SlideShare ist ein Scribd-Unternehmen logo
Der Weg zur Cloud Security - ein Transformationsprozess
Konzepte, Prozesse und Werkzeuge



Ulf Feger
Security Architect, CISSP
Competence Leader Tivoli - Data Center Automation, Cloud & Security




                                                                 © 2011 IBM Corporation
Der Weg zur Cloud Security - ein Transformationsprozess
Konzepte, Prozesse und Werkzeuge

Teil I – Transformation wozu und wovon ?
Teil II – Workshop
       - Vorstellung und Diskussion der vielseitigen technischen Sicherheitsschichten und
       (notwendigen) Prozessabbildungen
       - Sichtweisen auf die Anforderungen gestellt durch das BSI-Eckpunktepapier und deren
       mögliche Umsetzungen




                                                                                      © 2011 IBM Corporation
Cloud & Security


    Die private Cloud - Ausgangssituation
                                                                                                          “Cloud”

                           Test/Dev              Training           Applikationen                ...                3   Standardisierung


                                      Standardisierung / Service Katalog / Image Katalog

                                                                                    Ressourcenplanung
                               Request                 Freigabe Workflow
                                                                                      (Beschaffung)

                                Bereitstellung/Nutzung
                                                                                                                    4   Automatisierung
                                                                           Abbau
                            (Abrechnung/Kostenverteilung)

                       Process Automation Engine

                               Monitoring                                             High Availability
                                                        Dynamische                                                      Sichere und
                                                       Provisionierung          Security                            5 hochverfügbare
                              Repository                                         Secure virt. env.                     private Cloud
                                                                                 Identity & Access Mgmt.


                       Virtualisierung             Power VM, VMware, KVM…                                           2    Virtualisierung

                       Ressourcen

                                                                                                                    1    Konsolidierung




                                                                                                                            © 2011 IBM Corporation
3
Cloud & Security
                                                                         Standardisierung / Service Katalog / Image Katalog

                                                                                                                                                          Ressourcenplanung
                            Request                                                                      Freigabe Workflow
    Die private Cloud - Ausgangssituation                                                                                                                   (Beschaffung)

                                                               Bereitstellung/Nutzung                                                      Abbau
                                                           (Abrechnung/Kostenverteilung)

                                              Process Automation Engine



                                    Virtualisierung             Power VM, VMware, KVM…


                                    Ressourcen


                                                                                                                                   Virtualisierung         Power VM, VMware, KVM…


                                                                                                                                    Ressourcen




                                              Virtualisierung            Power VM, VMware, KVM…
                                                                                                                                                     Virtualisierung         Power VM, VMware, KVM…
                                               Ressourcen
                                                                                                                                                     Ressourcen




                                                                                                  Virtualisierung        Power VM, VMware, KVM…
                Virtualisierung   Power VM, VMware, KVM…

                                                                                                  Ressourcen
                Ressourcen




                                                                                Virtualisierung     Power VM, VMware, KVM…


                                                                                Ressourcen




                                                                                                                                                                                                      © 2011 IBM Corporation
4
Cloud & Security


    Cloud – Workload – Daten und Prozesse
                             Enterprise                                             Provider
             Department A               Department B                  Customer A               Customer B



                       Private Cloud Services                               Hosted Cloud Services


                            Use Case 1                                             Use Case 2

                 Case specific challenges & pains                       Case specific challenges & pains
                                                                     + challenges faced by internal providers

         Workload             Workload            Workload          Workload        Workload         Workload
          Type 1               Type 2              Type 2            Type 1          Type 2           Type 3




        Test &               Production                              Test &                         Production
                                                     VDI                              VDI
      Development            Workloads                             Development                      Workloads

     Not all potential Cloud adopters are IT Service Providers                   Workload Type 4
     facing Service Provider challenges, however the individual
     Workload Types are still relevant in these instances – e.g.
     Test & Dev                                                                  Hosted SaaS
                                                                                                      © 2011 IBM Corporation
5
Cloud & Security


       Cloud Transformationsphasen zur eigenen Cloud
       Wo bleibt da die Security ?

                       1                       2                        3                          4          5

                   IT                          IT                       IT                        IT         IT
                Prozesse                    Prozesse                 Prozesse                  Prozesse   Prozesse

                                                                                                                                    GS
                                                                                  Transition              Cloud                     Prz

                                                                                                          4
                                                       Transition                                                                   GS
                                                                                     Automatisierung                                Prz

                                                                                               3                                    GS
                           Transition                    Standardisierung                                                           Prz

                                                                    2
                                                                                                                                    GS
                               Virtualisierung                                                                                      Prz

                                        1
                                                                                                                                    GS
         Konsolidierung                                                                                                             Prz
    Eliminierung

        Bsp:   Baseline                      VSP                    Richtlinien            Approval           GRC           Ziele
               Security                      SIEM                   Workflows              Reporting
               Approval


                                                                                                                     © 2011 IBM Corporation
6
Der Weg zur Cloud Security - ein Transformationsprozess
Konzepte, Prozesse und Werkzeuge

Teil II – Workshop
        - Vorstellung und Diskussion der vielseitigen technischen Sicherheitsschichten und
        (notwendigen) Prozessabbildungen
        - Sichtweisen auf die Anforderungen gestellt durch das BSI-Eckpunktepapier und deren
        mögliche Umsetzungen




                                                                                       © 2011 IBM Corporation
Cloud & Security




                  Private Cloud Konstrukte - mehr Möglichkeiten als man denkt




                                                                           © 2011 IBM Corporation
8
Cloud & Security


    Private Cloud Firmen-RZ Struktur

             Cloud RZ Struktur                 Cloud RZ Struktur – lokal, verteilt
                                           ✪
                                                                              Deutschland, 1 BL
                    Cloud                  
                                                                              Deutschland, x BL
          E T&A P
            Dienste + Infrastruktur        
                                           
                                                           Cloud
                                                   Dienste + Infrastruktur    EU weit
                                           
                       Admin


    Cloud RZ Struktur – lokal verteilt Cloud RZ Struktur – beliebig, verteilt




                                                    
                                                                              weltweit
                    Cloud
                                                            Cloud
            Dienste + Infrastruktur
                                                    Dienste + Infrastruktur




                       Deutschland, 1 BL
                                                                                     © 2011 IBM Corporation
9
Cloud & Security


Anforderungen – Cloud Computing & Sicherheit


     Sicherheitsanforderungen bezüglich

      Datenschutz und Datensicherheit
                                                                            Cloud Services
      Zugriffs- und Identitätsmanagment
      Applikations- und Dienstebereitstellung inkl. “Entsorgung”
      Applikations- und Systemtests inkl. Daten                    Cloud Computing
                                                                         Model
      Service Level Agreement – SLA Management
      Schwachstellen Management und Beseitigung
      Dienstverfügbarkeit inkl. (überregionalem) Lastausgleich
      Auditierbarkeit & Governance (GRC – Governance, Risk & Compliance)
      Grenzüberschreitende Gesetzeseinhaltung, z.B. personenbezogener Informationen
      Grenzüberschreitende Eigentumsrechte & Exportbegrenzungen
      Buchungs- und Rechungsgrundlagen und deren Informationsbasis
      Exit-Management

                                                                                 © 2011 IBM Corporation
10
Cloud & Security


 IBM Cloud Lösungskomponenten – mehr als nur Virtualisierung

                                                                    10. Manage                  9. Visualize and
                                                                    supported Service           align the Service
                                                                    Level                       with business
                                                                    Agreements (SLAs)                               8. Collect,
                                                                                                objectives and
                                                                                                                    analyze,
                                                                                                service levels
                                                                                                                    Report and bill
                                                                                                                    based on Service
                                                                                                                    usage and costs

                                                                                      Common Cloud
                                                                                    Management Platform

                   1. Anforderung/             3. Provision Service                     Cloud Services              7. Real-time
                   Katalog                                                                                          management and
                                                                                                                    consolidation of
                                                                                                                    events associated
                                                                                            BSS                     with Business Service



                                              4. Integrate with                             OSS                     6. Monitor the
                 2. Integrate with
                                              Storage area                                                          Service to
                 service desk
                                              network (SAN) and                                                     detect bottlenecks
                 and IT asset
                                              network pools and                                                     and potential
                 management
                                              security mngment                                                      problems; generate
                 processes
                                                                                                                    alerts
                                                                                 5. Discover the
                                                                                 Service; track
                                                                                 configuration and
                                                                                 changes to the
     Service = Software, Platform, Infrastructure (i.e. Composite                Service
     Application, Physical / Virtual OS, Middleware, Network, Storage
     Not in all cases will all steps exist in a client engagement



                                                                                                                                  © 2011 IBM Corporation
11
Cloud & Security




                     ng
 Unterstützende Sicherheits ”landschaft”


                   ru
                ie
             is
                                                                                                                                             Admin                      User
   am

                                                                                                                                                                     User Self-
                                                                                                                                            Admin.
                                                                                                                                                                      service                                   Identity
                                                                                                                                                                                                             Synchronisation




                                                                                                                                Reporting
                                                                                                                                            Workflow & Lifecycle
                                                                                                                                                                                         Identity                                                           HR
yn


                                                                                                                                              Entitlement Policy
                                                                                                                                                                                          Store                                                            System
                                                                                                                  Auditor
                                                                                                                                             Provisioning Engine
                                                                                                                                                                                                                                  Management Domain
D




                                                                                                                                                                        Reconciliation
                                                                                                                                                 Provisioning
                                                                                                                                                                                                                    SSO     WS    Fed Web
                                                                                                                                                                                                                    Policy Policy SSO Policy
                                                                                                                                                                                                                    Mgmt Mgmt Conf. Mgmt
                                                                                                                                                                                                                                                                                                                          Admin(s)

                                                                                                                       Policy
                                                                                                                      Enforce

                                                                                                                                 Web




                                                                                                                                                                                                                                                           Web Authentication and
                                                                                                                                 App




                                                                                                                                                                                                                                       Web Single Signon
                                Web Authentication and




                                                                                                         Portal




                                                                                                                                                                                                    Portal
                                                           Web Single Signon




                                                                                                                                                                                                                    HTTP Server




                                                                                                                                                                                                                                                               Authorization
                                                                                 HTTP Server
                                    Authorization




                                                                                                                                              Web
          Consumer
                                                                                                                                              App




                                                                                                                                                                                                                                                                                              Enterprise Single Signon

                                                                                                                                                                                                                                                                                                                          User Authentication
                                                                                                                                                                  Web
                     Internet                                                                                                                                     App

                                                                                                                                                                                         Other                                                                                                                                                    Employee/
                                    FedSSO                                                                                                                                               Apps                                                                                                                                                       Staff
                                      A&A                                                  FedSSO
                                                                                             A&A
                                                                                   WS                                ESB
          Business
                                                                                 Gateway                            (SOA)                                                                                       Windows
                                                                                                                                                                                                                Windows
                                                                                                                                                                                                                Windows
                                                                                                                                                                                                                 Apps
                                                                                                Policy                                                                                                           Apps
                                                                                                                     Identity                                                                                    Apps
                                                                                               Enforce               Mapping                                                                  Enterprise
                                                                                                                                                                                                 Dir
                                                         Collect




                                                                                               Collect




                                                                                                                    Collect




                                                                                                                                            Collect




                                                                                                                                                                               Collect




                                                                                                                                                                                                 Collect




                                                                                                                                                                                                                        Collect




                                                                                                                                                                                                                                                                      Collect




                                                                                                                                                                                                                                                                                                                         Collect
                                                          Log




                                                                                                Log




                                                                                                                     Log




                                                                                                                                             Log




                                                                                                                                                                                Log




                                                                                                                                                                                                  Log




                                                                                                                                                                                                                         Log




                                                                                                                                                                                                                                                                       Log




                                                                                                                                                                                                                                                                                                                          Log
                                                                                                                                                                Audit Log Consolidation

                                                                                                                            Audit Policy                                                         Compliance Reporting



                                                                                                                                                                                                                                                                                                                                                © 2011 IBM Corporation
12                                                                             Auditor                                                                                                                                                                                              Auditor
Cloud & Security


 Unterstützende Sicherheits ”landschaft”
                      Desktop/Client                Security Policy
                      Connection                    Repository
                      HTTP (incl. SOAP/
                      HTTP) Connection              Identity Repository
                                                                                                                                                                        Admin                      User
                      Web Services                  (Person & Account)
                      Connection                                                                                                                                                                User Self-
                                                                                                                                                                        Admin.
                                                                                                                                                                                                 service                                   Identity
                                                                                                                                                                                                                                        Synchronisation




                                                                                                                                                           Reporting
         Tivoli Identity Manager (TIM)                                                                                                                                 Workflow & Lifecycle

         Tivoli Access Manager for e-business (TAMeb)                                                                                                       Common Cloud Entitlement Policy                         Identity                                                            HR
                                                                                                                                                                                                                     Store                                                            System
         Tivoli Federated Identity Manager (TFIM)                                                                                            Auditor
                                                                                                                                                          Management Platform
                                                                                                                                                                        Provisioning Engine
                                                                                                                                                                                                                                                             Management Domain
         Tivoli Security Policy Manager (TSPM)




                                                                                                                                                                                                   Reconciliation
                                                                                                                                                                            Provisioning
         Tivoli Access Manager for Enterprise Single Signon (TAM E-SSO)                                                                                                                                                                        SSO     WS    Fed                                                Web
                                                                                                                                                                                                                                               Policy Policy SSO                                                Policy
         Tivoli Compliance Insight Manager (TCIM)                                                                                                                                                                                              Mgmt Mgmt Conf.                                                  Mgmt
                                                                                                                                                                                                                                                                                                                                                     Admin(s)

                                                                                                                                                 Policy
                                                                                                                                                Enforce
                                                                                                                                                                       Cloud Services
                                                                                                                                                            Web




                                                                                                                                                                                                                                                                                      Web Authentication and
                                                                                                                                                            App




                                                                                                                                                                                                                                                                  Web Single Signon
                                                           Web Authentication and




                                                                                                                                    Portal




                                                                                                                                                                                                                               Portal
                                                                                     Web Single Signon




                                                                                                                                                                                                                                               HTTP Server




                                                                                                                                                                                                                                                                                          Authorization
                                                                                                           HTTP Server
                                                               Authorization




                                                                                                                                                                         Web
         Consumer
                                                                                                                                                                         App




                                                                                                                                                                                                                                                                                                                         Enterprise Single Signon

                                                                                                                                                                                                                                                                                                                                                     User Authentication
                                                                                                                                                                                             Web
                                       Internet                                                                                                                                              App

                                                                                                                                                                                                                    Other                                                                                                                                                     Employee/
                                                               FedSSO
                                                                A&A                                                  FedSSO                                                                     BSS                 Apps                                                                                                                                                        Staff
                                                                                                                       A&A
                                                                                                            WS                                  ESB
          Business
                                                                                                          Gateway                              (SOA)                                                                                       Windows
                                                                                                                                                                                                                                           Windows
                                                                                                                                                                                                                                           Windows
                                                                                                                                                                                                                                            Apps
                                                                                                                          Policy                                                                                                            Apps
                                                                                                                                                Identity                                                                                    Apps
                                                                                                                         Enforce                Mapping                                                                  Enterprise
                                                                                                                                                                                                                            Dir
                                                                                    Collect




                                                                                                                          Collect




                                                                                                                                               Collect




                                                                                                                                                                       Collect




                                                                                                                                                                                                          Collect




                                                                                                                                                                                                                            Collect




                                                                                                                                                                                                                                                    Collect




                                                                                                                                                                                                                                                                                                 Collect




                                                                                                                                                                                                                                                                                                                                                    Collect
                                                                                     Log




                                                                                                                           Log




                                                                                                                                                Log




                                                                                                                                                                        Log




                                                                                                                                                                                                           Log




                                                                                                                                                                                                                             Log




                                                                                                                                                                                                                                                     Log




                                                                                                                                                                                                                                                                                                  Log




                                                                                                                                                                                                                                                                                                                                                     Log
                                                                                                                                                       Audit Policy
                                                                                                                                                                                                OSS
                                                                                                                                                                                           Audit Log Consolidation

                                                                                                                                                                                                                            Compliance Reporting



                                                                                                                                                                                                                                                                                                                                                                           © 2011 IBM Corporation
13                                                                                                       Auditor                                                                                                                                                                                               Auditor
Cloud & Security


 Unterstützende Sicherheits ”landschaft”
                      Desktop/Client                Security Policy
                      Connection                    Repository
                      HTTP (incl. SOAP/
                      HTTP) Connection              Identity Repository
                                                                                                                                                                        Admin                      User
                      Web Services                  (Person & Account)
                      Connection                                                                                                                                                                User Self-
                                                                                                                                                                       Admin.
                                                                                                                                                                                                 service                                         Identity
                                                                                                                                                                                                                                              Synchronisation




                                                                                                                                                           Reporting
         Tivoli Identity Manager (TIM)                                                                                                                                 Workflow & Lifecycle

         Tivoli Access Manager for e-business (TAMeb)                                                                                                                    Entitlement Policy                               Identity                                                            HR
                                                                                                                                                                                                                           Store                                                            System
         Tivoli Federated Identity Manager (TFIM)                                                                                            Auditor
                                                                                                                                                                       Provisioning Engine
                                                                                                                                                                                                                                                                   Management Domain
         Tivoli Security Policy Manager (TSPM)




                                                                                                                                                                                                   Reconciliation
                                                                                                                                                                            Provisioning
         Tivoli Access Manager for Enterprise Single Signon (TAM E-SSO)                                                                                                                                                                              SSO     WS    Fed                                                Web
                                                                                                                                                                                                                                                     Policy Policy SSO                                                Policy
         Tivoli Compliance Insight Manager (TCIM)                                                                                                                                                                                                    Mgmt Mgmt Conf.                                                  Mgmt
                                                                                                                                                                                                                                                                                                                                                           Admin(s)

                                                                                                                                                 Policy
                                                                                                                                                Enforce

                                                                                                                                                            Web




                                                                                                                                                                                                                                                                                            Web Authentication and
                                                                                                                                                            App                                Common Cloud




                                                                                                                                                                                                                                                                        Web Single Signon
                                                           Web Authentication and




                                                                                                                                                                                             Management Platform
                                                                                                                                    Portal




                                                                                                                                                                                                                                     Portal
                                                                                     Web Single Signon




                                                                                                                                                                                                                                                     HTTP Server




                                                                                                                                                                                                                                                                                                Authorization
                                                                                                           HTTP Server
                                                               Authorization




                                                                                                                                                                         Web
         Consumer
                                                                                                                                                                         App




                                                                                                                                                                                                                                                                                                                               Enterprise Single Signon
                                                                                                                                                                                               Cloud Services




                                                                                                                                                                                                                                                                                                                                                           User Authentication
                                                                                                                                                                                             Web
                                       Internet                                                                                                                                              App

                                                                                                                                                                                                                          Other                                                                                                                                                     Employee/
                                                                                                                                                                                                                    BSS
                                                               FedSSO                                                                                                                                                     Apps                                                                                                                                                        Staff
                                                                A&A                                                  FedSSO
                                                                                                                       A&A
                                                                                                            WS                                  ESB
          Business
                                                                                                          Gateway                              (SOA)                                                                                             Windows
                                                                                                                                                                                                                                                 Windows
                                                                                                                                                                                                                    OSS                          Windows
                                                                                                                                                                                                                                                  Apps
                                                                                                                          Policy                                                                                                                  Apps
                                                                                                                                                Identity                                                                                          Apps
                                                                                                                         Enforce                Mapping                                                                        Enterprise
                                                                                                                                                                                                                                  Dir
                                                                                    Collect




                                                                                                                          Collect




                                                                                                                                               Collect




                                                                                                                                                                       Collect




                                                                                                                                                                                                          Collect




                                                                                                                                                                                                                                  Collect




                                                                                                                                                                                                                                                          Collect




                                                                                                                                                                                                                                                                                                       Collect




                                                                                                                                                                                                                                                                                                                                                          Collect
                                                                                     Log




                                                                                                                           Log




                                                                                                                                                Log




                                                                                                                                                                        Log




                                                                                                                                                                                                           Log




                                                                                                                                                                                                                                   Log




                                                                                                                                                                                                                                                           Log




                                                                                                                                                                                                                                                                                                        Log




                                                                                                                                                                                                                                                                                                                                                           Log
                                                                                                                                                                                           Audit Log Consolidation

                                                                                                                                                       Audit Policy                                                               Compliance Reporting



                                                                                                                                                                                                                                                                                                                                                                                 © 2011 IBM Corporation
14                                                                                                       Auditor                                                                                                                                                                                                     Auditor
Cloud & Security


 Unterstützende Sicherheits ”landschaft”

                                                                                                                                             Admin                      User
                                                                                                                                                                     User Self-
                                                                                                                                            Admin.
                                                                                                                                                                      service                                   Identity
                                                                                                                                                                                                             Synchronisation
                                                                                                                                          Common Cloud




                                                                                                                                Reporting
                                                                                                                                            Workflow & Lifecycle
                                                                                                                                                                                         Identity                                                           HR
                                                                                                                                              Entitlement Policy
                                                                                                                  Auditor               Management Platform
                                                                                                                                             Provisioning Engine
                                                                                                                                                                                          Store                                                            System

                                                                                                                                                                                                                                  Management Domain




                                                                                                                                                                        Reconciliation
                                                                                                                                                 Provisioning
                                                                                                                                                                                                                    SSO     WS    Fed Web
                                                                                                                                                                                                                    Policy Policy SSO Policy
                                                                                                                                                                                                                    Mgmt Mgmt Conf. Mgmt

                                                                                                                       Policy
                                                                                                                                            Cloud Services                                                                                                                                                                Admin(s)


                                                                                                                      Enforce

                                                                                                                                 Web




                                                                                                                                                                                                                                                           Web Authentication and
                                                                                                                                 App




                                                                                                                                                                                                                                       Web Single Signon
                                Web Authentication and




                                                                                                         Portal




                                                                                                                                                                                                    Portal
                                                           Web Single Signon




                                                                                                                                                                                                                    HTTP Server




                                                                                                                                                                                                                                                               Authorization
                                                                                 HTTP Server
                                    Authorization




                                                                                                                                              Web
          Consumer
                                                                                                                                              App




                                                                                                                                                                                                                                                                                              Enterprise Single Signon

                                                                                                                                                                                                                                                                                                                          User Authentication
                                                                                                                                                                  Web
                     Internet                                                                                                                                     App


                                    FedSSO
                                                                                           FedSSO
                                                                                                                                                                                 BSS     Other
                                                                                                                                                                                         Apps
                                                                                                                                                                                                                                                                                                                                                  Employee/
                                                                                                                                                                                                                                                                                                                                                    Staff
                                      A&A
                                                                                             A&A
                                                                                   WS                                ESB
          Business
                                                                                 Gateway                            (SOA)                                                                                       Windows
                                                                                                                                                                                                                Windows
                                                                                                                                                                                                                Windows
                                                                                                                                                                                                                 Apps
                                                                                                Policy                                                                                                           Apps
                                                                                                                     Identity                                                                                    Apps
                                                                                               Enforce               Mapping                                                                  Enterprise
                                                                                                                                                                                                 Dir
                                                         Collect




                                                                                               Collect




                                                                                                                    Collect




                                                                                                                                            Collect




                                                                                                                                                                               Collect




                                                                                                                                                                                                 Collect




                                                                                                                                                                                                                        Collect




                                                                                                                                                                                                                                                                      Collect




                                                                                                                                                                                                                                                                                                                         Collect
                                                          Log




                                                                                                Log




                                                                                                                     Log




                                                                                                                                             Log




                                                                                                                                                                                Log




                                                                                                                                                                                                  Log




                                                                                                                                                                                                                         Log




                                                                                                                                                                                                                                                                       Log




                                                                                                                                                                                                                                                                                                                          Log
                                                                                                                                                                               OSS
                                                                                                                                                                Audit Log Consolidation

                                                                                                                            Audit Policy                                                         Compliance Reporting



                                                                                                                                                                                                                                                                                                                                                © 2011 IBM Corporation
15                                                                             Auditor                                                                                                                                                                                              Auditor
Welche Herausforderungen sind zu lösen - eine lange Liste, eine neue Liste ?
  Cloud & Security




                     ng
     Cloud - Nutzer                 IT - “klassisch”                           Cloud – (Dienst-)Anbieter



                   ru
                          • Zugriffskontrolle, inkl. Regelwerk und     • Zugriffskontrolle, inkl. Regelwerk und
Nutzen:
• Diensteangebotie          Richtlinienverwaltung                                  Richtlinienverwaltung
             is
                          • Benutzer- und Berechtigungsmgmnt inkl.     • Benutzer- und Berechtigungsmgmnt inkl.
   am

                            Prozessverwaltung und –automation            Prozessverwaltung und –automation
Pflichten:
yn



                          • Rollenbasierte Funktionstrennung           • Rollenbasierte Funktionstrennung
- Authentifizierung
D




- Autorisierung           • Security Policy Management                 • Security Policy Management
- del. Administration
                          • Security Monitoring, Auditing, Compliance • Security Monitoring, Auditing,
- Rechung begleichen
                            Reporting                                   Compliance Reporting
Erwartungen:              • Funktionstrennung, Mandantenfähigkeit      • Funktionstrennung, Mandantenfähigkeit

-SLA Erfüllung            • Berichtswesen – Security Information       • Berichtswesen – Security Information
-Richlinienkonformität      und Event Management                         und Event Management
-detailiertes Berichts-   • Compliance Audit & Reporting über die IT • Compliance Audit & Reporting über die IT
             wesen
                          • Absicherung von virtuellen Maschinen       • Absicherung von virtuellen Maschinen
                            und der Hosts                                und der Hosts
                          • Sicherheits- und Compliance Werkzeug       • Sicherheits- und Compliance Werkzeug
                            zur Verifikation der Server                  zur Verifikation der Server
                          • Configuration and Change Management        • Configuration and Change Management

                          • Mandantenfähigkeit                         • Mandantenfähigkeit
                          • Verknüpfung mit dem Rechnungswesen         • Verknüpfung mit dem Rechnungswesen
                                                                                                © 2011 IBM Corporation
16                          / Accounting                                 / Accounting
Cloud & Security         Daten und Prozesse, Prozess-Zertifizierung

Cloud - Kommunikation

     Szenarien                                             DN       DA
                                                                                    Cloud-Dienste &
            DN      DA           DN - Dienstnutzer
                                                       =   IP
                                                            S
                                                                F
                                                                W
                                                                    F
                                                                    W
                                                                        IP
                                                                        S             Infrastruktur
     1                           DA - Dienstanbieter


            DN      DA1    DA2                                               * * * * * * * *
     2
                                                                                     1 .. n, n>>1
                                       DAM                                      Geschäftapplikationen
                                                                                Infrastrukturapplikationen
                                                                                Verzeichnisdienste
             DN     DA1    DAN
     3
                                       DAM+1                                    Container: WS, AS, ..
                                                                                hoch dynamisch
                                                                                Last reaktiv
                                       DAM+P                                    Service managed
                                                                                autom. Provisioniert
                                                                                Security managed




                                                                                                © 2011 IBM Corporation
17
Cloud & Security




https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Mindestanforderungen/Eckpunktepapier-Sicherheitsempfehlungen-CloudComputing-Anbieter.pdf?__blob=publicationFile
                                                                                                                                          © 2011 IBM Corporation
 18
Cloud & Security


Eckpunktepapier
Sicherheitsempfehlungen für Cloud Computing Anbieter
     Sicherheitsmanagement beim Anbieter
      Rechenzentrumssicherheit                                                 • BSI-Standard 100-2
      Server-Sicherheit                                                        • IT-Grundschutz
      Netzsicherheit                                                           • ISO 27001 u.27002
      Sicherheitszone für das Management der Cloud                             • Cloud Security Alliance – German Chapter
      Sicherheitszone für die Live Migration, falls Servervirtualisierung      • ISF – Information Security Forum
       eingesetzt wird                                                          • TMForum – Tele Management Forum
      Sicherheitszone für das Storage-Netz
      Eigene Sicherheitszonen für die virtuellen Maschinen eines
       Kunden bei IaaS
      Anwendungs- und Plattformsicherheit
      Datensicherheit
      Verschlüsselung und Schlüsselmanagement
                                                             Interaktives Erarbeiten
      ID- und Rechtemanagement
      Authentisierung
                                                                weiterer Themen
      Autorisierung
      Kontrollmöglichkeiten für Nutzer
      Monitoring und Security Incident Management                               +
      Notfallmanagement
      Portabilität und Interoperabilität
      Sicherheitsprüfung und -nachweis                                      Diskussion
      Anforderungen an das Personal
      Vertragsgestaltung
      Service Level Agreement (SLA)
      Datenschutz und Compliance
                                                                                                              © 2011 IBM Corporation
19
Cloud & Security




20                  https://www.pcisecuritystandards.org/documents/Rth87Wp/Virtualization_InfoSupp_v2.pdf   © 2011 IBM Corporation
Cloud & Security


     Ausschnitt
      Virtualization Overview
         – Virtualization Concepts and Classes
         – Virtual System Components and Scoping Guidance

      Risks for Virtualized Environments
         – Vulnerabilities in the Physical Environment Apply in a Virtual Environment
         – Hypervisor Creates New Attack Surface
         – Increased Complexity of Virtualized Systems and Networks
         – More Than One Function per Physical System
         – Mixing VMs of Different Trust Levels
         – Lack of Separation of Duties
         – Dormant Virtual Machines
         – VM Images and Snapshots
         – Immaturity of Monitoring Solutions
         – Information Leakage between Virtual Network Segments
         – Information Leakage between Virtual Components

      Recommendations 15
        – Recommendations for Mixed-Mode Environments
        – Recommendations for Cloud Computing Environments
        – Guidance for Assessing Risks in Virtual Environments

      Virtualization Considerations for PCI DSS

                                                                                        © 2011 IBM Corporation
21
Cloud & Security


Risk Management and Security
 Themenübersicht
 • Gesetzliche Grundlagen für das Betreiben von Cloud Computing (National,
   International )
 • Risiko Planung
 • Risiko Management in Public Cloud Umgebungen
 • Risiko Management in Privat Cloud Umgebungen
 • Sicherheits Planung
 • Security Management in Public Cloud Umgebungen
 • Security Management in Privat Cloud Umgebungen
 • Verfügbarkeits Aspekte in Cloud Umgebungen (Hardware Verfügbarkeit - Server,
   Netzwerk, Storage, Services etc.)
 • Überprüfung von Security Policys und deren Qualität
 • Datensicherung und Backup Infrastrukturen in der Cloud
 • Desaster Recovery Lösungen
 • Einhaltung von Standards
 • ITIL in Cloud Umgebungen
 • Service to Service
 • Authentifizierungsmethoden in Cloud Umgebungen
 • Datenschutzbeauftragter und Cloud Computing
                                                                       © 2011 IBM Corporation
22
Cloud & Security




                                      Ulf Feger
                                     Security Architect, CISSP
                                     IBM Software Group

                     Q&A             Gustav-Heinemann Ufer 120
                                     50968 Cologne, Germany
                                     Mobile.: +49-171-22 619 22
                                     E-Mail: ulf.feger@de.ibm.com



                    http://www.ibm.com/security/cloud-security.html

                    IBM Cloud Computing:                  ibm.com/cloudcomputing
                                                          ibm.com/de/cloud/
                    Trustworthy Cloud                     tclouds-project.eu/
                    IBM Enterprise Security:              ibm.com/security
                    IBM Internet Security Systems:        ibm.com/services/security

                    IBM X-Force® Security Alerts and Advisories: xforce.iss.net
                    Cloud Standards Customer Council cloud-council.org/
                                                                                      © 2011 IBM Corporation
23
Cloud & Security


Sicherheit ist eines der wichtigsten Anliegen beim Cloud-Computing
 Das IBM Security Framework bietet hierfür eine speziell konzipierte Struktur
                                                     Benutzer und Identitäten
                                                    Reduzierung der Risiken bei Benutzerzugriffen auf
                                                    Unternehmensressourcen


                                                i    Daten und Informationen
                                                    Ermittlung, Implementierung und Auditierung der
                                                    Kontrollen für den Zugriff auf (sensible) Daten und deren
                                                    Verwendung

                                                      Anwendungen und Prozesse

                                                    Schutz der Anwendungen vor einer Nutzung in
                                                    bösartiger oder betrügerischer Absicht sowie vor
                                                    Ausfällen

                                                      Netzwerk, Server und Endpunkte
                                                    Optimierung der Serviceverfügbarkeit durch Senkung
                                                    des Risikos für Netzwerkkomponenten

                                                      Physische Infrastruktur
                                                    Bereitstellung sinnvoller Informationen zum aktuellen
                                                    Sicherheitsstatus der physischen Infrastruktur und den
                                                    entsprechenden Empfehlungen
                                                                                                   © 2011 IBM Corporation
24
IBM Security Framework
 Cloud & Security


IBM Security Framework - IBM Security Lösungen




                                                 © 2011 IBM Corporation
25
Cloud & Security


 Compliance Anforderungen verstehen – Data Privacy – Data Security

     Erwartung
       1     Verbesserung der Sicherheit
                                                          2    Innere Sicherheit
                                                                                                      4
                                                                                                          Wie weise ich
             Kostenreduktion                                  Äußere Sicherheit                           nach?
             Auslastoptimierung                               Operationale Sicherheit


                                 3                                                   5
                                      Fokussierung auf
                                                                                           Nachweisbarkeit
                                      „Was brauche ich“



     Ziel
                     Unternehmensrisiken                                                  Sicherheitsrichtlinien
                          verstehen                                                          & -programme

                                                      Sicherheitsrichtlinien
                                                         Management

                       Überwachung &                                                        Durchsetzung &
                          Prüfung                                                           Automatisierung




                                                                                                                   © 2011 IBM Corporation
26

Weitere ähnliche Inhalte

Mehr von Symposia 360°

SecTXL '11 | Frankfurt - Dr. Dietmar Wiedemann: "IT-Governance matters. - Dre...
SecTXL '11 | Frankfurt - Dr. Dietmar Wiedemann: "IT-Governance matters. - Dre...SecTXL '11 | Frankfurt - Dr. Dietmar Wiedemann: "IT-Governance matters. - Dre...
SecTXL '11 | Frankfurt - Dr. Dietmar Wiedemann: "IT-Governance matters. - Dre...Symposia 360°
 
SecTXL '11 | Frankfurt - Jan Schneider: "Cloud Compliance Was Provider und Nu...
SecTXL '11 | Frankfurt - Jan Schneider: "Cloud Compliance Was Provider und Nu...SecTXL '11 | Frankfurt - Jan Schneider: "Cloud Compliance Was Provider und Nu...
SecTXL '11 | Frankfurt - Jan Schneider: "Cloud Compliance Was Provider und Nu...Symposia 360°
 
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...Symposia 360°
 
SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt...
SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt...SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt...
SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt...Symposia 360°
 
SecTXL '11 | Frankfurt - Andreas Weiss: "Cloud Computing und SaaS - Sicher!"
SecTXL '11 | Frankfurt - Andreas Weiss: "Cloud Computing und SaaS - Sicher!"SecTXL '11 | Frankfurt - Andreas Weiss: "Cloud Computing und SaaS - Sicher!"
SecTXL '11 | Frankfurt - Andreas Weiss: "Cloud Computing und SaaS - Sicher!"Symposia 360°
 
SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...
SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...
SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...Symposia 360°
 
SecTXL '11 | Hamburg - Dr. Markus Wulf: "Vertragliche Fallstricke beim Cloud ...
SecTXL '11 | Hamburg - Dr. Markus Wulf: "Vertragliche Fallstricke beim Cloud ...SecTXL '11 | Hamburg - Dr. Markus Wulf: "Vertragliche Fallstricke beim Cloud ...
SecTXL '11 | Hamburg - Dr. Markus Wulf: "Vertragliche Fallstricke beim Cloud ...Symposia 360°
 
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...Symposia 360°
 
SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...
SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...
SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...Symposia 360°
 
SecTXL '11 | Hamburg - Florian von-Kurnatowski: "Das ENX-Netzwerk der Automob...
SecTXL '11 | Hamburg - Florian von-Kurnatowski: "Das ENX-Netzwerk der Automob...SecTXL '11 | Hamburg - Florian von-Kurnatowski: "Das ENX-Netzwerk der Automob...
SecTXL '11 | Hamburg - Florian von-Kurnatowski: "Das ENX-Netzwerk der Automob...Symposia 360°
 
SecTXL '11 | Hamburg - Dr. Dietmar Wiedemann: "IT-Governance - die Wolke fest...
SecTXL '11 | Hamburg - Dr. Dietmar Wiedemann: "IT-Governance - die Wolke fest...SecTXL '11 | Hamburg - Dr. Dietmar Wiedemann: "IT-Governance - die Wolke fest...
SecTXL '11 | Hamburg - Dr. Dietmar Wiedemann: "IT-Governance - die Wolke fest...Symposia 360°
 
SecTXL '11 | Hamburg - Christian Els: "Bewertung von Risikoszenarien am Beisp...
SecTXL '11 | Hamburg - Christian Els: "Bewertung von Risikoszenarien am Beisp...SecTXL '11 | Hamburg - Christian Els: "Bewertung von Risikoszenarien am Beisp...
SecTXL '11 | Hamburg - Christian Els: "Bewertung von Risikoszenarien am Beisp...Symposia 360°
 
SecTXL '11 | Hamburg - Andreas Weiss: "Cloud Computing ist die Zukunft- aber ...
SecTXL '11 | Hamburg - Andreas Weiss: "Cloud Computing ist die Zukunft- aber ...SecTXL '11 | Hamburg - Andreas Weiss: "Cloud Computing ist die Zukunft- aber ...
SecTXL '11 | Hamburg - Andreas Weiss: "Cloud Computing ist die Zukunft- aber ...Symposia 360°
 

Mehr von Symposia 360° (13)

SecTXL '11 | Frankfurt - Dr. Dietmar Wiedemann: "IT-Governance matters. - Dre...
SecTXL '11 | Frankfurt - Dr. Dietmar Wiedemann: "IT-Governance matters. - Dre...SecTXL '11 | Frankfurt - Dr. Dietmar Wiedemann: "IT-Governance matters. - Dre...
SecTXL '11 | Frankfurt - Dr. Dietmar Wiedemann: "IT-Governance matters. - Dre...
 
SecTXL '11 | Frankfurt - Jan Schneider: "Cloud Compliance Was Provider und Nu...
SecTXL '11 | Frankfurt - Jan Schneider: "Cloud Compliance Was Provider und Nu...SecTXL '11 | Frankfurt - Jan Schneider: "Cloud Compliance Was Provider und Nu...
SecTXL '11 | Frankfurt - Jan Schneider: "Cloud Compliance Was Provider und Nu...
 
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
 
SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt...
SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt...SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt...
SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt...
 
SecTXL '11 | Frankfurt - Andreas Weiss: "Cloud Computing und SaaS - Sicher!"
SecTXL '11 | Frankfurt - Andreas Weiss: "Cloud Computing und SaaS - Sicher!"SecTXL '11 | Frankfurt - Andreas Weiss: "Cloud Computing und SaaS - Sicher!"
SecTXL '11 | Frankfurt - Andreas Weiss: "Cloud Computing und SaaS - Sicher!"
 
SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...
SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...
SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...
 
SecTXL '11 | Hamburg - Dr. Markus Wulf: "Vertragliche Fallstricke beim Cloud ...
SecTXL '11 | Hamburg - Dr. Markus Wulf: "Vertragliche Fallstricke beim Cloud ...SecTXL '11 | Hamburg - Dr. Markus Wulf: "Vertragliche Fallstricke beim Cloud ...
SecTXL '11 | Hamburg - Dr. Markus Wulf: "Vertragliche Fallstricke beim Cloud ...
 
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...
 
SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...
SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...
SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...
 
SecTXL '11 | Hamburg - Florian von-Kurnatowski: "Das ENX-Netzwerk der Automob...
SecTXL '11 | Hamburg - Florian von-Kurnatowski: "Das ENX-Netzwerk der Automob...SecTXL '11 | Hamburg - Florian von-Kurnatowski: "Das ENX-Netzwerk der Automob...
SecTXL '11 | Hamburg - Florian von-Kurnatowski: "Das ENX-Netzwerk der Automob...
 
SecTXL '11 | Hamburg - Dr. Dietmar Wiedemann: "IT-Governance - die Wolke fest...
SecTXL '11 | Hamburg - Dr. Dietmar Wiedemann: "IT-Governance - die Wolke fest...SecTXL '11 | Hamburg - Dr. Dietmar Wiedemann: "IT-Governance - die Wolke fest...
SecTXL '11 | Hamburg - Dr. Dietmar Wiedemann: "IT-Governance - die Wolke fest...
 
SecTXL '11 | Hamburg - Christian Els: "Bewertung von Risikoszenarien am Beisp...
SecTXL '11 | Hamburg - Christian Els: "Bewertung von Risikoszenarien am Beisp...SecTXL '11 | Hamburg - Christian Els: "Bewertung von Risikoszenarien am Beisp...
SecTXL '11 | Hamburg - Christian Els: "Bewertung von Risikoszenarien am Beisp...
 
SecTXL '11 | Hamburg - Andreas Weiss: "Cloud Computing ist die Zukunft- aber ...
SecTXL '11 | Hamburg - Andreas Weiss: "Cloud Computing ist die Zukunft- aber ...SecTXL '11 | Hamburg - Andreas Weiss: "Cloud Computing ist die Zukunft- aber ...
SecTXL '11 | Hamburg - Andreas Weiss: "Cloud Computing ist die Zukunft- aber ...
 

SecTXL '11 | Hamburg - Ulf Feger: "Der Weg zur Cloud Security - ein Transformationsprozess"

  • 1. Der Weg zur Cloud Security - ein Transformationsprozess Konzepte, Prozesse und Werkzeuge Ulf Feger Security Architect, CISSP Competence Leader Tivoli - Data Center Automation, Cloud & Security © 2011 IBM Corporation
  • 2. Der Weg zur Cloud Security - ein Transformationsprozess Konzepte, Prozesse und Werkzeuge Teil I – Transformation wozu und wovon ? Teil II – Workshop - Vorstellung und Diskussion der vielseitigen technischen Sicherheitsschichten und (notwendigen) Prozessabbildungen - Sichtweisen auf die Anforderungen gestellt durch das BSI-Eckpunktepapier und deren mögliche Umsetzungen © 2011 IBM Corporation
  • 3. Cloud & Security Die private Cloud - Ausgangssituation “Cloud” Test/Dev Training Applikationen ... 3 Standardisierung Standardisierung / Service Katalog / Image Katalog Ressourcenplanung Request Freigabe Workflow (Beschaffung) Bereitstellung/Nutzung 4 Automatisierung Abbau (Abrechnung/Kostenverteilung) Process Automation Engine Monitoring High Availability Dynamische Sichere und Provisionierung Security 5 hochverfügbare Repository  Secure virt. env. private Cloud  Identity & Access Mgmt. Virtualisierung Power VM, VMware, KVM… 2 Virtualisierung Ressourcen 1 Konsolidierung © 2011 IBM Corporation 3
  • 4. Cloud & Security Standardisierung / Service Katalog / Image Katalog Ressourcenplanung Request Freigabe Workflow Die private Cloud - Ausgangssituation (Beschaffung) Bereitstellung/Nutzung Abbau (Abrechnung/Kostenverteilung) Process Automation Engine Virtualisierung Power VM, VMware, KVM… Ressourcen Virtualisierung Power VM, VMware, KVM… Ressourcen Virtualisierung Power VM, VMware, KVM… Virtualisierung Power VM, VMware, KVM… Ressourcen Ressourcen Virtualisierung Power VM, VMware, KVM… Virtualisierung Power VM, VMware, KVM… Ressourcen Ressourcen Virtualisierung Power VM, VMware, KVM… Ressourcen © 2011 IBM Corporation 4
  • 5. Cloud & Security Cloud – Workload – Daten und Prozesse Enterprise Provider Department A Department B Customer A Customer B Private Cloud Services Hosted Cloud Services Use Case 1 Use Case 2 Case specific challenges & pains Case specific challenges & pains + challenges faced by internal providers Workload Workload Workload Workload Workload Workload Type 1 Type 2 Type 2 Type 1 Type 2 Type 3 Test & Production Test & Production VDI VDI Development Workloads Development Workloads Not all potential Cloud adopters are IT Service Providers Workload Type 4 facing Service Provider challenges, however the individual Workload Types are still relevant in these instances – e.g. Test & Dev Hosted SaaS © 2011 IBM Corporation 5
  • 6. Cloud & Security Cloud Transformationsphasen zur eigenen Cloud Wo bleibt da die Security ? 1 2 3 4 5 IT IT IT IT IT Prozesse Prozesse Prozesse Prozesse Prozesse GS Transition Cloud Prz 4 Transition GS Automatisierung Prz 3 GS Transition Standardisierung Prz 2 GS Virtualisierung Prz 1 GS Konsolidierung Prz Eliminierung Bsp: Baseline VSP Richtlinien Approval GRC Ziele Security SIEM Workflows Reporting Approval © 2011 IBM Corporation 6
  • 7. Der Weg zur Cloud Security - ein Transformationsprozess Konzepte, Prozesse und Werkzeuge Teil II – Workshop - Vorstellung und Diskussion der vielseitigen technischen Sicherheitsschichten und (notwendigen) Prozessabbildungen - Sichtweisen auf die Anforderungen gestellt durch das BSI-Eckpunktepapier und deren mögliche Umsetzungen © 2011 IBM Corporation
  • 8. Cloud & Security Private Cloud Konstrukte - mehr Möglichkeiten als man denkt © 2011 IBM Corporation 8
  • 9. Cloud & Security Private Cloud Firmen-RZ Struktur Cloud RZ Struktur Cloud RZ Struktur – lokal, verteilt ✪ Deutschland, 1 BL Cloud  Deutschland, x BL E T&A P Dienste + Infrastruktur   Cloud Dienste + Infrastruktur EU weit  Admin Cloud RZ Struktur – lokal verteilt Cloud RZ Struktur – beliebig, verteilt  weltweit Cloud Cloud Dienste + Infrastruktur Dienste + Infrastruktur Deutschland, 1 BL © 2011 IBM Corporation 9
  • 10. Cloud & Security Anforderungen – Cloud Computing & Sicherheit Sicherheitsanforderungen bezüglich  Datenschutz und Datensicherheit Cloud Services  Zugriffs- und Identitätsmanagment  Applikations- und Dienstebereitstellung inkl. “Entsorgung”  Applikations- und Systemtests inkl. Daten Cloud Computing Model  Service Level Agreement – SLA Management  Schwachstellen Management und Beseitigung  Dienstverfügbarkeit inkl. (überregionalem) Lastausgleich  Auditierbarkeit & Governance (GRC – Governance, Risk & Compliance)  Grenzüberschreitende Gesetzeseinhaltung, z.B. personenbezogener Informationen  Grenzüberschreitende Eigentumsrechte & Exportbegrenzungen  Buchungs- und Rechungsgrundlagen und deren Informationsbasis  Exit-Management © 2011 IBM Corporation 10
  • 11. Cloud & Security IBM Cloud Lösungskomponenten – mehr als nur Virtualisierung 10. Manage 9. Visualize and supported Service align the Service Level with business Agreements (SLAs) 8. Collect, objectives and analyze, service levels Report and bill based on Service usage and costs Common Cloud Management Platform 1. Anforderung/ 3. Provision Service Cloud Services 7. Real-time Katalog management and consolidation of events associated BSS with Business Service 4. Integrate with OSS 6. Monitor the 2. Integrate with Storage area Service to service desk network (SAN) and detect bottlenecks and IT asset network pools and and potential management security mngment problems; generate processes alerts 5. Discover the Service; track configuration and changes to the Service = Software, Platform, Infrastructure (i.e. Composite Service Application, Physical / Virtual OS, Middleware, Network, Storage Not in all cases will all steps exist in a client engagement © 2011 IBM Corporation 11
  • 12. Cloud & Security ng Unterstützende Sicherheits ”landschaft” ru ie is Admin User am User Self- Admin. service Identity Synchronisation Reporting Workflow & Lifecycle Identity HR yn Entitlement Policy Store System Auditor Provisioning Engine Management Domain D Reconciliation Provisioning SSO WS Fed Web Policy Policy SSO Policy Mgmt Mgmt Conf. Mgmt Admin(s) Policy Enforce Web Web Authentication and App Web Single Signon Web Authentication and Portal Portal Web Single Signon HTTP Server Authorization HTTP Server Authorization Web Consumer App Enterprise Single Signon User Authentication Web Internet App Other Employee/ FedSSO Apps Staff A&A FedSSO A&A WS ESB Business Gateway (SOA) Windows Windows Windows Apps Policy Apps Identity Apps Enforce Mapping Enterprise Dir Collect Collect Collect Collect Collect Collect Collect Collect Collect Log Log Log Log Log Log Log Log Log Audit Log Consolidation Audit Policy Compliance Reporting © 2011 IBM Corporation 12 Auditor Auditor
  • 13. Cloud & Security Unterstützende Sicherheits ”landschaft” Desktop/Client Security Policy Connection Repository HTTP (incl. SOAP/ HTTP) Connection Identity Repository Admin User Web Services (Person & Account) Connection User Self- Admin. service Identity Synchronisation Reporting Tivoli Identity Manager (TIM) Workflow & Lifecycle Tivoli Access Manager for e-business (TAMeb) Common Cloud Entitlement Policy Identity HR Store System Tivoli Federated Identity Manager (TFIM) Auditor Management Platform Provisioning Engine Management Domain Tivoli Security Policy Manager (TSPM) Reconciliation Provisioning Tivoli Access Manager for Enterprise Single Signon (TAM E-SSO) SSO WS Fed Web Policy Policy SSO Policy Tivoli Compliance Insight Manager (TCIM) Mgmt Mgmt Conf. Mgmt Admin(s) Policy Enforce Cloud Services Web Web Authentication and App Web Single Signon Web Authentication and Portal Portal Web Single Signon HTTP Server Authorization HTTP Server Authorization Web Consumer App Enterprise Single Signon User Authentication Web Internet App Other Employee/ FedSSO A&A FedSSO BSS Apps Staff A&A WS ESB Business Gateway (SOA) Windows Windows Windows Apps Policy Apps Identity Apps Enforce Mapping Enterprise Dir Collect Collect Collect Collect Collect Collect Collect Collect Collect Log Log Log Log Log Log Log Log Log Audit Policy OSS Audit Log Consolidation Compliance Reporting © 2011 IBM Corporation 13 Auditor Auditor
  • 14. Cloud & Security Unterstützende Sicherheits ”landschaft” Desktop/Client Security Policy Connection Repository HTTP (incl. SOAP/ HTTP) Connection Identity Repository Admin User Web Services (Person & Account) Connection User Self- Admin. service Identity Synchronisation Reporting Tivoli Identity Manager (TIM) Workflow & Lifecycle Tivoli Access Manager for e-business (TAMeb) Entitlement Policy Identity HR Store System Tivoli Federated Identity Manager (TFIM) Auditor Provisioning Engine Management Domain Tivoli Security Policy Manager (TSPM) Reconciliation Provisioning Tivoli Access Manager for Enterprise Single Signon (TAM E-SSO) SSO WS Fed Web Policy Policy SSO Policy Tivoli Compliance Insight Manager (TCIM) Mgmt Mgmt Conf. Mgmt Admin(s) Policy Enforce Web Web Authentication and App Common Cloud Web Single Signon Web Authentication and Management Platform Portal Portal Web Single Signon HTTP Server Authorization HTTP Server Authorization Web Consumer App Enterprise Single Signon Cloud Services User Authentication Web Internet App Other Employee/ BSS FedSSO Apps Staff A&A FedSSO A&A WS ESB Business Gateway (SOA) Windows Windows OSS Windows Apps Policy Apps Identity Apps Enforce Mapping Enterprise Dir Collect Collect Collect Collect Collect Collect Collect Collect Collect Log Log Log Log Log Log Log Log Log Audit Log Consolidation Audit Policy Compliance Reporting © 2011 IBM Corporation 14 Auditor Auditor
  • 15. Cloud & Security Unterstützende Sicherheits ”landschaft” Admin User User Self- Admin. service Identity Synchronisation Common Cloud Reporting Workflow & Lifecycle Identity HR Entitlement Policy Auditor Management Platform Provisioning Engine Store System Management Domain Reconciliation Provisioning SSO WS Fed Web Policy Policy SSO Policy Mgmt Mgmt Conf. Mgmt Policy Cloud Services Admin(s) Enforce Web Web Authentication and App Web Single Signon Web Authentication and Portal Portal Web Single Signon HTTP Server Authorization HTTP Server Authorization Web Consumer App Enterprise Single Signon User Authentication Web Internet App FedSSO FedSSO BSS Other Apps Employee/ Staff A&A A&A WS ESB Business Gateway (SOA) Windows Windows Windows Apps Policy Apps Identity Apps Enforce Mapping Enterprise Dir Collect Collect Collect Collect Collect Collect Collect Collect Collect Log Log Log Log Log Log Log Log Log OSS Audit Log Consolidation Audit Policy Compliance Reporting © 2011 IBM Corporation 15 Auditor Auditor
  • 16. Welche Herausforderungen sind zu lösen - eine lange Liste, eine neue Liste ? Cloud & Security ng Cloud - Nutzer IT - “klassisch” Cloud – (Dienst-)Anbieter ru • Zugriffskontrolle, inkl. Regelwerk und • Zugriffskontrolle, inkl. Regelwerk und Nutzen: • Diensteangebotie Richtlinienverwaltung Richtlinienverwaltung is • Benutzer- und Berechtigungsmgmnt inkl. • Benutzer- und Berechtigungsmgmnt inkl. am Prozessverwaltung und –automation Prozessverwaltung und –automation Pflichten: yn • Rollenbasierte Funktionstrennung • Rollenbasierte Funktionstrennung - Authentifizierung D - Autorisierung • Security Policy Management • Security Policy Management - del. Administration • Security Monitoring, Auditing, Compliance • Security Monitoring, Auditing, - Rechung begleichen Reporting Compliance Reporting Erwartungen: • Funktionstrennung, Mandantenfähigkeit • Funktionstrennung, Mandantenfähigkeit -SLA Erfüllung • Berichtswesen – Security Information • Berichtswesen – Security Information -Richlinienkonformität und Event Management und Event Management -detailiertes Berichts- • Compliance Audit & Reporting über die IT • Compliance Audit & Reporting über die IT wesen • Absicherung von virtuellen Maschinen • Absicherung von virtuellen Maschinen und der Hosts und der Hosts • Sicherheits- und Compliance Werkzeug • Sicherheits- und Compliance Werkzeug zur Verifikation der Server zur Verifikation der Server • Configuration and Change Management • Configuration and Change Management • Mandantenfähigkeit • Mandantenfähigkeit • Verknüpfung mit dem Rechnungswesen • Verknüpfung mit dem Rechnungswesen © 2011 IBM Corporation 16 / Accounting / Accounting
  • 17. Cloud & Security Daten und Prozesse, Prozess-Zertifizierung Cloud - Kommunikation Szenarien DN DA Cloud-Dienste & DN DA DN - Dienstnutzer = IP S F W F W IP S Infrastruktur 1 DA - Dienstanbieter DN DA1 DA2 * * * * * * * * 2 1 .. n, n>>1 DAM  Geschäftapplikationen  Infrastrukturapplikationen  Verzeichnisdienste DN DA1 DAN 3 DAM+1  Container: WS, AS, ..  hoch dynamisch  Last reaktiv DAM+P  Service managed  autom. Provisioniert  Security managed © 2011 IBM Corporation 17
  • 19. Cloud & Security Eckpunktepapier Sicherheitsempfehlungen für Cloud Computing Anbieter Sicherheitsmanagement beim Anbieter  Rechenzentrumssicherheit • BSI-Standard 100-2  Server-Sicherheit • IT-Grundschutz  Netzsicherheit • ISO 27001 u.27002  Sicherheitszone für das Management der Cloud • Cloud Security Alliance – German Chapter  Sicherheitszone für die Live Migration, falls Servervirtualisierung • ISF – Information Security Forum eingesetzt wird • TMForum – Tele Management Forum  Sicherheitszone für das Storage-Netz  Eigene Sicherheitszonen für die virtuellen Maschinen eines Kunden bei IaaS  Anwendungs- und Plattformsicherheit  Datensicherheit  Verschlüsselung und Schlüsselmanagement Interaktives Erarbeiten  ID- und Rechtemanagement  Authentisierung weiterer Themen  Autorisierung  Kontrollmöglichkeiten für Nutzer  Monitoring und Security Incident Management +  Notfallmanagement  Portabilität und Interoperabilität  Sicherheitsprüfung und -nachweis Diskussion  Anforderungen an das Personal  Vertragsgestaltung  Service Level Agreement (SLA)  Datenschutz und Compliance © 2011 IBM Corporation 19
  • 20. Cloud & Security 20 https://www.pcisecuritystandards.org/documents/Rth87Wp/Virtualization_InfoSupp_v2.pdf © 2011 IBM Corporation
  • 21. Cloud & Security Ausschnitt  Virtualization Overview – Virtualization Concepts and Classes – Virtual System Components and Scoping Guidance  Risks for Virtualized Environments – Vulnerabilities in the Physical Environment Apply in a Virtual Environment – Hypervisor Creates New Attack Surface – Increased Complexity of Virtualized Systems and Networks – More Than One Function per Physical System – Mixing VMs of Different Trust Levels – Lack of Separation of Duties – Dormant Virtual Machines – VM Images and Snapshots – Immaturity of Monitoring Solutions – Information Leakage between Virtual Network Segments – Information Leakage between Virtual Components  Recommendations 15 – Recommendations for Mixed-Mode Environments – Recommendations for Cloud Computing Environments – Guidance for Assessing Risks in Virtual Environments  Virtualization Considerations for PCI DSS © 2011 IBM Corporation 21
  • 22. Cloud & Security Risk Management and Security Themenübersicht • Gesetzliche Grundlagen für das Betreiben von Cloud Computing (National, International ) • Risiko Planung • Risiko Management in Public Cloud Umgebungen • Risiko Management in Privat Cloud Umgebungen • Sicherheits Planung • Security Management in Public Cloud Umgebungen • Security Management in Privat Cloud Umgebungen • Verfügbarkeits Aspekte in Cloud Umgebungen (Hardware Verfügbarkeit - Server, Netzwerk, Storage, Services etc.) • Überprüfung von Security Policys und deren Qualität • Datensicherung und Backup Infrastrukturen in der Cloud • Desaster Recovery Lösungen • Einhaltung von Standards • ITIL in Cloud Umgebungen • Service to Service • Authentifizierungsmethoden in Cloud Umgebungen • Datenschutzbeauftragter und Cloud Computing © 2011 IBM Corporation 22
  • 23. Cloud & Security Ulf Feger Security Architect, CISSP IBM Software Group Q&A Gustav-Heinemann Ufer 120 50968 Cologne, Germany Mobile.: +49-171-22 619 22 E-Mail: ulf.feger@de.ibm.com http://www.ibm.com/security/cloud-security.html IBM Cloud Computing: ibm.com/cloudcomputing ibm.com/de/cloud/ Trustworthy Cloud tclouds-project.eu/ IBM Enterprise Security: ibm.com/security IBM Internet Security Systems: ibm.com/services/security IBM X-Force® Security Alerts and Advisories: xforce.iss.net Cloud Standards Customer Council cloud-council.org/ © 2011 IBM Corporation 23
  • 24. Cloud & Security Sicherheit ist eines der wichtigsten Anliegen beim Cloud-Computing Das IBM Security Framework bietet hierfür eine speziell konzipierte Struktur Benutzer und Identitäten Reduzierung der Risiken bei Benutzerzugriffen auf Unternehmensressourcen i Daten und Informationen Ermittlung, Implementierung und Auditierung der Kontrollen für den Zugriff auf (sensible) Daten und deren Verwendung Anwendungen und Prozesse Schutz der Anwendungen vor einer Nutzung in bösartiger oder betrügerischer Absicht sowie vor Ausfällen Netzwerk, Server und Endpunkte Optimierung der Serviceverfügbarkeit durch Senkung des Risikos für Netzwerkkomponenten Physische Infrastruktur Bereitstellung sinnvoller Informationen zum aktuellen Sicherheitsstatus der physischen Infrastruktur und den entsprechenden Empfehlungen © 2011 IBM Corporation 24
  • 25. IBM Security Framework Cloud & Security IBM Security Framework - IBM Security Lösungen © 2011 IBM Corporation 25
  • 26. Cloud & Security Compliance Anforderungen verstehen – Data Privacy – Data Security Erwartung 1  Verbesserung der Sicherheit 2  Innere Sicherheit 4 Wie weise ich  Kostenreduktion  Äußere Sicherheit nach?  Auslastoptimierung  Operationale Sicherheit 3 5 Fokussierung auf Nachweisbarkeit „Was brauche ich“ Ziel Unternehmensrisiken Sicherheitsrichtlinien verstehen & -programme Sicherheitsrichtlinien Management Überwachung & Durchsetzung & Prüfung Automatisierung © 2011 IBM Corporation 26