Outsourcing és Cloud Biztonsági kérdések

IT ADVISORY

Outsourcing és Cloud Biztonsági kérdések Gaidosch Tamás 2009. november 25.

Tartalom


Már megint hype: de mit is akarunk megoldani?




Mi micsoda?




Szempontok




Biztonság, te drága




Kockázatok

1

Hype

2

Hype

cloud

outsourcing

Forrás: Gartner

3

Mit is akarunk megoldani?


Reagálási képesség növelése




Költségek csökkentése




Hatékonyság növelése




Mutatók optimalizálása

4

Outsourcing


Hosszú távú szerződés alapján




Teljes folyamatokat helyezünk ki külső szolgáltatóhoz




Eszközeinket és alkalmazottainkat is transzferáljuk




Szolgáltatási szint megállapodásokkal rögzítjük az elvárt minőséget (SLA)




Általában egyedi, testre szabott konstrukciók




Szoros együttműködés a szolgáltatóval

5

Cloud


IT kapacitás bérlünk szükség szerint (on demand)




Kizárólag hálózati hozzáféréssel




Helyfüggetlenül




Használattal arányos költséggel (pay per use)




Megosztott erőforrásokat használunk (hálózat, szerverek, tárolók, alkalmazások, szolgáltatások)




Gyors és rugalmas kapacitásmenedzsment




Szabványos konstrukciók




Minimális interakció a szolgáltatóval 6

CFO szemmel Szempont

Házon belül

Outsourcing

Cloud

Ráfordítás

CAPEX

OPEX

OPEX

Cash Flow

Előre fizetés

Éves díj

Használattal arányos havidíj

Éves terített

Havi terített

Pénzügyi kockázat Előre bevállalt P&L

Költség, Értékcsökkenés

Költség

Költség

Mérleg

Eszközök

-

7

CEO szemmel

Részvényesi érték Gyorsaság Hatékonyság Piacnyerés CEO

8

IT-s szemmel

9

IT biztonsági szakértő szemmel

10

Biztonsági követelmények

Integritás Bizalmasság Rendelkezésre állás

Pénz, pénz, pénz

Raimondo Montecuccoli (1609-1680)

11

Kockázatok

12

Adatközpont és cloud Adatközpont

Cloud

Ismert helyszínek

Ismeretlen helyszínek

kb. 1000 processzor

>10 000 standard processzor

Hardver redundancia

Szoftver redundancia

Fizikai és virtuális erőforrások Cluster vagy grid architektúra

Virtuális erőforrások Cloud architektúra

Statikus

Rugalmas

Megosztott háttértár

Replikált háttértár

Komplexitás

Szabványosság 13

Kockázatok


Bizalmas adatok




Virtualizáció




Hálózati védelem




Szegregáció




Auditálhatóság / törvényi megfelelés

14

Kockázatok: bizalmas adatok


Hol van a felhő?




Mi van még a felhőben?




Milyen előírások vonatkoznak −

a felhőre?

−

az adataimra?

−

a kötelező adatszolgáltatásra?

15

Kockázatok: virtualizáció


Hipervizor sérülékenységek




Middleware




Rendszermenedzsment eszközök




Monokultúra




Erősen disztributált feldolgozási módok −

race

−

check / use

16

Kockázatok: hálózati védelem


A felhő védelme −




komplexitás

A hozzáférés (csatorna) védelme −

gyakorlatilag SSL




DDoS?




Tűzfalak?




IDS / IPS?

17

Kockázatok: hálózati védelem

18

Kockázatok: szegregáció


Ki van még a felhőben, és mit csinál?




Virtuális erőforrások elszigetelése




Rendszermenedzsment




Biztonságos adatmegsemmisítés

19

Kockázatok: auditálhatóság / törv. megfelelés


Dinamikus környezet




Változásmeendzsment




Kevés befolyás a kontrollkörnyezetre




PCI, SOX, Hpt, ...

20

Összefoglaló Cloud a hype ciklus tetején Eltérő szolgáltatási modell eltérő biztonsági kockázatokat eredményez A cloud biztonsági kockázatai kevéssé ismertek Erősen szabályozott környezetben érdemes kivárni a cloud hype végét

21

Hogyan ne csináljuk

22

Az előadó elérhetősége Gaidosch Tamás KPMG Tanácsadó Kft. [email protected] 887-7139

www.kpmg.hu

The information contained herein is of a general nature and is not intended to address the circumstances of any particular individual or entity. Although we endeavour to provide accurate and timely information, there can be no guarantee that such information is accurate as of the date it is received or that it will continue to be accurate in the future. No one should act on such information without appropriate professional advice after a thorough examination of the particular situation.