Můžeme mít důvěru v cloudové služby? Zdeněk Jiříček National Technology Officer Microsoft Česká republika 1
Poslední trendy mění přístup k bezpečnosti 2
Slyšíme kolem sebe otázky... Proč bych měl důvěřovat Microsoftu? Jaké bezpečnostní audity a certifikace má cloudová infrastruktura Microsoftu? Jestli dám určité aplikace do cloudu, budu schopen vyhovět regulatorním požadavkům? Jak bychom měli ve firmě hodnotit cloudové dodavatele z hlediska bezpečnosti, ochrany soukromí, a souladu s legislativou? 3
Základ důvěry POSTAVENO NA NAŠÍ ZKUŠENOSTI A INOVACI 1 st Microsoft Data Center Active Directory Trustworthy Computing Initiative Malware Protection Center SOC 1 UK G-Cloud Level 2 SOC 2 FedRAMP/ FISMA Operations Security Assurance 20+ Data Centers Microsoft Security Response Center Windows Update Global Data Center Services Security Development Lifecycle Digital Crimes Unit ISO/IEC 27001:2005 E.U. Data Protection Directive HIPAA/ HITECH CSA Cloud Controls Matrix PCI DSS Level 1 Microsoft Azure
Stavba cloudových služeb Microsoftu Služby pro firemní zákazníky Software as a Service (SaaS) Služby pro spotřebitele Hostingové služby partnerů Platform as a Service (PaaS) Infrastructure as a Service (IaaS) Microsoft Global Foundation Services Datacenters Operations Global Network Security 5
Sdílená bezpečnost SNÍŽENÉ NÁKLADY NA BEZPEČNOST + UDRŽENÍ FLEXIBILITY, PŘÍSTUPU & ŘÍZENÍ On-Premises IaaS PaaS SaaS Microsoft Azure Zákazník Cloud Services Provider
Škálovatelnost a redundance zdrojů Každé datové centrum > 1 mld. USD investice, celkově >1 mil. serverů Quincy Cheyenne Chicago Des Moines San Antonio Boydton Dublin Amsterdam Singapore Shanghai Hong Kong Japan Brazil Zajištění dat: V každém datacentru 3 kopie dat Geografická replikace min. 600km daleko Zákazník volí místo uložení dat Zákazník konfiguruje úroveň replikace dat Australia
Přístup Microsoftu prakticky Microsoft Azure 8
Release Start
Defense in depth : vrstvená obrana FYZICKÁ VRSTVA SÍŤ SERVERY APLIKACE DATA Identita a řízení přístupu Zabezpečené konfigurace, skenování zranitelností Zvládání bezpečnostních incidentů 24 x 7 x 365 10
Perimeter Security Fire Detection & Suppression Multi-factor authentication + Odolnost proti výpadku energie v řádu dnů Extensive Monitoring 11
http://aka.ms/osa
Infrastrukturní ochrana 24 hodinové monitorování fyzické bezpečnosti Bezpečné multi-tenantní prostředí Firewally Procedury pro záplatování System monitoring a logování událostí Antivirus/antimalware ochrana Prevence a detekce možných průniků Forenzní procesy Microsoft Azure 13
Předpoklad průniku (Assume Breach) Detekce neobvyklých aktivit na serverech Alerty na procesy mimo white list Alerty na změny konfigurací nebo změny registry Analýza šablon útoků (např. APTs) Analýza velkých dat hledání neobvyklostí v provozních záznamech Nácviky zvládání incidentů Simulace útoků a penetrační testy, včetně falešných administrátorů s fyzickým přístupem Nácviky zadržení průniku, vypuzení, MTTD, MTTR Audit přístupů administrátorů v cloudu Commandlets, Logins, zvýšená oprávnění, nové admin. účty Izolace mezi různými foresty V procesu zavádění Video: Office 365 Red-Blue teams wargaming Monitor Emerging Threats Invest in Reactive Security Needs Execute Post Breach War Game Exercises Blue Teaming Red Teaming Insider Attack Simulation 14
Prevence průniku - zásady Skenování portů Skenování zranitelností na perimetru Procedura záplatování Testování a prevence DoS / DDoS 2-faktorová autentizace Izolace mezi prostředím emailu a admin funkcemi, segmentace vnitřní sítě Neexistuje trvalý přístup na zákaznická data Just in time elevations vydané nadřízeným na nezbytně dlouhou dobu Přístup na zákaz. data: pouze zaměstnanci s prověrkami Automatické zrušení účtu Při odchodu zaměstnance Při změně pozice Dlouhodobě bez aktivity Logování / audit všech přístupů a aktivit adminů 15
Internal Network External Network Segmentace na vnitřní a vnější síť Fyzické oddělení serverů/storage od externích rozhraní Propojení přes Edge security router monitoring a detekce průniků Email jen na vnější síti Ochrana před DoD/DDoS: Automatické škálování kapacity zdrojů (Azure) Přiškrcování (Throttling) Lze vyžádat filtraci IP adres přes support ticket 16
Protokol SSL/TLS Nově: Perfect Forward Secrecy Exchange online podporuje S/MIME, PGP Asymetr. šifra 2048 bit Perfect Forward Secrecy Bitlocker AES 256 - ochrana proti krádeži a při likvidaci disků Chybné disky ničeny v datacentru (NIST 800-88) Skype call: AES 256 Exchange Online na jiné email servery: TLS by default
Další zabezpečení dat v Office 365 Active Directory Rights Management Services (volitelné šifrování a zabezpečení obsahu) Uživatel volí různé stupně zabezpečení Azure AD RMS lze i mimo vlastní organizaci Office 365 Pro Plus: Crypto Plug-in Lze použít Windows Crypto Next Generation (CNG) zapojení vlastních algoritmů pro šifrování a el. podpis Exchange Online Data Loss Prevention (DLP) Vestavěná inteligence zabraňuje uživateli odeslat emailem citlivé informace (včetně příloh a offline režimu) Nástroj uvědomění uživatelů, citlivé informace lze nastavit politikami Bezpečnostní riziko Podvodný administrátor Ztráta citlivých dat Ukradený/ztracený laptop Ukradený/ztracený smartphone Způsob řešení RMS, BitLocker RMS; Exchange 2013 DLP Policies BitLocker BitLocker 18
Exchange Komplexní ochrana Multi-engine antimalware chrání proti 99-100% známých virů Trvale akutalizovaný anti-spam zachytí >98% příchozího spamu Pokročilé technologie analýzy malwaru - poznají a zastaví nový spam a phishing v reálném čase Jednoduchost použití Předkonfigurováno pro jednoduché nasazení Správa EOP integrovaná se správou Exchange online Jemné možnosti nastavení Např. označit všechny hromadné rozesílky jako spam Např. blokovat email podle jazyku nebo zemí původu 19
Integrace s Active Directory - Azure Active Directory Strana zákazníka Podpora 2-faktor. autentizace přes RSA nebo PhoneFactor Řízení přístupu na jméno podle zařízení, lokality, IP adresy Řízení přístupu dle rolí (RBAC) - administrátoři AD Federace nebo DirSync Strana Microsoftu Řízení přístupu dle rolí (RBAC) Přístupová práva Just-in-Time, schvalovací workflow manažerem 20
Reakce na incident Začátek incidentu Incident detekován Zapojení vývojového a provozního týmu Ohodnocení incidentu Zapojení bezpečnostního týmu Potvrzení bezpečnostního incidentu Upozornění zákazníků Reakce na zákaznické požadavky Úplný proces v 9 krocích Identifikace zasažených zákazníků Definování dopadu na zákazníky Upozornění zákazníků Zaměřeno na rychlou identifikaci a obnovení Upozornění je součástí smluvních závazků Microsoft Azure 21
Ochrana soukromí
Ochrana soukromí již v návrhu Ochrana v návrhu Omezený přístup & užití dat Smluvní závazky Ochrana soukromí je nedílnou součástí návrhu a provozu Azure Data zákazníků jsou pouze použita k poskytnutí služby, nikdy k reklamním účelům Data Processing Agreement, EU Model Clauses, HIPAA BAA Microsoft Azure 10101010101010101010101010101010 1010101010101010101010101010101010101010101010101010
V průběhu r. 2014 jsme posílili šifrování dat a zavedli technologii Perfect Forward Secrecy Žádné reklamy Žádné výstupy ze zákaznických dat pro reklamní účely Žádné skenování emailů a dokumentů za účelem analytických rozborů Přenositelnost dat Zákaznická data v Office 365 jsou vlastnictvím zákazníka Data lze vyexportovat do 90 dní po ukončení smlouvy; do 180 dní jsou smazána Posílení právní ochrany zákazníků Informování zákazníků v případě požadavku soudního příkazu na vydání dat Využití všech legálních metod pro umožnění informování zákazníka prohlášení Prohlášení o zásadách ochrany osobních údajů 24
25
26
13 zák. 101/2000 Sb. Správce a Zpracovatel dat provedou: - Analýzu rizik, - Příslušná technická opatření, - Ošetří smluvní vztah Správce / Zpracovatel aby nedošlo ke zneužití osobních informací ÚOOÚ: Využití cloud computingu pro zpracování osobních údajů je možné při splnění určitých podmínek... Viz: www.uoou.cz, Názory úřadu, Často kladené otázky link, dále Věstník ÚOOÚ částka 65 z 07/2013 27 zák. 101/2000 Sb. Předání osobních údajů Zpracovateli do zahraničí. V případě použití standardních smluvních doložek EU není třeba žádat úřad o povolení, viz web ÚOOÚ... kdy není třeba žádat o povolení (dole na stránce) Za nejsilnější záruky ochrany se považuje Smlouva o zpracování dat (Data Processing Agreement), se zahrnutím Standardních smluvních doložek (EU Contractual Clauses) dle Rozhodnuní 2010/87/EC 27
http://ec.europa.eu/justice/data-protection/article-29/documentation/otherdocument/files/2014/20140402_microsoft.pdf 28
29
ISO/IEC 27018:2014 ISO 27018 - nový mezinárodní standard pro ochranu osobních informací v cloudu, založen na EU zákonech pro ochranu dat. Publikován 30. 7. 2014 Nutný explicitní souhlas uživatele pro užití jeho dat k marketingu nebo inzerci Poskytovatel nesmí odmítnout dát službu, i pokud mu uživatel tento souhlas nedá Musí informovat uživatele kde jsou jeho data, a jakým způsobem se zpracovávají V případě bezp. incidentů prověřit, zda nedošlo Efektivní k úniku alternativa osobních údajů k Pokud zákaznickému ano, musí informovat auditu uživatele a regulátora ISO 27018 auditní zpráva má být relevantní pro zákazníka a jeho regulatorní požadavky Microsoft plánuje získat ISO 27018 certifikát v průběhu r. 2015 30
Soulad s regulatorními požadavky, certifikace 31
Soulad - struktura Standardy informační bezpečnosti Audit efektivnosti bezpečnost. opatření Certifikace pro průmyslová odvětví ISO 27001 ISO 27001 SOC 1 Type II SOC 2 Type II PCI DSS Level 1 UK G-Cloud HIPAA/HITECH CJIS Microsoft Azure
Management System Information Security Management System - Governance Plán auditů Info Sec Mgmt FORUM (Governance) PROGRAM řízení aktiv a jejich rizik (NIST 800-30) Info Sec Policy PROGRAM (konfigurace, politiky) Struktura souladu s legislativou Testy a audity ISO / IEC 27001:2005 SSAE 16/ISAE 3402 - SOC 1 AT101 - SOC 2 and 3 PCI DSS (Payment Card Industry) FedRAMP P-ATO, FISMA akreditace A další... 33
Microsoft cloud: domény pro ISO 27001:2005 Plus další požadavky dle NIST 800-53 a PCI-DSS (Payment Card Industry...) Bezpečnostní opatření Řízení rizik 1. (A.05) Bezpečnostní politika 2. (A.06) Organizace bezpečnosti informací 3. (A.07) Řízení aktiv 4. (A.08) Bezpečnost lidských zdrojů 5. (A.09) Fyzická bezpečnost a vliv životního prostředí 6. (A.10) Řízení provozu 7. (A.11) Řízení přístupu 8. (A.12) Akvizice, vývoj a údržba 9. (A.13) Zvládání bezpečnostních incidentů 10. (A.14) Řízení obchodní kontinuity 11. (A.15) Soulad s regulatorními požadavky 12. Šifrování 13. Bezpečnost komunikací 14. Řízení dodavatelů 34
Standard - certifikace Office 365 Microsoft Dynamics CRM Microsoft Azure Windows Intune GFS (Global Foundation Services infrastruktura datových center) ISO 27001:2005 Yes Yes Yes Yes Yes EU Model Clauses (Standardní smluvní doložky Evropské unie, ověřen soulad ) Yes Yes Yes Yes Yes EU Safe Harbor Yes Yes Yes Yes Yes PCI DSS (Payment Card Industry Data Security Standard) N/A N/A Yes N/A Yes SOC 1 Type 2 (Service Organization Controls - SSAE 16/ISAE 3402) Yes Yes Yes No, Type 1 only Yes SOC 2 Type 2 (AT Section 101) Yes No Yes No, Type 1 only Yes UK G-Cloud Yes Yes Yes No N/A FedRAMP (US) (Moderate) Yes No Yes No Yes FERPA (US Education) Yes N/A Yes N/A N/A HIPPA/BAA (US - Healthcare) Yes Yes Yes Yes Yes IPv6 Yes No No No N/A CJIS (US - Criminal Justice) Yes No No No N/A 35
ISO 27001 výroční Assessment Report SOC 1 & 2: Service Organiz. Controls auditní zprávy SOC 1... dříve audit SAS 70, od r. 2011 SSAE 16 / ISAE 3402 SOC 2... American Institute of CPA s TSP Section 100 (Trust Services Principles) http://en.wikipedia.org/wiki/service_organization_controls 36
5a odst. 1:...požadavky na řízení bezpečnosti a kvality ISVS stanoví prováděcí právní předpis". 5b: "Orgány veřejné správy uplatňují opatření odpovídající bezpečnostním požadavkům na zajištění důvěrnosti, integrity a dostupnosti informací zpracovávaných v ISVS". (Pozn.: odpovídá obsahu ISO 27001) 10-12 Požadavky na strukturu provozní dokumentace; Odst. (2) Bezpečnostní dokumentaci ISVS tvoří a) bezpečnostní politika informačního systému veřejné správy... vždy pokud orgán veřejné správy není provozovatelem tohoto systému, b) bezpečnostní směrnice pro činnost bezpečnostního správce systému. Soulad Azure / Office 365 ISO 27001 a auditních zpráv 37
Soulad cestou standardizace ISO 27001 38
12 Podmínky pro outsourcing Odst. (2): role regulátora (ČNB), auditovatelnost a kontrola činností Odst. (3): outsourcingová smlouva... umožnit kontrolovatelnost a vymahatelnost Soulad 39
Transparentnost 40
https://cloudsecurityalliance.org/ https://cloudsecurityalliance.org/star/#_registry 41
Třetím stranám neumožňujeme přístup k zákaznickým datům, pokud k tomu nejsme povinni na základě platné legislativy. Každá žádost je individuálně posuzována (autorita žadatele, rozsah požadavku) MS se primárně snaží přesměrovat žádost přímo na zákazníka, pokud je to nutné, tak i s použitím právních kroků Pokud není možné požadavek přesměrovat, MS bude zákazníka o tomto požadavku informovat, s výjimkou případů, kdy to zákon explicitně zakazuje Cca 75% glob. požadavků uspokojí jen metadata (viz report) MS neposkytuje plošný přístup k datům musí se jednat o účet konkrétního zákazníka pro konkrétní zákonný účel Viz MOSA Data Processing Agreement se Stand. sml. doložkami EU 42
Za rok 2012, globálně: 99,9+% požadavků na spotřebitelské služby (Hotmail, Skype, Xbox, atd.) Pouze 11 (z 70.000+) požadavků se týkalo služeb podnikových zákazníků; 7 z nich MS odmítl nebo úspěšně přesměroval na zákazníka; 4 jsme poskytli se souhlasem zákazníka nebo na základě dohody se zákazníkem. Za 1. pol. 2014, globálně: Pouze 5 požadavků na konkrétní účty 5 osob podnikových zákazníků. Ve všech 5 případech buď odmítnut přístup, nebo přesměrováno na zákazníka. Dosud nikdy nebyl žádán přístup na data podnikových zákazníků mimo území USA. Viz dokument Microsoft s principles and practices for responding to government data requests 43
Pravidelné pololetní reporty za 1. pol. 2014: Na základě soudního příkazu nebo mezinárodního zatykače: 34.494 požadavků z 69 zemí 75,13% vydána metadata 5,91% zamítnuto (nesplněny předpoklady) 16,34% nic nenalezeno 2,62% vydán zákaznický obsah 41 požadavků z České republiky 87,8% vydána metadata 4,9% zamítnuto (nesplněny předpoklady) 7,3% nic nenalezeno 0% vydán zákaznický obsah Celý report: http://www.microsoft.com/about/corporatecitizenship/en-us/reporting/transparency/ 44
Přístupy dle příkazů národní bezpečnosti USA Foreign Intelligence Surveillance Act (FISA) National Security Letters (NSL) požadují pouze business records (metadata) FISA žádosti se zatím nikdy netýkaly podnikových zákazníků Poprvé publikovány (jen v tisících ) v únoru 2014 - výsledek společné žaloby Internet. firem proti vládě USA Kde je jakýkoli nedostatek, rozporujeme požadavky u soudu Např. žádosti které zakazují informovat zákazníka Případ z dubna 2014 emaily z Outlook.com fyz. osoby z datacentra v Irsku Poslední verze přehledu: http://www.microsoft.com/about/corporatecitizenship/en-us/reporting/fisa/ Publikovány podrobné Q&A 45
Náš závazek Jednotná platforma pro moderní business Microsoft Azure
Orgány veřejné správy nemohou provozovat IS v cloudu. zprávy bezp. auditů certifikace ISO 27001 zpráv bezp. auditů Jak zajišťujete soulad se zák. 101/2000 Sb. ochrana OÚ? Standardní smluvní doložky Smlouvy o zpracování dat, Jak jsou moje data zabezpečena? shrnutí výsledků auditu Standard response to Cloud Control Matrix [zelený text] 47
Partnerství v boji s kybernetickým zločinem 48
OPERATION Conficker OPERATION b49 Waledac OPERATION b107 Rustock OPERATION b79 Kelihos OPERATION b71 Zeus OPERATION b70 Nitol OPERATION b58 Bamital OPERATION b54 Citadel OPERATION b68 ZeroAccess OPERATION b157 Game over Zeus OPERATION b106 Bladabindi & Jenxcus OPERATION b93 Caphaw 49
Je cloud více, nebo méně bezpečný proti tomu co dnes máte? 1 Technická a organizační bezpečnostní opatření v cloudu 2 Pokročilé metody obrany díky koncentraci zdrojů 3 Certifikace, audity, smluvní zajištění souladu 4 Právní ochrana Vašich dat vůči třetím stranám 5 Pozitivní zkušenost firemních zákazníků 50
www.microsoft.com/trusted cloud www.microsoft.com/sir www.microsoft.com/sdl www.microsoft.com/twc blogs.technet.com/security 51
Děkuji za pozornost! Zdeněk Jiříček National Technology Officer zdenekj@microsoft.com 2014 Microsoft Corporation. All rights reserved. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION. 52