Mit Verschlüsselung + eigener Schlüsselverwaltung lassen sich PaaS oder IaaS absichern. Dennoch gibt es Daten, die nicht in die Cloud gehören...
Diese lassen sich in kleinen Privat-Cloud oder Satelliten Cloud vorhalten und bearbeiten. Damit erzielen Unternehmen die Vorteiler einer zentralen Cloud-Installation mit den dazugehörigen Skaleneffekten ohne die Daten aus der Hand zu geben - Zum Beispiel bei Vorstandsentscheidungen oder sensiblen R&D-Daten.
Bessere Security aus der Cloud Webinar (2) der BeaS AWS Cloud Reihe
1. AWS Cloud
Bessere Sicherheit aus der Cloud
Sichere Schlüssel für die Cloud – Datenhoheit
gewährleisten mit eigener Schlüsselverwaltung
30. Oktober 2014
Silvio Kleesattel, Beck et al. Services
@beaservices1
17. Nächstes Webinar
AWS Cloud
Flexible Workplace-Environments
aus der Cloud
Megatrend Future Workplace
6. November 2014
Silvio Kleesattel, Beck et al. Services
silvio.kleesattel@bea-services.com
Notes de l'éditeur
SLIDE: TITEL
Auch ich möchte Sie auch von meiner Seite herzlich begrüßen, zu diesem ersten Webinar unserer Reihe “AWS Cloud: Wir holen das Beste für Sie raus”.
SLIDE: CLOUDLER
Mein Name ist Silvio Kleesattel. Seit ich mich erinnern kann begeistere ich mich für Technologie. Das war in den 70er Jahren noch der Monster-Taschenrechner vom Papa, in den 80ern dann mussten Kassetten- und Videorekorder dran glauben, bis ich dann in den 90ern richtig in die Welt der Computer und der Software eingestiegen bin. Seit 98 bin ich Mitglied des et al. Teams bei Beck und seit ungefähr 2008 nutze ich bereits intensiv Server und Storage Infrastruktur aus der Cloud in meinen Technologie-Experimenten und bei uns im Unternehmen auch produktiv für unsere eigenen Umgebungen. Natürlich machen wir seit dem auch Konzepte, Implementierungen und Interationen und Betrieb von Cloud-Lösungen für Kunden. Einige davon werden sich im Laufe der Webinar-Reihe vorstellen.
SLIDE: UNSERE WEBINAR-REIHE
Unsere Webinar-Reihe besteht aus 6 Webinars und integriert den Virtuellen Cloud Summit, den AWS am 4.11. von ca. 11 Uhr selbst anbietet. Wir fokussieren uns in dieser Webinar-Reihe ganz konkret auf Cloud für Unternehmen und besprechen Themen wie Wirtschaftlichkeit, Datensicherheit, wie sich Cloud die kommende Generation von mobilen Workplaces integriert, schauen uns an wie man Microsoft-Plattformen mit wirtschaftlich und mit hoher Kontrolle aus der Cloud erbringt, beleuchte die Rolle der Cloud bei der Innovation der Unternehmens-IT und kommen schließlich am 27.11. in einer Hangout-Runde mit Kunden und Anbietern bei dem Thema an, welche Aufagben und Rollen die Enterprise-IT im Cloud Zeitalter hat.
Ich hoffe Sie melden sich nach diesem Webinar an weiteren Veranstaltungen an.
SLIDE: SEIT LETZTER WOCHE AWS CLOUD IN DEUTSCHLAND / FRANKFURT
Seit letzter Woche gibt’s die AWS Cloud auch offiziell nun in Deutschland. Gartner sagt über Amazon Web Services in ihrem Magic Quadrant for Infrastructure as a Service, dass AWS 5 Mal größer und fortschrittlicher ist, als alle anderen IaaS-Provider wie Google, Microsoft mit Azure, Rackspace, IBM mit Softlayer, usw. zusammen. Das will ja schon was heißen! Amazon Web Services hat also letzte Woche eine neue Region mit 2 Data-Centern auf deutschem Boden, in Frankfurt am Main in Betrieb genommen. Verschiedene Medien kommentierten den Start.
Und einer der Hauptgründe, warum Amazon Web Services eine Region mit 2 Data-Center in Deutschland gebaut hat ist, weil die Deutschen noch stärkere Datenschutz-Regeln pflegen, als sie in der EU gelten oder sie weltweit angewendet werden.
Können wir also sagen, dass Deutsche Daten im weltweiten am sichersten sind?
SLIDE: RECAP LETZTES WEBINAR – CLOUD OHNE KONTROLLVERLUST
Im letzten Webinar ging es um die Cloud ohne Kontrollverlust. Wir haben gesehen, dass Cloud eigentlich die Industrialisierung der IT ist.
Cloud ist die Industrialisierung der IT
Es geht um Wirtschaftlichkeit nachhaltig sicher stellen
Unter cloud wird viel reininterpretiert, aber Virtualisierungs-Manufakturen in meinem RZ-Keller sind keine Cloud
Bei SaaS ist der Kontrollverlust am Größten
Mit Virtual Private Cloud erzielen Sie die wirtschaftlichen Vorteile von Cloud, behalten jedoch die Kontrolle über ihre Daten
SLIDE: THEMEN FÜR HEUTE
Beim Thema IT-Sicherheit kann man ganz schnell Glaubenskriege entfachen. Ich möchte heute hier kein Dogma aufstellen, sondern praktisch beleuchten, wir Cloud für viele Unternehmen im deutschen Mittelstand Verbesserungen in der Sicherheit ihrer Daten bringen kann. Natürlich sind die Beispiele und Anstöße dieses Webinars nicht für alle Unternehmen gültig. Insbesondere nehme ich die Unternehmen aus, die ganz besonders hohe Sicherheitsanforderungen haben, die z.B. Waffen oder Militärausrüstung produzieren oder reparieren, die Geld drucken oder die Atomkraftwerke planen und bauen.
SLIDE: SPANNUNGSFELD WIRTSCHAFTLICHKEIT VS. IT SICHERHEIT IN ZEITEN DER CLOUD
Datenschutz ist eine Kombination technischer und organisatorischer Maßnahmen gegen Missbrauch von Daten. Die deutschen und europäischen Datenschutz-Gesetze sind bekannt und eigentlich besteht kein Grund deshalb Cloud nicht einzusetzen.
Gut, Compliance, die Einhaltung der gesetzlichen, unternehmensinternen und vertraglichen Regelungen ist auch in den meisten Fällen machbar.
Informationssicherheit dient dem Schutz vor Gefahren bzw. Bedrohungen, der Vermeidung von wirtschaftlichen Schäden und der Minimierung von Risiken. Dabei geht es um Vertraulichkeit, Verfügbarkeit, Integrität, Authentizität, Verbindlichkeit und Zurechenbarkeit. Hier gibt es mehr zu tun, vorzubereiten und zu verbessern, wie wir gleich sehen.
Und letztendlich gibt es den gefühlten Kontrollverlust meiner Daten, wenn ich sie in die Cloud stecke.
Wir haben in der Vergangenheit bereits Erfahrungen gemacht, die wir nutzen können.
In den 80er Jahren kamen PCs in die Büros. Bis dahin waren alle Daten auf dem Großrechner sicher im Rechenzentrum. [erzählen]
In den 90er Jahren kam das Internet auf jeden Arbeitsplatz und mit ihm Viren, Trojaner, Phishing, usw. [erzählen]
SLIDE: SICHERHEIT UND COMPLIANCE IN DER CLOUD SIND GAR KEINE SO GROSSE BIESTER…
Sicherheit und Compliance ist bei Cloud ein großes Thema, insbesondere wenn man wie der Ochs vorm Berg steht und das Ganze als Beginner betrachtet.
Eine Umfrage vom amerikanischen Cloud-Berater RightScale zeigt, dass die Themen Sicherheit und Compliance jedoch eherrschbar sind. Diese beiden Themen sind weniger herausfordernd, je mehr konkrete Erfahrung ein Unternehmen mit Cloud macht.
RightScale hat dieses Jahr 1068 Unternehmen, Konzerne, Mittelstand und auch kleinere Unternehmen befragt. Leute aus IT und Business.
Darunter waren Unternehmen in verschiedenen Maturitäts-Stufen. RightScale hat sie in 4 Kategorien eingeteilt: die Cloud-Beobachter, die -Beginner, die –Erforscher und die Cloud-Nutzer, die bereits fokussiert Cloud einsetzen.
Sicherheit und Compliance war für die Cloud-Beginner ganz oben in den Top-Herausforderungen.
Je mehr Erfahrung ein Unternehmen mit Cloud sammelt, desto weniger werden Security und Compliance als Herausforderungen wahr genommen.
Bei den fokussierten Cloud-Nutzern steht Security nur noch an 5. Stelle. Dagegen ist Compliance, die Einhaltung der Regeln und Gesetze, Top-Herausforderung für Cloud-fokussierte Unternehmen.
Das Rezept lautet also: Erfahrungen in der Praxis sammeln. Sich die Hände dreckig machen. Sicherheit und Compliance in der Cloud sind lösbar!
Ein Top-Thema bleibt Compliance, also die Einhaltung sowohl von gesetzlichen Regelungen, als auch von firmeninternen Regeln, die in der Cloud-Strategie des Unternehmens definiert werden sollten und auch dort regelmäßig überprüft und aktualisiert werden müssen.
Compliance ist nicht eine einmalige Definition, ein bestandener Test, sondern eine kontinuierliche Aufgabe für die IT. Sie besteht aus Vermittlung der Regeln, aus Hilfe bei der Umsetzung, aus Kontrolle der Einhaltung und aus Anpassung der Regeln auf die sich ändernden Bedarfe des Unternehmens.
SLIDE: Periferie absichern, Mauern errichten, abschotten – Bekannte Konzepte funktionieren nicht mehr
Wie machen viele Unternehmen IT Sicherheit heute?
Sie bauen mauern um die IT, sichern die Peripherie und igeln sich ein.
Diese mittelalterliche Strategien taugen im Digitalen Zeitalter der Vernetzung und der Cloud einfach nicht mehr.
Sie verursachen mehr Aufwand und Kosten als sie tatsächlich in der Lage sind zu schützen. Und sie schüren das verhängnisvolle Vertrauen, dass im Notfall alles sicher ist.
Auch das Prinzip, eine Applikation oder Applikationslandschaft ist gleich (=) eine Sicherheitskategorie taugt nur noch sehr bedingt.
Denn am Ende kommt kommt raus: Damit alles sicher ist, muss alles im eigenen RZ-Keller laufen, auf meinen eigenen Servern und Storage, die zig-fach redundant ausgelegt sind und von eigenen Mitarbeitern betrieben werden.
Das ist für einige ganz wichtige und sichere Themen ok, aber nicht für alles. Insbesondere wenn man die Infrastruktur- und Betriebskosten senken will oder das Business durch agile und flexible digitale Prozesse unterstützen muss.
Wie geht man also am Besten vor?
Die einzige Lösung ist genauer reinschauen.
Nicht deshalb, weil im AD Anwendernamen und Passwörter gespeichert sind, müssen zwingend alle 20 Tausend Infrastruktur-Objekte im Verzeichnis und alle Domain-Controller nur im eigenen Rechenzentrum betrieben werden.
Nur weil einige Dateien des Vorstands zur Unternehmens-Strategie auf einem File-Share gespeichert sind, müssen nicht gleich alle 5 Terabyte an völlig unkritischen Marketing-, Produkt- und Sales-Dateien, Grafiken, Bilder und Videos auch im eigenen RZ-Keller sein.
Dasselbe gilt für Sharepoint-Umgebungen: Nur weil wichtige Unterlagen aus Forschung und Entwicklung in Sharepoint gespeichert werden, muss nicht die gesamte weltweite Sharepoint-Farm 3-fach redundant ausgelegt auf teuren Enterprise Storage laufen.
Oder weil es unter 20 Tausend Mailboxen 2000 Manager-Mailboxen gibt, müssen nicht die alle Anwender-Mailboxen im internen RZ betrieben werden.
Ist mein RZ, mein Netz, mein selbst betriebenes Sharepoint wirklich so viel sicherer? Wirklich? Habe ich denn die Top-Security-Experten in meinem Team, die jeden Ernstfall bekämpfen können? Und kann ich sie auch zukünftig im Team halten und ihre Einsatzfähigkeit im Ernstfall gewährleisten?
Selbst große Konzerne haben heute Schwierigkeiten, Top IT Experten aktualisiert zu halten für allen Themen die sie benötigen, um Krisensituationen wie eine Cyber-Attacke auf ihre Applikationen erfolgreich abzuwehren.
SLIDE:
Was gewinne ich an Sicherheit durch die Cloud / was verliere ich eventuell an Sicherheit durch die Cloud?
Knowledge, ein schlagkräftiges Team an Spezialisten mit gefestigten Prozessen, permanent aktualisert und zertifiziert
Aktuellste Software-Updates, automatisiert eingespielt auf alle Systeme
Weltweite Recovery Möglichkeiten für den K-Fall
Kostengünstige Redundanz für Business-Applikationen
Kontrolle, wo meine Daten weltweit aufbewahrt werden
AWS verschiebt keine Daten außerhalb einer Region ohne das explizite Zutun des Cloud-Kunden
SLIDE: Eigene Schlüsselverwaltung und Verschlüsselungsschicht
Daten und Applikationen, die höheren Sicherheitsanforderungen genügen müssen, sollten Sie durch eine zusätzliche Verschlüsselungs-Schicht schützen, die zwischen der Cloud und den Daten liegt. Am besten macht man das im Betriebssystem der virtuellen Maschine.
Wichtig dabei ist, dass ihr Unternehmen die Kontrolle über die Schlüssel und die Schlüsselverwaltung behält. Das ist genauso wie wenn Sie ihre Produktionsanlagen mit einem Schlüsselsystem ausstatten. Der Werkschutz verwaltet die Schlüssel, die Ihnen gehören und die Sie ggf. an Dienstleister, Mitarbeiter, usw. geben.
HSM
Eigene Schlüsselverwaltung
Eigene Verschlüsselungsschicht
Geht natürlich nur bei IaaS + Orchestrierten Unternehmens-Plattformen, nicht bei PaaS und SaaS
Virtual Private Clouds sind dafür perfekt geeignet
Wieso sollte ich das auch in meinem eigenen RZ, in meiner Private Cloud durchgängig einführen?
SLIDE: Kleine, verteilte Cloud-Umgebungenfür spezielle Sicherheitsanforderungen
LocalClouds
Viel besser als die Alternativen heute für Daten, die ganz sicher sein sollten, wie Betriebsgeheimnisse, Forschungs- und Entwicklungsumgebungen, Unternehmenskennzahlen und –Strategie, usw.
Alternativen heute: Auf Papier / auf einem getrennten Laptop/Datenträge im Tresor oder in einer Umgebung, die dann übertriebene Maßnahme allen Anwendern aufzwingt, ohne wirklich bessere Sicherheit für die zu schützenden Daten zu bieten.
SLIDE: WAS NICHT IN DIE CLOUD GEHÖRT
Material, dessen Bestiz strafbar oder kompromittierend für das Unternehmen ist, wie z.B. geheime Informationen von Partner- oder Konkurrenzunternehmen aber auch Copyright-Verletzungen, also unlizenzierte Bilder, Videos, Texte oder Software haben in der Cloud defintiv nichts zu suchen – wie sie auch nichts auf ihren IT Systemen zu suchen haben.
Dateien, Akten, Bilder, Videos deren Veröffentlichung kompromittierend oder existenzgefährdend für das Unternehmen ist, wie z.B. Produktionsgeheimnisse
Besondere Vorsicht, also Daten mit denen ich vielleicht nicht gleich an erster Stelle in die Cloud gehen würde:
Verzeichnisse mit Zugriffsdaten und Passwörtern
Personenspezifische Daten, z.B. Kundeninformationen, HR-Daten, Finanzauskünftige von Mitarbeitern, Partnern oder Kunden
Patientendaten oder medizinische Unterlagen
Kreditkarteninformationen von Kunden, Partnern, Mitarbeitern
Markt- oder Börsenbeieinflussenden Unternehmens-Internas
SLIDE: INFORMATIONSSICHERHEIT LÄSST SICH MIT DER CLOUD VERBESSERN
Ich möchte kurz zusammenfassen, was wir heute hier besprochen haben:
Sicherheit in Zeiten der Cloud umfasst ein breites Umfeld an Themen, unter anderem
Datenschutz, also den Schutz und die Kontrolle der persönlichen Daten eines Menschen
Einhaltung der gesetzlichen oder vertraglichen Regelungen.
Informationssicherheit
und das Gefühl von Kontrollverlust
Heute haben sie oftmals Pseudo-Sicherheit
und ein Gefühl der Kontrolle
in dem Sie ihre Daten im eigenen RZ-Keller
auf eigenen Servern lagern und verwalten.
Sicherheit ihrer Daten lässt sich mit der Cloud in den meisten Fällen deutlich verbessern,
zum Beispiel durch Automatisierung und somit den Einsatz der immer aktuellsten Software-Releases
oder dadurch, dass seriöse Cloud-Provider wirkliche Experten-Teams haben,
die sich tatsächlich bis ins Detail mit den Servern und der Software auskennen.
Auch wenn Sie nicht in eine Public oder Virtual Private Cloud gehen,
macht eine Sicherheits-Schicht sinn,
die Ihnen alleine die Kontrolle über Vertraulichkeit, Integrität, Authentizität und Verbindlichkeit ihrer Daten gewährleistet.
Das erzielen Sie durch eine eigene Schlüsselverwaltung und entsprechende Verschlüsselungs-Software für gespeicherte Daten und Datenübertragung.
Diese Schicht sollten Sie durchgehend in alle Server ihrer Private Cloud und in der Virtual Private Cloud einziehen.
Für besonders schützenswerte Daten, wie z.B. aus Forschung & Entwicklung, Vorstands-Informationen oder Unternehmensgeheimnisse,
können kleine, lokale Cloud-Umgebungen
mit automatisierten Plattformen wie Sharepoint, Exchange oder Lync
eine bessere Lösung sein, als die heute verwendeten.
Beck et al. Services hilft Ihnen bei der Konzeption, Integration und Orchestrierungihrer sicheren Cloud-Umgebung.
[Kommen wir zu den Fragen…]
[Ich kann aufgrund der Zeit leider nur einige davon beantworten.]
[Ich sehe hier, dass während des Webinars keine Fragen gestellt wurden. Falls Sie zu einem späteren Zeitpunkt noch Fragen zu diesem Webinar haben, senden Sie mir bitte eine E-Mail.]
SLIDE: AWS VIRTUAL CLOUD SUMMIT
Am Dienstag, 4.11. ab 11 Uhr findet der erste Virtual Cloud Summit von AWS statt. Weitere Informationen dazu finden Sie unter www.aws-summit.de.
SLIDE: NÄCHSTES WEBINAR
Ich bedanke mich herzlich für ihre Aufmerksamkeit und lade Sie zu unserem nächsten Webinar am 6. November ein, wo es um Flexible Workplace-Umgebungen aus der Cloud geht.
Vielen Dank!