IT ADVISORY
Biztonság a felhőben Gaidosch Tamás
CISA, CISM, CISSP
2010. január 20.
Tartalom z
Cloud hype
z
Mi micsoda?
z
Szempontok
z
Előnyök és kockázatok
1
Hype
2
Hype
cloud
outsourcing
Forrás: Gartner
3
Mit is akarunk megoldani? z
Reagálási képesség növelése
z
Költségek csökkentése
z
Hatékonyság növelése
z
Mutatók optimalizálása
4
Cloud z
IT kapacitás bérlünk szükség szerint (on demand)
z
Kizárólag hálózati hozzáféréssel
z
Helyfüggetlenül
z
Használattal arányos költséggel (pay per use)
z
Megosztott erőforrásokat használunk (hálózat, szerverek, tárolók, alkalmazások, szolgáltatások)
z
Gyors és rugalmas kapacitásmenedzsment
z
Szabványos konstrukciók
z
Minimális interakció a szolgáltatóval 5
A lényeg
Adatközpont
Cloud
6
CFO szemmel Szempont
Házon belül
Outsourcing
Cloud
Ráfordítás
CAPEX
OPEX
OPEX
Cash Flow
Előre fizetés
Éves díj
Használattal arányos havidíj
Éves terített
Havi terített
Pénzügyi kockázat Előre bevállalt P&L
Költség, Értékcsökkenés
Költség
Költség
Mérleg
Eszközök
-
7
CEO szemmel
Részvényesi érték Gyorsaság Hatékonyság Piacnyerés CEO
8
IT-s szemmel
9
IT biztonsági szakértő szemmel
10
Adatközpont és cloud Adatközpont
Cloud
Ismert helyszínek
Ismeretlen helyszínek
kb. 1000 processzor
>10 000 standard processzor
Hardver redundancia
Szoftver redundancia
Fizikai és virtuális erőforrások
Virtuális erőforrások
Cluster vagy grid architektúra
Cloud architektúra
Statikus
Rugalmas
Komplexitás
Szabványosság
11
Cloud típusok és jellemzőik
Forrás: ENISA
12
Biztonsági előnyök és kockázatok
Előnyök
Kockázatok
Méretgazdaságosság
Bizalmas adatok védelme
Szabványos interfészek
Virtualizáció
Gyors és hatékony patchelés
Hálózati védelem
Fajlagosan olcsóbb fizikai biztonság
Szegregáció
Egyszerűbb és olcsóbb biztonságmenedzsment
Auditálhatóság / törvényi megfelelés
Hatékonyabb forensic támogatás (elvileg)
Lock-in
13
Változó fenyegetettség
Adatközpont
Cloud
14
Kockázatok: bizalmas adatok z
Hol van a felhő?
z
Mi van még a felhőben?
z
Milyen előírások vonatkoznak
z
−
a felhőre?
−
az adataimra?
−
a kötelező adatszolgáltatásra?
Hogyan ellenőrzöm a cloud szolgáltatót?
15
Kockázatok: bizalmas adatok
16
Kockázatok: virtualizáció z
Hipervizor sérülékenységek
z
Middleware
z
Rendszermenedzsment eszközök
z
Monokultúra
z
Erősen disztributált feldolgozási módok −
race
−
check / use
17
Kockázatok: hálózati védelem z
A felhő védelme −
z
komplexitás
A hozzáférés (csatorna) védelme −
gyakorlatilag SSL
z
DDoS?
z
Tűzfalak?
z
IDS / IPS?
18
Kockázatok: hálózati védelem
19
Kockázatok: hálózati védelem
20
Kockázatok: szegregáció z
Ki van még a felhőben, és mit csinál?
z
Virtuális erőforrások elszigetelése
z
Rendszermenedzsment
z
Biztonságos adatmegsemmisítés
21
Kockázatok: auditálhatóság / törv. megfelelés z
Dinamikus környezet
z
Változásmenedzsment
z
Kevés befolyás a kontrollkörnyezetre
z
PCI, SOX, Hpt, ...
22
Összefoglaló Cloud a hype ciklus tetején Eltérő szolgáltatási modell eltérő biztonsági kockázatokat eredményez A cloud biztonsági kockázatai kevéssé ismertek Erősen szabályozott / nagyvállalati környezetben érdemes kivárni a cloud hype végét
23
Az előadó elérhetősége Gaidosch Tamás KPMG Tanácsadó Kft.
[email protected] 887-7139
www.kpmg.hu
The information contained herein is of a general nature and is not intended to address the circumstances of any particular individual or entity. Although we endeavour to provide accurate and timely information, there can be no guarantee that such information is accurate as of the date it is received or that it will continue to be accurate in the future. No one should act on such information without appropriate professional advice after a thorough examination of the particular situation.
