Security in the Cloud Era

Σχετικά έγγραφα
From Information Security to Cyber Defense. Dimitris Gritzalis

Critical ICT Infrastructure Protection: Overview of the Greek National Status

Critical ICT Infrastructures Protection: Trends and Perspectives. Dimitris Gritzalis

Digital signatures in practice in Greece: Capabilities and limitations. Dimitrios Lekkas, Dimitris Gritzalis

Cyberwar ante portas : The role and importance of national cyber-defense exercises

From Secure e-computing to Trusted u-computing. Dimitris Gritzalis

Online Social Networks: Posts that can save lives. Dimitris Gritzalis, Sotiria Giannitsari, Dimitris Tsagkarakis, Despina Mentzelioti April 2016

Discussing Security and Privacy Issues in the Age of Surveillance Dimitris Gritzalis

The IT Security Expert Profile

Security and Privacy in the Age of Surveillance. Dimitris Gritzalis

SPIT: Still another emerging Internet threat

Critical Infrastructure Protection: A Roadmap for Greece D. Gritzalis

On the way from e- Health to u-health: Is there a real difference? Dimitris Gritzalis

Legal use of personal data to fight telecom fraud

Spam over Internet Telephony (SPIT): An emerging threat. Dimitris Gritzalis

Protecting Critical Public Administration ICT Infrastructures. Dimitris Gritzalis

The Greek Data Protection Act: The IT Professional s Perspective

Online Social Networks: Posts that can save lives. Sotiria Giannitsari April 2016

Security and Privacy: From Empiricism to Interdisciplinarity. Dimitris Gritzalis

Hacking in Cyberspace

From IT Security to Critical Infrastructure Protection: From the past to the future. Dimitris Gritzalis

Used to be Information Security - Now is Critical ICT Infrastructure Protection Dimitris Gritzalis

Secure Cyberspace: New Defense Capabilities

Critical Infrastructures: The Nervous System of every Welfare State. G. Stergiopoulos, D. Gritzalis

The SPHINX project report Dimitris Gritzalis

Organizing the Protection of Critical ICT Infrastructures. Dimitris Gritzalis

Towards a more Secure Cyberspace

From Computer Security to Critical ICT Infrastructure Protection. Dimitris Gritzalis

Selecting Essential IT Security Projects. Dimitris Gritzalis

The Inherently Hybrid Nature of Online Social Networks. Dimitris Gritzalis April 2016

National Critical Telecommunication Infrastructure Protection: Towards an Holistic Strategy. PanosKotzanikolaou June 2016

VoIP Infrastructures: The SPIT threat Dimitris Gritzalis

STORM-RM: A Collaborative Risk Management Methodology. T. Ntouskas, D. Gritzalis

National Critical Telecommunication Infrastructure Protection: An Identification and Assessment Methodology. Georgia Lykou June 2016

From e-health to u-health: A semantic - and not syntactic - change

Protecting Critical ICT Infrastructures

Transport Resilience Georgia Lykou

Medical Information Systems Security: Memories from the Future. Dimitris Gritzalis

ICT provide options and threats. Dimitris Gritzalis February 2016

Everything can be hacked in the Internet-of-Things. Dimitris Gritzalis March 2017

Hackers - Hacking Hacktivism: From Morris to Chiapas. Dimitris Gritzalis

Security and Civic Disobedience in Cyberspace

Online Social Networks: Enhancing Social Welfare and Supporting National Defense. Dimitris Gritzalis April 2016

The Brave New World of Social Media Kandias Miltos

ΠΑΝΕΠΙΣΤΗΜΙΟ ΑΙΓΑΙΟΥ

Kyriakos Pierrakakis, Vasilis Stavrou. October 2014

ΔΙΠΛΩΜΑΤΙΚΕΣ ΕΡΓΑΣΙΕΣ

Connected Threat Defense

Electronic Voting: Securely and Reliably

Connected Threat Defense

Διαδίκτυο των Αντικειμένων - IoT.

Εισαγωγή στα Πληροφοριακά Συστήματα. Ενότητα 11: Αρχιτεκτονική Cloud

Συστήματα Διαχείρισης Κινδύνου στα Ασύρματα Δίκτυα. Επιμέλεια: Βασίλης Παλιούρας MSc Information Security, MCSA, CCDA, CCA

Without You it s just a Tube, with you it becomes a profiling database. Dimitris Gritzalis October 2014

Threats and vulnerabilities in Internet Telephony: Focusing on the SPIT phenomenon

Εφαρμογή Υπολογιστικών Τεχνικών στην Γεωργία

Antonis Stamatopoulos Commercial Director. AI Attacks & Incident Lifecycle Management

Πρόγραμμα Σεμιναρίων Φεβρουαρίου - Ιουλίου

ΣΦΙΓΞ: Εύρωστες ιαδικτυακές Υϖηρεσίες ιάκριση Ανθρώϖου ή Μηχανής µε ιαδραστικά Ηχητικά Μέσα ΝΟΗΣΙΣ, Σάββατο, 19 Γενάρη 2013

Υπηρεσίες Πληροφόρησης στην Ψηφιακή Εποχή: Ζητήματα Ασφάλειας και Προστασίας Ιδιωτικότητας

Πρόγραμμα Σεμιναρίων Σεπτεμβρίου Δεκεμβρίου

Ηρϊκλειτοσ ΙΙ. Πανεπιζηήμιο Θεζζαλίας. Τμήμα Μηχανικών Η/Υ και Δικτύων

ΝΕΟ ΠΡΟΓΡΑΜΜΑ ΣΠΟΥΔΩΝ, ΤΜΗΜΑ ΔΙΟΙΚΗΣΗΣ ΕΠΙΧΕΙΡΗΣΕΩΝ, ΣΧΟΛΗ ΔΙΟΙΚΗΣΗΣ ΚΑΙ ΟΙΚΟΝΟΜΙΑΣ, ΤΕΙ ΙΟΝΙΩΝ ΝΗΣΩΝ ΕΙΣΑΓΩΓΙΚΗ ΚΑΤΕΥΘΥΝΣΗ ΔΙΟΙΚΗΣΗ ΕΠΙΧΕΙΡΗΣΕΩΝ

ασφάλεια υϖοδοµών VoIP: αϖειλές και ϖιθανές λύσεις

Πρόγραμμα Σεμιναρίων Σεπτεμβρίου - Δεκεμβρίου

Oλοκληρωμένες λύσεις Πληροφορικής και Τηλεπικοινωνιών στην υπηρεσία της Ναυτιλίας

Εκτίμηση κινδύνου και μέτρα ασφαλείας για την προστασία προσωπικών δεδομένων

Παρουσίαση του Έργου SECOVIA: στόχοι και αποτελέσματα

Ο Ρόλος των Αρχών στη διασφάλιση του Απορρήτου των Επικοινωνιών στον κόσµο της Νεφοϋπολογιστικής

Ενότητα #03. Πληροφοριακά Συστήματα Μεγάλης Κλίμακας Cloud Computing. Ασφάλεια και άλλα θέματα του Cloud. Ασφάλεια (1 από 2)

Πρόγραμμα Σεμιναρίων Σεπτεμβρίου - Δεκεμβρίου

EU Cyber Security Policy Ευρωπαϊκό δίκαιο προστασίας και ασφάλειας δεδομένων στα επόμενα χρόνια Θοδωρής Κωνσταντακόπουλος

Αξιοποίηση των Τεχνολογιών Νεφοϋπολογιστικής στην Ηλεκτρονική ιακυβέρνηση

ΙΤ Infrastructures. Cyber Security Presentation

ΤΕΙ Δυτικής Ελλάδας Τμήμα Μηχανικών Πληροφορικής ΤΕ. Τεχνολογίες Υπολογιστικού Νέφους

GDPR και Τεχνικά Μέτρα Ασφάλειας Πληροφοριακών Συστημάτων

Εύρωστες Ψηφιακές Υπoδομές και Υπηρεσίες: Διάκριση ανθρώπου ή bot

ΑΡΙΣΤΟΤΕΛΕΙΟ ΠΑΝΕΠΙΣΤΗΜΙΟ ΘΕΣΣΑΛΟΝΙΚΗΣ ΤΜΗΜΑ ΑΣΟΛΟΓΙΑΣ ΚΑΙ ΦΥΣΙΚΟΥ ΠΕΡΙΒΑΛΛΟΝΤΟΣ ΤΟΜΕΑΣ ΣΧΕ ΙΑΣΜΟΥ ΚΑΙ ΑΝΑΠΤΥΞΗΣ ΦΥΣΙΚΩΝ ΠΟΡΩΝ

Wiley, USA, , D. Gollmann, Computer Security, pp , J. Wiley, USA, 1999.

ΠΡΟΣΩΠΙΚΕΣ ΠΛΗΡΟΦΟΡΙΕΣ ΘΕΟΔΩΡΟΣ ΝΤΟΥΣΚΑΣ E U R O P E A N C U R R I C U L U M V I T A E F O R M A T

Wiley, USA, D. Gollmann, Computer Security, pp , J. Wiley, USA, Δικτύων Υπολογιστών, σελ , Εκδό-

2016 IEEE/ACM International Conference on Mobile Software Engineering and Systems

Δεκέμβρης Δημήτρης Γκρίτζαλης. Σειρά Τεχνικών Αναφορών No. 2 (2006) Κωδικός αναφοράς: AUEB-CIS/MET-0206/v.2.5/

2 Διάλεξη R. Anderson, Security Engineering, Wiley (2 nd. ed.), D. Gollmann, Computer Security, pp , J. Wiley, ed.) 2008.

3 Διάλεξη R. Anderson, Security Engineering, Wiley (2 nd

Ερευνητική+Ομάδα+Τεχνολογιών+ Διαδικτύου+

ISMS κατά ISO Δεκέμβριος 2016

018 Απειλές στον κυβερνοχώρο: Πρόληψη και διαχείριση κινδύνων

2o INFOCOM SECURITY: Οικονοµία σε κρίση - Τεχνολογία σε έξαρση Αθήνα, 5 Αϖρίλη 2012

ΒΙΟΓΡΑΦΙΚΟ ΣΗΜΕΙΩΜΑ ΣΤΥΛΙΑΝΗΣ Κ. ΣΟΦΙΑΝΟΠΟΥΛΟΥ Αναπληρώτρια Καθηγήτρια. Τµήµα Τεχνολογίας & Συστηµάτων Παραγωγής.

cloud computing εφαρμογές νέφους Κεφάλαιο 13

1.2 CISO. IaaS infrastructure as a service PaaS platform as a service SaaS software as a service IAM

Cryptography and Network Security Overview & Chapter 1. Fifth Edition by William Stallings

Optimization, PSO) DE [1, 2, 3, 4] PSO [5, 6, 7, 8, 9, 10, 11] (P)

Υπεύθυνος Προστασίας Δεδομένων (Data Protection Officer)

Αγ. Μαρίνα, Μυτιλήνη, 81100, Λέσβος, Ελλάδα Ημερομηνία γέννησης 21/01/1970 ΕΚΠΑΙΔΕΥΣΗ

ΟΙΚΟΝΟΜΙΚΟ ΠΑΝΕΠΙΣΤΗΜΙΟ ΑΘΗΝΩΝ ΤΜΗΜΑ ΠΛΗΡΟΦΟΡΙΚΗΣ. ΜΕΤΑΠΤΥΧΙΑΚΟ ΔΙΠΛΩΜΑ ΕΙΔΙΚΕΥΣΗΣ (MSc) στα ΠΛΗΡΟΦΟΡΙΑΚΑ ΣΥΣΤΗΜΑΤΑ ΔΙΠΛΩΜΑΤΙKH ΕΡΓΑΣΙΑ

Πέτρος Γ. Οικονομίδης Πρόεδρος και Εκτελεστικός Διευθυντής

Wiley, USA, Κάτσικα Σ., Γκρίτζαλη Δ., Γκρίτζαλη Σ., Ασφά- AUEB_ISS_Risk_Analysis_v12.pdf 2 Διάλεξη Εκδόσεις Νέων Τεχνολογιών, Αθήνα 2003.

Internet of Things Νέες υπηρεσίες, νέες ευκαιρίες, νέες ανάγκες προστασίας δεδομένων

Transcript:

Security in the Cloud Era Dimitris Gritzalis October 2011

Ασφάλεια στην εποχή του Cloud: Παράδοξο ή απλώς διαφορετικό; Δημήτρης Γκρίτζαλης Καθηγητής Ασφάλειας στις ΤΠΕ Οικονομικό Πανεπιστήμιο Αθηνών Πρόεδρος Δ.Σ. Ψηφιακές Ενισχύσεις Α.Ε.

To Σύννεφο Το υπολογιστικό σύννεφο αποτελεί ένα νέο οικονομικό μοντέλο για παροχή υπολογιστικών υπηρεσιών. Δεν αποτελεί μια νέα τεχνολογία.

To Σύννεφο Βασικά χαρακτηριστικά κατά NIST: Αυτοεξυπηρέτηση κατόπιν απαίτησης (On-demand Self-Service) Ευρεία δικτυακή πρόσβαση (Ubiquitous network access) Δυναμική εκχώρηση πόρων (Dynamic Resource Allocation) Ταχεία ελαστικότητα (Rapid elasticity) Μετρήσιμη υπηρεσία (Measured Service)

Τρία βασικά είδη

Everything as a Service Gartner 1 : Το 2011 θα είναι η χρόνια του PaaS. 1 http://www.gartner.com/it/page.jsp?id=1586114

It s all about Money Επιχειρήσεις + Cloud = Μειωμένο κόστος (Αγοράς, Συντήρησης, Ανάπτυξης)

Επενδύσεις στο Σύννεφο Προϋπολογισμός Η.Π.Α. 2012 1 : 20 δις δολάρια το χρόνο στο Cloud Computing. Ευρωπαϊκή Ένωση 2 : 15.7 εκατομμύρια για έρευνα στο Cloud, με έμφαση στο data mobility και τον έλεγχο πρόσβασης. UK s Centre for Economics and Business Research 3 : Υιοθέτηση του Cloud μπορεί να εξοικονομήσει περισσότερα από 763 εκατομμύρια ευρώ στις ευρωπαϊκές αγορές μεταξύ του 2010 και 2015. 1 http://fcw.com/articles/2011/02/28/buzz-cloud-computing-and-budget.aspx 2 http://www.visioncloud.eu/ 3 http://www.redstor.com/downloads/cloud-dividend-report.pdf

Πόσο ασφαλές είναι το Σύννεφο? ENISA 1 : Oι βασικότερες ανησυχίες για την υιοθέτησή του σε επιχειρήσεις είναι η διασφάλιση: 1. Ιδιωτικότητας 2. Διαθεσιμότητας 3. Ακεραιότητας 4. Εμπιστευτικότητας 1 http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-sme-survey

Πόσο ασφαλές είναι το Σύννεφο? Cloud Security Alliance 1 : Κυριότερες Απειλές: Αδυναμίες λόγω κοινής χρήσης υπηρεσιών Data loss / Data leakage Επιθέσεις εκ των έσω Μη εξουσιοδοτημένη πρόσβαση σε πόρους (Account Hijacking) Μη ασφαλή API s Εκμετάλλευση του Cloud από κακόβουλους χρήστες (Spamming, Phishing, Password Cracking) 1 http://www.cloudsecurityalliance.org/

Παραχωρήσεις Υιοθετώντας cloud υπηρεσίες παραχωρούμε τον έλεγχο των δεδομένων μας στο πάροχο. Τις περισσότερες φορές, δεν γνωρίζουμε καν τη φυσική τοποθεσία που βρίσκονται αποθηκευμένα. Καλούμαστε να αντιμετωπίσουμε νέα νομικά και τεχνικά ζητήματα

Νέα Ζητήματα 1. Διαχείριση κινδύνου: Οι παραδοσιακές τεχνικές διαχείρισης κίνδυνου είναι δύσκολο ή ακόμα και αδύνατο να εφαρμοστούν. 2. Πρότυπα: Η δυσκολία φυσικής πρόσβασης στο datacenter δημιουργεί προβλήματα συμμόρφωσης με ορισμένα πρότυπα (π.χ. PCI - Level 1).

Νέα Ζητήματα 3. Διαχείριση συμβάντων: Η τυπική διαδικασία της δικανικής πληροφορικής είναι εξαιρετικά πολύπλοκη σε ένα τέτοιο περιβάλλον. 4. Νομικά Κενά: Αν χρησιμοποιήσουμε τα data centers της Amazon στην Ευρώπη σε ποια νομοθεσία υπόκεινται τα δεδομένα μας? Ευρωπαϊκή, Αμερικάνικη ή και τις δύο?

Συμπεράσματα Το Cloud αδιαμφισβήτητα αποτελεί μια επανάσταση για τις ΤΠΕ κυρίως χάρη στα οικονομικά οφέλη. Η ασφάλεια όμως είναι ο σημαντικότερος παράγοντας που επηρεάζει τη διάδοση/υιοθέτηση του cloud computing. Τα τεχνικά και νομικά κενά, θα πρέπει να αντιμετωπιστούν ορθά και με ακρίβεια, ώστε να γενικευτεί η χρήση cloud υπηρεσιών.

References 1. Gritzalis D., Secure Electronic Voting, Springer, 2003. 2. Kandias M., Mylonas A., Virvilis N., Theoharidou M., Gritzalis D., An Insider Threat Prediction Model, in Proc. of the 7 th International Conference on Trust, Privacy, and Security in Digital Business, pp. 26-37, Springer, 2010. 3. Lekkas D., Gritzalis D., e-passports as a means towards a globally interoperable Public Key Infrastructure, Journal of Computer Security, Vol. 18, No. 3, pp. 379-396, 2010. 4. Lekkas D., Gritzalis D., Cumulative Notarization for Long-term Preservation of Digital Signatures, Computers & Security, Vol. 23, no. 5, pp. 413-424, 2004. 5. Soupionis Y., Dritsas S., Gritzalis D., An adaptive policy-based approach to SPIT management, in Proc. of the 13 th European Symposium on Research in Computer Security, Springer, 2008. 6. Spinellis D., Gritzalis D., PANOPTIS: Intrusion detection using process accounting records, Journal of Computer Security, Vol. 10, No. 2, pp. 159-176, IOS Press, 2002. 7. Theoharidou M., Kotzanikolaou P., Gritzalis D., A multi-layer criticality assessment methodology based on interdependencies, Computers & Security, Vol. 29, No. 6, pp. 643-658, 2010. 8. Theoharidou M., Kotzanikolaou P., Gritzalis D., Risk-based Criticality Analysis, in Proc. of the 3 rd IFIP International Conference on Critical Infrastructure Protection, Springer, 2009. 9. Theoharidou M., Marias J., Dritsas S., Gritzalis D., The Ambient Intelligence Paradigm: A review of security and privacy strategies in leading economies, in Proc. of the 2 nd IET Conference on Intelligent Environments, Vol. 2, pp. 213-219, 2006. 10. Theoharidou M., Kotzanikolaou P., Gritzalis D., Risk assessment methodology for interdependent Critical Infrastructures, International Journal of Risk Assessment and Management, Vol. 15, Nos. 2/3, pp. 128-148, 2011. 11. Virvilis N., Dritsas S., Gritzalis D., A cloud provider-agnostic secure storage protocol, in Proc. of the 5 th International Workshop on Critical Information Infrastructure Security, pp. 104-115, Springer, 2010.

2025 © DocPlayer.gr Πολιτική Απορρήτου | Όροι Χρήσης | Σχόλια