Telekom Fachkongress Magenta Security 2016 13:45 Uhr Sealed Cloud – Technik schlieSSt den Cloud-Anbieter komplett aus Dr. Ralf Rieken COO Sealed Cloud Computing – Technologie schließt den Cloud-Anbieter aus Dr. Ralf Rieken, COO, Uniscon GmbH uniscon.de Falls Sie Interesse an den Slides haben Sehr gern senden wir Ihnen die Präsentation sowie ein interessantes White Paper elektronisch zu. Eine Liste zur Eintragung ist im Umlauf eMail-Adresse genügt 4 uniscon.de Uniscon auf einen Blick Über die Uniscon GmbH Gegründet 2009 (Münchner Technologiezentrum) Technologieführer bei Cloud Security Entwicklung und Rechenzentren in Deutschland Team von knapp 40 Mitarbeitern Kunden in allen Branchen Uniscon entwickelt und betreibt sichere Cloud-Lösungen und Dienste: Weltweit patentierte Sicherheitstechnologie für Cloud Computing (IaaS, PaaS, SaS) Technischer Ausschluss von Softwareanbieter und Hoster (Betreibersicherheit) Daten werden auch während der Verarbeitung im Data Center geschützt Inhalte und Verbindungsinformationen (Metadaten) sind geschützt. uniscon.de Einige Fragen Egal ob Big Data, IoT oder Industrie 4.0 – führen alle / viele Wege in die / eine Cloud? Wie steht es um die Sicherheit meiner Daten und Anwendungen? Wie erkennen Anwender sichere Lösungen? Schließen Big Data und Datenschutz einander wirklich aus? Sind Sicherheit und / oder Datenschutz Bremse der Digitalisierung? uniscon.de Meine These Thesen: Cloud-Lösungen und –Diensten werden eine immer größere Rolle spielen. Für eine erfolgreiche Digitalisierung sind Sicherheit und Datenschutz äußerst wichtig und somit tatsächlich ein Wettbewerbsvorteil. Benötigt werden: 1. Technische Lösungen, die ein adäquates Niveau bezüglich Sicherheit und Datenschutz bieten. 2. Einheitliche Standards, die den Anwendern die Auswahl geeigneter Lösungen erleichtern. uniscon.de Beispiel: Dateitransfer & Projektarbeit über Unternehmensgrenzen hinweg Mobiler Zugang zu vertraulichen Daten File Transfer Datei-Austausch mit o Kunden und Partnern o anderen Organisationen Einzel- und Mehrfach-Transaktionen Möglichkeit zur direkten Integration in bestehende Prozesse Arbeits-/Datenräume für Projekte Verknüpfung digitalisierter Prozesse 8 Komfortabel und sicher Kein Zugriff der firmeninternen IT-Admins auf die Daten Zugang per Smartphone oder Tablet Weltweit nutzbar gemeinsame Projekträume mit Kunden und Partnern Schneller Set Up durch Projektleiter Übersichtliche Rechteverwaltung Einfache Einbeziehung externer Projektmitglieder Zugang per Smartphone oder Tablet Transfer zwischen Prozessen ohne manuellen Eingriff (m2m, IoT) Flexible Verknüpfung 1 n und n 1 Verbindungen Protokollierung uniscon.de Wann ist eine Lösung erfolgreich? Der Anwender interessiert sich oft kaum für Sicherheit Anwender Nutzerakzeptanz wegen Bedienkomfort Überall verfügbar Produktivität Steigerung Produktivität & Kosteneinsparung In anderen Worten: Der CFO mag die Lösung Verwaltbarkeit Integration in existierende IT Effektive Verwaltung Compliance Hohe Sicherheit Compliance 9 uniscon.de Web-Dienste erfolgreich wegen Komfort 10 uniscon.de Cloud ist komfortabel und wirtschaftlich … ABER: Wie steht es um Datenschutz & IT-Sicherheit? Warum sollten Sie Ihrem Cloud-Provider vertrauen? 11 uniscon.de Betrachtung der Sicherheit Datenmissbrauch in traditionellen Systemen Datenmissbrauch in vernetzten Systemen setzte arglistige Absprachen voraus ein einziger untreuer Akteur genügt Vernetzung macht die Systeme verletzlicher: Einzelne Akteure können schweren Schaden erzeugen Nur technische Maßnahmen stellen die ursprüngliche „Machtaufteilung“ wieder her. 12 uniscon.de Höchste Sicherheit: „Sealed Cloud“ Deutsche Technik für höchsten Datenschutz Technik schließt Dienstanbieter vom Zugriff aus – einzigartig Daten auch während der Verarbeitung geschützt – „sealed processing“ Technische Versiegelung des Rechenzentrums Nutzer kontrolliert gesamten Zugriff auf eigene Daten uniscon.de Wie funktioniert die Sealed Cloud? Versiegelte Verarbeitung schließt den RZ-Betreiber völlig aus Verschlüsselt e Datenbank Verschlüsselt er Transport „Versiegelte“ Infrastruktur bietet versiegelte Verarbeitung von Daten Spezielle Schlüsselverteilun g Neuartiger Data Clean-up uniscon.de Sealed Cloud bildet die Basis für sichere & datenschutzkonforme Anwendungen 15 uniscon.de Sealed Freeze – Cloud Lösung Datenschutzkonformes Management sensibler Daten Typische Anwendungsszenarien: Speicherung von Metadaten für forensische Analysen Sicherung von „Data Lakes“ Aufzeichnung von Videoüberwachung Daten zur Compliance-Überwachung Schutz von Vorratsdaten bei Telkos 16 uniscon.de Sealed Analytics - Cloud Lösung Datenschutzkonforme Big Data-Analyse Anwendungsbeispiel CAR-BITS.de Daten aus dem vernetzten Auto zur Ableitung von Informationen zur: Fahrstrecke wie Hindernisse, Schlaglöcher, Aquaplaning, etc. Aktuellen Verkehrssituation, etc. Realisierung von „Smart Services“ zur Steuerung des Verkehrsflusses über Feedback an die Fahrzeuge Planung von Wartungsarbeiten am Straßennetz CAR-BITS.de ist ein Projekt von: 17 uniscon.de Sealed Platform für IaaS und PaaS Plattform für geschäftskritische Anwendungen Typische geschäftskritische Dienste für eine Sealed Platform: Enterprise Resource Management Solutions (ERP) Customer Relationship Management Solutions (CRM) Project Management and Workflow Solutions Enterprise Document Management Solutions (EDM) 18 uniscon.de iDGARD - SaaS Cloud Dienst Datenaustausch & Teamarbeit iDGARD ist der erste Dienst, der auf der Sealed Cloud betrieben wird Weitere SaaS-Angebote am Markt, die als White Label Lösung angeboten werden: Versiegelte Cloud 19 uniscon.de iDGARD – Collaboration Dienst in der Sealed Cloud Dokumentenversand, Projekträume, Datenräume und mehr Dokumente sicher online Dokumente sicher online speichern & austauschen speichern & austauschen Projektarbeitsbereiche && Projektarbeitsbereiche revisionssichere Datenräume revisionssichere Datenräume a) Zugriff im Rechenzentrum technisch ausgeschlossen b) Schutz von Inhalten & Verbindungsinformationen Dadurch sogar für Berufsgeheimnisträger zulässig – Ärzte, Anwälte, Wirtschaftsprüfer, Steuerberater, … 20 uniscon.de Viele Anwendungsszenarien Versiegelter Austausch von Dokumenten (statt limitierter FTP-Lösungen) Versiegelte Datenräume (Arbeitsräume, Projekträume) (statt typischer File Sharing Dienste / klassischer Datenraumdienste) Versiegelter Austausch von Nachrichten (statt unverschlüsselter Mail) Versiegelter Chat (statt typischer Chat Dienste) Sicherer, mobiler Zugriff auf Unterlagen und Nachrichten (statt …) Sichere Terminabstimmung (statt …) Versiegelte Machine-to-machine Datenräume (statt VPN-Vermaschung und Öffnung der Netze) 21 uniscon.de Anwender in allen Bereichen (unvollständige Liste) Projektabwickler Berater Kleine & mittlere Industrieunternehmen Große Industrieunternehmen Kommunen Krankenhäuser Stadtwerke Ärzte Landesverwaltungen Pharma- & Biotech Rechtsanwälte Immobilienunternehmen Steuerberater Banken & Finanzberater Wirtschaftsprüfer Versicherungen uniscon.de So einfach funktioniert iDGARD Dateien, Chats, Mail Verschlüsselte Übertragung mit normalem Browser Verschlüsselte Übertragung mit normalem Browser Automatisches Schlüsselmanagement 23 Betreiberzugriff ausgeschlossen Schnelle und einfache Einbindung von externen Geschäftspartnern, kein Schlüsselmanagement Keine Client-Software erforderlich – ein Internet-Browser genügt Zusätzlicher Komfort durch kostenlose Apps für mobilen & offline-Zugriff uniscon.de Wie greift man auf iDGARD zu? Browser iDGARD Produktivitätswerkzeug Besonders wichtig für Externe (Windows-Client für Synchronisation, Benachrichtigung & Verwaltung) Sichere iDGARD Apps (iOS, Android, Blackberry) Mit dem File-Explorer (Netzlaufwerk per WebDAV) Outlook Add-in MS Office Add-in (Beta eMails & Anhänge sicher verfügbar) Komfortabel Dokumente bearbeiten übermitteln Weitere Optionen: iDGARD SharePoint Connector, iDGARD Produktivitätswerkzeug für Server, … uniscon.de Einige Worte zu Standards Sicherheit vergleichbar & Entlastung des Nutzers Bisher: ISO27001/2 & ISO 27018 Zertifizierung sowie weitere Zertifikate Problem: Sicherheit der Cloud-Angebote nicht vergleichbar Jetzt: Trusted Cloud Datenschutzprofil definiert Schutzbedarf & -klassen Ergebnis: Vergleichbarkeit der Sicherheit und verbindliche Rechtsfolge Zertifizierung und Ergebnis Deutsches „Trusted Cloud Datenschutzprofil“ (TCDP) Schutzklasse III Bisherige Empfehlungen werden obligatorisch: ISO/IEC 27002:2013, ISO/IEC 29100:2011, ISO/IEC27018:2014 Schutzklasse II ISO/IEC 27001:2013 oder BSI IT-Grundschutz 25 Schutzklasse I Ergebnis: (a) Schutzbedarf erfüllt (b) Kontrollpflichten des Cloud-Nutzers erfüllt Ergebnis: Anbieterorganisation arbeitet sorgfältig uniscon.de Zertifikat für höchsten Schutz iDGARD wurde Anfang 2016 vom TÜV-IT (TÜV Nord) nach dem „Trusted Cloud Data Protection Profile“ (TCDP) bewertet Ergebnis: Schutzklasse III (höchster Schutz) iDGARD-Nutzer erfüllen automatisch die Verpflichtung** zur Überprüfung ihres SaaS-Anbieters TCDP konkretisiert ISO/IEC 27001/2 und ISO/IEC 27018. Zertifikat für iDGARD wurde bestätigt durch die Bundesbeauftragte für den Datenschutz sowie alle Datenschutzaufsichtsbehörden der Länder 26 uniscon.de iDGARD macht sich sofort bezahlt Umsätze durch Qualität heben Wettbewerbsvorteile sichern Produktivität steigern Außenwirkung der Kommunikation: iDGARD kann über Geschäft entscheiden. Haftungsrisiken vermeiden Sprechen Sie mit uns, wir verfügen über eine Reihe von Modellen, die auf Ihre Situation angewendet werden können. iDGARD bezahlt sich selbst: sofortige Amortisation allein durch eingesparte Arbeitszeit Effizienz, Integration, Automation Einsparungen: 500 - 3.000 € /a /MA abh. von Nutzung und Projektorientierung 27 uniscon.de Zusammenfassung Klassische Cloud-Lösungen bieten oft keine ausreichende Sicherheit für geschäftskritische Anwendungen Die Sealed Cloud Technologie schützt Daten und Metadaten für Datenverarbeitung ohne Kompromisse Sealed Cloud eröffnet viele attraktive Anwendungsbereiche 28 uniscon.de Schon eingetragen? Sehr gern senden wir Ihnen die Präsentation sowie ein interessantes White Paper elektronisch zu. Eine Liste zur Eintragung ist im Umlauf eMail-Adresse genügt 29 uniscon.de Kontakt Uniscon GmbH – Sealed Cloud Technologies Agnes-Pockels-Bogen 1 80992 München eMail: [email protected] Telefon: (089) 4161 5988-100 www.idgard.de 30 uniscon.de 14:30 Uhr ID Security Michael Stoeckmann Hanns Nolan Global Strategic Account Executive Senior Customer Engineer HOW IDENTITY AND ACCESS MANAGEMENT CAN HELP TO PREVENT SECURITY BREACHES MAGENTA SECURITY CONFERENCE FRANKFURT, GERMANY 2016 VICTOR AKE CO-FOUNDER & VP CUSTOMER INNOVATION FORGEROCK [email protected] © 2016 ForgeRock. All rights reserved. 32 FORGEROCK IS THE LEADING, NEXT-GENERATION, IDENTITY SECURITY SOFTWARE PLATFORM, DRIVING DIGITAL TRANSFORMATION. 2010 FOUNDED IN EUROPE 10 OFFICES WORLDWIDE, HEADQUARTERS IN SAN FRANCISCO 400+ EMPLOYEES 500+ CUSTOMERS 50% AMERICAS / 50% REST OF THE WORLD COMMERCIAL REVENUE MORE THAN HALF A BILLION IDENTITIES SECURED INVESTORS 30+ COUNTRIES © 2016 ForgeRock. All rights reserved. OUR DNA OLD-TIMES PERIMETER SECURITY Employees, Customers & Partners People PCs Clients On-premises © 2016 ForgeRock. All rights reserved. Applications and data DIGITAL TRANSFORMATION IT IS THE CHANGES ASSOCIATED WITH THE APPLICATION OF DIG TECHNOLOGY IN ALL ASPECTS OF HUMAN SOCIETY © 2016 ForgeRock. All rights reserved. NEED TO BE FRIENDLY WITH CUSTOMERS Partners and Suppliers Workforce (thousands) Customers (millions) People PCs Tablets Phones Smart Watches Things (Tens of millions) Clients On-premises © 2016 ForgeRock. All rights reserved. Private Cloud Public Cloud Applications and data GLOBAL TRENDS 12B $312B Mobile Devices By 2019 Cloud Software By 2019 50B 25M Connected Devices By 2020 Software Developers By 2020 90% $15T Of Enterprises Suffered a Data Breach Over the Last Year Impact of Digitalization on Global Economic Value in 2020 © 2016 ForgeRock. All rights reserved. DIFFERENT ENVIRONMENTS, DIFFERENT MONIKER IDENTITY ACCESS MANAGEMENT (IAM) IDENTITY RELATIONSHIP MANAGEMENT (IRM) Customers & Partners Workforce (thousands) Partners and Suppliers Customers (millions) People People Things (Tens of millions) PCs Clients PCs Tablets Phones Smart Watches Clients Applications and data On-premises Applications and data On-premises © 2016 ForgeRock. All rights reserved. Private Cloud Public Cloud SECURITY VS LOW FRICTION RISK VS REWARD LOW FRICTION HUMAN INTERACTION © 2016 ForgeRock. All rights reserved. Image Source: Sharkawi Che Din. https://www.flickr.com/photos/sharkawi3d/15374262331/ IAM VS IRM IAM SYSTEM-CENTRIC COST-FOCUSED IRM CUSTOMER/CITIZEN-CENTRIC BUSINESS/VALUE-FOCUSED PROPRIETARY OPEN STANDARDS CONTROLS/DICTATES ENABLES PERIMETER SECURITY PERVASIVE SECURITY © 2016 ForgeRock. All rights reserved. FORGEROCK.COM REQUIREMENTS FOR THE DIGITAL ERA BEING IN CONTROL OF ACCOUNT, DATA AND ACCESS REGARDLESS OF IT’S SOURCE ABILITY TO AUTHENTICATE AND AUTHORIZE RELIABLY FOR ANY IDENTITY KNOW YOU CAN TRUST AN IDENTITY WITHOUT BEING AWARE OF THE PROTOCOL © 2016 ForgeRock. All rights reserved. DIGITAL IDENTITIES EVERYWHERE USER IDENTITIES - CONSUMER - CUSTOMER - PARTNER - EMPLOYEE ANY IDENTITY SERVICES - APPLICATIONS - MICROSERVICES - BIG DATA - IOT BROKERS - CLOUD SERVICES DEVICES AND THINGS IDENTITIES - CONSUMER - INDUSTRIAL © 2016 ForgeRock. All rights reserved. END-TO-END IDENTITY SOLUTION FROM DEVICE TO CLOUD © 2016 ForgeRock. All rights reserved. Identity and Security Tools that manage user authentication and system access, as well as secure the product, connectivity, and product cloud layers + Privacy & Consent © 2016 ForgeRock. All rights reserved. M2M & INDUSTRY 4.0 Turbina © 2016 ForgeRock. All rights reserved. TOP BARRIERS FOR IOT AND M2M ADOPTION Source: Infonetics, January 2014. © 2016 ForgeRock. All rights reserved. THERE IS NO SECURITY WITHOUT IDENTITY © 2016 ForgeRock. All rights reserved. SECURITY ADOPTION CYCLE © 2016 ForgeRock. All rights reserved. Common Services FORGEROCK IDENTITY PLATFORM Authentication Authorization Federation Adaptive Risk User Managed Access Identity Synchronization Identity Workflow Self Service Directory Services Identity Gateway © 2016 ForgeRock. All rights reserved. FORGEROCK IDENTITY PLATFORM • SIMPLE • SCALABLE • MODULAR • COMMON SERVICES ARCHITECTURE • SIMPLE AND COMMON REST API • ON PREMISES AND IN THE CLOUD © 2016 ForgeRock. All rights reserved. Built as Modular Components Common REST API Common User Interface Common Audit/Logging Common Scripting Access Management Identity Management Identity Gateway Authentication Authorization Provisioning User Self-Service Authentication OIDC / OAuth2 Federation / SSO User Self-Service Workflow Engine Reconciliation Password Replay SAML2 Adaptive Risk Stateless/Stateful Registration Aggregated User View Message Transformation UMA Resource UMA Provider Mobile App Synchronization Auditing API Security Scripting Directory Services LDAPv3 REST/JSON Schema Management Auditing Groups Active Directory Pass-thru Replication Access Control Caching Monitoring Password Policy Reporting © 2016 ForgeRock. All rights reserved. PROVISION AND DEPROVISION IDENTITIES PROVISION ANY KIND OF IDENTITY (USER, DEVICE, THING, SERVICE) TO ANY KIND OF REPOSITORY CONTROL IDENTITY LIFE CYCLE DEPROVISION IDENTITY AND CHANGE ACCESS OF OWNED DATA (OR REMOVE ACCESS) BEST DONE WHEN WORFLOWDRIVEN INCLUDE BUSINESS PROCESS © 2016 ForgeRock. All rights reserved. SINGLE IDENTITY AGGREGATION FOR THINGS & PEOPLE USER AND THINGS EMPOWERED BY FORGEROCK CUSTOMER 360 VIEW SINGLE GLOBAL IDENTITY RECONCILE IDENTITIES RELATIONSHIPS CONVEY AUTHORIZATION INFORMATION IDENTITY RELATIONS DATA ROUTING © 2016 ForgeRock. All rights reserved. CONTINUOUS SECURITY = CONTEXT BASED SECURITY CONTINUOUS SECURITY: CONTEXT BASED AUTHENTICATION & AUTHORIZATION DYNAMIC VS STATIC: PERSONALIZE EXPERIENCE ASK FOR CONSENT. PRIVACY IS IMPORTANT © 2016 ForgeRock. All rights reserved. FORGEROCK AUTHENTICATION STEP UP STRENGHTS MULTIFACTOR Module Module Authentication Service EXTERNAL CRED STORES Module SCRIPTABLE PLUG-IN ANY IDENTITY CONTEXTUAL ADAPTIVE LIGHTWEIGHT FRICTIONLESS Custom Module EXTENSIBLE © 2016 ForgeRock. All rights reserved. EXTERNAL CRED STORES FEDERATION & SOCIAL AUTHENTICATION/REGISTRATION REDUCE FRICTION TO REGISTER AND AUTHENTICATE USERS REFORCE IT WITH A 2ND FACTOR WHEN A DEVICE IS UNKNOWN OR AN ACTION IS UNTRUSTED 2ND FACTOR SHOULD BE ALSO FRICTIONLESS. EXAMPLE: PUSH MESSAGE AND APPROVE WITH FINGERPRINT © 2016 ForgeRock. All rights reserved. FORGEROCK AUTHORIZATION RBAC ABAC RELATIONSHIPS Resource Directory Subject 3rd Party Authorization Service ANY IDENTITY CONTEXTUAL ADAPTIVE LIGHTWEIGHT FRICTIONLESS Environemt Response Attributes Scripted EXTENSIBLE © 2016 ForgeRock. All rights reserved. CONTEXT-BASED AUTHORIZATION APPLY CONTEXT THROUGHOUT A SESSION Risk is remediated Session resets, ask for approval or kicks off workflow Scripted conditions flag changes Define Risk Profile of user or device Create policies with contextual parameters Evaluate context during AuthZ © 2016 ForgeRock. All rights reserved. • CONTEXT BUILDS INTELLIGENCE INTO POLICIES TO PROTECT RESOURCES AT THE TIME OF ACCESS AND DURING SESSION • SCRIPTABLE CONDITIONS CAN EXAMINE ENVIRONMENTAL CONDITIONS AND ALSO CALL EXTERNAL SERVICES TO AUGMENT THE AUTHORIZATION PROCESS • REMEDIATE RISK BY EITHER KILLING SESSION, ASK FOR APPROVAL, OR KICKING A WORKFLOW IDENTITY RELATIONSHIPS RELATIONSHIPS CONVEY AUTHORIZATION INFORMATION Located at CAN BE USED TO FEED A POLICY ENGINE TOGETHER WITH ATTRIBUTES CAN BE PROVISIONED AND UPDATED AS WELL © 2016 ForgeRock. All rights reserved. PRIVACY IS NOT SECRECY GIVING CONTROL BACK TO THE END USER - USER MANAGED ACCESS (UMA CONTEXT THE RIGHT MOMENT TO MAKE THE DECISION TO SHARE CONTROLTHE ABILITY TO SHARE JUST THE RIGHT AMOUNT CHOICE THE TRUE ABILITY TO SAY NO AND TO CHANGE ONE’S MIND RESPECT REGARD FOR ONE’S WISHES AND PREFERENCES © 2016 ForgeRock. All rights reserved. OAUTH2/OIDC : OWNER NOT IN CONTROL RESOURCE OWNER CLIENT Resourc e Reques t RESOURCE SERVER Authorizatio n CONSENT Request (ALL OR NOTHING) Access Token Request AUTHORIZATIO N SERVER © 2016 ForgeRock. All rights reserved. OAUTH2/ OPENID CONNECT SERVER PRIVACY AND CONSENT USER-MANAGED ACCESS Share! © 2016 ForgeRock. All rights reserved. • ALLOWS USERS TO SECURELY DELEGATE FINEGRAINED ACCESS TO THEIR DATA WITH ABILITY TO REVOKE AT ANY TIME • FIRST TO DELIVER UMA INDUSTRY STANDARD BASED ON OAUTH2 • NOW FOR THE FIRST TIME, END-USERS CAN DETERMINE WHO GETS ACCESS TO THEIR DATA, FOR HOW LONG, AND UNDER WHAT CONDITIONS USER MANAGED ACCESS UMA RESOURCE OWNER REQUESTIN G PARTY CLIENT FINE GRAINE DCONSE NT RESOURCE SERVER © 2016 ForgeRock. All rights reserved. AUTHORIZATIO N SERVER OAUTH2/ OPENID CONNECT/ UMA SERVER © 2016 ForgeRock. All rights reserved. VICTOR AKÉ CO-FOUNDER VP CUSTOMER INNOVATION FORGEROCK THANK YOU! DANKE! ¡GRACIAS! © 2016 ForgeRock. All rights reserved. 15:15 Uhr DDOS: FOSSILS TO FUTURE Darren Anstee Chief Security Technologist Intern – Telekom Fachkongress Magenta Security 2016 Konzeptvorschlag 67 Intern – Telekom Fachkongress Magenta Security 2016 Konzeptvorschlag 68 Intern – Telekom Fachkongress Magenta Security 2016 Konzeptvorschlag 69 Intern – Telekom Fachkongress Magenta Security 2016 Konzeptvorschlag 70 Intern – Telekom Fachkongress Magenta Security 2016 Konzeptvorschlag 71 Intern – Telekom Fachkongress Magenta Security 2016 Konzeptvorschlag 72 Intern – Telekom Fachkongress Magenta Security 2016 Konzeptvorschlag 73 Intern – Telekom Fachkongress Magenta Security 2016 Konzeptvorschlag 74 Intern – Telekom Fachkongress Magenta Security 2016 Konzeptvorschlag 75 Intern – Telekom Fachkongress Magenta Security 2016 Konzeptvorschlag 76 Intern – Telekom Fachkongress Magenta Security 2016 Konzeptvorschlag 77 Intern – Telekom Fachkongress Magenta Security 2016 Konzeptvorschlag 78 Intern – Telekom Fachkongress Magenta Security 2016 Konzeptvorschlag 79 Intern – Telekom Fachkongress Magenta Security 2016 Konzeptvorschlag 80 Intern – Telekom Fachkongress Magenta Security 2016 Konzeptvorschlag 81 Intern – Telekom Fachkongress Magenta Security 2016 Konzeptvorschlag 82 Intern – Telekom Fachkongress Magenta Security 2016 Konzeptvorschlag 83 Intern – Telekom Fachkongress Magenta Security 2016 Konzeptvorschlag 84 Intern – Telekom Fachkongress Magenta Security 2016 Konzeptvorschlag 85 Intern – Telekom Fachkongress Magenta Security 2016 Konzeptvorschlag 86 Intern – Telekom Fachkongress Magenta Security 2016 Konzeptvorschlag 87 Intern – Telekom Fachkongress Magenta Security 2016 Konzeptvorschlag 88 Telekom Fachkongress Magenta Security 2016 BREAkOUT SESSIONS TAG 2 Telekom Fachkongress Magenta Security 2016 11:40 Uhr CLOUD SECURITY Stephan Priß Commercial Manager IT Security Cloud Security Stephan Priss, Telekom Deutschland Everyone is talking about the cloud „Cloud is the future“ Storage in the Cloud System operation in the Cloud Access via Cloud Public, Private or Hybrid Cloud? … obviously there is no future outside the cloud … Cloud Story @ Deutsche Telekom 94 cloud security ... privat nutzen wir die Cloud heute schon sehr intensiv............ Mobile mail access via Gmail Store documents with Dropbox Cloud Story @ Deutsche Telekom Videoconferencing via Skype Communication & sharing with friends on Facebook Stream music with Spotify 96 Die Cloud ist in den unternehmen angekommen Gehören Sie auch dazu? Jedes 2. Unternehmen nutzt bereits Cloud- Services 15 % planen die Einführung von Cloud Services Hauptargument gegen die Cloudnutzung sind Datenschutzgründe 100% Sicherheit gibt es nicht 94 % aller Unternehmen haben eine Sicherheitspolicy Auf welche Anwendungsbereiche bezieht sich diese? eMail 89,7% allgemeiner Umgang mit Daten 76,0% Umgang mit personenbezogenen Daten 70,8 % Cloud Anwendungen 63,1 % Filesharing-Tools (Dropbox & Co.) 61,3 % Social Networks 54,1% Collaboration 49,1 % Skype for Business 31,7 Was ist Ihre Security Policy? An alles gedacht? Welche Dienste nutzt ihr Unternehmen in der Cloud? Quelle: Studie Cloud Security, 2016, IDG Research Services 08/201 6 97 Im Unternehmen ist es komplexer: strategische Entscheidungen sind notwendig, die meistens zu einer Veränderung der bestehenden Geschäftsprozesse und Infrastruktur führen ….und die sicherheit? Cloud Story @ Deutsche Telekom 98 Cloud Security Cloud security „landkarte“ 14 Supply-DemandManagement 14 15 6 5 15 Richtlinien, Gesetze und 8 MSR-Technik Compliance 9 MSR-Konsolen und netze 7 Sichere 9 Administration der ICT 8 7 1 2 3 4 1 Identitätsmanagement mit 13 12 6 Physische10 3 IT-Plattform- 11 Rollen und Rechten;2 Campus-Netze und 5 IT-Sicherheitssysteme 4 Applikationssicherheit und RechenzentrumsSicherheit10 SicherheitsKommunikationsdienste (im 12 Sicherheits- und (Anti-Malware, Arbeitsplatzsicherheit; Service-Orchestrierung IDS/IPS) 13 Überwachung und Internet etc.) 11 Service-Management sicherheit (Computing) organisation SchwachstellenZugriffskontrolle Vorfall-management und Life-Cycle-Aspekte anagement 100 Cloud Security Sie und Ihr Cloud Provider haben das alles berücksichtigt Cloud Security vertrauenssache Gutes preis-Leistungsverhälnis Lokation des Rechenzenzrums CLOUD Provider Zugangs- und Rechtekontrolle IAM Starke Passwörter, wechselzyklen Absicherung der Clients Joiner-Mover-Leaver-Prozess Cloud Security technisch und organisatorisch verschlüsselte Datenübertragung Compliance, in welchem Land liegen die Daten CLOUD Provider Zertifizierte Infrastruktur Höchste Erkennungsraten Zero Day Schutz Security Made Germany Cloud Security was hat noch Bedeutung? Zertizierungen Service Level Agreements CLOUD Provider Finanzkraft des Anbieters Verträge nach deutschem recht Internationale Präsenz Audit Cloud Security Schatten IT? Welche Cloud dienste nutzt ihr Unternehmen heute schon? CLOUD CHECK* ZUR BEANTWORTUNG DER 6 W-FRAGEN Analyse zur Beantwortung der Schlüsselfragen: Wer (IP-Adressen) Was (Protokoll-Port) Wann (Zeitstempel) Wo (Router, Interface) Wie (QoS, ToS, DSCP) Wie viel (Packets und Bytes) Ziele/Ergebnisse Identifikation genutzter Cloud-Applikationen Überprüfung Bandbreitenausnutzung Feststellung von Cloud-Potentialen *Voraussetzung MPLS Anschluß 106 05.12.2016 CLOUD CHECK , BEISPIEL ERGEBNISSE Dieses Unternehmen wußte nicht welche Clouddienste genutzt werden …. Erkannte Cloud- bzw. Web-Dienste: Youtube ESPN-Browsing LinkedIn Facebook Twitter Google-Services Microsoft Office Web Apps intern107 05.12.2016 Felix Kirstan CLOUD CHECK , BEISPIEL ERGEBNISSE Dieses auch nicht welche Clouddienste genutzt werden …. Erkannte Cloud- bzw. Web-Dienste: Youtube ESPN-Browsing LinkedIn Facebook Twitter Google-Services iCloud intern108 05.12.2016 Felix Kirstan Cloud Ist der Enabler der Digitalisierung Doch nur Gemeinsam mit Security Smart Software Software Wird immer intelligenter Speicherkapazität - Wachsende Datenmengen Machen Speicherkapazität Essentiell SensorEN– Sensoren sind der Enabler der Automation Rechenleistung – Skalierbare Rechenleistung ist Unabdingbar NetZWERk– Highspeed Verbindungen & Geringe Latenz bilden das Rückgrat der Digitalisierung keine Digitalisierung ohne Cyber-security Mit unserem Cloud Portfolio in einer sicheren Umgebung Ihr partner auf Ihrem weg in die Cloud... Cloud Management, Orchestration and integration Private, Public and Hybrid Cloud Services Other ISVs … Safe Harbor Secure German Telekom/TSI Datacenter Deutsche Telekom IP Network Cloud Story @ Deutsche Telekom 110 herzlichen Dank für Ihre Aufmerksamkeit MAGENTA SECURITY 11 1 12:25 Uhr ANWENDUNGEN DEFINIEREN EINEN NEUEN SECURITY-PERIMETER Jörn Dierks Sales Manager, Security DACH © 2016 F5 Networks 114 © 2016 F5 Networks 115 © 2016 F5 Networks 116 © 2016 F5 Networks 117 DLP Firewalls Anti Virus IDS/ IPS © 2016 F5 Networks APT 118 DLP DLP Firewalls Firewalls IDS/ IPS IDS/ IPS © 2016 F5 Networks Anti Anti Virus Virus APT APT 119 Firewalls Anti Virus DLP 28% IDS/ IPS © 2016 F5 Networks APT 120 90% Firewalls Anti Virus DLP 28% IDS/ IPS Firewalls SIEM Anti Virus DLP 28% IDS/ IPS © 2016 F5 Networks APT 121 72% 28 44 Firewalls Anti Virus DLP IDS/ IPS SIEM © 2016 F5 Networks 123 © 2016 F5 Networks 124 DLP Firewalls Anti Virus IDS/ IPS © 2016 F5 Networks APT 125 © 2016 F5 Networks 126 © 2016 F5 Networks 127 © 2016 F5 Networks 128 © 2016 F5 Networks 129 Restore visibility Firewalls IDS/ IPS © 2016 F5 Networks Anti Virus DLP APT 130 Firewalls Anti Virus DLP Firewalls Anti Virus DLP IDS/ IPS APT Firewalls © 2016 F5 Networks 131 STRATEGIC POINT OF CONTROL FOR POLICY ENFORCEMENT Next- Gen Firewall Next-Gen IPS Malware Protection Secure Web Gateway UX Monitoring APT Detection BIG-IP Platform Decrypt and Steer (based on policy, bypass options) © 2016 F5 Networks Re-encrypt 132 Application access Firewalls IDS/ IPS © 2016 F5 Networks Anti Virus DLP APT 133 OS Authentication Device type and integrity Operating system Browser Location Access method !!! v3.1 App location App importance and risk Network integrity Network quality and availability App type/ version Connection integrity Context © 2016 F5 Networks 134 Allow North Korea Low-Value App User ID Deny Location Challenge End point OTP Device health Client Cert. Device type Malware Sensitive Data Human User ID Location End point Allow Device health Deny Device type Challenge Malware OTP Client Cert. © 2016 F5 Networks United Kingdom Sensitive Data High-Value App Human 135 Application protection Firewalls IDS/ IPS © 2016 F5 Networks Anti Virus DLP APT 136 Threat Intelligence Feed Next-Generation Firewall Scanner Anonymous Anonymous Proxies Requests Botnet Attackers Network Application Network attacks: ICMP flood, UDP flood, SYN flood Multiple ISP strategy Corporate Users SSL attacks: SSL renegotiation, SSL flood Legitimate Users ISPa/b Attackers Customer Router Gatekeeper WAF DNS attacks: DNS amplification, query flood, dictionary attack, DNS poisoning HTTP attacks: Slowloris, slow POST, recursive POST/GET IPS © 2016 F5 Networks 137 Firewalls IDS/ IPS © 2016 F5 Networks Anti Virus DLP APT 138 © 2016 F5 Networks 139 Telekom Fachkongress Magenta Security 2016
© Copyright 2024 ExpyDoc
