vertrauen in der salesforce cloud - cloud security alliance · vertrauen in der salesforce cloud...
TRANSCRIPT
Vertrauen in der Salesforce Cloud Vertrauen ist unsere höchste Priorität
Heinz Ebensperger Technical Architect, Platform Security Specialist [email protected]
“Das Internet wird wie eine spektakuläre Supernova im Jahr 1996 in einem katastrophalen Kollaps untergehen“ .
Robert Metcalfe, Gründer von 3Com
„Ich glaube, dass es auf der Welt einen Bedarf von vielleicht fünf Computern geben wird.“
Thomas Watson, IBM, (1943)
Nicht alle Clouds sind gleich…
Customer owns data Customer chooses data center Full customer transparency Customer sets terms
Consumer Enterprise
Vendor owns data Vendor chooses data center
No customer transparency Vendor sets terms
Customer Customer Customer Customer
Vendor Vendor Vendor Vendor
Data Owner Data Center Selection
Transparency Control
Die Cloud ist der schnellste Weg zum Erfolg
Enterprise Cloud Computing
Schnell Innovativ Offen Einfach Vertraulich
Keine Hardware Keine Software
Schneller ROI
Flexibilität Automatische Upgrades
Kontinuierl. Innovation
Geräteunabhängig API First
Daten-Portabilität
Sicherheit Transparenz
Skal. Performance
Subscription Model Real-time Anpassungen
AppExchange
Virtualisiertes Betriebssystem Management auf Systemebene Services müssen konfiguriert werden • Datenbanken • Anwendungen • Messaging Sicherheit? Disaster Recovery?
Konfigurierbare Plattform Kein Zugriff auf die Infrastruktur Fokus:
• Entwicklungsplattform • Collaboration • Applikations-Lebenszyklus • Applikations-Management
Sicherheit eingebaut
Konfigurierbare Anwendung Kein Zugriff auf die Infrastruktur Fokus
• Business Value • Datenmodell • Prozesse • Collaboration
Sicherheit wird von Plattform genutzt
Vergleich: IaaS vs. PaaS vs. IaaS
PaaS SaaS IaaS
Vorgaben für Cloudumgebungen
• Regulatorische und gesetzliche Vorgaben
• Nachweis technischer und organisatorischer Maßnahmen
• Transparenz
• Vertrauen ! §
Salesforce setzt auf eine mandantenfähige Infrastruktur
Eine weltweite Plattform Über 100.000 Kunden Gemeinsam genutzte Infrastruktur Jederzeit erreichbar >99,9% Uptime Schnell >3 Milliarden Transaktionen täglich
• Hohe Sicherheit • Eine abzusichernde Plattform • Belastbare externe Audits
• Skalierbarkeit • Automatische Updates
• Cloud-Anbieter gibt Sicherheitsarchitektur vor
• Geringe Flexibiltät bei Vertragsverhandlungen
Vorteile Nachteile
Was sind die Vorteile einer mandantenfähigen Architektur?
Vertrauen bedeutet MEHR als Sicherheit... Umfassende Salesforce “Trust Services Principles”
Sicherheit
Integrität
Verfügbarkeit
Vertraulichkeit Reaktion
§
Datenschutz
Schwerpunkt: Sichere Verwahrung von Kundendaten
Umfassendes Security-Programm, fundiert auf „Best Practices“ Fortlaufende Aufklärung & Schulung von Mitarbeitern Untermauert von umfangreichen Audits „Protection, detection, and response“
ISO27002 Richtlinien
Zentrale Steuerungs-Gremien
Jährliches Sicherheitstraining
Regelmäßige interne Prüfungen
Vertrauen ist die oberste Priorität Informationssicherheit ist vielschichtig
Policy Standards
Guidelines Procedures Practices
Compliance Testing “Reality”
Vielzahl von Audits und Zertifizierungen
• Safe Harbor • ISO 27001 • SSAE 16 (SOC 1) • Trust Services (SOC 2, and 3) • PCI DSS Level 1 • TÜV (Germany Privacy Mark) • FISMA - ATO at moderate level • JIPDEC (Japan Privacy Seal) • SysTrust / TRUSTe
• >100 customer-initiated penetration tests per year
• Focused penetration testing with every release
• Most stringent customer sets the bar
Rechenzentren der Spitzenklasse
Kühlung • Min. N+1 • Hot/Cold Aisle Configuration
Stromversorgung • Generatoren mit Battery-Banks & ‘Rotary Fly wheel’-UPS • Min. N+1 configuration
Rechenzentren • Verteilte Rechenzentren • DR Site mit voller Replikation der primären Site
Vielschichtige technologische Sicherheits-Struktur Adaptiv und Flexibel
Infrastructure-level Security Application-level Security
Firewalls Intrusion Detection
Application Servers
Network Segmentation
Monitoring Trusted Networks
Authentication Options
Field Level Security
Object Level Security (CRUD)
Audit Logging
http://trust.salesforce.com Transaktionen im Quartal Durchschnittlich Antw.-zeiten
Einzigartige Transparenz als Eckpfeiler für Vertrauen
Mehr als 140B Transaktionen in Q1FY15
51% Wachstum Jährlich
ca. 200ms Latenz im Q1FY15 12% Verbesserung Jährlich
“Security is a process, not a product.” -Bruce Schneier
Plan
Do Check
Act
Für Sicherheit bzw. Vertrauen gibt es keine Grenze nach oben…