Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.
Cloud Computing  Risiken und Massnahmen           Marc Ruef          www.scip.ch                    22. November 2011Daten...
Agenda | Cloud Computing                                          Intro                                                   ...
Einführung | Wer bin ich                                               Intro                                              ...
Einführung | Aus dem Hype wird ein Trend          Intro                                                    Wer?           ...
Einführung | Definition von Cloud Computing                      Intro                                                    ...
Einführung | Vertriebsmodelle                      Intro                                                     Wer?         ...
Einführung | Infrastrukturmodelle                       Intro                                                          Wer...
Risiken | Fehlende Transparenz                                    Intro                                                   ...
Risiken | Vermengung von Objekten                     Intro                                                          Wer? ...
Risiken | Verlust der Kontrolle                              Intro                                                        ...
Risiken | Backup und Restore                                         Intro                                                ...
Risiken | Abhängigkeit vom Anbieter                          Intro                                                        ...
Risiken | Schwierigkeit bei Migration                                Intro                                                ...
Risiken | Juristische Konflikte                                     Intro                                                 ...
Risiken | Juristische Eigenverantwortung                     Intro                                                        ...
Risiken | Einbusse bei Knowhow                                     Intro                                                  ...
Risiken | Zentraler Angriffspunkt                              Intro                                                      ...
Zusammenfassung                                                Intro                                                      ...
Literatur                                                   Intro                                                         ...
Fragen                            Intro                                    Wer?                                    Was?   ...
Security is our Business!                                  Intro                                                          ...
Nächste SlideShare
Wird geladen in …5
×

Cloud Computing - Risiken und Massnahmen

3.470 Aufrufe

Veröffentlicht am

Veröffentlicht in: Technologie
  • Als Erste(r) kommentieren

Cloud Computing - Risiken und Massnahmen

  1. 1. Cloud Computing Risiken und Massnahmen Marc Ruef www.scip.ch 22. November 2011Datenschutz-Forum Zürich, Schweiz
  2. 2. Agenda | Cloud Computing Intro Wer? Was?◦ Einführung 2 min Risiken◦ Was ist Cloud Computing 2 min Transparenz Vermengung◦ Implementierungen 5 min Kontrolle◦ Sicherheitsprobleme 10 min Backup/Restore Abhängigkeit◦ Zusammenfassung 2 min Migration◦ Fragen 4 min Jur. Konflikte Verantwortung Knowhow Zentralisierung Abschluss Zusammenfassung Fragen Datenschutz-Forum 2011 2/21
  3. 3. Einführung | Wer bin ich Intro Wer? Was?Name Marc Ruef RisikenBeruf Mitinhaber / CTO, scip AG, Zürich Transparenz VermengungPrivate Webseite http://www.computec.ch KontrolleLetztes Buch „Die Kunst des Penetration Testing“, Backup/Restore Computer & Literatur Böblingen, Abhängigkeit Migration ISBN 3-936546-49-5 Jur. Konflikte Verantwortung Knowhow Zentralisierung Abschluss Zusammenfassung Fragen Übersetzung Datenschutz-Forum 2011 3/21
  4. 4. Einführung | Aus dem Hype wird ein Trend Intro Wer? Was? Risiken Transparenz Vermengung Kontrolle Backup/Restore Abhängigkeit Migration Jur. Konflikte Verantwortung Knowhow Zentralisierung Abschluss Zusammenfassung Fragen Datenschutz-Forum 2011 4/21
  5. 5. Einführung | Definition von Cloud Computing Intro Wer? Was? Risiken Transparenz Vermengung Kontrolle„[Cloud Computing ist] ein modulares System, in dem Backup/Restorefür Nutzer die Ressourcen transparent sowie Abhängigkeitdynamisch zugewiesen, verarbeitet und verrechnet Migration Jur. Konfliktewerden.“ Verantwortung Knowhow Zentralisierung – scip AG Abschluss Zusammenfassung Fragen Datenschutz-Forum 2011 5/21
  6. 6. Einführung | Vertriebsmodelle Intro Wer? Was? Risiken Transparenz Software as a Vermengung Service Kontrolle Backup/Restore Abhängigkeit Platform as a Migration Jur. Konflikte Service Verantwortung Knowhow Zentralisierung Infrastructure Abschluss as a Service Zusammenfassung Fragen Datenschutz-Forum 2011 6/21
  7. 7. Einführung | Infrastrukturmodelle Intro Wer? Was? Risiken Hybride Transparenz Cloud Vermengung Kontrolle Backup/Restore Öffentliche Private Abhängigkeit Migration Cloud Cloud Jur. Konflikte Verantwortung Knowhow Zentralisierung Abschluss Kunde Zusammenfassung Fragen Datenschutz-Forum 2011 7/21
  8. 8. Risiken | Fehlende Transparenz Intro Wer? ◦ Unbekannte Was? Risiken ◦ Prozesse Transparenz ◦ Abläufe Vermengung Die sehen ◦ Vorgaben Kontrolle *nie*, was wir ◦ Umsetzungen Backup/Restore machen … Weiterschlafen ◦ Abnahmen Abhängigkeit ! Migration ◦ Sicherheit Jur. Konflikte ◦ … Verantwortung ◦ Beispiel Fragen: Knowhow ◦ Werden Versprechen Zentralisierung eingehalten? Abschluss ◦ Ist die gewährte Zusammenfassung Sicherheit annehmbar? Fragen Datenschutz-Forum 2011 8/21
  9. 9. Risiken | Vermengung von Objekten Intro Wer? ◦ Branchen Was? Risiken ◦ Finanzunternehmen Transparenz ◦ Behörden Vermengung ◦ Industrie Kontrolle ◦ … Backup/Restore ◦ Kunden Abhängigkeit Migration ◦ Bank Swiss AG Jur. Konflikte ◦ Bank USA Ltd. VerantwortungHaben keine ◦ Banque France SA Knowhow Hardware ◦ … Zentralisierungmehr. Lassmal ein paar ◦ Datentypen AbschlussKunden auf Zusammenfassung der ◦ Öffentliche Daten Fragen *gleichen* ◦ Interne Daten Maschine laufen! ◦ Kundendaten ◦ … Datenschutz-Forum 2011 9/21
  10. 10. Risiken | Verlust der Kontrolle Intro Wer? ◦ Weiterverarbeitung Was? Risiken ◦ Unternehmensdaten Transparenz Uups! Ich ◦ Mitarbeiterdaten Vermengung dachte, wi ◦ … Kontrolle r seien *sicher* ◦ Weitergabe Backup/Restore … Abhängigkeit ◦ Persönliche Daten Migration ◦ Statistische Daten Jur. Konflikte ◦ … Verantwortung ◦ Weiterverkauf Knowhow ◦ Kundeninformationen Zentralisierung ◦ Geschäfts-geheimnisse Abschluss Zusammenfassung ◦ … Fragen Datenschutz-Forum 2011 10/21
  11. 11. Risiken | Backup und Restore Intro Wer? ◦ Keine klaren, einheitlichen, Was? offenen Schnittstellen Risiken Transparenz ◦ Eigene Prozesse bleiben Vermengung Was erforderlich müssen Kontrolle wir alles ◦ Komplexe Anbindung Backup/Restore sichern? Keine möglich Abhängigkeit Ahnung. Lass Migration einfach Jur. Konflikte mal irgendwas Verantwortung kopieren. Knowhow Zentralisierung Abschluss Zusammenfassung Fragen Datenschutz-Forum 2011 11/21
  12. 12. Risiken | Abhängigkeit vom Anbieter Intro Wer? ◦ Präsenz Was? Risiken Deine Frau will einen ◦ Existenz (Insolvenz) neuen Swimmingpool? Transparenz Lass uns mal die Preise ◦ Lokation (Wegzug) Vermengung *modifizieren* … ◦ Erreichbarkeit Kontrolle ◦ Preise Backup/Restore ◦ Aufwand Abhängigkeit Migration ◦ Ressourcen Jur. Konflikte ◦ Spesen Verantwortung ◦ Arbeit Knowhow ◦ Angebot Zentralisierung ◦ Umfang Abschluss Zusammenfassung ◦ Qualität Fragen Datenschutz-Forum 2011 12/21
  13. 13. Risiken | Schwierigkeit bei Migration Intro Wer? ◦ Eventuell fehlende Was? Unterstützung durch den Risiken Partner Transparenz Vermengung ◦ Inkompatible Mechanismen Kontrolle ◦ Mangelhafte Backup/Restore Ich kann Ihnen einen Deckungsgleichheit Abhängigkeit Wegzug unterschiedlicher Angebote Migration *nicht* empfehlen. Jur. Konflikte Verantwortung Knowhow Zentralisierung Abschluss Zusammenfassung Fragen Datenschutz-Forum 2011 13/21
  14. 14. Risiken | Juristische Konflikte Intro Wer? ◦ z.B. Datenschutz muss Was? gewahrt bleiben (DSG) Risiken Transparenz ◦ Unterschiedliche nationale Vermengung Gesetzgebungen Kontrolle ◦ Data Protection Act 1998 Backup/Restore UK Abhängigkeit ◦ Privacy Act of 1974 USA Migration ◦ Länderübergreifende Jur. Konflikte Abkommen Verantwortung ◦ Europäische Knowhow … Datenschutzkonvention Zentralisierung forse! AbschlussYes, w ◦ Internationalee can Zusammenfassung … … не Rechtshilfebegehren действит Fragen ельно! ◦ langwierig ◦ komplex ◦ aufwendig Datenschutz-Forum 2011 14/21
  15. 15. Risiken | Juristische Eigenverantwortung Intro Wer? ◦ Das Unternehmen bleibt Was? trotzdem haftbar für: Risiken Was heisst Transparenz hier, sie ◦ Vorgaben waren Vermengung „sicher“? ◦ Richtlinien Kontrolle ◦ Prozesse Backup/Restore ◦ Abläufe Abhängigkeit ◦ Angebote Migration Jur. Konflikte ◦ Daten Verantwortung ◦ Infrastruktur Knowhow ◦ Handlungen Zentralisierung ◦ Mitarbeiter Abschluss ◦ … Zusammenfassung Fragen Datenschutz-Forum 2011 15/21
  16. 16. Risiken | Einbusse bei Knowhow Intro Wer? ◦ Interne Mitarbeiter kennen Was? Durch eine technische Hintergründe Risiken temporäre Was heisst Race-Condition hier, sie nicht mehr Transparenzim TCP/IP-Stack waren Vermengung konnte ein „sicher“? ◦ Externer (Cloud-)Partner hat Kontrolle Integer- Wissensvorsprung Overflow Backup/Restore erzwungen ◦ Verhandlungen und Abhängigkeit werden. Die Diskussionen werden darauf folgende Migration Speicherschutz schwieriger Jur. Konflikte verletzung hat den Heap ◦ Probleme können nicht mehr Verantwortung partiell selber angegangen werden Knowhow überschriebenund zum totalen ◦ Abhängigkeit Zentralisierung Ausfall der ◦ Trägheit Abschluss neuen Zusammenfassung tokenbasiertenAuthentisierung Fragen geführt. Sorry. Datenschutz-Forum 2011 16/21
  17. 17. Risiken | Zentraler Angriffspunkt Intro Wer? ◦ Die Cloud an sich ist Was? grundlegender Single Point Risiken of Failure (SPOF) Transparenz Vermengung ◦ Die Cloud wird zentrale Kontrolle Anlaufstelle für Angriffe Backup/Restore Hey, was ◦ Vertrauensbeziehungen Abhängigkeitmachen wirdenn heute innerhalb der Cloud sind Migration Abend? gefährlich Jur. Konflikte Verantwortung Dasselbe Knowhow wie jeden Abend: Wir Zentralisierung versuchen, Abschluss die Cloud an uns zu Zusammenfassung reissen! Fragen Datenschutz-Forum 2011 17/21
  18. 18. Zusammenfassung Intro Wer? Was?◦ Cloud Computing ist ein neuer Name für ein altes Konzept Risiken (Outsourcing, Grid Computing, ASP, …) Transparenz◦ Es handelt sich um einen marketing-getriebenen Hype Vermengung (Beginn ca. Q1-2008) Kontrolle Backup/Restore◦ Es gibt verschiedene Ansätze und Produkte des Cloud Abhängigkeit Computing (SaaS, PaaS, IaaS, …) Migration◦ Eine wohlüberlegte Migration kann durchaus Vorteile Jur. Konflikte erlangen lassen Verantwortung Knowhow◦ Aber eine Vielzahl an sicherheitstechnischen Zentralisierung Überlegungen sprechen gegen Abschluss Outsourcing, Virtualisierung und Cloud Computing Zusammenfassung Fragen Datenschutz-Forum 2011 18/21
  19. 19. Literatur Intro Wer? Was?◦ Die Sicherheit von Cloud Computing, Risiken http://www.scip.ch/?labs.20111110 Transparenz◦ 10 sicherheitsrelevante Gründe gegen Cloud Computing, Vermengung http://www.scip.ch/?labs.20091127 Kontrolle Backup/Restore Abhängigkeit Migration Jur. Konflikte Verantwortung Knowhow Zentralisierung Abschluss Zusammenfassung Fragen Datenschutz-Forum 2011 19/21
  20. 20. Fragen Intro Wer? Was? Risiken Transparenz Vermengung Kontrolle Backup/Restore Abhängigkeit Migration Jur. Konflikte Verantwortung Knowhow Zentralisierung Abschluss Zusammenfassung Fragen Datenschutz-Forum 2011 20/21
  21. 21. Security is our Business! Intro Wer? Was?scip AG RisikenBadenerstrasse 551 TransparenzCH-8048 Zürich Vermengung Kontrolle Backup/RestoreTel +41 44 404 13 13 AbhängigkeitFax +41 44 404 13 14 Migration Jur. KonflikteMail info@scip.ch VerantwortungWeb http://www.scip.ch KnowhowTwitter http://twitter.com/scipag Zentralisierung Abschluss Zusammenfassung Strategy | Consulting Fragen Auditing | Testing Forensics | Analysis Datenschutz-Forum 2011 21/21

×