Zajištění kybernetické bezpečnosti cloudových služeb. Zdeněk Jiříček National Technology Officer Microsoft Česká republika

Rozměr: px

Začít zobrazení ze stránky:

Download "Zajištění kybernetické bezpečnosti cloudových služeb. Zdeněk Jiříček National Technology Officer Microsoft Česká republika"

Marie Hrušková
před 8 lety
Počet zobrazení:

1 Zajištění kybernetické bezpečnosti cloudových služeb Zdeněk Jiříček National Technology Officer Microsoft Česká republika 1

2 Poslední trendy mění přístup k bezpečnosti 2

3 Slyšíme kolem sebe otázky... Proč bych měl důvěřovat Microsoftu? Jaké bezpečnostní audity a certifikace má cloudová infrastruktura Microsoftu? Jestli dám určité aplikace do cloudu, budu schopen vyhovět regulatorním požadavkům? Jak bychom měli ve firmě hodnotit cloudové dodavatele z hlediska bezpečnosti, ochrany soukromí, a souladu s legislativou? 3

Jestli dám určité aplikace do cloudu, budu schopen vyhovět regulatorním požadavkům?

Stavba cloudových služeb Microsoftu Služby pro firemní zákazníky Software as a Service (SaaS) Služby pro spotřebitele Hostingové služby partnerů

4 Stavba cloudových služeb Microsoftu Služby pro firemní zákazníky Software as a Service (SaaS) Služby pro spotřebitele Hostingové služby partnerů Platform as a Service (PaaS) Infrastructure as a Service (IaaS) Microsoft Global Foundation Services Datacenters Operations Global Network Security 4

Platform as a Service (PaaS) Infrastructure as a Service (IaaS) Microsoft

5 Management System Information Security Management System Plán auditů Organizační bezpečnost Řízení rizik, aktiva, hrozby, zranitelnosti Bezpečnostní politika Struktura souladu s legislativou Testy a audity ISO / IEC 27001:2005 SSAE 16/ISAE SOC 1 AT101 - SOC 2 and 3 PCI DSS (Payment Card Industry) FedRAMP P-ATO, FISMA akreditace A další... 5

souladu s legislativou Testy a audity ISO / IEC 27001:2005 SSAE 16/ISAE 3402 - SOC 1

6 Microsoft cloud: domény pro ISO 27001:2005 Plus další požadavky dle NIST a PCI-DSS (Payment Card Industry...) Bezpečnostní opatření Řízení rizik 1. (A.05) Bezpečnostní politika 2. (A.06) Organizace bezpečnosti informací 3. (A.07) Řízení aktiv 4. (A.08) Bezpečnost lidských zdrojů 5. (A.09) Fyzická bezpečnost a vliv životního prostředí 6. (A.10) Řízení provozu 7. (A.11) Řízení přístupu 8. (A.12) Akvizice, vývoj a údržba 9. (A.13) Zvládání bezpečnostních incidentů 10.(A.14) Řízení obchodní kontinuity 11.(A.15) Soulad s regulatorními požadavky 12.Šifrování 13.Bezpečnost komunikací 14.Řízení dodavatelů 6

(A.10) Řízení provozu 7. (A.11) Řízení přístupu 8. (A.12) Akvizice, vývoj a údržba 9. (A.13) Zvládání bezpečnostních incidentů 10.(A.14) Řízení obchodní kontinuity 11.

7 Standard - certifikace Office 365 Microsoft Dynamics CRM Microsoft Azure Windows Intune GFS (Global Foundation Services infrastruktura datových center) ISO 27001:2005 Yes Yes Yes Yes Yes EU Model Clauses (Standardní smluvní doložky Evropské unie, ověřen soulad ) Yes Yes Yes Yes Yes EU Safe Harbor Yes Yes Yes Yes Yes PCI DSS (Payment Card Industry Data Security Standard) N/A N/A Yes N/A Yes SOC 1 Type 2 (Service Organization Controls - SSAE 16/ISAE 3402) Yes Yes Yes No, Type 1 only Yes SOC 2 Type 2 (AT Section 101) Yes No Yes No, Type 1 only Yes UK G-Cloud Yes Yes Yes No N/A FedRAMP (US) (Moderate) Yes No Yes No Yes FERPA (US Education) Yes N/A Yes N/A N/A HIPPA/BAA (US - Healthcare) Yes Yes Yes Yes Yes IPv6 Yes No No No N/A CJIS (US - Criminal Justice) Yes No No No N/A 7

Yes SOC 1 Type 2 (Service Organization Controls - SSAE 16/ISAE 3402) Yes Yes Yes No, Type 1 only Yes SOC 2 Type 2 (AT Section 101) Yes No Yes No, Type 1 only Yes UK G-Cloud Yes Yes Yes No N/A

8 Defense in depth : vrstvená obrana FYZICKÁ VRSTVA SÍŤ SERVERY APLIKACE DATA Identita a řízení přístupu Zabezpečené konfigurace, skenování zranitelností Zvládání bezpečnostních incidentů 24 x 7 x 365 8

10 Some of the measures employed at the Data Center Perimeter Security Fire Detection & Suppression Multi-factor authentication Extensive Monitoring + Odolnost proti výpadku energie v řádu dnů

12 Předpoklad průniku (Assume Breach) Detekce neobvyklých aktivit na serverech Alerty na procesy mimo white list Alerty na změny konfigurací nebo změny registry Analýza šablon útoků (např. APTs) Analýza velkých dat hledání neobvyklostí v provozních záznamech Nácviky zvládání incidentů Simulace útoků a penetrační testy, včetně falešných administrátorů s fyzickým přístupem Nácviky zadržení průniku, vypuzení, MTTD, MTTR Audit přístupů administrátorů v cloudu Commandlets, Logins, zvýšená oprávnění, nové admin. účty Izolace mezi různými foresty V procesu zavádění Monitor Emerging Threats Invest in Reactive Security Needs Execute Post Breach War Game Exercises Blue Teaming Red Teaming Insider Attack Simulation 12

APTs) Analýza velkých dat hledání neobvyklostí v provozních záznamech Nácviky zvládání incidentů Simulace útoků a penetrační testy, včetně falešných administrátorů s fyzickým

13 Prevence průniku - zásady Skenování portů Skenování zranitelností na perimetru Procedura záplatování Testování a prevence DoS / DDoS 2-faktorová autentizace Izolace mezi prostředím u a admin funkcemi, segmentace vnitřní sítě Neexistuje trvalý přístup na zákaznická data Just in time elevations vydané nadřízeným na nezbytně dlouhou dobu Přístup na zákaz. data: pouze zaměstnanci s prověrkami Automatické zrušení účtu Při odchodu zaměstnance Při změně pozice Dlouhodobě bez aktivity Logování / audit všech přístupů a aktivit adminů 13

zákaznická data Just in time elevations vydané nadřízeným na nezbytně dlouhou dobu Přístup na zákaz.

15 Škálovatelnost a redundance zdrojů Každé datové centrum > 1 mld. USD investice, celkově >1 mil. serverů Quincy Cheyenne Chicago Des Moines San Antonio Boydton Dublin Amsterdam Singapore Shanghai Hong Kong Japan Brazil Zajištění dat: V každém datacentru 3 kopie dat Geografická replikace min. 600km daleko Zákazník volí místo uložení dat Zákazník konfiguruje úroveň replikace dat Australia

Shanghai Hong Kong Japan Brazil Zajištění dat: V každém datacentru 3 kopie dat Geografická

16 Protokol SSL/TLS Nově: Perfect Forward Secrecy Exchange online podporuje S/MIME, PGP Asymetr. šifra 2048 bit Perfect Forward Secrecy Bitlocker AES ochrana proti krádeži a při likvidaci disků Chybné disky ničeny v datacentru (NIST ) Skype call: AES 256 Exchange Online na jiné servery: TLS by default

šifra 2048 bit Perfect Forward Secrecy Bitlocker AES 256 - ochrana proti

17 Zabezpečení dat v Office 365 Active Directory Rights Management Services (volitelné šifrování a zabezpečení obsahu) Uživatel volí různé stupně zabezpečení Azure AD RMS lze i mimo vlastní origanizaci Office 365 Pro Plus: Crypto Plug-in Lze použít Windows Crypto Next Generation (CNG) zapojení vlastních algoritmů pro šifrování a el. podpis Exchange Online Data Loss Prevention (DLP) Vestavěná inteligence zabraňuje uživateli odeslat em citlivé informace (včetně příloh a offline režimu) Nástroj uvědomění uživatelů, citlivé informace lze nastavit politikami Bezpečnostní riziko Podvodný administrátor Ztráta citlivých dat Ukradený/ztracený laptop Ukradený/ztracený smartphone Způsob řešení RMS, BitLocker RMS; Exchange 2013 DLP Policies BitLocker BitLocker 17

podpis Exchange Online Data Loss Prevention (DLP) Vestavěná inteligence zabraňuje uživateli odeslat emailem citlivé informace (včetně příloh a offline režimu) Nástroj uvědomění uživatelů,

Exchange Komplexní ochrana Multi-engine antimalware chrání proti 99-100% známých virů Trvale akutalizovaný anti-spam zachytí >98% příchozího spamu Pokročilé technologie analýzy malwaru - poznají a

18 Exchange Komplexní ochrana Multi-engine antimalware chrání proti % známých virů Trvale akutalizovaný anti-spam zachytí >98% příchozího spamu Pokročilé technologie analýzy malwaru - poznají a zastaví nový spam a phishing v reálném čase Jednoduchost použití Předkonfigurováno pro jednoduché nasazení Správa EOP integrovaná se správou Exchange online Jemné možnosti nastavení Např. označit všechny hromadné rozesílky jako spam Např. blokovat podle jazyku nebo zemí původu 18

čase Jednoduchost použití Předkonfigurováno pro jednoduché nasazení Správa EOP integrovaná se správou Exchange online

19 ISO/IEC 27018:2014 ISO nový mezinárodní standard pro ochranu osobních informací v cloudu, založen na EU zákonech pro ochranu dat. Publikován Nutný explicitní souhlas uživatele pro užití jeho dat k marketingu nebo inzerci Poskytovatel nesmí odmítnout dát službu, i pokud mu uživatel tento souhlas nedá Musí informovat uživatele kde jsou jeho data, a jakým způsobem se zpracovávají V případě bezp. incidentů prověřit, zda nedošlo Efektivní k úniku alternativa osobních údajů k Pokud ano, musí informovat uživatele a zákaznickému auditu regulátora ISO auditní zpráva má být relevantní pro zákazníka a jeho regulatorní požadavky Microsoft plánuje získat ISO certifikát v průběhu r

informovat uživatele kde jsou jeho data, a jakým způsobem se zpracovávají V případě bezp.

21 Internal Network External Network Segmentace na vnitřní a vnější síť Fyzické oddělení serverů/storage od externích rozhraní Propojení přes Edge security router monitoring a detekce průniků jen na vnější síti Ochrana před DoD/DDoS: Automatické škálování kapacity zdrojů (Azure) Přiškrcování (Throttling) Lze vyžádat filtraci IP adres přes support ticket 21

23 Integrace s Active Directory, Azure Active Directory, a Active Directory Federation Services Strana zákazníka Podpora 2-faktor. autentizace přes RSA nebo PhoneFactor Řízení přístupu na jméno podle zařízení, lokality, IP adresy Řízení přístupu dle rolí (RBAC) Strana Microsoftu Řízení přístupu dle rolí (RBAC) Just-in-Time Access, tváří se jako Lockbox 23

25 Reakce na incident Začátek incidentu Incident detekován Zapojení vývojového a provozního týmu Ohodnocení incidentu Zapojení bezpečnostního týmu Potvrzení bezpečnostní ho incidentu Upozornění zákazníků Reakce na zákaznické požadavky Úplný proces v 9 krocích Zaměřeno na rychlou identifikaci a obnovení Upozornění je součástí smluvních závazků Identifikace zasažených zákazníků Definování dopadu na zákazníky 25 Upozornění zákazníků

27 Microsoft Services v oblasti Cyber Security 27

28 28

obrany díky koncentraci zdrojů 3 Certifikace, audity, smluvní zajištění

29 Je cloud více, nebo méně bezpečný proti tomu co dnes máte? 1 Technická a organizační bezpečnostní opatření v cloudu 2 Pokročilé metody obrany díky koncentraci zdrojů 3 Certifikace, audity, smluvní zajištění souladu 4 Právní ochrana Vašich dat vůči třetím stranám 5 Pozitivní zkušenost firemních zákazníků 29

30 cloud blogs.technet.com/security 30

Děkuji za pozornost! Zdeněk Jiříček National Technology Officer zdenekj@microsoft.com 2014 Microsoft Corporation. All rights reserved.

31 Děkuji za pozornost! Zdeněk Jiříček National Technology Officer 2014 Microsoft Corporation. All rights reserved. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION. 31

Podobné dokumenty

Můžeme mít důvěru v cloudové služby? Zdeněk Jiříček National Technology Officer Microsoft Česká republika

Můžeme mít důvěru v cloudové služby? Zdeněk Jiříček National Technology Officer Microsoft Česká republika 1 Poslední trendy mění přístup k bezpečnosti 2 Slyšíme kolem sebe otázky... Proč bych měl důvěřovat