Vertrauen in der Salesforce Cloud Vertrauen ist unsere höchste Priorität

 Heinz Ebensperger  Technical Architect, Platform Security Specialist  hebensperger@salesforce.com

“Das Internet wird wie eine spektakuläre Supernova im Jahr 1996 in einem katastrophalen Kollaps untergehen“ .

Robert Metcalfe, Gründer von 3Com

„Ich glaube, dass es auf der Welt einen Bedarf von vielleicht fünf Computern geben wird.“

Thomas Watson, IBM, (1943)

Nicht alle Clouds sind gleich…

Customer owns data Customer chooses data center Full customer transparency Customer sets terms

Consumer Enterprise

Vendor owns data Vendor chooses data center

No customer transparency Vendor sets terms

Customer Customer Customer Customer

Vendor Vendor Vendor Vendor

Data Owner Data Center Selection

Transparency Control

Die Cloud ist der schnellste Weg zum Erfolg

Enterprise Cloud Computing

Schnell Innovativ Offen Einfach Vertraulich

Keine Hardware Keine Software

Schneller ROI

Flexibilität Automatische Upgrades

Kontinuierl. Innovation

Geräteunabhängig API First

Daten-Portabilität

Sicherheit Transparenz

Skal. Performance

Subscription Model Real-time Anpassungen

AppExchange

 Virtualisiertes Betriebssystem  Management auf Systemebene  Services müssen konfiguriert werden •  Datenbanken •  Anwendungen •  Messaging  Sicherheit?  Disaster Recovery?

Konfigurierbare Plattform Kein Zugriff auf die Infrastruktur Fokus:

•  Entwicklungsplattform •  Collaboration •  Applikations-Lebenszyklus •  Applikations-Management

Sicherheit eingebaut

 Konfigurierbare Anwendung  Kein Zugriff auf die Infrastruktur Fokus

•  Business Value •  Datenmodell •  Prozesse •  Collaboration

Sicherheit wird von Plattform genutzt

Vergleich: IaaS vs. PaaS vs. IaaS

PaaS SaaS IaaS

Vorgaben für Cloudumgebungen

•  Regulatorische und gesetzliche Vorgaben

•  Nachweis technischer und organisatorischer Maßnahmen

•  Transparenz

•  Vertrauen ! §

Salesforce setzt auf eine mandantenfähige Infrastruktur

Eine weltweite Plattform Über 100.000 Kunden Gemeinsam genutzte Infrastruktur Jederzeit erreichbar >99,9% Uptime Schnell >3 Milliarden Transaktionen täglich

•  Hohe Sicherheit •  Eine abzusichernde Plattform •  Belastbare externe Audits

•  Skalierbarkeit •  Automatische Updates

•  Cloud-Anbieter gibt Sicherheitsarchitektur vor

•  Geringe Flexibiltät bei Vertragsverhandlungen

Vorteile Nachteile

Was sind die Vorteile einer mandantenfähigen Architektur?

Sicherheitsgrundlagen in der Cloud

“Trust”: Vertrauen ist die Geschäftsgrundlage von Salesforce

 Auszug Salesforce.com Jahresbericht

Vertrauen bedeutet MEHR als Sicherheit...  Umfassende Salesforce “Trust Services Principles”

Sicherheit

Integrität

Verfügbarkeit

Vertraulichkeit Reaktion

§

Datenschutz

Schwerpunkt: Sichere Verwahrung von Kundendaten

Umfassendes Security-Programm, fundiert auf „Best Practices“ Fortlaufende Aufklärung & Schulung von Mitarbeitern Untermauert von umfangreichen Audits „Protection, detection, and response“

 ISO27002 Richtlinien

 Zentrale Steuerungs-Gremien

 Jährliches Sicherheitstraining

 Regelmäßige interne Prüfungen

Vertrauen ist die oberste Priorität Informationssicherheit ist vielschichtig

Policy Standards

Guidelines Procedures Practices

Compliance Testing “Reality”

Vielzahl von Audits und Zertifizierungen

•  Safe Harbor •  ISO 27001 •  SSAE 16 (SOC 1) •  Trust Services (SOC 2, and 3) •  PCI DSS Level 1 •  TÜV (Germany Privacy Mark) •  FISMA - ATO at moderate level •  JIPDEC (Japan Privacy Seal) •  SysTrust / TRUSTe

•  >100 customer-initiated penetration tests per year

•  Focused penetration testing with every release

•  Most stringent customer sets the bar

Rechenzentren der Spitzenklasse

Kühlung • Min. N+1 • Hot/Cold Aisle Configuration

Stromversorgung • Generatoren mit Battery-Banks & ‘Rotary Fly wheel’-UPS • Min. N+1 configuration

Rechenzentren • Verteilte Rechenzentren • DR Site mit voller Replikation der primären Site

Vielschichtige technologische Sicherheits-Struktur  Adaptiv und Flexibel

Infrastructure-level Security Application-level Security

Firewalls Intrusion Detection

Application Servers

Network Segmentation

Monitoring Trusted Networks

Authentication Options

Field Level Security

Object Level Security (CRUD)

Audit Logging

http://trust.salesforce.com Transaktionen im Quartal Durchschnittlich Antw.-zeiten

Einzigartige Transparenz als Eckpfeiler für Vertrauen

Mehr als 140B Transaktionen in Q1FY15

51% Wachstum Jährlich

ca. 200ms Latenz im Q1FY15 12% Verbesserung Jährlich

“Security is a process, not a product.” -Bruce Schneier

Plan

Do Check

Act

Für Sicherheit bzw. Vertrauen gibt es keine Grenze nach oben…

Thank you