SNS Connect GmbH

Report
Sichere Datenübertragung
in der Cloud
inspired by security
Vom Serverraum zur Private Cloud – Wie
sicher ist IT heute?
IT-Leiter-Treff – IT FOR WORK
Darmstadt, 27.05.2014
inspired by security
 Geschäftsführer Markus Sextro
Matthias Nagel
 Dienstleister für sichere IT
 Sicherheit, Netzwerke, Service
 www.snsconnect.de

Microsoft, Linux, Sophos, Netfilter, Netzplanung, E-Mail, Monitoring, Cloud
Computing, Office 365, Exchange, Mdaemon, Sharepoint, Lync, Collaboration,
sichere Internetdienste, Skriptprogrammierung, Automatisierung, Schnittstellen,
Netzwerkanalyse, Optimierung, Domainverwaltung, etc.
IT-Leiter-Treff, 27.05.2014
2
Agenda
inspired by security





Datenübertragung, Cloud => wie, was, wo
Büros, Serverräume & Rechenzentren
Browser, Browser, Browser
Sicherheitsmythen
Sinnvolle & Unsinnvolle Maßnahmen
IT-Leiter-Treff, 27.05.2014
3
Datenübertragung, Cloud
=> wie, was, wo
inspired by security
 Cloud Computing?
– Nutzung von IT-Ressourcen über das Internet
IT-Leiter-Treff, 27.05.2014
4
Datenübertragung, Cloud
=> wie, was, wo
inspired by security
 Cloud Computing?
– IaaS = Infrastructure as a Service
– PaaS = Plattform as a Service
– SaaS = Software as a Service
IT-Leiter-Treff, 27.05.2014
5
Datenübertragung, Cloud
=> wie, was, wo
inspired by security
 Cloud Computing?
IT-Leiter-Treff, 27.05.2014
6
Datenübertragung, Cloud
=> wie, was, wo
inspired by security
 Cloud Computing - warum?
–
–
–
–
–
Flexbilität, On-Demand Nutzung
Kostendruck, pay-per-use
Umsetzung (halbwegs) einfach in der Public-Cloud
Anspruchsvoll als Private- oder Hybrid Cloud
Ein paar virtuelle Server ≠ Cloud!
IT-Leiter-Treff, 27.05.2014
7
Büros, Serverräume &
Rechenzentren
inspired by security
 On-Premise IT
IT-Leiter-Treff, 27.05.2014
8
Büros, Serverräume &
Rechenzentren
inspired by security
 On-Premise IT
– Bei uns sind die Daten sicher!
 Konzept? Budget? Backup? HA? RBAC? Grundschutz?
 IT-Security ≠ Vertraulichkeit alleine
– Vertraulichkeit, Authentizität, Integrität, Verfügbarkeit
– Wovor muss ich etwas schützen?
IT-Leiter-Treff, 27.05.2014
9
Büros, Serverräume &
Rechenzentren
inspired by security
 Konzept? Planung?
IT-Leiter-Treff, 27.05.2014
10
Browser, Browser, Browser
inspired by security
 Der Browser ist das neue OS
– Google Chrome OS
 Zugriffe erfolgen mehr und mehr über Browser
– Management-Konsolen, Portale, Intranet, etc.
 Browser sind totaaaaal sicher!
IT-Leiter-Treff, 27.05.2014
11
Sicherheitsmythen
inspired by security
 Browser = Standardtechnologie
– Verschlüsselt, wenn‘s darauf ankommt => https
– SSL, komplex, mehrere Standards
– Hält die Admins auf Trab:
 Apple SSL-Bug „go to fail“
 Open-SSL-Bug „Heartbleed“
IT-Leiter-Treff, 27.05.2014
12
Sicherheitsmythen
inspired by security
 SSL funktioniert mit Zertifikaten
 Ausgestellt von sog. „Certificate Authorities“
– VeriSign, Thawte, GeoTrust, Comodo, TeleSec, PSW, etc.
 Standort der meisten CA-Anbieter: USA
 Umsetzung in der Realität problematisch
– Schlüsselpaar, Private Key Sicherheit
 Sicherheit der CA-Betreiber?
– DigiNotar => Gmail-Hack
IT-Leiter-Treff, 27.05.2014
13
Sicherheitsmythen
inspired by security
IT-Leiter-Treff, 27.05.2014
14
Sicherheitsmythen
inspired by security
 Exkurs: Wie überprüfe ich ein Zertifikat?
IT-Leiter-Treff, 27.05.2014
15
Sicherheitsmythen
inspired by security
 Sicherheitsmythos 1:
Kennwörter
IT-Leiter-Treff, 27.05.2014
16
Sicherheitsmythos
Kennwörter
inspired by security
 Q!k9*4GzT#Bk
 Schokoeis schmeckt super
IT-Leiter-Treff, 27.05.2014
17
Sicherheitsmythos
Kennwörter
inspired by security
 Alternativen
IT-Leiter-Treff, 27.05.2014
18
Sicherheitsmythen
inspired by security
 Sicherheitsmythos 2:
Kontosperre
IT-Leiter-Treff, 27.05.2014
19
Sicherheitsmythen
inspired by security
 Sicherheitsmythos 3:
Firewall
IT-Leiter-Treff, 27.05.2014
20
Sinnvolle & Unsinnvolle
Maßnahmen





inspired by security
Antiviren-Software
Hauptsache es läuft!
Update- & Change-Management
Rollen- & Rechtevergabe
Sicher durch Technik!
IT-Leiter-Treff, 27.05.2014
21
Antiviren-Software
inspired by security
IT-Leiter-Treff, 27.05.2014
22
Hauptsache es läuft!
inspired by security
 Function follows Security
 Planung geht vor Basteln
 Funktioniert ist gut, wissen
warum ist besser
 Der Kunde will es aber so
IT-Leiter-Treff, 27.05.2014
23
Update- & ChangeManagement




inspired by security
Windows-Updates, nix Neues?
Software aktuell?
Add-Ins, Plug-Ins, Tools
Aktive Inhalte
IT-Leiter-Treff, 27.05.2014
24
Rollen- & Rechtevergabe
inspired by security




Ich bin Admin, ich darf das!
UAC nervt
Programm xyz läuft sonst nicht
Einer für alles - nix ohne Einen?
IT-Leiter-Treff, 27.05.2014
25
Sicher durch Technik!
inspired by security
 Ich hab eine Firewall, ich bin sicher!
 Der Benutzer darf bei uns nix
IT-Leiter-Treff, 27.05.2014
26
Fragen
inspired by security


IT-Leiter-Treff, 27.05.2014
Danke!
Q&A
27
Kontakt
inspired by security
 SNS Connect GmbH
Markus Sextro
Hessen-Homburg-Platz 1
63452 Hanau
[email protected]
IT-Leiter-Treff, 27.05.2014
28

similar documents