Lagring i molnet Per Hellqvist Senior Security Specialist Symantec Nordic AB
Först: Symantec har SaaS-tjänster* (*Storage as a Service) I Symantec Protection Network ingår Symantec Online Storage Symantec Online Storage for Backup Exec Dock inte i EMEA förrän tidigast rukk vpewb Med reservation för ändringar Norton 360 undantaget såklart Risk för partiskhet trots detta liten
Varför lagring i molnet? Lagringsvolymen ökar Högre kostnader för underhåll, hårdvara, mjukvara Kostnaden per MB minskar, men totala kostnaden ökar Kortare implementationstid Lägre initiala kostnader Tillgång till datat överallt ifrån Pay-as-you-go-prissättning Betala för det du använder Lägre personalkostnader Behöver inte bygga upp en allt mer komplex lagringsmiljö
Typisk SaaS-kund idag SMB Backup-media idag består av USB-hårddiskar Andras datorer Servern... Backuppen lagras normalt På kontoret Hemma Hos en kamrat I en ipod??!
Oro inför Saas-tjänster Identitets- och accesshantering Compliance-relaterade frågeställningar Säkerheten hos lagrad data Goldman Sachs CSO survey 2007/2008 Konfigurerbarhet Integration Funktionalitet Leverantörens pålitlighet och överlevnadsbarhet (IDC s SaaS-undersökning)
Oro inför Saas-tjänster Autenticering: Är jag den enda som har tillgång till min data? Endast via lösenord eller 2-faktorautenticering? Certifikat? Avskildhet: Hur lagras min data? Kryptering vid överföring och lagring? Key Escrow? Hur skyddar sig SaaS-leverantören? Patchhantering Vem bestämmer när ett system ska uppdateras? Vilket patchintervall gäller? Nya patchar kan medföra nya säkerhetsproblem, vem kontrollerar? SaaS-modellen ger utvecklare möjligheten att inkrementellt lägga till funktionalitet Varannan vecka, varje månad, efter behov, etc Varje förändring är ett möjligt säkerhetshål (skapa nya/öppna gamla)
Kommer SaaS döda Internet 2011??!!11... "Last year, by one estimate, the video site YouTube consumed as much bandwidth as the entire Internet did in 2000. " http://www.nytimes.com/2008/03/13/technology/13net.html?ex=1363233600&en=37c92cf02bd0601f&ei=5124&partner=permalink&exprod=permali nk
Oro vid egen lagring Kan inte återhämta data vid katastrofer Dålig regelefterlevnad genom att man inte kan spara undan data under en specifik tidsperiod Personalen måste utbildas för att hantera en allt mer kompex miljö Inlåsning till en leverantör av mjukvara/hårdvara Hårdvaruproblem Mjukvaruproblem
Vilket är det största hotet egentligen?
Varför lagring i molnet? Hur säkra är dina backup-tejper? Egentligen?
Nackdelar med SaaS Svårare att revidera eller testa applikationerna Svårt att utvärdera leverantören Lycksökare? Finansiell stabilitet? Svårt att veta hur bra leverantören är på säkerhet XSS, CSRF, PSL, UPS, fysisk/logisk säkerhet etc Svårt att snabbt få tillgång till loggfiler Inlåsning till en leverantör Beroende av stabil internetleverantör
Hur gör Symantec? Full kryptering vid överföring och lagring SSL och AES (256 bit) Nyckeln lagras hos tredje-part Inkrementell överföring Beroende på avtal sparas data upp till 7 år Helt redundanta datacenters Allt testas med SAS 70 Type II audits Kontrollerar fysisk säkerhet, audit och backup-procedurer, personal, brand, elförsörjning etc etc
Annat att titta efter hos en leverantör Kontinuitet Varit med ett tag? Nystartade? Ekonomi? Publicerade Disaster Recovery-planer Ger trygghet att veta vad som händer om något går galet Service Level Agreements Varierar enormt mycket. Det mesta är marketing, men de är designade att ge dig förtroende för leverantören Webbaserade gränssnitt Säker webbsida, krypterad login, starka lösenord
Webbsajter är dåligt underhållna Över 80 procent av webbplatser är sårbara I snitt 5 sårbarheter på varje (sårbar) sajt 1. XSS, Cross Site Scripting (67 %) 2. Informationsläckage (41 %) 3. Innehållsförfalskning (21 %) 4. Otillräcklig validering (18 %) 5. SQL injektion (17 %) 6. Gissa var information är gömd (Predictable Source Location)(16 %) 7. Otillräcklig autenticering (12 %) 8. HTTP Response Splitting (9 %) 9. Felaktig användning av funktioner (8 %) 10. Cross-Site Request Forgery, CSRF (omvänd XSS) (8 %) Källa: WhiteHat Securitys rapport, augusti 2008
Slutsatser Säkerhetsfrågor mycket viktiga och relevanta frågor måste ställas Väljer man en bra partner och är noga med övrig säkerhet så är riskerna acceptabla och hanterbara Riskerna är förmodligen större vid egen hantering Kör igång och lägg pengarna du sparar på något viktigare
Tack för mig! Per_Hellqvist@Symantec.com www.symantec.se http://blogg.idg.se/perhellqvist
David Batra