Lagring i molnet. Per Hellqvist Senior Security Specialist Symantec Nordic AB

Relevanta dokument
Säkerhet 2.0. Ta en titt in i framtiden. Per Hellqvist. Senior Security Specialist

Avancerade Webbteknologier 2. AD11g Göteborg 2012 Säkerhet

Modul 6 Webbsäkerhet

Vad är molnet? Vad är NAV i molnet? Vem passar NAV i molnet för? Fördelar med NAV i molnet Kom igång snabbt...

Säkerhet. Säkerhet. Johan Leitet twitter.com/leitet facebook.com/leitet. Webbteknik II, 1DV449

Outsourcing och molntjänster

Säkerhet i applikationslagret och slaget om webben. John Wilander, Omegapoint, Rätt säkerhet, maj 2010

Innehåll Molntjänster... 4 Vad är detta?... 5 Cirkeln sluts... 6 The Cloud... 7 The Cloud (forts.)... 8 Definition av molntjänster...

OWASP Topp De 10 allvarligaste riskerna i webbapplikationer OWASP East Sweden: Uppstartsmöte

Molntjänster. Översikt. Lektion 1: Introduktion till molntjänst. Introduktion till molntjänst. Vilka tjänster finns? Säkerhet.

Daniel Akenine, Teknikchef, Microsoft Sverige

MOLNTJÄNSTER ÄR DET NÅGOT FÖR OSS?

SNITS-Lunch. Säkerhet & webb


Cipher Suites. Rekommendationer om transportkryptering i e-tjänster

En syn på säkerhet. Per Lejontand

Symantec Endpoint Protection Small Business Edition 2013

Molnet ett laglöst land?

Swedish Association for Software Testing Inspect it AB

Guide inför ett. storageprojekt. Viktiga överväganden inför lagringskonsolidering

Frågor och svar om ArcGIS Pro Licensiering

Säkra trådlösa nät - praktiska råd och erfarenheter

Hur sälja Mamut One? Pär Svärd, Sales Manager VAR Sweden 16 oktober,

30 år av erfarenhet och branschexperts

Riktlinjer för informationssäkerhet

E V - C E R T I F I K AT: VA R F Ö R A N V Ä N D A D E N S TA R K A S T E S S L AUTENTISERINGSPROCESS?

Detta dokument beskriver it-säkerheten i RAMBØLLs it-system SurveyXact och Rambøll Results.

Framgångsfaktorer i molnet!

Utmaningar vid molnupphandlingar

Molntjänster -- vad är molnet?

Inte bara det, vi har dessutom fått allt fler arbetsredskap. När vi inte har kontroll på enheterna är det svårare att skydda dem.

E11 "Protection" Föreläsning 11, HT2014 Säkerhet, tillgänglighet. Johan Leitet. Kurs: 1dv403 Webbteknik I

BÄTTRE VI-KÄNSLA MED INTRANÄT

Aditro Our focus benefits yours Molnet -- Presentation

SÄKRA DIN AFFÄR VART DEN ÄN TAR DIG. Protection Service for Business

Hur tar jag företaget till en trygg IT-miljö i molnet?

Cloud Computing för arkitekter Sten Sundblad IASA och Sundblad & Sundblad

E-legitimationer. Jonas Wiman. LKDATA Linköpings Kommun.

Säkra system. En profil om säkerhet och programvara. Profilansvarig: Nahid Shahmehri

Vad betyder molnet för framtida IT-yrken

Webbsäkerhet för IT-tekniker VT2014 Johan Leitet Nätverkssäkerhet, 1DV425 johan.leitet.se twitter.com/leitet facebook.

Plattform as a Service, leverantör tillhandahåller plattformen, jag tillhandahåller applikation och ansvarar för denna.

Snabbguide Kom igång med Mina bilder i tv:n

Storegate Pro Backup. Innehåll

Den mobila användaren sätter traditionella säkerhetssystem ur spel

Upplev Symantec Backup Exec.cloudcloud

DIG IN TO Nätverksadministration

Säkerhet och förtroende

Innehåll. Dokumentet gäller från och med version

Säkerhet. Säker kommunikation - Nivå. Secure . Alice wants to send secret message, m, to Bob.

Köpguide för mobila växlar. Modern telefoni till företaget är långt ifrån vad det var för bara några år sedan.

Hå rd- och mjukvårukråv såmt rekommendåtioner fo r 3L Pro from version 2013.Q3

Digital Lagring. Jukka Salo Flygteknisk inspektör

Installation av Virtual Skipper Online

Storegate MOLNTJÄNSTER FÖR MEDVETNA FÖRETAG. Storegate AB, NetPort Science Park, Pirgatan 13, KARLSHAMN, Sverige

Skydda dina virtuella system i tre steg

Frågor och svar för anställda

The Complete Property Management System

Om du misstänker att värdens privata nyckel har manipulerats kan du skapa en ny genom att utföra följande steg:

Till ditt skrivbord som tjänst via Internet

Webbsäkerhet. för IT-tekniker VT2013. Johan Leitet johan.leitet.se

Köpguide för molntjänster. Hur fungerar det egentligen och vad innebär det för mig?

Android. Ett alternativ till traditionella Windows-datorer

Platsbesök. Systemkrav

Kriswebb och Krisserver ur ett tekniskt perspektiv

Icke funktionella krav

Bordermail instruktionsmanual

Kryptering. Av: Johan Westerlund Kurs: Utveckling av webbapplicationer Termin: VT2015 Lärare: Per Sahlin

Quick Start CABAS. Generella systemkrav CABAS / CAB Plan. Kommunikation. Säkerhet

Tekniska lösningar som stödjer GDPR

Cloud Computing. Richard Richthoff Strategisk Rådgivare Radar Group International

Storegate SVENSKA MOLNTJÄNSTER. Storegate AB, NetPort Science Park, Pirgatan 13, KARLSHAMN, Sverige

3.2 1H[W*HQHUDWLRQ6HFXULW\ Användarmanual

Ta kontroll över dina. samtal. social marknadsföring och dialogbaserad varumärkeskommunikation. Jimmy Forsman, babblish ab

Översikt av GDPR och förberedelser inför 25/5-2018

Stockholm Skolwebb. Information kring säkerhet och e-legitimation för Stockholm Skolwebb. skolwebb.stockholm.se

Webbservrar, severskript & webbproduktion

Essential Php Security Författare: Shiflett, Chris Antal sidor: 124 Förlag: O'Reilly

Virtuell Server Tjänstebeskrivning

Microsoft Online Services. Microsoft Business Online Productivity Suite (BPOS)

Dölja brott med datorns hjälp

Så surfar du säkrare 2 Skydda surfvanor på din dator 2 Skydda det du skickar 4 Skydda din identitet 4

FÖRHINDRA DATORINTRÅNG!

Dataintrång hos Dataföreningen. Annica Bergman Dataföreningen i Sverige Internetdagarna 21 oktober 2008

Memeo Instant Backup Snabbguide. Steg 1: Skapa ett gratis Memeo-konto. Steg 2: Anslut din lagringsenhet till datorn

API:er/Mashup. Föreläsning 4 API:er och Mashups. Johan Leitet johan.leitet@lnu.se twitter.com/leitet facebook.com/leitet. Webbteknik II, 1DV449

Run Business Run Kista Konferenscenter, 6 februari, 2014 Informationstillgänglighet

BLOGG PETER DPI.FI

Nej, Latitude ON Flash är för närvarande endast tillgängligt på följande Dell datorer: Dell Latitude E4200 Dell Latitude E4300

DNSSEC och säkerheten på Internet

Mer information om snabbinstallation finns på baksidan.

Säkerhet. Föreläsning 6 Säkerhet. Johan Leitet twitter.com/leitet facebook.com/leitet. Webbteknik II, 1DV449

Mer information om snabbinstallation finns på baksidan.

ERFARENHETSUTBYTE KRING FEDERATIVA IDENTITETSLÖSNINGAR

Virtualisering - Nu är det dags för nästa steg! Sebastian Hellegren sebastian.hellegren@proact.se Henry Persson hpersson@vmware.

Storegate MOLNTJÄNSTER FÖR MEDVETNA FÖRETAG. Storegate AB, NetPort Science Park, Pirgatan 13, KARLSHAMN, Sverige

Gesäll provet Internetprogrammering I. Författare: Henrik Fridström. Personnummer: Skola: DSV

Säker informationshantering

DNSSec. Garanterar ett säkert internet

Hå rd- och mjukvårukråv såmt rekommendåtioner fo r 3L Pro from version 2015.Q1

Transkript:

Lagring i molnet Per Hellqvist Senior Security Specialist Symantec Nordic AB

Först: Symantec har SaaS-tjänster* (*Storage as a Service) I Symantec Protection Network ingår Symantec Online Storage Symantec Online Storage for Backup Exec Dock inte i EMEA förrän tidigast rukk vpewb Med reservation för ändringar Norton 360 undantaget såklart Risk för partiskhet trots detta liten

Varför lagring i molnet? Lagringsvolymen ökar Högre kostnader för underhåll, hårdvara, mjukvara Kostnaden per MB minskar, men totala kostnaden ökar Kortare implementationstid Lägre initiala kostnader Tillgång till datat överallt ifrån Pay-as-you-go-prissättning Betala för det du använder Lägre personalkostnader Behöver inte bygga upp en allt mer komplex lagringsmiljö

Typisk SaaS-kund idag SMB Backup-media idag består av USB-hårddiskar Andras datorer Servern... Backuppen lagras normalt På kontoret Hemma Hos en kamrat I en ipod??!

Oro inför Saas-tjänster Identitets- och accesshantering Compliance-relaterade frågeställningar Säkerheten hos lagrad data Goldman Sachs CSO survey 2007/2008 Konfigurerbarhet Integration Funktionalitet Leverantörens pålitlighet och överlevnadsbarhet (IDC s SaaS-undersökning)

Oro inför Saas-tjänster Autenticering: Är jag den enda som har tillgång till min data? Endast via lösenord eller 2-faktorautenticering? Certifikat? Avskildhet: Hur lagras min data? Kryptering vid överföring och lagring? Key Escrow? Hur skyddar sig SaaS-leverantören? Patchhantering Vem bestämmer när ett system ska uppdateras? Vilket patchintervall gäller? Nya patchar kan medföra nya säkerhetsproblem, vem kontrollerar? SaaS-modellen ger utvecklare möjligheten att inkrementellt lägga till funktionalitet Varannan vecka, varje månad, efter behov, etc Varje förändring är ett möjligt säkerhetshål (skapa nya/öppna gamla)

Kommer SaaS döda Internet 2011??!!11... "Last year, by one estimate, the video site YouTube consumed as much bandwidth as the entire Internet did in 2000. " http://www.nytimes.com/2008/03/13/technology/13net.html?ex=1363233600&en=37c92cf02bd0601f&ei=5124&partner=permalink&exprod=permali nk

Oro vid egen lagring Kan inte återhämta data vid katastrofer Dålig regelefterlevnad genom att man inte kan spara undan data under en specifik tidsperiod Personalen måste utbildas för att hantera en allt mer kompex miljö Inlåsning till en leverantör av mjukvara/hårdvara Hårdvaruproblem Mjukvaruproblem

Vilket är det största hotet egentligen?

Varför lagring i molnet? Hur säkra är dina backup-tejper? Egentligen?

Nackdelar med SaaS Svårare att revidera eller testa applikationerna Svårt att utvärdera leverantören Lycksökare? Finansiell stabilitet? Svårt att veta hur bra leverantören är på säkerhet XSS, CSRF, PSL, UPS, fysisk/logisk säkerhet etc Svårt att snabbt få tillgång till loggfiler Inlåsning till en leverantör Beroende av stabil internetleverantör

Hur gör Symantec? Full kryptering vid överföring och lagring SSL och AES (256 bit) Nyckeln lagras hos tredje-part Inkrementell överföring Beroende på avtal sparas data upp till 7 år Helt redundanta datacenters Allt testas med SAS 70 Type II audits Kontrollerar fysisk säkerhet, audit och backup-procedurer, personal, brand, elförsörjning etc etc

Annat att titta efter hos en leverantör Kontinuitet Varit med ett tag? Nystartade? Ekonomi? Publicerade Disaster Recovery-planer Ger trygghet att veta vad som händer om något går galet Service Level Agreements Varierar enormt mycket. Det mesta är marketing, men de är designade att ge dig förtroende för leverantören Webbaserade gränssnitt Säker webbsida, krypterad login, starka lösenord

Webbsajter är dåligt underhållna Över 80 procent av webbplatser är sårbara I snitt 5 sårbarheter på varje (sårbar) sajt 1. XSS, Cross Site Scripting (67 %) 2. Informationsläckage (41 %) 3. Innehållsförfalskning (21 %) 4. Otillräcklig validering (18 %) 5. SQL injektion (17 %) 6. Gissa var information är gömd (Predictable Source Location)(16 %) 7. Otillräcklig autenticering (12 %) 8. HTTP Response Splitting (9 %) 9. Felaktig användning av funktioner (8 %) 10. Cross-Site Request Forgery, CSRF (omvänd XSS) (8 %) Källa: WhiteHat Securitys rapport, augusti 2008

Slutsatser Säkerhetsfrågor mycket viktiga och relevanta frågor måste ställas Väljer man en bra partner och är noga med övrig säkerhet så är riskerna acceptabla och hanterbara Riskerna är förmodligen större vid egen hantering Kör igång och lägg pengarna du sparar på något viktigare

Tack för mig! Per_Hellqvist@Symantec.com www.symantec.se http://blogg.idg.se/perhellqvist

David Batra

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss