(NE)BEZPEČNÝ CLOUD. Libor Kovář CSO, ČEZ ICT Services, a. s. Head of Corporate CyberSec Group. Pavel Hejduk CSIRT Team Leader, ČEZ ICT Services, a. s.

Transkript

1 (NE)BEZPEČNÝ CLOUD Libor Kovář CSO, ČEZ ICT Services, a. s. Head of Corporate CyberSec Group Pavel Hejduk CSIRT Team Leader, ČEZ ICT Services, a. s.

2 AGENDA Kdo a proč vlastně chce CLOUD? CSO na koni anebo v rozpacích ;-) CLOUD jako lék na vše CLOUD: public + private = hybrid Dopady +/-, EXIT

3 ČEZ ICT Services, a. s. Kdo a proč? Zajišťujeme ICT pro Skupinu ČEZ (22 lokalit, 12tis uživatelů, serverových OS a stovky aplikací) Podporujeme velmi konzervativní business (distribuce, výroba) i velmi dynamický business (prodej, trading) Zajišťujeme kybernetickou bezpečnost v celé Skupině ČEZ Průběžně testujeme ICT řešení, hodnotíme využitelnost a potenciál pro Skupinu ČEZ

4 My chceme CLOUD! Obvykle to začíná business nápadem a úplně na konci zazní: jo a uděláme to v cloudu Typické komentáře Je to trend Lidi z firmy **** mi říkali, že to je dobré Všichni to přeci používají Mě by se líbilo, kdyby Na telefonu mám to funguje super mám tam fotky i dokumenty

5 Proč CLOUD? (odpovídá business) Flexibilní k mým požadavkům TTO (krátký time-to-market interval) (odpovídá CIO/CTO) On demand infrastruktura, platforma, služba Vysoká dostupnost out-of-box (odpovídá CFO) Transparentní financování, predikce nákladů (odpovídá CSO)?!?? Hmmm (flustrace, sklopené oči, plachý výraz, )

6 Opáčko: CSO a jeho tým K čemu ve společnosti máme CSO a jeho tým? Identifikace a eliminace rizik Zvládání mimořádných situací Aktivní podpora business cílů společnosti CLOUD je riziko a je potřeba jej eliminovat, anebo CLOUD je business cíl a je potřeba jej podporovat?

7 Čí problém je bezpečnost dat? Poskytovatele CLOUDu? Prostředníka / systémového integrátora CLOUDu? Uživatele CLOUDu? Vybrané pohledy: Ochrana osobních údajů Ochrana business dat (konkurenční výhoda) Reputační riziko

8 Na co CSO myslí? Use case (model užití CLOUDu) Datová aktiva (typ, cena dat) Architektura (ICT on-prem / služby CLOUDu) Více rozměrů důvěrnost legislativa, business kritická data, reputace integrita master data management, změny z více směrů dostupnost zajištění přístupu, mazání dat

9 Business musíme naučit, že

10 Měli bychom se ptát proč business vnímá, že CLOUD (cizí počítač) je: Více flexibilní Zajistí TTO (krátký time-to-market interval) proč CIO/CTO a CFO vnímají, že CLOUD (cizí počítač) představuje: On demand infrastrukturu, platformu, službu Vysokou dostupnost out-of-box Transparentní financování, predikci nákladů proč je CSO rezervovaný k inovacím: Je CLOUD pro společnost dobrá anebo špatná zpráva?

11 CLOUD jako lék na vše Poskytovatelé CLOUDu deklarují zajištění bezpečnosti dat deklarují plnění lokální legislativy a regulativ zdráhají se nastavit individuální podmínky vlažně přistupují k možnosti zákaznického auditu zpravidla odmítají přímé bezpečnostní testy Staré přísloví nicméně říká: Důvěřuj, ale prověřuj!

12 Dopady o kterých (ne)víme Aby CLOUD pro naše uživatele fungoval: Publikuje vstupní bod s naší identitou Publikuje autokonfigurační metody pro přístup do naší infrastruktury Publikuje autentizační rozhraní s našimi identitami Přístup k logům a auditu je odlišný Přístup na Internet již není jen web-surfing Uživatel přestává vnímat zda je uvnitř organizace (na intranetu) anebo vně organizace (v internetu)

13 CLOUD: public + private = hybrid Který CLOUD je pro nás bezpečný? Public společné podmínky, robustní infrastruktura, geografický aspekt Private vlastnosti na míru, hardening, omezené možnosti škálování, geografický aspekt, personální bezpečnost, testovatelný Hybrid rozsáhlá integrace, dynamické scénáře, částečně testovatelný Bezpečný CLOUD pro nás nemusí znamenat obchodně zajímavý pro poskytovatele

14 Dopady, které máme rádi Škálovatelnost jako vlastnost Offload probíhajících útoků Data v cloudu => na jednom místě Řešení zálohování dat z desktopů a mobilů/tabletů Řešení archivace mailboxů Možnosti data discovery Odpovědnost poskytovatele CLOUDu

15 východ je v přízemí (EXIT!) A co když řekneme DOST! máme připravenou EXIT strategii? Migrace dat Rekonfigurace / redesign infrastruktury Lokalizace a mazání dat Důvěryhodná skartace dat Zálohy, logy, Revokace certifikátů a kampaně změny hesel

16 Závěrem: my CLOUD (ne)máme rádi Všeobecně správné řešení (zřejmě) neexistuje Všeobecně špatné řešení (snad) neexistuje to jsme Vám pomohli, co? ;-) Pokud náš business potřebuje ICT prostředí s vlastnostmi známými pod pojmem: CLOUD, je naší prací to zajistit bezpečným způsobem...

17 A jak to vnímáme my dnes? Nutno vnímat rozdílný přístup ke CORE a COMODITY ICT službám U komoditních služeb realizujeme RFI, PoC na požadavky nebyly vždy odpovídající nabídky (struktura služby, funkčnost, cena) Situace se dynamicky mění: co platilo včera dnes už platit nemusí Aktuálně pracujeme na PoC infrastrukturního stacku (orchestration, scalability, security, ) Průběžně vzděláváme business a blokujeme vstup obchodníkům s CLOUDem ;-)

18 Děkujeme za pozornost. Libor Kovář ČEZ ICT Services, a. s. Pavel Hejduk ČEZ ICT Services, a. s. 16. února 2011