1. Cloud Computing
Risiken und Massnahmen
Marc Ruef
www.scip.ch
22. November 2011
Datenschutz-Forum Zürich, Schweiz
2. Agenda | Cloud Computing Intro
Wer?
Was?
◦ Einführung 2 min Risiken
◦ Was ist Cloud Computing 2 min Transparenz
Vermengung
◦ Implementierungen 5 min Kontrolle
◦ Sicherheitsprobleme 10 min Backup/Restore
Abhängigkeit
◦ Zusammenfassung 2 min Migration
◦ Fragen 4 min Jur. Konflikte
Verantwortung
Knowhow
Zentralisierung
Abschluss
Zusammenfassung
Fragen
Datenschutz-Forum 2011 2/21
3. Einführung | Wer bin ich Intro
Wer?
Was?
Name Marc Ruef
Risiken
Beruf Mitinhaber / CTO, scip AG, Zürich Transparenz
Vermengung
Private Webseite http://www.computec.ch Kontrolle
Letztes Buch „Die Kunst des Penetration Testing“, Backup/Restore
Computer & Literatur Böblingen, Abhängigkeit
Migration
ISBN 3-936546-49-5
Jur. Konflikte
Verantwortung
Knowhow
Zentralisierung
Abschluss
Zusammenfassung
Fragen
Übersetzung
Datenschutz-Forum 2011 3/21
4. Einführung | Aus dem Hype wird ein Trend Intro
Wer?
Was?
Risiken
Transparenz
Vermengung
Kontrolle
Backup/Restore
Abhängigkeit
Migration
Jur. Konflikte
Verantwortung
Knowhow
Zentralisierung
Abschluss
Zusammenfassung
Fragen
Datenschutz-Forum 2011 4/21
5. Einführung | Definition von Cloud Computing Intro
Wer?
Was?
Risiken
Transparenz
Vermengung
Kontrolle
„[Cloud Computing ist] ein modulares System, in dem Backup/Restore
für Nutzer die Ressourcen transparent sowie Abhängigkeit
dynamisch zugewiesen, verarbeitet und verrechnet Migration
Jur. Konflikte
werden.“ Verantwortung
Knowhow
Zentralisierung
– scip AG Abschluss
Zusammenfassung
Fragen
Datenschutz-Forum 2011 5/21
6. Einführung | Vertriebsmodelle Intro
Wer?
Was?
Risiken
Transparenz
Software as a Vermengung
Service Kontrolle
Backup/Restore
Abhängigkeit
Platform as a Migration
Jur. Konflikte
Service Verantwortung
Knowhow
Zentralisierung
Infrastructure Abschluss
as a Service Zusammenfassung
Fragen
Datenschutz-Forum 2011 6/21
16. Risiken | Einbusse bei Knowhow Intro
Wer?
◦ Interne Mitarbeiter kennen Was?
Durch eine
technische Hintergründe Risiken
temporäre Was heisst
Race-Condition hier, sie nicht mehr Transparenz
im TCP/IP-Stack waren Vermengung
konnte ein „sicher“? ◦ Externer (Cloud-)Partner hat
Kontrolle
Integer- Wissensvorsprung
Overflow Backup/Restore
erzwungen ◦ Verhandlungen und Abhängigkeit
werden. Die Diskussionen werden
darauf folgende Migration
Speicherschutz schwieriger Jur. Konflikte
verletzung hat
den Heap
◦ Probleme können nicht mehr Verantwortung
partiell selber angegangen werden Knowhow
überschrieben
und zum totalen
◦ Abhängigkeit Zentralisierung
Ausfall der ◦ Trägheit Abschluss
neuen Zusammenfassung
tokenbasierten
Authentisierung Fragen
geführt. Sorry.
Datenschutz-Forum 2011 16/21
17. Risiken | Zentraler Angriffspunkt Intro
Wer?
◦ Die Cloud an sich ist Was?
grundlegender Single Point Risiken
of Failure (SPOF) Transparenz
Vermengung
◦ Die Cloud wird zentrale
Kontrolle
Anlaufstelle für Angriffe
Backup/Restore
Hey, was ◦ Vertrauensbeziehungen Abhängigkeit
machen wir
denn heute
innerhalb der Cloud sind Migration
Abend? gefährlich Jur. Konflikte
Verantwortung
Dasselbe Knowhow
wie jeden
Abend: Wir Zentralisierung
versuchen, Abschluss
die Cloud
an uns zu Zusammenfassung
reissen! Fragen
Datenschutz-Forum 2011 17/21
18. Zusammenfassung Intro
Wer?
Was?
◦ Cloud Computing ist ein neuer Name für ein altes Konzept
Risiken
(Outsourcing, Grid Computing, ASP, …)
Transparenz
◦ Es handelt sich um einen marketing-getriebenen Hype Vermengung
(Beginn ca. Q1-2008) Kontrolle
Backup/Restore
◦ Es gibt verschiedene Ansätze und Produkte des Cloud
Abhängigkeit
Computing (SaaS, PaaS, IaaS, …) Migration
◦ Eine wohlüberlegte Migration kann durchaus Vorteile Jur. Konflikte
erlangen lassen Verantwortung
Knowhow
◦ Aber eine Vielzahl an sicherheitstechnischen
Zentralisierung
Überlegungen sprechen gegen Abschluss
Outsourcing, Virtualisierung und Cloud Computing Zusammenfassung
Fragen
Datenschutz-Forum 2011 18/21