Zajištění kybernetické bezpečnosti cloudových služeb Zdeněk Jiříček National Technology Officer Microsoft Česká republika 1
Poslední trendy mění přístup k bezpečnosti
2
Slyšíme kolem sebe otázky... Proč bych měl důvěřovat Microsoftu?
Jaké bezpečnostní audity a certifikace má cloudová infrastruktura Microsoftu? Jestli dám určité aplikace do cloudu, budu schopen vyhovět regulatorním požadavkům? Jak bychom měli ve firmě hodnotit cloudové dodavatele z hlediska bezpečnosti, ochrany soukromí, a souladu s legislativou? 3
Stavba cloudových služeb Microsoftu Software as a Service (SaaS) Služby pro firemní zákazníky
Služby pro spotřebitele
Hostingové služby partnerů
Platform as a Service (PaaS)
Infrastructure as a Service (IaaS)
Microsoft Global Foundation Services
Datacenters
Operations
Global Network
Security
4
Management System Information Security Management System
Plán auditů
Organizační bezpečnost
Řízení rizik, aktiva, hrozby, zranitelnosti
Bezpečnostní politika
Struktura souladu s legislativou
Testy a audity
• ISO / IEC 27001:2005 • SSAE 16/ISAE 3402 - SOC 1 • AT101 - SOC 2 and 3
• PCI DSS (Payment Card Industry) • FedRAMP P-ATO, FISMA akreditace • A další...
5
Microsoft cloud: domény pro ISO 27001:2005 Plus další požadavky dle NIST 800-53 a PCI-DSS (Payment Card Industry...)
Bezpečnostní opatření
1. (A.05) Bezpečnostní politika
8. (A.12) Akvizice, vývoj a údržba
2. (A.06) Organizace bezpečnosti informací
9. (A.13) Zvládání bezpečnostních incidentů
3. (A.07) Řízení aktiv 4. (A.08) Bezpečnost lidských zdrojů
Řízení rizik
5. (A.09) Fyzická bezpečnost a vliv životního prostředí
10.(A.14) Řízení obchodní kontinuity 11.(A.15) Soulad s regulatorními požadavky 12.Šifrování
6. (A.10) Řízení provozu
13.Bezpečnost komunikací
7. (A.11) Řízení přístupu
14.Řízení dodavatelů 6
Standard - certifikace
Office 365
Microsoft Dynamics CRM
Microsoft Azure
Windows Intune
GFS (Global Foundation Services – infrastruktura datových center)
ISO 27001:2005
Yes
Yes
Yes
Yes
Yes
EU Model Clauses (Standardní smluvní doložky Evropské unie, ověřen „soulad“)
Yes
Yes
Yes
Yes
Yes
EU Safe Harbor
Yes
Yes
Yes
Yes
Yes
PCI DSS (Payment Card Industry Data Security Standard)
N/A
N/A
Yes
N/A
Yes
SOC 1 Type 2 (Service Organization Controls - SSAE 16/ISAE 3402)
Yes
Yes
Yes
No, Type 1 only
Yes
SOC 2 Type 2 (AT Section 101)
Yes
No
Yes
No, Type 1 only
Yes
UK G-Cloud
Yes
Yes
Yes
No
N/A
FedRAMP (US) (Moderate)
Yes
No
Yes
No
Yes
FERPA (US – Education)
Yes
N/A
Yes
N/A
N/A
HIPPA/BAA (US - Healthcare)
Yes
Yes
Yes
Yes
Yes
IPv6
Yes
No
No
No
N/A
CJIS (US - Criminal Justice)
Yes
No
No
No
N/A
7
„Defense in depth“: vrstvená obrana
FYZICKÁ VRSTVA
SÍŤ
SERVERY
APLIKACE
DATA
Identita a řízení přístupu Zabezpečené konfigurace, skenování zranitelností Zvládání bezpečnostních incidentů 24 x 7 x 365 8
Some of the measures employed at the Data Center Fire Detection & Perimeter Security
Suppression
Multi-factor authentication
Extensive Monitoring
+ Odolnost proti výpadku energie v řádu dnů
http://aka.ms/OSA
Předpoklad průniku (Assume Breach) Detekce neobvyklých aktivit na serverech • Alerty na procesy mimo „white list“ • Alerty na změny konfigurací nebo změny registry
Analýza šablon útoků (např. APTs) • Analýza velkých dat – hledání neobvyklostí v provozních
War Game Exercises Monitor Emerging Threats
Red Teaming
záznamech
Nácviky zvládání incidentů • Simulace útoků a penetrační testy, včetně falešných
administrátorů s fyzickým přístupem • Nácviky zadržení průniku, vypuzení, MTTD, MTTR
Invest in Reactive Security Needs
Insider Attack Simulation
Audit přístupů administrátorů v cloudu • Commandlets, Logins, zvýšená oprávnění, nové admin. účty
Izolace mezi různými foresty • V procesu zavádění
Execute Post Breach
Blue Teaming
12
Prevence průniku - zásady Skenování portů Skenování zranitelností na perimetru
Neexistuje trvalý přístup na zákaznická data •
„Just in time“ elevations vydané nadřízeným na nezbytně dlouhou dobu Přístup na zákaz. data: pouze zaměstnanci s prověrkami
Procedura záplatování
•
Testování a prevence DoS / DDoS
Automatické zrušení účtu
2-faktorová autentizace Izolace mezi prostředím emailu a admin funkcemi, segmentace vnitřní sítě
• • •
Při odchodu zaměstnance Při změně pozice Dlouhodobě bez aktivity
Logování / audit všech přístupů a aktivit adminů 13
Škálovatelnost a redundance zdrojů Každé datové centrum > 1 mld. USD investice, celkově >1 mil. serverů
Quincy Cheyenne
Dublin
Chicago
Amsterdam
Boydton
Japan
Shanghai
Des Moines
Hong Kong
San Antonio
Singapore
Brazil
Zajištění dat: V každém datacentru 3 kopie dat Geografická replikace min. 600km daleko Zákazník volí místo uložení dat Zákazník konfiguruje úroveň replikace dat
Australia
Protokol SSL/TLS
Asymetr. šifra 2048 bit
Nově: Perfect Forward Secrecy
Perfect Forward Secrecy
Exchange online podporuje S/MIME, PGP
Bitlocker AES 256 ochrana proti krádeži a při likvidaci disků Chybné disky ničeny v datacentru (NIST 800-88)
Skype call: AES 256 Exchange Online na jiné email servery: TLS by default
Zabezpečení dat v Office 365 Active Directory Rights Management Services (volitelné šifrování a zabezpečení obsahu)
Bezpečnostní riziko
Způsob řešení
Podvodný administrátor
RMS, BitLocker
Lze použít Windows Crypto Next Generation (CNG) – zapojení vlastních algoritmů pro šifrování a el. podpis
Ztráta citlivých dat
RMS; Exchange 2013 DLP Policies
Exchange Online Data Loss Prevention (DLP)
Ukradený/ztracený laptop
BitLocker
Ukradený/ztracený smartphone
BitLocker
•
Uživatel volí různé stupně zabezpečení
•
Azure AD RMS – lze i mimo vlastní origanizaci
Office 365 Pro Plus: Crypto Plug-in •
•
Vestavěná inteligence – zabraňuje uživateli odeslat emailem citlivé informace (včetně příloh a offline režimu)
•
Nástroj uvědomění uživatelů, „citlivé informace“lze nastavit politikami
17
Exchange Komplexní ochrana Multi-engine antimalware chrání proti 99-100% známých virů • Trvale akutalizovaný anti-spam zachytí >98% příchozího spamu • Pokročilé technologie analýzy malwaru - poznají a zastaví nový spam a phishing v reálném čase •
Jednoduchost použití Předkonfigurováno pro jednoduché nasazení • Správa EOP integrovaná se správou Exchange online •
Jemné možnosti nastavení Např. označit všechny hromadné rozesílky jako spam • Např. blokovat email podle jazyku nebo zemí původu •
18
ISO/IEC 27018:2014 ISO 27018 - nový mezinárodní standard pro ochranu osobních informací v cloudu, založen na EU zákonech pro ochranu dat. Publikován 30. 7. 2014 Nutný explicitní souhlas uživatele pro užití jeho dat k marketingu nebo inzerci
V případě bezp. incidentů prověřit, zda nedošlo k únikualternativa osobních údajů Efektivní k Pokudzákaznickému ano, musí informovat uživatele a auditu regulátora
Poskytovatel nesmí odmítnout dát službu, i pokud mu uživatel tento souhlas nedá ISO 27018 auditní zpráva má být relevantní pro zákazníka a jeho regulatorní požadavky Musí informovat uživatele kde jsou jeho data, a jakým způsobem se zpracovávají Microsoft plánuje získat ISO 27018 certifikát v průběhu r. 2015
19
Segmentace na vnitřní a vnější síť
Internal Network
External Network
Fyzické oddělení serverů/storage od externích rozhraní
Ochrana před DoD/DDoS: • Automatické škálování kapacity zdrojů (Azure) • Přiškrcování (Throttling)
• Lze vyžádat filtraci IP adres přes support ticket
Propojení přes Edge security router – monitoring a detekce průniků Email jen na vnější síti 21
Integrace s Active Directory, Azure Active Directory, a Active Directory Federation Services
Strana zákazníka Podpora 2-faktor. autentizace přes RSA nebo PhoneFactor • Řízení přístupu „na jméno“ podle zařízení, lokality, IP adresy • Řízení přístupu dle rolí (RBAC) •
Strana Microsoftu Řízení přístupu dle rolí (RBAC) • Just-in-Time Access, tváří se jako „Lockbox“ •
23
Reakce na incident Zapojení vývojového a provozního týmu Incident detekován
Začátek incidentu
Zapojení bezpečnostního týmu Potvrzení bezpečnostní ho incidentu
Ohodnocení incidentu
• Úplný proces v 9 krocích • Zaměřeno na rychlou identifikaci a obnovení • Upozornění je součástí smluvních závazků
Upozornění zákazníků Identifikace zasažených zákazníků
Reakce na zákaznické požadavky
Upozornění zákazníků Definování dopadu na zákazníky
25
Microsoft Services v oblasti Cyber Security
27
28
Je cloud více, nebo méně bezpečný proti tomu co dnes máte? 1 2 3 4 5
Technická a organizační bezpečnostní opatření v cloudu Pokročilé metody obrany díky koncentraci zdrojů Certifikace, audity, smluvní zajištění souladu Právní ochrana Vašich dat vůči třetím stranám Pozitivní zkušenost firemních zákazníků
29
www.microsoft.com/trusted cloud
www.microsoft.com/sir
www.microsoft.com/sdl
www.microsoft.com/twc
blogs.technet.com/security
30
Děkuji za pozornost! Zdeněk Jiříček
National Technology Officer
[email protected] © 2014 Microsoft Corporation. All rights reserved. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
31