Post on 24-Jun-2020
Komfortable 2-Faktor-Authentifizierungregelt den Zugang zum Unternehmen und seinen Ressourcen
VerschlüsselungOb Daten oder Leitungen – starke Verschlüsselung schützt sensible
Informationen unabhängig vom Ort
Unternehmensweites Schlüssel-ManagementSchlüssel müssen besonders geschützt werden
Die 3 allgemeinen Sicherheitsziele
VertraulichkeitSchutz gegen unberechtigte Kenntnisnahme von gespeicherten,
übertragenen oder verarbeiteten Daten (Authentizität)
IntegritätSicherstellung der Korrektheit von Informationen und die korrekte
Funktionsweise von Systemen
VerfügbarkeitDie verarbeiteten Daten sowie die zur Verarbeitung notwendigen
Systeme müssen jederzeit verfügbar sein
IT-Sicherheit ≠ Datenschutz
Warum 2-Faktor-Authentifizierung
Häufigste Angriffsformen1. Malware
2. Angriffe auf Passwörter
3. Phishing
4. Man in the Middle
5. Sniffing
6. Spoofing
7. DoS
8. Social Engineering
https://www.datenschutzbeauftragter-info.de/die-8-haeufigsten-angriffe-auf-die-sicherheit/
Die am häufigsten verwendeten
Passwörter 2015:
1. 123456
2. 123456789
3. 12345678
4. Password
5. Qwerty
6. Adobe123
7. 1234567
8. 111111
9. 12345
10.1234567890
https://www.impulse.de/it-technik/sicheres-passwort/2043109.html
Wissen
Sein
Besitz
2 Faktoren: ( ) + PIN = Starke
Authentifizierung
CBA (Certificate Based Auth) OTP (One Time Password)
Arten der 2FA
Kriterien für starke Authentifizierung
Anwendungs-
fälle
Anwender
BetriebMigration
Kosten
Unternehmens-
struktur
1. Anwendungsfälle/Integration
SAML
Radius Agent
API
http://www2.gemalto.com/sas/implementation-guides.html
2. Der Anwender hat die Wahl
Ohne zeitliche Begrenzung
Alle gängigen mobilen
Betriebssysteme Windows und MacOS* * * * *
3. Betriebsoptimierung durch Automatisierung
User Synchronisation
Token Provisioning
Self Enrolment
Reporting
…
Höchster Benutzerkomfort
Einfachster Roll Out
Geringste Administration
… und …
Token-Roll Out
Token-Roll Out
Token-Roll Out
Token-Roll Out
Token-Roll Out
Token-Roll Out
Token-Roll Out
Token-Roll Out
Token-Roll Out
Token-Roll Out
Token-Roll Out
Token-Roll Out
Der kann aber noch mehr …
13.09.16SafeNet Authentication Service21
PushOTP
Jeglicher 3rd Party Authentication Server
RADIUS Zugangssystem
Davor
4. Einfache Migration
SAS als RADIUS Client
hinzufügen
SAS-Agents
RADIUS
SAML
RADIUS
3rd Party als
Auth Node
hinzufügen
Danach
Import Laufzeit “alte” Token
Automatisierter Roll Out “neue” Token
Jeglicher 3rd Party Authentication Server
4. Einfache Migration
Mandantenfähig Branding Reporting
5. Unternehmensstruktur
6. Reduziert Kosten
25
2-Faktor-Authentisierung mit Zertifikaten
User
Passwort
Login:
Daten
Unsicher!
2-Faktor-Authentisierung mit Zertifikaten
Login:
Daten
Pin * * * * * * * *
2-Faktor-Authentisierung mit Zertifikaten
User
Passwort
Login:
Daten
Pin * * * * * * * *
2-Faktor-Authentisierung mit Zertifikaten
Login:
Daten
Authentizität der Person
Integrität der Daten bewahren
Verfügbarkeit sicherstellen Zertifikat
2-Faktor-Authentisierung mit Zertifikaten
Zertifikat(MS) Certificate Authority
Funktion und Bedeutung oft unklar
Administrativ leicht zugänglich
Meist virtualisiert
erstellt
2-Faktor-Authentisierung mit Zertifikaten
Zertifikat(MS) Certificate Authority
Basis jeder PKI
Echtheit und Vertrauenswürdigkeit
der Unternehmens-Assets
Privates Schlüsselmaterial
Signierung jedes Zertifikats
= eigenhändige (digitale) Unterschrift
erstellt
2-Faktor-Authentisierung mit Zertifikaten
Zertifikat(MS) Certificate Authority
Private Schlüssel in Software
Sehr einfach kopierbar
Sicherheitsziele nicht gewährleistet
erstellt
https://technet.microsoft.com/de-de/library/cc754329(v=ws.11).aspx
2-Faktor-Authentisierung mit Zertifikaten
Private Schlüssel in Software
https://technet.microsoft.com/de-de/library/cc754329(v=ws.11).aspx
2-Faktor-Authentisierung mit Zertifikaten
Zertifikat(MS) Certificate Authority
Hardware Security Module (HSM)
erstellt
Private Schlüssel in Hardware
Nicht kompromittierbar
Sicherheitsziele gewährleistet
Root of Trust
Zertifikat(MS) Certificate Authority
Hardware Security Module (HSM)
erstellt
Root of Trust
CA
SSL(-Interception)
Gateway
DB
TDE
IAM DNSSEC
DRM
SIEM
Mail-Encryption
Gateway
Root of Trust
File/Folder
VerschlüsselungStorage Encryption
z.B. NSE
Netzwerk-HSM
CA
SSL(-Interception)
Gateway
DB
TDE
IAM DNSSEC
DRM
SIEM
Mail-Encryption
Gateway
Root of Trust
File/Folder
VerschlüsselungStorage Encryption
z.B. NSE
Netzwerk-HSM
Netzwerk-HSM
CA
SSL(-Interception)
Gateway
DB
TDE
IAM DNSSEC
DRM
SIEM
Mail-Encryption
Gateway
Root of Trust
File/Folder
Verschlüsselung...
HSM ermöglicht die
sichere Funktion
von Sicherheitslösungen!
Die 3 allgemeinen Sicherheitsziele
VertraulichkeitSchutz gegen unberechtigte Kenntnisnahme von gespeicherten,
übertragenen oder verarbeiteten Daten (Authentizität)
IntegritätSicherstellung der Korrektheit von Informationen und die korrekte
Funktionsweise von Systemen
VerfügbarkeitDie verarbeiteten Daten sowie die zur Verarbeitung notwendigen
Systeme müssen jederzeit verfügbar sein
IT-Sicherheit ≠ Datenschutz
Locky hat‘s vorgemacht
Warum Verschlüsselung?
Locky hat‘s vorgemacht
Warum Verschlüsselung?
Locky hat‘s vorgemacht
Locky befolgt PKI/Encryption-Grundregeln:Verwendung von bewährten Encryption-Standards
Schlüssel getrennt von den Daten aufbewahren
Warum Verschlüsselung?
Quelle: http://www.focus.de/wissen/experten/schmeh/probleme-mit-der-dechiffrierung-wenn-
selbst-die-supercomputer-der-nsa-in-die-knie-gehen_id_3247868.html
Annahme:
Supercomputer schafft ~100 Mrd Keys/s
100 Supercomputer
Schlüssel wird nach 1% gefunden
Dauert 1 Million mal so lang wie Universum besteht
Locky-Beispiel: AES128 = 3,4 x 1038
Schlüssel
Warum funktioniert Verschlüsselung?
Quelle: http://www.focus.de/wissen/experten/schmeh/probleme-mit-der-dechiffrierung-wenn-
selbst-die-supercomputer-der-nsa-in-die-knie-gehen_id_3247868.html
Annahme:
Supercomputer schafft ~100 Mrd Keys/s
100 Supercomputer
Schlüssel wird nach 1% gefunden
Dauert 1 Million mal so lang wie Universum besteht
Locky-Beispiel: AES128 = 3,4 x 1038
Schlüssel
Warum funktioniert Verschlüsselung?
Virtuelle Maschinen Cloud/Hybrid CloudStorage-Netzwerke
File-Server Datenbanken
LAN/WAN
Applikationen
User
Passwort
Login:
Pin********
Wo und wie Verschlüsselung?
Bewährte Standards
Zertifizierte Lösungen
Die 3 allgemeinen Sicherheitsziele
VertraulichkeitSchutz gegen unberechtigte Kenntnisnahme von gespeicherten,
übertragenen oder verarbeiteten Daten (Authentizität)
IntegritätSicherstellung der Korrektheit von Informationen und die korrekte
Funktionsweise von Systemen
VerfügbarkeitDie verarbeiteten Daten sowie die zur Verarbeitung notwendigen
Systeme müssen jederzeit verfügbar sein
IT-Sicherheit ≠ Datenschutz
KeySecure or
Virtual KeySecure
Luna HSM
Crypto Command Center
CA / PKI
Private Schlüssel in Software
Sicherheitsziele können nicht
gewährleistet werden
Vertraulichkeit / Integrität / Verfügbarkeit
Crypto Foundation – Best Practice
KeySecure or
Virtual KeySecure
Luna HSM
Crypto Command Center
CA / PKIRoot of Trust
Network HSM
Schlüssel in Hardware
HSM = sicherer
Schlüsselspeicher
Sicherheitsziele gewährleistet
Crypto Foundation – Best Practice
KeySecure or
Virtual KeySecure
Luna HSM
Crypto Command Center
HSM Ecosystem
Doc
Signing
SSL
Webserver
Email-
Encryption
Gateway
Payment
Transactions
CA / PKI
Layer-2 Ethernet
Encryption (WAN)
Root of TrustNetwork HSM
Layer-2 Ethernet Encryption
Latenzfrei
„Fire-and-forget“
10MBit 100 GBit
Crypto Foundation – Best Practice
KeySecure or
Virtual KeySecure
Luna HSM
Crypto Command Center
HSM Ecosystem
Doc
Signing
SSL
Webserver
Email-
Encryption
Gateway
Payment
Transactions
CA / PKI
Layer-2 Ethernet
Encryption (WAN)
Root of TrustNetwork HSM
HSM-as-a-Service
Template-basierte Workflows
Einfache HSM-Provisionierung
Hoch-skalierbar
Für SPs und Enterprise
Crypto Foundation – Best Practice
KeySecure or
Virtual KeySecure
Luna HSM
Crypto Command Center
HSM Ecosystem
Doc
Signing
SSL
Webserver
Email-
Encryption
Gateway
Payment
Transactions
File & Disk
Encryption
Customer
KMIP Client
Backup,
Storage &
Archive
SIEM Tools
Cloud
Storage &
Encryption
Gateways
Key Management
Ecosystem
CA / PKI
Layer-2 Ethernet
Encryption (WAN)
Root of TrustNetwork HSM
Umfassendes Key-Lifecycle-
Management
Viele Schnittstellen (z.B. KMIP)
Virtuelle und physische Appliance
Encryption Management-Plattform
Crypto Foundation – Best Practice
KeySecure or
Virtual KeySecure
Luna HSM
Crypto Command Center
HSM Ecosystem
Doc
Signing
SSL
Webserver
Email-
Encryption
Gateway
Payment
Transactions
Key Management
Ecosystem
File & Disk
Encryption
Customer
KMIP Client
Backup,
Storage &
Archive
SIEM Tools
Cloud
Storage &
Encryption
Gateways
SafeNet’s Data Encryption Solutions
ProtectApp ProtectFile ProtectDB ProtectV™Tokenization
Manager
CA / PKI
Layer-2 Ethernet
Encryption (WAN)
Root of TrustNetwork HSM
Encryption in der Applikation
Programm-Libaries
Ermöglicht Key-Management
und Verschlüsselung in der
Applikation
Crypto Foundation – Best Practice
KeySecure or
Virtual KeySecure
Luna HSM
Crypto Command Center
HSM Ecosystem
Doc
Signing
SSL
Webserver
Email-
Encryption
Gateway
Payment
Transactions
Key Management
Ecosystem
File & Disk
Encryption
Customer
KMIP Client
Backup,
Storage &
Archive
SIEM Tools
Cloud
Storage &
Encryption
Gateways
SafeNet’s Data Encryption Solutions
ProtectApp ProtectFile ProtectDB ProtectV™Tokenization
Manager
CA / PKI
Layer-2 Ethernet
Encryption (WAN)
Root of TrustNetwork HSM
File/Folder Verschlüsselung
Windows/Linux Server
Virtuelle Systeme
Netzwerk-Shares
Client Server-Laufwerke
Crypto Foundation – Best Practice
KeySecure or
Virtual KeySecure
Luna HSM
Crypto Command Center
HSM Ecosystem
Doc
Signing
SSL
Webserver
Email-
Encryption
Gateway
Payment
Transactions
Key Management
Ecosystem
File & Disk
Encryption
Customer
KMIP Client
Backup,
Storage &
Archive
SIEM Tools
Cloud
Storage &
Encryption
Gateways
SafeNet’s Data Encryption Solutions
ProtectApp ProtectFile ProtectDB ProtectV™Tokenization
Manager
CA / PKI
Layer-2 Ethernet
Encryption (WAN)
Root of TrustNetwork HSM
Datenbanken
Spalten-basierte Verschlüsselung
Oracle, DB2, MS SQL ...
Für App transparent
Automatisiertes Deployment
Crypto Foundation – Best Practice
KeySecure or
Virtual KeySecure
Luna HSM
Crypto Command Center
HSM Ecosystem
Doc
Signing
SSL
Webserver
Email-
Encryption
Gateway
Payment
Transactions
Key Management
Ecosystem
File & Disk
Encryption
Customer
KMIP Client
Backup,
Storage &
Archive
SIEM Tools
Cloud
Storage &
Encryption
Gateways
SafeNet’s Data Encryption Solutions
ProtectApp ProtectFile ProtectDB ProtectV™Tokenization
Manager
CA / PKI
Layer-2 Ethernet
Encryption (WAN)
Root of TrustNetwork HSM
Datenbanken / Ersatz von Daten
Keine Installation auf DB-Server
DB enthält Substitut
Originaldaten extern verschlüsselt
abgelegt
Crypto Foundation – Best Practice
KeySecure or
Virtual KeySecure
Luna HSM
Crypto Command Center
HSM Ecosystem
Doc
Signing
SSL
Webserver
Email-
Encryption
Gateway
Payment
Transactions
Key Management
Ecosystem
File & Disk
Encryption
Customer
KMIP Client
Backup,
Storage &
Archive
SIEM Tools
Cloud
Storage &
Encryption
Gateways
SafeNet’s Data Encryption Solutions
ProtectApp ProtectFile ProtectDB ProtectV™Tokenization
Manager
CA / PKI
Layer-2 Ethernet
Encryption (WAN)
Root of TrustNetwork HSM
Virtuelle Maschinen verschlüsseln
FDE für aws, Vmware, MS Azure
und IBM Softlayer Cloud
Pre-Boot Authentication der VM
Diebstahlschutz
Crypto Foundation – Best Practice
KeySecure or
Virtual KeySecure
Luna HSM
Crypto Command Center
HSM Ecosystem
Doc
Signing
SSL
Webserver
Email-
Encryption
Gateway
Payment
Transactions
Key Management
Ecosystem
File & Disk
Encryption
Customer
KMIP Client
Backup,
Storage &
Archive
SIEM Tools
Cloud
Storage &
Encryption
Gateways
SafeNet’s Data Encryption Solutions
ProtectApp ProtectFile ProtectDB ProtectV™Tokenization
Manager
CA / PKI
Layer-2 Ethernet
Encryption (WAN)
Root of TrustNetwork HSM
Crypto Foundation – Best Practice
Und die Cloud?
Crypto Foundation – Cloud/Hybrid Cloud
EFMA AG
IT-BetriebAbteilung X
Crypto Command Center
+ Virtuelles HSM
+ Rollen
+ Betriebsprozesse
+ Provisioning virt. HSM
+ on Demand
+ schnell und günstig
HS
M
Crypto as a Service - Aktuell
IT-BetriebAbteilungen
HS
MK
eyS
ecure C
rypto
Com
mand
Cente
rK
ey M
gM
t M
ail
Encr.
Unterschiedliche Anforderungen
z.B
. O
racle
TD
E
Crypto as a Service - Ausblick
IT-BetriebAbteilungenUnterschiedliche Anforderungen
Cry
pto
Com
mand C
ente
r
ProtectFileProtectDB
z.B
. O
racle
TD
E
HS
MK
eyS
ecure
Konn
ekto
ren
Crypto as a Service - Ausblick
Komfortable 2-Faktor-Authentifizierungregelt den Zugang zum Unternehmen und seinen Ressourcen
VerschlüsselungOb Daten oder Leitungen – starke Verschlüsselung schützt sensible
Informationen unabhängig vom Ort
Unternehmensweites Schlüssel-ManagementSchlüssel müssen besonders geschützt werden