1 IT-Sicherheit Master-Seminar Bedrohungen, Risiken, Sicherheitsanforderung und - maßnahmen beim Cloud Computing Johannes Raczek & Swen Priebe
1
IT-Sicherheit Master-SeminarBedrohungen, Risiken,
Sicherheitsanforderung und -maßnahmen beim Cloud
Computing
Johannes Raczek & Swen Priebe
2
Cloud Computing –Rückbesinnung auf alte Werte
Zentralisiertes Ressourcenmanagement
Zentralisierte Kontrollstrukturen
Quelle: [1]
3
Cloud Computing –Grundlagen
Infrastruktur– Server– Speicher– Netzwerkkomponenten (Switch, Router, …)
IP-basierte Netzwerke– VLANs– Physikalisch getrennte Netze
Virtualisierung– Rechenkapazität (VMs)– Speicher– Netzwerk
4
Cloud Computing –Grundlagen (2)
Software– Automatisierung
Provisioning, Accounting, Load Balancing, ...
– Durchsetzung von Policies– Services
Service Interface– Zugriff auf Cloud-Ressourcen
Web-Frontend, GUI, ...
– Im Konsenz mit SLAs– Preisgestaltung
5
Der Cloud Stack
Quelle: [1]
6
Cloud Service Modelle –Das SPI-Modell Software-as-a-Service
Provider stellt Services bereit Zugriff über Thin-Clients Limitierte
Konfigurationsmöglichkeiten Platform-as-a-Service
Consumer kann eigene Anwendungen deployen
IDE- & Toolsupport von Provider
Kontrolle über die Applikationen
Infrastructure-as-a-Service Provisioning virtueller
Ressourcen (VMs, Speicher, Netzwerk)
Kontrolle über virtuelle IT-Infrastruktur & ggf. bestimmten Netzwerkkomp.
Quelle: [1]
7
Cloud Deployment Modelle Private Cloud
Cloud Infrastruktur für eine einzige Organisation
Selbstverwaltung oder Verwaltung durch Third-Party Anbieter
Community Cloud Infrastruktur wird von
mehreren Organisationen geteilt
Public Cloud Organisation (Provider) stellt
Cloud Infrastruktur der Öffentlichkeit zur Verfügung
Hybrid Cloud Komposition aus min. 2
vorhandenen Modellen Verknüpfung von Daten &
Applikationen
Public Community Private
Hybrid
8
Cloud Computing – Eigenschaften & Vorteile
Skalierbarkeit Wiederholende Muster Automatisierung Ausfallsicherheit Effiziens Elastizität Ortsungebunden Transparenz für Endnutzer
Quelle: http://cdn.katescomment.com, 28.11.2011
9
Cloud Security – Security Concerns
Netzwerk (Availability)
Zukunftsfähige Cloud Provider Disaster Recovery
– Services auch nach schwerwiegenden Problemen nutzbar
Kommunikation & Transparenz– Support– Benahrichtigungen bei Fehlern– Informationen: Policies, Management, tech.
Umsetzungen
10
Cloud Security – Security Concerns (2)
Kontrollverlust– Daten (Confidentiality, Integrity, Accountability)
– Applikationen (Integrity, Availability)
Eingeschränkte Konfigurationsmöglichkeiten
Neue Schwachstellen und Risiken– Schwachstellen in genutzter Hard- und Software
Rechtliche Fragen/Bedenken– Gesetze– Verträge– Zertifikate
11
Sec. Concerns im Detail – Virtualisierung
Kompromittierter Hyporvisor
Information Exposure durch Reallokation von Ressourcen– Korrekte Fehlerbehandlung (Graceful Ex. Handling)– Daten selbst abwickeln (Data Clearance)
“A hypervisor does not undergo frequent change and does not run third-party applications. The guest operating systems, which may be vulnerable, do not have direct access to the hypervisor. In fact, the hypervisor is completely transparent (invisible) to network traffic with the exception of traffic to/from a dedicated hypervisor management interface. Furthermore, at present there are no documented attacks against hypervisors, reducing the likelihood of attack.”
Andreas Antonopoulos, Quelle: [4]
12
Sec. Concerns im Detail – Virtualisierung (2)
Netzwerkangriffe zwischen VMs auf einer physischen Maschine– OS-basierte Paket- und Verbindungsfilter
Load Balancing kann virtuelle Netzwerktopologie verändern (shape shifting)– Problem: Firewall-Regeln mit statischen IP-Adressen– Netzwerkvirtualisierung bedarf entsprechender
Schnittstellen für die VMs z.B. Brücke zwischen virtuellen und physischen
Netzinterface im Hypervisor (virtuelle Switches & Firewalls)
13
Sec. Concerns im Detail – Virtualisierung (3)
Angriffe durch andere Cloud Customer– Isolation des Daten- und Kontrollflusses
VM tagging / labeling Configuration Management Database (CMDB) Netzwerk-Overlay mit VLANs
14
Sec. Concerns im Detail – Provisioning
Schnelle, automatisierte und transparente Bereitstellung von Ressourcen– Ressourcen/Services können über mehrere Instanzen
(ggf. über mehrere Datenzentren) bereitgestellt werden (Availability)
Master-Images manipulation– Integritätsprüfung durch Provisioning-Service– Prozessisolation in jedem Provisioning/Deprovisioning
Schritt
15
Sec. Concerns im Detail – Provisioning (2)
Kompromittierung des Provisioning-Service– Höheres Risikopotential als ein komprommitierter
Hypervisor
Isolation bereitgestellter Ressourcen unterschiedlicher Costumer
Bedarf nach umfangreicher Versionskontrolle und (automatisierten) Konfigurationsmanagement
Unerwünschter Zugriff durch Recycelte IDs / IPs– Deprovisioning vollständig & komplett
16
Daten Sicherheit
• zentrales Thema des cloud Computing• Umfasst mehr als Datenverschlüsselung• Abhängig von den 3 Cloud Service Models
und den 4 deployment Modellen• Nicht einfach ein übertragen von bekannten und
erprobten Maßnamen in die Cloud• Betrachtung von ruhenden- und bewegten Daten
17
Hauptbedenken von Cloudnutzern
• Verlust der Kontrolle über die Daten, wenn sie nicht mehr im eigenen Netz liegen.
• Gefahr der Sensitiven Daten durch eine öffentliche Cloud
18
19
Organisatorische Verantwortlichkeiten -Eigentümer und Verwalter
20
Data at Rest
• Gespeicherte Daten in der Cloud• Nicht radikal anders als bei Daten außerhalb
einer Cloud• Verantwortlichkeit der Sicherheit vom Cloud
Deployment abhängig• Auswahl des CSP wichtig
21
Data in Motion
• Daten auf dem Weg in/innerhalb der Cloud– Bsp. Username und Password
• Ziel: – Sicherung gegen Manipulation– Wahrung der Vertraulichkeit
• Maßnahme:– Verschlüsselung der Daten
22
Risiken in Bezug auf Cloud Datensicherheit
• Phishing– Indirektes Risiko für Daten in Motion– Maßnahme: Whitelisting der Source IPs, zufällige
Passwort abfragen, Verwendung von key-based Authentisierung
• CSP Mitarbeiter mir erhöhten Rechten
23
Kryptographische TechnikenSymmetrische Verschlüsselung
Asymmetrische Verschlüsselung
24
Daten Sicherungsmethoden
• Keine neuen Techniken• Wie auch außerhalb der Cloud
– Authentisierung und Intentity– Access Control– Encryption– Data Masking
25
Access Control Techniken
DAC Discretionary Access Control
RBAC Role Based Access Control
MAC Mandatory Access Control
26
Encryption for Data at Rest
• Full Disk: verschlüsselung auf Disk ebene• Directory Level: Verschlüsselung auf
Verzeichnisebene als Container• File Level• Application Level
27
Encryption for Data in Motion
Ziele:– Sichern der Daten gegen Manipulation– Vertraulichkeit der Daten wahren
Maßnahmen:– Encryption zur Sicherung der Integrität– Authentisierung der Kommunikationspartner zur
Sicherung der Vertraulichkeit
28
Data Masking
• Entfernen aller charakteristischen Eigenschaften von Daten– Anonymisierung
• Minimiert die Gefahr der Offenlegung von sensibler Daten
29
Cloud Data Storage
• Storage as a Service• Komplexe Hardware und Software
Implementierung• Wichtiger Aspekt: Zuverlässigkeit und
Verfügbarkeit• Verantwortlichkeit für Backups, Desaster
Recovery liegt beim CSP• Einsatz eines geeigneten Filesystems, bsp. ZFS
30
Cloud Storage - replication and availability
31
Cloud Storage - Cloud Storage Gateway
spezifische Schnittstelle zum Cloud Storage Umsetzung der client seitig genutzten block-
basierten Speicherschnittellen (NFS, iSCSI, Fibre channel) zu den Cloud seitigen Schnittstellen (REST/SOAP)
Integration des Storage mit den existierenden Anwendungen über Standard Protokolle
32
33
Cloud Lock-In
Abhängigkeit von einem CloudserviceAnpassung der eigene geschäftsprozesse an den
service Sehr schwer den cloud provider zu wechseln Die investierte Arbeit wird wertlos Proprietäre Datenformate/Schnittstellen
erschweren u.U. Migration
34
Cloud Lock-In - Metadaten
• In einer Cloudumgebung entsteht ein nicht geringer Anteil an Metadaten.
– Bsp. Herkunft der Daten• CSP Mitarbeiter mir erhöhten Rechten• Problem diese Informationen sollen beim
Wechsel zu einem anderen Anbieter/Service nicht verloren gehen.
35
Cloud Lock-In - verhindern
• Viele Anbieter geben Exportmöglichkeit der:– Daten– Metadaten
• Vor Service Verwendung prüfen• Wichtig:
– wie die exportierten Daten vorliegen– Wie können sie weitergenutzt werden
36
Cloud Lock-In - Datenexport Beispiel: Google
• Data Liberation Front • Ziel: einfache Möglichkeit des Im/Exports von
Daten aus Google Produkten• Bsp: Google Docs:
– Möglichkeit des Exports der eigenen Dokumente in verschiedenen Formaten
37
Cloud Lock-In - Datenexport Beispiel: Salesforce.com
• Generelle Möglichkeit des Exports vorhanden– Muss aber extra gebucht werden
• Exportiert werden die alle Daten gepackt als ZIP-Datei
• Format der Daten:– CSV Dateien mit den Rohdaten für jedes
Salesforce Objekt
38
Cloud Lock-In - Datenexport Beispiel: Amazon
• Bietet für EC2, Data storage, database compute und noch andere Service eine Export funktion
• Ansatz:– Aufgrund der Menge der Daten kein
Download– Kunden können eine portable HDD
einsenden und einen Auftrag für einen Export stellen.
39
Cloud Security – Anforderungen an die Architektur
Wichtige Faktoren– Kosten & Ressourcen– Zuverlässigkeit– Performance– Security Triad (C.I.A.)– Regulatorische Einschränkungen & Rechte
40
Cloud Security – Anforderungen an die Architektur
(2) Physikalische Sicherheit– Gefahren:
Menschliche Aktionen Umweltkatastrophen Disaströse Zwischenfälle (z.B. Brand im Datenzentrum)
– „Layered Defense“ Sicherheitspersonal Monitoring Automatisierte Kontrollstrukturen
41
Cloud Security – Anforderungen an die Architektur
(3) Systemübergreifender Zeitservice Identity Management
– Schutzt der Identitätsinformationen (C.I.A.)
Identitäs-Recycling
– „Universelle“ Identitätsinformationen (Single Sign-on)– Historische Nutzerinformationen
Access Management Key Management Security Monitoring Incident Management
42
Cloud Security – Anforderungen an die Architektur
(4) Sicherheitstest & Schwachstellenbekämpfung– Penetrationstest– Unterschiedliche Environments – Patch Management für alle Cloud Komponenten– Kompensationskontrollen
Konfigurationsmanagement– Aktuelle Liste aller relevanten Cloud Assets– Klassifizierung der Assets
43
Cloud Security – Patterns & Architekturelemente
Security Patterns
Defense In-depth
Honeypots
Sandboxes
Network
Isolation of VMs
Isolation of Subnets
Cabling Patterns Resilienve
& Grace
44
Cloud Security – Public Cloud Architekturbeispiel
Quelle: [1]
45
Risikomanagement
46
Risikomanagement -Risiken definieren
47
Risikomanagement -Risiken bewerten
• Threat Categorization• Threat Impact• Threat Frequency• Uncertainty Factor
48
Risikomanagement -Risiken managen
49
Risikomanagement -Risiken kontrollieren
• Security Controls– Gegenmaßnamen, Vorkehrungen um
Sicherheitsrisiken zu• Vermeiden • Entgegenzuwirken• Erkennen• Auf andere Weise reagieren
50
Kategorisierung von Security Controls - NIST
51
Kategorisierung von Security Controls - NIST
52
Security Monitoring –Verwendungszweck
53
Security Monitoring –Ereignisquellen – & senken
54
Security Monitoring –Ereignisverarbeitung
55
Security Monitoring –Von Problemen & Modellen