SlideShare une entreprise Scribd logo

Cloud Computing - Risiken und Massnahmen

Télécharger en tant que PPTX, PDF
Marc Ruef
Marc Ruef
Technologie
1  sur  21
Cloud Computing Risiken und Massnahmen Marc Ruef www.scip.ch 22. November 2011 Datenschutz-Forum Zürich, Schweiz
Agenda | Cloud Computing Intro Wer? Was? ◦ Einführung 2 min Risiken ◦ Was ist Cloud Computing 2 min Transparenz Vermengung ◦ Implementierungen 5 min Kontrolle ◦ Sicherheitsprobleme 10 min Backup/Restore Abhängigkeit ◦ Zusammenfassung 2 min Migration ◦ Fragen 4 min Jur. Konflikte Verantwortung Knowhow Zentralisierung Abschluss Zusammenfassung Fragen Datenschutz-Forum 2011 2/21
Einführung | Wer bin ich Intro Wer? Was? Name Marc Ruef Risiken Beruf Mitinhaber / CTO, scip AG, Zürich Transparenz Vermengung Private Webseite http://www.computec.ch Kontrolle Letztes Buch „Die Kunst des Penetration Testing“, Backup/Restore Computer & Literatur Böblingen, Abhängigkeit Migration ISBN 3-936546-49-5 Jur. Konflikte Verantwortung Knowhow Zentralisierung Abschluss Zusammenfassung Fragen Übersetzung Datenschutz-Forum 2011 3/21
Einführung | Aus dem Hype wird ein Trend Intro Wer? Was? Risiken Transparenz Vermengung Kontrolle Backup/Restore Abhängigkeit Migration Jur. Konflikte Verantwortung Knowhow Zentralisierung Abschluss Zusammenfassung Fragen Datenschutz-Forum 2011 4/21
Einführung | Definition von Cloud Computing Intro Wer? Was? Risiken Transparenz Vermengung Kontrolle „[Cloud Computing ist] ein modulares System, in dem Backup/Restore für Nutzer die Ressourcen transparent sowie Abhängigkeit dynamisch zugewiesen, verarbeitet und verrechnet Migration Jur. Konflikte werden.“ Verantwortung Knowhow Zentralisierung – scip AG Abschluss Zusammenfassung Fragen Datenschutz-Forum 2011 5/21
Einführung | Vertriebsmodelle Intro Wer? Was? Risiken Transparenz Software as a Vermengung Service Kontrolle Backup/Restore Abhängigkeit Platform as a Migration Jur. Konflikte Service Verantwortung Knowhow Zentralisierung Infrastructure Abschluss as a Service Zusammenfassung Fragen Datenschutz-Forum 2011 6/21
Einführung | Infrastrukturmodelle Intro Wer? Was? Risiken Hybride Transparenz Cloud Vermengung Kontrolle Backup/Restore Öffentliche Private Abhängigkeit Migration Cloud Cloud Jur. Konflikte Verantwortung Knowhow Zentralisierung Abschluss Kunde Zusammenfassung Fragen Datenschutz-Forum 2011 7/21
Risiken | Fehlende Transparenz Intro Wer? ◦ Unbekannte Was? Risiken ◦ Prozesse Transparenz ◦ Abläufe Vermengung Die sehen ◦ Vorgaben Kontrolle *nie*, was wir ◦ Umsetzungen Backup/Restore machen … Weiterschlafen ◦ Abnahmen Abhängigkeit ! Migration ◦ Sicherheit Jur. Konflikte ◦ … Verantwortung ◦ Beispiel Fragen: Knowhow ◦ Werden Versprechen Zentralisierung eingehalten? Abschluss ◦ Ist die gewährte Zusammenfassung Sicherheit annehmbar? Fragen Datenschutz-Forum 2011 8/21
Risiken | Vermengung von Objekten Intro Wer? ◦ Branchen Was? Risiken ◦ Finanzunternehmen Transparenz ◦ Behörden Vermengung ◦ Industrie Kontrolle ◦ … Backup/Restore ◦ Kunden Abhängigkeit Migration ◦ Bank Swiss AG Jur. Konflikte ◦ Bank USA Ltd. Verantwortung Haben keine ◦ Banque France SA Knowhow Hardware ◦ … Zentralisierung mehr. Lass mal ein paar ◦ Datentypen Abschluss Kunden auf Zusammenfassung der ◦ Öffentliche Daten Fragen *gleichen* ◦ Interne Daten Maschine laufen! ◦ Kundendaten ◦ … Datenschutz-Forum 2011 9/21
Risiken | Verlust der Kontrolle Intro Wer? ◦ Weiterverarbeitung Was? Risiken ◦ Unternehmensdaten Transparenz Uups! Ich ◦ Mitarbeiterdaten Vermengung dachte, wi ◦ … Kontrolle r seien *sicher* ◦ Weitergabe Backup/Restore … Abhängigkeit ◦ Persönliche Daten Migration ◦ Statistische Daten Jur. Konflikte ◦ … Verantwortung ◦ Weiterverkauf Knowhow ◦ Kundeninformationen Zentralisierung ◦ Geschäfts-geheimnisse Abschluss Zusammenfassung ◦ … Fragen Datenschutz-Forum 2011 10/21
Risiken | Backup und Restore Intro Wer? ◦ Keine klaren, einheitlichen, Was? offenen Schnittstellen Risiken Transparenz ◦ Eigene Prozesse bleiben Vermengung Was erforderlich müssen Kontrolle wir alles ◦ Komplexe Anbindung Backup/Restore sichern? Keine möglich Abhängigkeit Ahnung. Lass Migration einfach Jur. Konflikte mal irgendwas Verantwortung kopieren. Knowhow Zentralisierung Abschluss Zusammenfassung Fragen Datenschutz-Forum 2011 11/21
Risiken | Abhängigkeit vom Anbieter Intro Wer? ◦ Präsenz Was? Risiken Deine Frau will einen ◦ Existenz (Insolvenz) neuen Swimmingpool? Transparenz Lass uns mal die Preise ◦ Lokation (Wegzug) Vermengung *modifizieren* … ◦ Erreichbarkeit Kontrolle ◦ Preise Backup/Restore ◦ Aufwand Abhängigkeit Migration ◦ Ressourcen Jur. Konflikte ◦ Spesen Verantwortung ◦ Arbeit Knowhow ◦ Angebot Zentralisierung ◦ Umfang Abschluss Zusammenfassung ◦ Qualität Fragen Datenschutz-Forum 2011 12/21
Risiken | Schwierigkeit bei Migration Intro Wer? ◦ Eventuell fehlende Was? Unterstützung durch den Risiken Partner Transparenz Vermengung ◦ Inkompatible Mechanismen Kontrolle ◦ Mangelhafte Backup/Restore Ich kann Ihnen einen Deckungsgleichheit Abhängigkeit Wegzug unterschiedlicher Angebote Migration *nicht* empfehlen. Jur. Konflikte Verantwortung Knowhow Zentralisierung Abschluss Zusammenfassung Fragen Datenschutz-Forum 2011 13/21
Risiken | Juristische Konflikte Intro Wer? ◦ z.B. Datenschutz muss Was? gewahrt bleiben (DSG) Risiken Transparenz ◦ Unterschiedliche nationale Vermengung Gesetzgebungen Kontrolle ◦ Data Protection Act 1998 Backup/Restore UK Abhängigkeit ◦ Privacy Act of 1974 USA Migration ◦ Länderübergreifende Jur. Konflikte Abkommen Verantwortung ◦ Europäische Knowhow … Datenschutzkonvention Zentralisierung forse! Abschluss Yes, w ◦ Internationale e can Zusammenfassung … … не Rechtshilfebegehren действит Fragen ельно! ◦ langwierig ◦ komplex ◦ aufwendig Datenschutz-Forum 2011 14/21
Risiken | Juristische Eigenverantwortung Intro Wer? ◦ Das Unternehmen bleibt Was? trotzdem haftbar für: Risiken Was heisst Transparenz hier, sie ◦ Vorgaben waren Vermengung „sicher“? ◦ Richtlinien Kontrolle ◦ Prozesse Backup/Restore ◦ Abläufe Abhängigkeit ◦ Angebote Migration Jur. Konflikte ◦ Daten Verantwortung ◦ Infrastruktur Knowhow ◦ Handlungen Zentralisierung ◦ Mitarbeiter Abschluss ◦ … Zusammenfassung Fragen Datenschutz-Forum 2011 15/21
Risiken | Einbusse bei Knowhow Intro Wer? ◦ Interne Mitarbeiter kennen Was? Durch eine technische Hintergründe Risiken temporäre Was heisst Race-Condition hier, sie nicht mehr Transparenz im TCP/IP-Stack waren Vermengung konnte ein „sicher“? ◦ Externer (Cloud-)Partner hat Kontrolle Integer- Wissensvorsprung Overflow Backup/Restore erzwungen ◦ Verhandlungen und Abhängigkeit werden. Die Diskussionen werden darauf folgende Migration Speicherschutz schwieriger Jur. Konflikte verletzung hat den Heap ◦ Probleme können nicht mehr Verantwortung partiell selber angegangen werden Knowhow überschrieben und zum totalen ◦ Abhängigkeit Zentralisierung Ausfall der ◦ Trägheit Abschluss neuen Zusammenfassung tokenbasierten Authentisierung Fragen geführt. Sorry. Datenschutz-Forum 2011 16/21
Risiken | Zentraler Angriffspunkt Intro Wer? ◦ Die Cloud an sich ist Was? grundlegender Single Point Risiken of Failure (SPOF) Transparenz Vermengung ◦ Die Cloud wird zentrale Kontrolle Anlaufstelle für Angriffe Backup/Restore Hey, was ◦ Vertrauensbeziehungen Abhängigkeit machen wir denn heute innerhalb der Cloud sind Migration Abend? gefährlich Jur. Konflikte Verantwortung Dasselbe Knowhow wie jeden Abend: Wir Zentralisierung versuchen, Abschluss die Cloud an uns zu Zusammenfassung reissen! Fragen Datenschutz-Forum 2011 17/21
Zusammenfassung Intro Wer? Was? ◦ Cloud Computing ist ein neuer Name für ein altes Konzept Risiken (Outsourcing, Grid Computing, ASP, …) Transparenz ◦ Es handelt sich um einen marketing-getriebenen Hype Vermengung (Beginn ca. Q1-2008) Kontrolle Backup/Restore ◦ Es gibt verschiedene Ansätze und Produkte des Cloud Abhängigkeit Computing (SaaS, PaaS, IaaS, …) Migration ◦ Eine wohlüberlegte Migration kann durchaus Vorteile Jur. Konflikte erlangen lassen Verantwortung Knowhow ◦ Aber eine Vielzahl an sicherheitstechnischen Zentralisierung Überlegungen sprechen gegen Abschluss Outsourcing, Virtualisierung und Cloud Computing Zusammenfassung Fragen Datenschutz-Forum 2011 18/21
Literatur Intro Wer? Was? ◦ Die Sicherheit von Cloud Computing, Risiken http://www.scip.ch/?labs.20111110 Transparenz ◦ 10 sicherheitsrelevante Gründe gegen Cloud Computing, Vermengung http://www.scip.ch/?labs.20091127 Kontrolle Backup/Restore Abhängigkeit Migration Jur. Konflikte Verantwortung Knowhow Zentralisierung Abschluss Zusammenfassung Fragen Datenschutz-Forum 2011 19/21
Fragen Intro Wer? Was? Risiken Transparenz Vermengung Kontrolle Backup/Restore Abhängigkeit Migration Jur. Konflikte Verantwortung Knowhow Zentralisierung Abschluss Zusammenfassung Fragen Datenschutz-Forum 2011 20/21
Security is our Business! Intro Wer? Was? scip AG Risiken Badenerstrasse 551 Transparenz CH-8048 Zürich Vermengung Kontrolle Backup/Restore Tel +41 44 404 13 13 Abhängigkeit Fax +41 44 404 13 14 Migration Jur. Konflikte Mail info@scip.ch Verantwortung Web http://www.scip.ch Knowhow Twitter http://twitter.com/scipag Zentralisierung Abschluss Zusammenfassung  Strategy | Consulting Fragen  Auditing | Testing  Forensics | Analysis Datenschutz-Forum 2011 21/21

Recommandé

Azure für SysAdmins Eine Reise durch die Cloud v.0.5
Azure für SysAdmins Eine Reise durch die Cloud v.0.5 Azure für SysAdmins Eine Reise durch die Cloud v.0.5
Azure für SysAdmins Eine Reise durch die Cloud v.0.5
Oliver Michalski
 
ITSM in the Cloud - A Change in the Weather
ITSM in the Cloud - A Change in the WeatherITSM in the Cloud - A Change in the Weather
ITSM in the Cloud - A Change in the Weather
todd.lewis
 
Cloud Governance – Brauchen IT-Verantwortliche neue Methoden? – OOP 2012 in ...
Cloud Governance – Brauchen IT-Verantwortliche neue Methoden? – OOP 2012 in ...Cloud Governance – Brauchen IT-Verantwortliche neue Methoden? – OOP 2012 in ...
Cloud Governance – Brauchen IT-Verantwortliche neue Methoden? – OOP 2012 in ...
OPITZ CONSULTING Deutschland
 
Wandel der IT - vom Dienstleister zum Business-Partner
Wandel der IT - vom Dienstleister zum Business-PartnerWandel der IT - vom Dienstleister zum Business-Partner
Wandel der IT - vom Dienstleister zum Business-Partner
Horst Tisson
 
Evolutionaire psychologie
Evolutionaire psychologieEvolutionaire psychologie
Evolutionaire psychologie
gerbert101
 
Cloud Computing und Service Management: Was verändert sich?
Cloud Computing und Service Management: Was verändert sich?Cloud Computing und Service Management: Was verändert sich?
Cloud Computing und Service Management: Was verändert sich?
Digicomp Academy AG
 
Cloud as a Service: A Powerful New Cloud Management Platform
Cloud as a Service: A Powerful New Cloud Management PlatformCloud as a Service: A Powerful New Cloud Management Platform
Cloud as a Service: A Powerful New Cloud Management Platform
BMC Software
 
Cloud Computing Ergebnis der IT-Industrialisierung
Cloud Computing Ergebnis der IT-IndustrialisierungCloud Computing Ergebnis der IT-Industrialisierung
Cloud Computing Ergebnis der IT-Industrialisierung
Dragosh Christian OTTO
 

Recommandé

Azure für SysAdmins Eine Reise durch die Cloud v.0.5
Azure für SysAdmins Eine Reise durch die Cloud v.0.5 Azure für SysAdmins Eine Reise durch die Cloud v.0.5
Azure für SysAdmins Eine Reise durch die Cloud v.0.5
Oliver Michalski
 
ITSM in the Cloud - A Change in the Weather
ITSM in the Cloud - A Change in the WeatherITSM in the Cloud - A Change in the Weather
ITSM in the Cloud - A Change in the Weather
todd.lewis
 
Cloud Governance – Brauchen IT-Verantwortliche neue Methoden? – OOP 2012 in ...
Cloud Governance – Brauchen IT-Verantwortliche neue Methoden? – OOP 2012 in ...Cloud Governance – Brauchen IT-Verantwortliche neue Methoden? – OOP 2012 in ...
Cloud Governance – Brauchen IT-Verantwortliche neue Methoden? – OOP 2012 in ...
OPITZ CONSULTING Deutschland
 
Wandel der IT - vom Dienstleister zum Business-Partner
Wandel der IT - vom Dienstleister zum Business-PartnerWandel der IT - vom Dienstleister zum Business-Partner
Wandel der IT - vom Dienstleister zum Business-Partner
Horst Tisson
 
Evolutionaire psychologie
Evolutionaire psychologieEvolutionaire psychologie
Evolutionaire psychologie
gerbert101
 
Cloud Computing und Service Management: Was verändert sich?
Cloud Computing und Service Management: Was verändert sich?Cloud Computing und Service Management: Was verändert sich?
Cloud Computing und Service Management: Was verändert sich?
Digicomp Academy AG
 
Cloud as a Service: A Powerful New Cloud Management Platform
Cloud as a Service: A Powerful New Cloud Management PlatformCloud as a Service: A Powerful New Cloud Management Platform
Cloud as a Service: A Powerful New Cloud Management Platform
BMC Software
 
Cloud Computing Ergebnis der IT-Industrialisierung
Cloud Computing Ergebnis der IT-IndustrialisierungCloud Computing Ergebnis der IT-Industrialisierung
Cloud Computing Ergebnis der IT-Industrialisierung
Dragosh Christian OTTO
 
Cloud Computing - An Introduction
Cloud Computing - An IntroductionCloud Computing - An Introduction
Cloud Computing - An Introduction
Ravindra Dastikop
 
Tipps & Tricks zum Aufbau einer Unternehmenscloud mit CC13
Tipps & Tricks zum Aufbau einer Unternehmenscloud mit CC13Tipps & Tricks zum Aufbau einer Unternehmenscloud mit CC13
Tipps & Tricks zum Aufbau einer Unternehmenscloud mit CC13
OPITZ CONSULTING Deutschland
 
Building a Scalable Digital Asset Management Platform in the Cloud (MED402) |...
Building a Scalable Digital Asset Management Platform in the Cloud (MED402) |...Building a Scalable Digital Asset Management Platform in the Cloud (MED402) |...
Building a Scalable Digital Asset Management Platform in the Cloud (MED402) |...
Amazon Web Services
 
Moderne budgetierung praxisbeispiele
Moderne budgetierung praxisbeispieleModerne budgetierung praxisbeispiele
Moderne budgetierung praxisbeispiele
ICV_eV
 
Doctrina social viii desarrolo ecologia
Doctrina social viii desarrolo ecologiaDoctrina social viii desarrolo ecologia
Doctrina social viii desarrolo ecologia
Centro Universitario Villanueva
 
32 unternehmenswert teil 2
32 unternehmenswert teil 232 unternehmenswert teil 2
32 unternehmenswert teil 2
ICV_eV
 
Los libros interactivos multimedia
Los libros interactivos multimediaLos libros interactivos multimedia
Los libros interactivos multimedia
Brayan Arley F D
 
Cambiar para no cambiar nada S270515s
Cambiar para no cambiar nada S270515sCambiar para no cambiar nada S270515s
Cambiar para no cambiar nada S270515s
Mario Abate Liotti Falco
 
trabajo echo en clase de power point
trabajo echo en clase de power pointtrabajo echo en clase de power point
trabajo echo en clase de power point
tobonangel
 
SCD13: Die technische Roadmap von Shopware 4
SCD13: Die technische Roadmap von Shopware 4SCD13: Die technische Roadmap von Shopware 4
SCD13: Die technische Roadmap von Shopware 4
shopware AG
 
2. cantidad física
2. cantidad física2. cantidad física
2. cantidad física
Pablo Rebolledo
 
Bodegón h.k.
Bodegón h.k.Bodegón h.k.
Bodegón h.k.
BachilleratoArte-Palencia
 
MR_RadioWien_Spielen_Februar2016
MR_RadioWien_Spielen_Februar2016MR_RadioWien_Spielen_Februar2016
MR_RadioWien_Spielen_Februar2016
meinungsraum.at
 
Focusgroupmetodologia 110615224411-phpapp02
Focusgroupmetodologia 110615224411-phpapp02Focusgroupmetodologia 110615224411-phpapp02
Focusgroupmetodologia 110615224411-phpapp02
More Cepeda
 
Tomar las riendas_de_la_vida-051021
Tomar las riendas_de_la_vida-051021Tomar las riendas_de_la_vida-051021
Tomar las riendas_de_la_vida-051021
Centro Universitario Villanueva
 
Llevadosporlaimaginacinnosponemosasoar 140724142504-phpapp01
Llevadosporlaimaginacinnosponemosasoar 140724142504-phpapp01Llevadosporlaimaginacinnosponemosasoar 140724142504-phpapp01
Llevadosporlaimaginacinnosponemosasoar 140724142504-phpapp01
Centro Universitario Villanueva
 
Bericht pr ausschuss stand november 2012
Bericht pr ausschuss stand november 2012Bericht pr ausschuss stand november 2012
Bericht pr ausschuss stand november 2012
ICV_eV
 
Source Code Analyse - Ein praktikabler Ansatz
Source Code Analyse - Ein praktikabler AnsatzSource Code Analyse - Ein praktikabler Ansatz
Source Code Analyse - Ein praktikabler Ansatz
Marc Ruef
 
Adventures in a Decade of Tracking and Consolidating Security Vulnerabilities
Adventures in a Decade of Tracking and Consolidating Security VulnerabilitiesAdventures in a Decade of Tracking and Consolidating Security Vulnerabilities
Adventures in a Decade of Tracking and Consolidating Security Vulnerabilities
Marc Ruef
 
Firewall Rule Review and Modelling
Firewall Rule Review and ModellingFirewall Rule Review and Modelling
Firewall Rule Review and Modelling
Marc Ruef
 
Code Plagiarism - Technical Detection and Legal Prosecution
Code Plagiarism - Technical Detection and Legal ProsecutionCode Plagiarism - Technical Detection and Legal Prosecution
Code Plagiarism - Technical Detection and Legal Prosecution
Marc Ruef
 
Einführung POLYCOM
Einführung POLYCOMEinführung POLYCOM
Einführung POLYCOM
Marc Ruef
 

Contenu connexe

En vedette

Building a Scalable Digital Asset Management Platform in the Cloud (MED402) |...
Building a Scalable Digital Asset Management Platform in the Cloud (MED402) |...Building a Scalable Digital Asset Management Platform in the Cloud (MED402) |...
Building a Scalable Digital Asset Management Platform in the Cloud (MED402) |...
Amazon Web Services
 
Moderne budgetierung praxisbeispiele
Moderne budgetierung praxisbeispieleModerne budgetierung praxisbeispiele
Moderne budgetierung praxisbeispiele
ICV_eV
 
32 unternehmenswert teil 2
32 unternehmenswert teil 232 unternehmenswert teil 2
32 unternehmenswert teil 2
ICV_eV
 
Los libros interactivos multimedia
Los libros interactivos multimediaLos libros interactivos multimedia
Los libros interactivos multimedia
Brayan Arley F D
 
trabajo echo en clase de power point
trabajo echo en clase de power pointtrabajo echo en clase de power point
trabajo echo en clase de power point
tobonangel
 
SCD13: Die technische Roadmap von Shopware 4
SCD13: Die technische Roadmap von Shopware 4SCD13: Die technische Roadmap von Shopware 4
SCD13: Die technische Roadmap von Shopware 4
shopware AG
 
Focusgroupmetodologia 110615224411-phpapp02
Focusgroupmetodologia 110615224411-phpapp02Focusgroupmetodologia 110615224411-phpapp02
Focusgroupmetodologia 110615224411-phpapp02
More Cepeda
 
Bericht pr ausschuss stand november 2012
Bericht pr ausschuss stand november 2012Bericht pr ausschuss stand november 2012
Bericht pr ausschuss stand november 2012
ICV_eV
 

En vedette (17)

Cloud Computing - An Introduction
Cloud Computing - An IntroductionCloud Computing - An Introduction
Cloud Computing - An Introduction
 
Tipps & Tricks zum Aufbau einer Unternehmenscloud mit CC13
Tipps & Tricks zum Aufbau einer Unternehmenscloud mit CC13Tipps & Tricks zum Aufbau einer Unternehmenscloud mit CC13
Tipps & Tricks zum Aufbau einer Unternehmenscloud mit CC13
 
Building a Scalable Digital Asset Management Platform in the Cloud (MED402) |...
Building a Scalable Digital Asset Management Platform in the Cloud (MED402) |...Building a Scalable Digital Asset Management Platform in the Cloud (MED402) |...
Building a Scalable Digital Asset Management Platform in the Cloud (MED402) |...
 
Moderne budgetierung praxisbeispiele
Moderne budgetierung praxisbeispieleModerne budgetierung praxisbeispiele
Moderne budgetierung praxisbeispiele
 
Doctrina social viii desarrolo ecologia
Doctrina social viii desarrolo ecologiaDoctrina social viii desarrolo ecologia
Doctrina social viii desarrolo ecologia
 
32 unternehmenswert teil 2
32 unternehmenswert teil 232 unternehmenswert teil 2
32 unternehmenswert teil 2
 
Los libros interactivos multimedia
Los libros interactivos multimediaLos libros interactivos multimedia
Los libros interactivos multimedia
 
Cambiar para no cambiar nada S270515s
Cambiar para no cambiar nada S270515sCambiar para no cambiar nada S270515s
Cambiar para no cambiar nada S270515s
 
trabajo echo en clase de power point
trabajo echo en clase de power pointtrabajo echo en clase de power point
trabajo echo en clase de power point
 
SCD13: Die technische Roadmap von Shopware 4
SCD13: Die technische Roadmap von Shopware 4SCD13: Die technische Roadmap von Shopware 4
SCD13: Die technische Roadmap von Shopware 4
 
2. cantidad física
2. cantidad física2. cantidad física
2. cantidad física
 
Bodegón h.k.
Bodegón h.k.Bodegón h.k.
Bodegón h.k.
 
MR_RadioWien_Spielen_Februar2016
MR_RadioWien_Spielen_Februar2016MR_RadioWien_Spielen_Februar2016
MR_RadioWien_Spielen_Februar2016
 
Focusgroupmetodologia 110615224411-phpapp02
Focusgroupmetodologia 110615224411-phpapp02Focusgroupmetodologia 110615224411-phpapp02
Focusgroupmetodologia 110615224411-phpapp02
 
Tomar las riendas_de_la_vida-051021
Tomar las riendas_de_la_vida-051021Tomar las riendas_de_la_vida-051021
Tomar las riendas_de_la_vida-051021
 
Llevadosporlaimaginacinnosponemosasoar 140724142504-phpapp01
Llevadosporlaimaginacinnosponemosasoar 140724142504-phpapp01Llevadosporlaimaginacinnosponemosasoar 140724142504-phpapp01
Llevadosporlaimaginacinnosponemosasoar 140724142504-phpapp01
 
Bericht pr ausschuss stand november 2012
Bericht pr ausschuss stand november 2012Bericht pr ausschuss stand november 2012
Bericht pr ausschuss stand november 2012
 

Plus de Marc Ruef

Lehrgang Computersicherheit
Lehrgang ComputersicherheitLehrgang Computersicherheit
Lehrgang Computersicherheit
Marc Ruef
 

Plus de Marc Ruef (7)

Source Code Analyse - Ein praktikabler Ansatz
Source Code Analyse - Ein praktikabler AnsatzSource Code Analyse - Ein praktikabler Ansatz
Source Code Analyse - Ein praktikabler Ansatz
 
Adventures in a Decade of Tracking and Consolidating Security Vulnerabilities
Adventures in a Decade of Tracking and Consolidating Security VulnerabilitiesAdventures in a Decade of Tracking and Consolidating Security Vulnerabilities
Adventures in a Decade of Tracking and Consolidating Security Vulnerabilities
 
Firewall Rule Review and Modelling
Firewall Rule Review and ModellingFirewall Rule Review and Modelling
Firewall Rule Review and Modelling
 
Code Plagiarism - Technical Detection and Legal Prosecution
Code Plagiarism - Technical Detection and Legal ProsecutionCode Plagiarism - Technical Detection and Legal Prosecution
Code Plagiarism - Technical Detection and Legal Prosecution
 
Einführung POLYCOM
Einführung POLYCOMEinführung POLYCOM
Einführung POLYCOM
 
Lehrgang Computersicherheit
Lehrgang ComputersicherheitLehrgang Computersicherheit
Lehrgang Computersicherheit
 
Security Scanner Design am Beispiel von httprecon
Security Scanner Design am Beispiel von httpreconSecurity Scanner Design am Beispiel von httprecon
Security Scanner Design am Beispiel von httprecon
 

Cloud Computing - Risiken und Massnahmen

  • 1. Cloud Computing Risiken und Massnahmen Marc Ruef www.scip.ch 22. November 2011 Datenschutz-Forum Zürich, Schweiz
  • 2. Agenda | Cloud Computing Intro Wer? Was? ◦ Einführung 2 min Risiken ◦ Was ist Cloud Computing 2 min Transparenz Vermengung ◦ Implementierungen 5 min Kontrolle ◦ Sicherheitsprobleme 10 min Backup/Restore Abhängigkeit ◦ Zusammenfassung 2 min Migration ◦ Fragen 4 min Jur. Konflikte Verantwortung Knowhow Zentralisierung Abschluss Zusammenfassung Fragen Datenschutz-Forum 2011 2/21
  • 3. Einführung | Wer bin ich Intro Wer? Was? Name Marc Ruef Risiken Beruf Mitinhaber / CTO, scip AG, Zürich Transparenz Vermengung Private Webseite http://www.computec.ch Kontrolle Letztes Buch „Die Kunst des Penetration Testing“, Backup/Restore Computer & Literatur Böblingen, Abhängigkeit Migration ISBN 3-936546-49-5 Jur. Konflikte Verantwortung Knowhow Zentralisierung Abschluss Zusammenfassung Fragen Übersetzung Datenschutz-Forum 2011 3/21
  • 4. Einführung | Aus dem Hype wird ein Trend Intro Wer? Was? Risiken Transparenz Vermengung Kontrolle Backup/Restore Abhängigkeit Migration Jur. Konflikte Verantwortung Knowhow Zentralisierung Abschluss Zusammenfassung Fragen Datenschutz-Forum 2011 4/21
  • 5. Einführung | Definition von Cloud Computing Intro Wer? Was? Risiken Transparenz Vermengung Kontrolle „[Cloud Computing ist] ein modulares System, in dem Backup/Restore für Nutzer die Ressourcen transparent sowie Abhängigkeit dynamisch zugewiesen, verarbeitet und verrechnet Migration Jur. Konflikte werden.“ Verantwortung Knowhow Zentralisierung – scip AG Abschluss Zusammenfassung Fragen Datenschutz-Forum 2011 5/21
  • 6. Einführung | Vertriebsmodelle Intro Wer? Was? Risiken Transparenz Software as a Vermengung Service Kontrolle Backup/Restore Abhängigkeit Platform as a Migration Jur. Konflikte Service Verantwortung Knowhow Zentralisierung Infrastructure Abschluss as a Service Zusammenfassung Fragen Datenschutz-Forum 2011 6/21
  • 7. Einführung | Infrastrukturmodelle Intro Wer? Was? Risiken Hybride Transparenz Cloud Vermengung Kontrolle Backup/Restore Öffentliche Private Abhängigkeit Migration Cloud Cloud Jur. Konflikte Verantwortung Knowhow Zentralisierung Abschluss Kunde Zusammenfassung Fragen Datenschutz-Forum 2011 7/21
  • 8. Risiken | Fehlende Transparenz Intro Wer? ◦ Unbekannte Was? Risiken ◦ Prozesse Transparenz ◦ Abläufe Vermengung Die sehen ◦ Vorgaben Kontrolle *nie*, was wir ◦ Umsetzungen Backup/Restore machen … Weiterschlafen ◦ Abnahmen Abhängigkeit ! Migration ◦ Sicherheit Jur. Konflikte ◦ … Verantwortung ◦ Beispiel Fragen: Knowhow ◦ Werden Versprechen Zentralisierung eingehalten? Abschluss ◦ Ist die gewährte Zusammenfassung Sicherheit annehmbar? Fragen Datenschutz-Forum 2011 8/21
  • 9. Risiken | Vermengung von Objekten Intro Wer? ◦ Branchen Was? Risiken ◦ Finanzunternehmen Transparenz ◦ Behörden Vermengung ◦ Industrie Kontrolle ◦ … Backup/Restore ◦ Kunden Abhängigkeit Migration ◦ Bank Swiss AG Jur. Konflikte ◦ Bank USA Ltd. Verantwortung Haben keine ◦ Banque France SA Knowhow Hardware ◦ … Zentralisierung mehr. Lass mal ein paar ◦ Datentypen Abschluss Kunden auf Zusammenfassung der ◦ Öffentliche Daten Fragen *gleichen* ◦ Interne Daten Maschine laufen! ◦ Kundendaten ◦ … Datenschutz-Forum 2011 9/21
  • 10. Risiken | Verlust der Kontrolle Intro Wer? ◦ Weiterverarbeitung Was? Risiken ◦ Unternehmensdaten Transparenz Uups! Ich ◦ Mitarbeiterdaten Vermengung dachte, wi ◦ … Kontrolle r seien *sicher* ◦ Weitergabe Backup/Restore … Abhängigkeit ◦ Persönliche Daten Migration ◦ Statistische Daten Jur. Konflikte ◦ … Verantwortung ◦ Weiterverkauf Knowhow ◦ Kundeninformationen Zentralisierung ◦ Geschäfts-geheimnisse Abschluss Zusammenfassung ◦ … Fragen Datenschutz-Forum 2011 10/21
  • 11. Risiken | Backup und Restore Intro Wer? ◦ Keine klaren, einheitlichen, Was? offenen Schnittstellen Risiken Transparenz ◦ Eigene Prozesse bleiben Vermengung Was erforderlich müssen Kontrolle wir alles ◦ Komplexe Anbindung Backup/Restore sichern? Keine möglich Abhängigkeit Ahnung. Lass Migration einfach Jur. Konflikte mal irgendwas Verantwortung kopieren. Knowhow Zentralisierung Abschluss Zusammenfassung Fragen Datenschutz-Forum 2011 11/21
  • 12. Risiken | Abhängigkeit vom Anbieter Intro Wer? ◦ Präsenz Was? Risiken Deine Frau will einen ◦ Existenz (Insolvenz) neuen Swimmingpool? Transparenz Lass uns mal die Preise ◦ Lokation (Wegzug) Vermengung *modifizieren* … ◦ Erreichbarkeit Kontrolle ◦ Preise Backup/Restore ◦ Aufwand Abhängigkeit Migration ◦ Ressourcen Jur. Konflikte ◦ Spesen Verantwortung ◦ Arbeit Knowhow ◦ Angebot Zentralisierung ◦ Umfang Abschluss Zusammenfassung ◦ Qualität Fragen Datenschutz-Forum 2011 12/21
  • 13. Risiken | Schwierigkeit bei Migration Intro Wer? ◦ Eventuell fehlende Was? Unterstützung durch den Risiken Partner Transparenz Vermengung ◦ Inkompatible Mechanismen Kontrolle ◦ Mangelhafte Backup/Restore Ich kann Ihnen einen Deckungsgleichheit Abhängigkeit Wegzug unterschiedlicher Angebote Migration *nicht* empfehlen. Jur. Konflikte Verantwortung Knowhow Zentralisierung Abschluss Zusammenfassung Fragen Datenschutz-Forum 2011 13/21
  • 14. Risiken | Juristische Konflikte Intro Wer? ◦ z.B. Datenschutz muss Was? gewahrt bleiben (DSG) Risiken Transparenz ◦ Unterschiedliche nationale Vermengung Gesetzgebungen Kontrolle ◦ Data Protection Act 1998 Backup/Restore UK Abhängigkeit ◦ Privacy Act of 1974 USA Migration ◦ Länderübergreifende Jur. Konflikte Abkommen Verantwortung ◦ Europäische Knowhow … Datenschutzkonvention Zentralisierung forse! Abschluss Yes, w ◦ Internationale e can Zusammenfassung … … не Rechtshilfebegehren действит Fragen ельно! ◦ langwierig ◦ komplex ◦ aufwendig Datenschutz-Forum 2011 14/21
  • 15. Risiken | Juristische Eigenverantwortung Intro Wer? ◦ Das Unternehmen bleibt Was? trotzdem haftbar für: Risiken Was heisst Transparenz hier, sie ◦ Vorgaben waren Vermengung „sicher“? ◦ Richtlinien Kontrolle ◦ Prozesse Backup/Restore ◦ Abläufe Abhängigkeit ◦ Angebote Migration Jur. Konflikte ◦ Daten Verantwortung ◦ Infrastruktur Knowhow ◦ Handlungen Zentralisierung ◦ Mitarbeiter Abschluss ◦ … Zusammenfassung Fragen Datenschutz-Forum 2011 15/21
  • 16. Risiken | Einbusse bei Knowhow Intro Wer? ◦ Interne Mitarbeiter kennen Was? Durch eine technische Hintergründe Risiken temporäre Was heisst Race-Condition hier, sie nicht mehr Transparenz im TCP/IP-Stack waren Vermengung konnte ein „sicher“? ◦ Externer (Cloud-)Partner hat Kontrolle Integer- Wissensvorsprung Overflow Backup/Restore erzwungen ◦ Verhandlungen und Abhängigkeit werden. Die Diskussionen werden darauf folgende Migration Speicherschutz schwieriger Jur. Konflikte verletzung hat den Heap ◦ Probleme können nicht mehr Verantwortung partiell selber angegangen werden Knowhow überschrieben und zum totalen ◦ Abhängigkeit Zentralisierung Ausfall der ◦ Trägheit Abschluss neuen Zusammenfassung tokenbasierten Authentisierung Fragen geführt. Sorry. Datenschutz-Forum 2011 16/21
  • 17. Risiken | Zentraler Angriffspunkt Intro Wer? ◦ Die Cloud an sich ist Was? grundlegender Single Point Risiken of Failure (SPOF) Transparenz Vermengung ◦ Die Cloud wird zentrale Kontrolle Anlaufstelle für Angriffe Backup/Restore Hey, was ◦ Vertrauensbeziehungen Abhängigkeit machen wir denn heute innerhalb der Cloud sind Migration Abend? gefährlich Jur. Konflikte Verantwortung Dasselbe Knowhow wie jeden Abend: Wir Zentralisierung versuchen, Abschluss die Cloud an uns zu Zusammenfassung reissen! Fragen Datenschutz-Forum 2011 17/21
  • 18. Zusammenfassung Intro Wer? Was? ◦ Cloud Computing ist ein neuer Name für ein altes Konzept Risiken (Outsourcing, Grid Computing, ASP, …) Transparenz ◦ Es handelt sich um einen marketing-getriebenen Hype Vermengung (Beginn ca. Q1-2008) Kontrolle Backup/Restore ◦ Es gibt verschiedene Ansätze und Produkte des Cloud Abhängigkeit Computing (SaaS, PaaS, IaaS, …) Migration ◦ Eine wohlüberlegte Migration kann durchaus Vorteile Jur. Konflikte erlangen lassen Verantwortung Knowhow ◦ Aber eine Vielzahl an sicherheitstechnischen Zentralisierung Überlegungen sprechen gegen Abschluss Outsourcing, Virtualisierung und Cloud Computing Zusammenfassung Fragen Datenschutz-Forum 2011 18/21
  • 19. Literatur Intro Wer? Was? ◦ Die Sicherheit von Cloud Computing, Risiken http://www.scip.ch/?labs.20111110 Transparenz ◦ 10 sicherheitsrelevante Gründe gegen Cloud Computing, Vermengung http://www.scip.ch/?labs.20091127 Kontrolle Backup/Restore Abhängigkeit Migration Jur. Konflikte Verantwortung Knowhow Zentralisierung Abschluss Zusammenfassung Fragen Datenschutz-Forum 2011 19/21
  • 20. Fragen Intro Wer? Was? Risiken Transparenz Vermengung Kontrolle Backup/Restore Abhängigkeit Migration Jur. Konflikte Verantwortung Knowhow Zentralisierung Abschluss Zusammenfassung Fragen Datenschutz-Forum 2011 20/21
  • 21. Security is our Business! Intro Wer? Was? scip AG Risiken Badenerstrasse 551 Transparenz CH-8048 Zürich Vermengung Kontrolle Backup/Restore Tel +41 44 404 13 13 Abhängigkeit Fax +41 44 404 13 14 Migration Jur. Konflikte Mail info@scip.ch Verantwortung Web http://www.scip.ch Knowhow Twitter http://twitter.com/scipag Zentralisierung Abschluss Zusammenfassung  Strategy | Consulting Fragen  Auditing | Testing  Forensics | Analysis Datenschutz-Forum 2011 21/21