amendment ID MOS13 (HIPAA) • Microsoft Online Service Terms Stand: April 2015
  25. 25. Office 365 aus rechtlicher Sicht - Verträge 26 Quelle: Compliance in der Microsoft Enterprise Cloud Februar 2015 Microsoft Online Service Terms Stand: April 2015 Kanada: http://reimagine.mi crosoft.ca/en-ca/
  26. 26. Office 365 aus rechtlicher Sicht – Datenschutz 27 Verarbeitung von Daten nur mit: • Einwilligung des/der Betroffenen • Gesetzliche Erlaubnistatbestände • Sonstige (Betriebsvereinbarung) Grundsätzliches Verbot der Datenverarbeitung
  27. 27. Wer hat Zugriff auf meine Daten? Expertenworkshop | Donnerstag, 27. Mai 2015 28 Usage Data Address Book Data Customer Data (excluding Core Customer Data*) Core Customer Data Operations Response Team (limited to key personnel only) Yes. Yes, as needed. Yes, as needed. Yes, by exception. Support Organization Yes, only as required in response to Support Inquiry. Yes, only as required in response to Support Inquiry. Yes, only as required in response to Support Inquiry. No. Engineering Yes. No Direct Access. May Be Transferred During Trouble- shooting. No Direct Access. May Be Transferred During Trouble- shooting. No. Partners With customer permission. With customer permission. With customer permission. With customer permission. Others in Microsoft No. No (Yes for Office 365 for small business Customers for marketing purposes). No. No. Quelle: Microsoft Trust Center Mai 2015
  28. 28. „Ich darf meine Daten außerhalb von Deutschland nicht verarbeiten!“ • Sensitive Daten (Gesundheitsdaten/Versicherungsdaten) • § 3 Abs. 9 BDSG • Einwilligung des Betroffen, Auftragsdatenverarbeitung • EU Modelclauses • Rechtsgutachten von Microsoft beauftragt worden • = Ja, ist möglich • Sozialdaten • § 35 SGB I • z.B. Daten vor Zugriff schützen, Daten vor Veränderung schützen • = Ja, ist möglich • Finanzdaten • § 146 AO • Mit Genehmigung des Finanzamtes auch an einem anderen Ort innerhalb der EU (Tipke/Lang/Hey) • = Ja, ist möglich 29 Mandantendaten (Rechtsanwalt) • BRAK, Anwaltsverein = keine Äußerung • PWR Rechtsanwälte München setzt Office 365 nach eigener Aussage ein • Berufsordnung wohl nicht erlaubt für sensible Mandantendaten.
  29. 29. Identity Management ab 2015 30 Quelle: https://sway.com/i9hc-VduIoTug5C-
  30. 30. Das Compliance Center 31
  31. 31. Admin Center (Preview) 32
  32. 32. Trust Center 33
  33. 33. 34
  34. 34. Tools einsetzen 35 O365 Multifaktor Authentifizierungsmöglichkeiten Data Loss Prevention (DLP) Email Verschlüsselung Client-unabhängig … ohne Zertifikate / Agent!
  35. 35. Office 365 Message Encryption 36 Quelle: TechNet
  36. 36. RMS Tracking & Secure 37
  37. 37. Daten- Best Practise • Einteilung der Daten in (?) 1. Standarddaten / öffentliche Daten (grün) 2. interne Daten (gelb) 3. Daten unter Handelsaufbewahrungspflichten, Geheimhaltung, personenbezogene Daten (rot) Empfehlung: Alles ist wichtig! • Datenfluss-Diagramme • Welchen Weg gehen meine Daten? • Wer hat Zugriff? 38
  38. 38. Sicherheit & Datenschutz bei O365 • Sind Datenschutz & O365 vereinbar? Expertenworkshop | Donnerstag, 27. Mai 2015 39 Transparency-Reports, über Datenaustausch ist hier abrufbar - Auswahl auf Deutschland möglich: http://www.microsoft.com/about/corporatecitizenship/en-us/reporting/transparency/ Wie oft gibt die Deutsche Telekom, Vodafone, O2, Fluglinien oder einschlägige Hosting-Anbieter Daten an Behörden raus?
  39. 39. Microsoft reagiert auf Zugriffsversuche Expertenworkshop | Donnerstag, 27. Mai 2015 40 • Anfrage mit Aufforderung zur Herausgabe von Daten • Folge: Microsoft leitet die Behörde an den Kunden weiter. Wenn es sich um Daten lagernd in der EU handelt, wird Microsoft gerichtlich dagegen vorgehen. • Aktuell: • Anfechtungsverfahren gegen das erstinstanzliche Verfahren vor einem New Yorker Gericht. • In der zweiten Instanz wurde die Herausgabe bestätigt, dennoch wurde ein Aufschub gewährt. Microsoft schöpft alle Rechtsmittel aus. • Alle Daten inTransit und atRest sind verschlüsselt.
  40. 40. Feedback + Q&A 41
  41. 41. Raphael Köllner Mail: raphael.koellner@rakoellner.com Twitter: ra_koellner Blog: www.rakoellner.de 42

×