Kurzreferat über Cloud Security und Cloud Governance auf der "discuss & discover 09" der Messe München

1. Securingthe Cloud Warum die Wolken-IT neue Ansätze für Sicherheit braucht Tim Cole Kuppinger Cole + Partner

2. Ziele von IT-Security Schutz vor technischem Systemausfall Schutz vor Sabotage oder Spionage Schutz vor Betrug und Diebstahl Schutz vor Systemmissbrauch, durch illegitime Ressourcennutzung, Veränderung von publizierten Inhalten, etc. Quelle: Wikipedia, Stichwort „Informationssicherheit“

3. SCHUTZ

4. Ziele von Identity Management Konsistenz und Aktualität der Nutzerdaten Erleichterung bei der Einführung von neuen Diensten und Methoden (z.B. Single Sign-on) Vereinfachung der Datenhaltung dauerhafte Kosteneinsparungen in der Administration bessere Kontrolle über die Ressourcen optimale Unterstützung von internationalen Projekten im Bereich Cloud Computing höhere Sicherheit

5. KONTROLLE

6. Klassischer Security-Ansatz: Perimeter Defense Internet corporation datacenter

7. Eine Wolke hat keinen „Perimeter“

8. ? ? ? ? ? ? ? Internet/Extranet/Intranet datacenter

9. applications Identity-Ansatz: Lückenlose Kontrolle AUDIT company customers supplier „extendedenterprise“ (things) products / services IT systems (machines) (people) users So whoisallowedto do whatwithinyourbusinessprocesses?

10. 3 Thesen zu Identity & Security: „Kunden wollen ihre Security Policies mit Benutzer- und Rollen-Management sowie mit Business-Prozessen in Einklang bringen.“ „Technische Lösungen müssen heute Identity & Access Management (IAM) auf allen Ebenen gewährleisten: Netzwerk-Infrastruktur, Anwendungen und Daten.“ „Das ist nur durch die Kombination von IAM und IT Security möglich.“

11. „Identitäts-basierte Security und effektives Rollenmanagement in der Cloud ist Voraussetzung für nachhaltige Sicherheit.“

12. IAM ist die Grundlage für sicheres Cloud Computing IAM adressiertALLEAspekte von Cloud Security DLP (Data Leakage Prevention) Attestierung von Zugriffsberechtigungen Schutz vor Insider-Angriffen Missbrauch privilegierter Benutzerkonten („EvilAdmins“) Fazit: Investitionen in Cloud Computing dürfen nicht zu Lasten von IAM gehen

13. Cloud Governance

14. CloudGovernance steckt noch in den Kinderschuhen Segregation of Duties in der Cloud Standard-basierte Bewertung von Risiken in der Cloud Auditing über Systemgrenzen hinweg Identifizierung von Benutzung, Steuerung von Berechtigungen über verschiedene Cloud Services hinweg Mit Cloud Computing sind Compliance-Konflikte vorprogrammiert USA/Homeland Security vs.EU-Datenschutzrichtlinie) Welches Gericht ist zuständig? Wer soll es machen? „Governance-as-a-Service“?

15. „Cloud-Universum 2009“ Cloud Service Provider/Reseller „Cloud for theMasses“ Google Apps Novell viele Mozy Amazon Microsoft Azure Industry Cloud Microsoft S+S RM5 Kunden SaaS Classic Outsourcing HP IBM „cloud“ SalesForce SAP EMC IBM „classic“ wenige generisch spezifisch Wiederverwendbarkeit des Angebots

16. Der Markt für Cloud Security Microsoft und IBM sind am besten positioniert, um diese gesamtheitliche Sicht auf Identity und Security zu liefern. Sie haben als einzige ein genügend breitgefächertes Portfolio CA, HP, Google sind die großen Herausforderer. Oracle könnte durch die Sun-Übernahme seinen Rückstand in Security ausgleichen und wäre ein weiterer Kandidat. Novell konzentriert sich auf den „Nischenmarkt“ Provider Reinen Security-Anbieter wie Symantec, Trend Micro oder McAfee haben kaum IAM-Kompetenz Sie könnten dieses Manko aber durch Akquisitionen (Juniper, Courion?) schnell ausgleichen.

17. „Questions to ask your IT people“ Was bringt Cloud Computing für unser Unternehmen? Kostenvorteile Nachhaltigkeit Sicherheit (Zertifizierung!) Firmenwert („was passiert bei M&As?“) Welche Cloud-Strategie ist für unser Unternehmen die richtige? Muss ich mich ganz entscheiden, oder kann ich Cloud für einzelne IT-Aufgaben verwenden und ansonsten weitermachen wie bisher? Was sagen unsere Wirtschaftsprüfer? Was sagen unsere Kunden? Fühlen die sich wohl bei dem Gedanken, dass wir mit ihren Daten Cloud Computing betreiben? Binde ich mich an einen bestimmten Provider, oder bin ich frei zwischen Providern zu wechseln?

18. Fazit: Unternehmen sollten nicht über „Cloud Computing“ sondern über „Cloud IT“ nachdenken. Die setzt neue Organisationsformen und neue Ansätze in Sicherheit, Identity Management, GRC(Governance, Risk Management & Compliance), Business ProcessDevelopment & Prozess-Management voraus und erzwingt damit eine völlig neue IT-Kultur im Unternehmen. Cloud ist ein ganz neues Spiel, und keiner kommt daran vorbei!

19. Vielen Dank! tc@kuppingercole.de