1

IT-Sicherheit Master-SeminarBedrohungen, Risiken,

Sicherheitsanforderung und -maßnahmen beim Cloud

Computing

Johannes Raczek & Swen Priebe

2

Cloud Computing –Rückbesinnung auf alte Werte

Zentralisiertes Ressourcenmanagement

Zentralisierte Kontrollstrukturen

Quelle: [1]

3

Cloud Computing –Grundlagen

Infrastruktur– Server– Speicher– Netzwerkkomponenten (Switch, Router, …)

IP-basierte Netzwerke– VLANs– Physikalisch getrennte Netze

Virtualisierung– Rechenkapazität (VMs)– Speicher– Netzwerk

4

Cloud Computing –Grundlagen (2)

Software– Automatisierung

Provisioning, Accounting, Load Balancing, ...

– Durchsetzung von Policies– Services

Service Interface– Zugriff auf Cloud-Ressourcen

Web-Frontend, GUI, ...

– Im Konsenz mit SLAs– Preisgestaltung

5

Der Cloud Stack

Quelle: [1]

6

Cloud Service Modelle –Das SPI-Modell Software-as-a-Service

Provider stellt Services bereit Zugriff über Thin-Clients Limitierte

Konfigurationsmöglichkeiten Platform-as-a-Service

Consumer kann eigene Anwendungen deployen

IDE- & Toolsupport von Provider

Kontrolle über die Applikationen

Infrastructure-as-a-Service Provisioning virtueller

Ressourcen (VMs, Speicher, Netzwerk)

Kontrolle über virtuelle IT-Infrastruktur & ggf. bestimmten Netzwerkkomp.

Quelle: [1]

7

Cloud Deployment Modelle Private Cloud

Cloud Infrastruktur für eine einzige Organisation

Selbstverwaltung oder Verwaltung durch Third-Party Anbieter

Community Cloud Infrastruktur wird von

mehreren Organisationen geteilt

Public Cloud Organisation (Provider) stellt

Cloud Infrastruktur der Öffentlichkeit zur Verfügung

Hybrid Cloud Komposition aus min. 2

vorhandenen Modellen Verknüpfung von Daten &

Applikationen

Public Community Private

Hybrid

8

Cloud Computing – Eigenschaften & Vorteile

Skalierbarkeit Wiederholende Muster Automatisierung Ausfallsicherheit Effiziens Elastizität Ortsungebunden Transparenz für Endnutzer

Quelle: http://cdn.katescomment.com, 28.11.2011

9

Cloud Security – Security Concerns

Netzwerk (Availability)

Zukunftsfähige Cloud Provider Disaster Recovery

– Services auch nach schwerwiegenden Problemen nutzbar

Kommunikation & Transparenz– Support– Benahrichtigungen bei Fehlern– Informationen: Policies, Management, tech.

Umsetzungen

10

Cloud Security – Security Concerns (2)

Kontrollverlust– Daten (Confidentiality, Integrity, Accountability)

– Applikationen (Integrity, Availability)

Eingeschränkte Konfigurationsmöglichkeiten

Neue Schwachstellen und Risiken– Schwachstellen in genutzter Hard- und Software

Rechtliche Fragen/Bedenken– Gesetze– Verträge– Zertifikate

11

Sec. Concerns im Detail – Virtualisierung

Kompromittierter Hyporvisor

Information Exposure durch Reallokation von Ressourcen– Korrekte Fehlerbehandlung (Graceful Ex. Handling)– Daten selbst abwickeln (Data Clearance)

“A hypervisor does not undergo frequent change and does not run third-party applications. The guest operating systems, which may be vulnerable, do not have direct access to the hypervisor. In fact, the hypervisor is completely transparent (invisible) to network traffic with the exception of traffic to/from a dedicated hypervisor management interface. Furthermore, at present there are no documented attacks against hypervisors, reducing the likelihood of attack.”

Andreas Antonopoulos, Quelle: [4]

12

Sec. Concerns im Detail – Virtualisierung (2)

Netzwerkangriffe zwischen VMs auf einer physischen Maschine– OS-basierte Paket- und Verbindungsfilter

Load Balancing kann virtuelle Netzwerktopologie verändern (shape shifting)– Problem: Firewall-Regeln mit statischen IP-Adressen– Netzwerkvirtualisierung bedarf entsprechender

Schnittstellen für die VMs z.B. Brücke zwischen virtuellen und physischen

Netzinterface im Hypervisor (virtuelle Switches & Firewalls)

13

Sec. Concerns im Detail – Virtualisierung (3)

Angriffe durch andere Cloud Customer– Isolation des Daten- und Kontrollflusses

VM tagging / labeling Configuration Management Database (CMDB) Netzwerk-Overlay mit VLANs

14

Sec. Concerns im Detail – Provisioning

Schnelle, automatisierte und transparente Bereitstellung von Ressourcen– Ressourcen/Services können über mehrere Instanzen

(ggf. über mehrere Datenzentren) bereitgestellt werden (Availability)

Master-Images manipulation– Integritätsprüfung durch Provisioning-Service– Prozessisolation in jedem Provisioning/Deprovisioning

Schritt

15

Sec. Concerns im Detail – Provisioning (2)

Kompromittierung des Provisioning-Service– Höheres Risikopotential als ein komprommitierter

Hypervisor

Isolation bereitgestellter Ressourcen unterschiedlicher Costumer

Bedarf nach umfangreicher Versionskontrolle und (automatisierten) Konfigurationsmanagement

Unerwünschter Zugriff durch Recycelte IDs / IPs– Deprovisioning vollständig & komplett

16

Daten Sicherheit

• zentrales Thema des cloud Computing• Umfasst mehr als Datenverschlüsselung• Abhängig von den 3 Cloud Service Models

und den 4 deployment Modellen• Nicht einfach ein übertragen von bekannten und

erprobten Maßnamen in die Cloud• Betrachtung von ruhenden- und bewegten Daten

17

Hauptbedenken von Cloudnutzern

• Verlust der Kontrolle über die Daten, wenn sie nicht mehr im eigenen Netz liegen.

• Gefahr der Sensitiven Daten durch eine öffentliche Cloud

18

19

Organisatorische Verantwortlichkeiten -Eigentümer und Verwalter

20

Data at Rest

• Gespeicherte Daten in der Cloud• Nicht radikal anders als bei Daten außerhalb

einer Cloud• Verantwortlichkeit der Sicherheit vom Cloud

Deployment abhängig• Auswahl des CSP wichtig

21

Data in Motion

• Daten auf dem Weg in/innerhalb der Cloud– Bsp. Username und Password

• Ziel: – Sicherung gegen Manipulation– Wahrung der Vertraulichkeit

• Maßnahme:– Verschlüsselung der Daten

22

Risiken in Bezug auf Cloud Datensicherheit

• Phishing– Indirektes Risiko für Daten in Motion– Maßnahme: Whitelisting der Source IPs, zufällige

Passwort abfragen, Verwendung von key-based Authentisierung

• CSP Mitarbeiter mir erhöhten Rechten

23

Kryptographische TechnikenSymmetrische Verschlüsselung

Asymmetrische Verschlüsselung

24

Daten Sicherungsmethoden

• Keine neuen Techniken• Wie auch außerhalb der Cloud

– Authentisierung und Intentity– Access Control– Encryption– Data Masking

25

Access Control Techniken

DAC Discretionary Access Control

RBAC Role Based Access Control

MAC Mandatory Access Control

26

Encryption for Data at Rest

• Full Disk: verschlüsselung auf Disk ebene• Directory Level: Verschlüsselung auf

Verzeichnisebene als Container• File Level• Application Level

27

Encryption for Data in Motion

Ziele:– Sichern der Daten gegen Manipulation– Vertraulichkeit der Daten wahren

Maßnahmen:– Encryption zur Sicherung der Integrität– Authentisierung der Kommunikationspartner zur

Sicherung der Vertraulichkeit

28

Data Masking

• Entfernen aller charakteristischen Eigenschaften von Daten– Anonymisierung

• Minimiert die Gefahr der Offenlegung von sensibler Daten

29

Cloud Data Storage

• Storage as a Service• Komplexe Hardware und Software

Implementierung• Wichtiger Aspekt: Zuverlässigkeit und

Verfügbarkeit• Verantwortlichkeit für Backups, Desaster

Recovery liegt beim CSP• Einsatz eines geeigneten Filesystems, bsp. ZFS

30

Cloud Storage - replication and availability

31

Cloud Storage - Cloud Storage Gateway

spezifische Schnittstelle zum Cloud Storage Umsetzung der client seitig genutzten block-

basierten Speicherschnittellen (NFS, iSCSI, Fibre channel) zu den Cloud seitigen Schnittstellen (REST/SOAP)

Integration des Storage mit den existierenden Anwendungen über Standard Protokolle

32

33

Cloud Lock-In

Abhängigkeit von einem CloudserviceAnpassung der eigene geschäftsprozesse an den

service Sehr schwer den cloud provider zu wechseln Die investierte Arbeit wird wertlos Proprietäre Datenformate/Schnittstellen

erschweren u.U. Migration

34

Cloud Lock-In - Metadaten

• In einer Cloudumgebung entsteht ein nicht geringer Anteil an Metadaten.

– Bsp. Herkunft der Daten• CSP Mitarbeiter mir erhöhten Rechten• Problem diese Informationen sollen beim

Wechsel zu einem anderen Anbieter/Service nicht verloren gehen.

35

Cloud Lock-In - verhindern

• Viele Anbieter geben Exportmöglichkeit der:– Daten– Metadaten

• Vor Service Verwendung prüfen• Wichtig:

– wie die exportierten Daten vorliegen– Wie können sie weitergenutzt werden

36

Cloud Lock-In - Datenexport Beispiel: Google

• Data Liberation Front • Ziel: einfache Möglichkeit des Im/Exports von

Daten aus Google Produkten• Bsp: Google Docs:

– Möglichkeit des Exports der eigenen Dokumente in verschiedenen Formaten

37

Cloud Lock-In - Datenexport Beispiel: Salesforce.com

• Generelle Möglichkeit des Exports vorhanden– Muss aber extra gebucht werden

• Exportiert werden die alle Daten gepackt als ZIP-Datei

• Format der Daten:– CSV Dateien mit den Rohdaten für jedes

Salesforce Objekt

38

Cloud Lock-In - Datenexport Beispiel: Amazon

• Bietet für EC2, Data storage, database compute und noch andere Service eine Export funktion

• Ansatz:– Aufgrund der Menge der Daten kein

Download– Kunden können eine portable HDD

einsenden und einen Auftrag für einen Export stellen.

39

Cloud Security – Anforderungen an die Architektur

Wichtige Faktoren– Kosten & Ressourcen– Zuverlässigkeit– Performance– Security Triad (C.I.A.)– Regulatorische Einschränkungen & Rechte

40

Cloud Security – Anforderungen an die Architektur

(2) Physikalische Sicherheit– Gefahren:

Menschliche Aktionen Umweltkatastrophen Disaströse Zwischenfälle (z.B. Brand im Datenzentrum)

– „Layered Defense“ Sicherheitspersonal Monitoring Automatisierte Kontrollstrukturen

41

Cloud Security – Anforderungen an die Architektur

(3) Systemübergreifender Zeitservice Identity Management

– Schutzt der Identitätsinformationen (C.I.A.)

Identitäs-Recycling

– „Universelle“ Identitätsinformationen (Single Sign-on)– Historische Nutzerinformationen

Access Management Key Management Security Monitoring Incident Management

42

Cloud Security – Anforderungen an die Architektur

(4) Sicherheitstest & Schwachstellenbekämpfung– Penetrationstest– Unterschiedliche Environments – Patch Management für alle Cloud Komponenten– Kompensationskontrollen

Konfigurationsmanagement– Aktuelle Liste aller relevanten Cloud Assets– Klassifizierung der Assets

43

Cloud Security – Patterns & Architekturelemente

Security Patterns

Defense In-depth

Honeypots

Sandboxes

Network

Isolation of VMs

Isolation of Subnets

Cabling Patterns Resilienve

& Grace

44

Cloud Security – Public Cloud Architekturbeispiel

Quelle: [1]

45

Risikomanagement

46

Risikomanagement -Risiken definieren

47

Risikomanagement -Risiken bewerten

• Threat Categorization• Threat Impact• Threat Frequency• Uncertainty Factor

48

Risikomanagement -Risiken managen

49

Risikomanagement -Risiken kontrollieren

• Security Controls– Gegenmaßnamen, Vorkehrungen um

Sicherheitsrisiken zu• Vermeiden • Entgegenzuwirken• Erkennen• Auf andere Weise reagieren

50

Kategorisierung von Security Controls - NIST

51

Kategorisierung von Security Controls - NIST

52

Security Monitoring –Verwendungszweck

53

Security Monitoring –Ereignisquellen – & senken

54

Security Monitoring –Ereignisverarbeitung

55

Security Monitoring –Von Problemen & Modellen