SecTXL '11 | Hamburg - Ulf Feger: "Der Weg zur Cloud Security - ein Transformationsprozess"

© 2011 IBM Corporation

Ulf FegerSecurity Architect, CISSPCompetence Leader Tivoli - Data Center Automation, Cloud & Security

Konzepte, Prozesse und Werkzeuge

Der Weg zur Cloud Security - ein Transformationsprozess



Teil I – Transformation wozu und wovon ?Teil II – Workshop

- Vorstellung und Diskussion der vielseitigen technischen Sicherheitsschichten und (notwendigen) Prozessabbildungen- Sichtweisen auf die Anforderungen gestellt durch das BSI-Eckpunktepapier und deren mögliche Umsetzungen


© 2011 IBM Corporation3

Cloud & Security

“Cloud”

Standardisierung3

Die private Cloud - Ausgangssituation

Standardisierung / Service Katalog / Image Katalog

Ressourcenplanung (Beschaffung)Request Freigabe Workflow

AbbauBereitstellung/Nutzung(Abrechnung/Kostenverteilung)

Training ApplikationenTest/Dev ...

Power VM, VMware, KVM… Virtualisierung

Monitoring High Availability

Security Secure virt. env. Identity & Access Mgmt.

Repository

Process Automation Engine

Ressourcen

DynamischeProvisionierung

Automatisierung4

Sichere und hochverfügbare private Cloud

5

Virtualisierung2

Konsolidierung1


Cloud & Security

Die private Cloud - Ausgangssituation

Power VM, VMware, KVM…Virtualisierung

Ressourcen


Ressourcen


Ressourcen


Ressourcen


Ressourcen


Ressourcen


Ressourcen

Standardisierung / Service Katalog / Image Katalog

Ressourcenplanung (Beschaffung)Request Freigabe Workflow

AbbauBereitstellung/Nutzung(Abrechnung/Kostenverteilung)

Process Automation Engine


Cloud & Security

Private Cloud Services

Department A

Enterprise

Department B

Test & Development

Use Case 1

Case specific challenges & pains

Workload Type 1

Production Workloads

Workload Type 2

VDI

Workload Type 2

Hosted Cloud Services

Customer A

Provider

Customer B

Test & Development

Use Case 2Case specific challenges & pains

+ challenges faced by internal providers

Workload Type 1

Production Workloads

Workload Type 3

VDI

Workload Type 2

Not all potential Cloud adopters are IT Service Providers facing Service Provider challenges, however the individual Workload Types are still relevant in these instances – e.g. Test & Dev Hosted SaaS

Workload Type 4

Cloud – Workload – Daten und Prozesse


Cloud & Security

Cloud Transformationsphasen zur eigenen Cloud Wo bleibt da die Security ?

Ziele

1

2

3

4

Transition

Transition

Transition

IT Prozesse

IT Prozesse

IT Prozesse

IT Prozesse

IT Prozesse

GSPrz

GSPrz

GSPrz

GSPrz

GSPrz

GRCBaselineSecurityApproval

VSPSIEM

RichtlinienWorkflows

ApprovalReporting

Bsp:

1 2 3 4 5

Konsolidierung

Virtualisierung

Standardisierung

Automatisierung

Cloud

Eliminierung



Teil II – Workshop- Vorstellung und Diskussion der vielseitigen technischen Sicherheitsschichten und (notwendigen) Prozessabbildungen- Sichtweisen auf die Anforderungen gestellt durch das BSI-Eckpunktepapier und deren mögliche Umsetzungen



Cloud & Security

Private Cloud Konstrukte - mehr Möglichkeiten als man denkt


Cloud & Security

CloudDienste + Infrastruktur

✪

Cloud RZ Struktur

Private Cloud Firmen-RZ Struktur


Cloud RZ Struktur – lokal verteilt

Deutschland, 1 BL


Cloud RZ Struktur – beliebig, verteilt

weltweit


Cloud RZ Struktur – lokal, verteilt

Deutschland, 1 BLDeutschland, x BLEU weitT&A PE

Admin


Cloud & Security

Anforderungen – Cloud Computing & Sicherheit

Sicherheitsanforderungen bezüglich

Datenschutz und Datensicherheit Zugriffs- und Identitätsmanagment Applikations- und Dienstebereitstellung inkl. “Entsorgung” Applikations- und Systemtests inkl. Daten Service Level Agreement – SLA Management Schwachstellen Management und Beseitigung Dienstverfügbarkeit inkl. (überregionalem) Lastausgleich Auditierbarkeit & Governance (GRC – Governance, Risk & Compliance) Grenzüberschreitende Gesetzeseinhaltung, z.B. personenbezogener Informationen Grenzüberschreitende Eigentumsrechte & Exportbegrenzungen Buchungs- und Rechungsgrundlagen und deren Informationsbasis Exit-Management

Cloud Services

Cloud ComputingModel


Cloud & Security

IBM Cloud Lösungskomponenten – mehr als nur Virtualisierung

2. Integrate withservice desk and IT asset management processes

1. Anforderung/ Katalog

3. Provision Service

4. Integrate withStorage area network (SAN) and network pools and security mngment

8. Collect, analyze, Report and billbased on Service usage and costs

6. Monitor the Service to detect bottlenecks and potential problems; generate alerts5. Discover the

Service; track configuration and changes to the Service

7. Real-timemanagement and consolidation of events associatedwith Business Service

9. Visualize and align the Service with business objectives and service levels

10. Manage supported Service LevelAgreements (SLAs)

Service = Software, Platform, Infrastructure (i.e. Composite Application, Physical / Virtual OS, Middleware, Network, Storage

Not in all cases will all steps exist in a client engagement

Cloud Services

BSS

OSS

Common Cloud Management Platform


Cloud & Security

WindowsApps

WindowsApps

WebApp

WebApp

WebApp

Por

tal

HTT

P S

erve

r

Internet

EnterpriseDir

WindowsApps

Other Apps

WS Gateway

Consumer

Business

User

HR System

Employee/Staff

Por

tal

HTT

P S

erve

r

Web

Aut

hent

icat

ion

and

Aut

horiz

atio

n

ESB (SOA)

Web

Aut

hent

icat

ion

and

Auth

oriz

atio

n

Ent

erpr

ise

Sin

gle

Sig

non

Use

r Aut

hent

icat

ion

Web

Sin

gle

Sign

on

Web

Sin

gle

Sig

non

IdentitySynchronisation

Pro

visi

onin

g

Rec

onci

liatio

n

Workflow & Lifecycle

Entitlement Policy

User Self-service

IdentityStoreR

epor

ting

Provisioning Engine

Admin.

Admin

Auditor

FedSSO A&A FedSSO

A&A

IdentityMapping

Audit Log Consolidation

Log

Col

lect

Log

Col

lect

Log

Col

lect

Log

Col

lect

Log

Col

lect

Log

Col

lect

Log

Col

lect

Log

Col

lect

Log

Col

lect

Audit Policy Compliance Reporting

Policy Enforce

Management Domain

Web Policy Mgmt

FedSSOConf.

WS Policy Mgmt

Admin(s)

Auditor Auditor

SSOPolicyMgmt

Policy Enforce

Unterstützende Sicherheits ”landschaft”

Dynam

isieru

ng


Cloud & Security

WindowsApps

WindowsApps

WebApp

WebApp

WebApp

Por

tal

HTT

P S

erve

r

Internet

EnterpriseDir

Security Policy Repository

Identity Repository(Person & Account)

WindowsApps

Other Apps

WS Gateway

Consumer

Business

HTTP (incl. SOAP/HTTP) Connection

Web Services Connection

User

HR System

Employee/Staff

Por

tal

HTT

P S

erve

r

Desktop/Client Connection

Web

Aut

hent

icat

ion

and

Auth

oriz

atio

n

ESB (SOA)

Web

Aut

hent

icat

ion

and

Auth

oriz

atio

n

Ente

rpris

e S

ingl

e S

igno

n

Use

r Aut

hent

icat

ion

Web

Sin

gle

Sign

on

Web

Sin

gle

Sign

on


Pro

visi

onin

g

Rec

onci

liatio

n


Entitlement Policy

User Self-service

IdentityStoreR

epor

ting

Provisioning Engine

Admin.

Admin

Auditor

FedSSO A&A FedSSO

A&A

IdentityMapping


Log

Col

lect

Log

Col

lect

Log

Col

lect

Log

Col

lect

Log

Col

lect

Log

Col

lect

Log

Col

lect

Log

Col

lect

Log

Col

lect


Tivoli Identity Manager (TIM)

Tivoli Access Manager for e-business (TAMeb)

Tivoli Federated Identity Manager (TFIM)

Tivoli Access Manager for Enterprise Single Signon (TAM E-SSO)

Tivoli Compliance Insight Manager (TCIM)

Policy Enforce

Tivoli Security Policy Manager (TSPM)Management Domain

Web Policy Mgmt

FedSSOConf.

WS Policy Mgmt

Admin(s)

Auditor Auditor

SSOPolicyMgmt

Policy Enforce


Cloud Services

BSS

OSS



Cloud & Security

WindowsApps

WindowsApps

WebApp

WebApp

WebApp

Por

tal

HTT

P S

erve

r

Internet

EnterpriseDir

Security Policy Repository

Identity Repository(Person & Account)

WindowsApps

Other Apps

WS Gateway

Consumer

Business

HTTP (incl. SOAP/HTTP) Connection

Web Services Connection

User

HR System

Employee/Staff

Por

tal

HTT

P S

erve

r

Desktop/Client Connection

Web

Aut

hent

icat

ion

and

Auth

oriz

atio

n

ESB (SOA)

Web

Aut

hent

icat

ion

and

Auth

oriz

atio

n

Ente

rpris

e S

ingl

e S

igno

n

Use

r Aut

hent

icat

ion

Web

Sin

gle

Sign

on

Web

Sin

gle

Sign

on


Pro

visi

onin

g

Rec

onci

liatio

n


Entitlement Policy

User Self-service

IdentityStoreR

epor

ting

Provisioning Engine

Admin.

Admin

Auditor

FedSSO A&A FedSSO

A&A

IdentityMapping


Log

Col

lect

Log

Col

lect

Log

Col

lect

Log

Col

lect

Log

Col

lect

Log

Col

lect

Log

Col

lect

Log

Col

lect

Log

Col

lect


Tivoli Identity Manager (TIM)

Tivoli Access Manager for e-business (TAMeb)

Tivoli Federated Identity Manager (TFIM)

Tivoli Access Manager for Enterprise Single Signon (TAM E-SSO)

Tivoli Compliance Insight Manager (TCIM)

Policy Enforce

Tivoli Security Policy Manager (TSPM)Management Domain

Web Policy Mgmt

FedSSOConf.

WS Policy Mgmt

Admin(s)

Auditor Auditor

SSOPolicyMgmt

Policy Enforce


Cloud Services

BSS

OSS


Cloud Services

BSS

OSS

Cloud Services

BSS

OSS

Cloud ServicesCloud Services

BSSBSS

OSSOSS



Cloud & Security

Cloud Services

BSS

OSS


WindowsApps

WindowsApps

WebApp

WebApp

WebApp

Por

tal

HTT

P S

erve

r

Internet

EnterpriseDir

WindowsApps

Other Apps

WS Gateway

Consumer

Business

User

HR System

Employee/Staff

Por

tal

HTT

P S

erve

r

Web

Aut

hent

icat

ion

and

Aut

horiz

atio

n

ESB (SOA)

Web

Aut

hent

icat

ion

and

Auth

oriz

atio

n

Ent

erpr

ise

Sin

gle

Sig

non

Use

r Aut

hent

icat

ion

Web

Sin

gle

Sign

on

Web

Sin

gle

Sig

non


Pro

visi

onin

g

Rec

onci

liatio

n


Entitlement Policy

User Self-service

IdentityStoreR

epor

ting

Provisioning Engine

Admin.

Admin

Auditor

FedSSO A&A FedSSO

A&A

IdentityMapping


Log

Col

lect

Log

Col

lect

Log

Col

lect

Log

Col

lect

Log

Col

lect

Log

Col

lect

Log

Col

lect

Log

Col

lect

Log

Col

lect


Policy Enforce

Management Domain

Web Policy Mgmt

FedSSOConf.

WS Policy Mgmt

Admin(s)

Auditor Auditor

SSOPolicyMgmt

Policy Enforce



Cloud & Security

Cloud - Nutzer Cloud – (Dienst-)AnbieterIT - “klassisch”

Nutzen:• Diensteangebot

Pflichten:

- Authentifizierung- Autorisierung - del. Administration- Rechung begleichen

Erwartungen:

-SLA Erfüllung-Richlinienkonformität-detailiertes Berichts-

wesen

• Zugriffskontrolle, inkl. Regelwerk und Richtlinienverwaltung

• Benutzer- und Berechtigungsmgmnt inkl. Prozessverwaltung und –automation

• Rollenbasierte Funktionstrennung

• Security Policy Management

• Security Monitoring, Auditing, Compliance Reporting

• Funktionstrennung, Mandantenfähigkeit

• Berichtswesen – Security Information und Event Management

• Compliance Audit & Reporting über die IT

• Absicherung von virtuellen Maschinen und der Hosts

• Sicherheits- und Compliance Werkzeug zur Verifikation der Server

• Configuration and Change Management

• Mandantenfähigkeit

• Verknüpfung mit dem Rechnungswesen / Accounting

• Service Management

• Zugriffskontrolle, inkl. Regelwerk und Richtlinienverwaltung

• Benutzer- und Berechtigungsmgmnt inkl. Prozessverwaltung und –automation

• Rollenbasierte Funktionstrennung

• Security Policy Management

• Security Monitoring, Auditing, Compliance Reporting

• Funktionstrennung, Mandantenfähigkeit

• Berichtswesen – Security Information und Event Management

• Compliance Audit & Reporting über die IT

• Absicherung von virtuellen Maschinen und der Hosts

• Sicherheits- und Compliance Werkzeug zur Verifikation der Server

• Configuration and Change Management

• Mandantenfähigkeit

• Verknüpfung mit dem Rechnungswesen / Accounting

• Service Management

Dynam

isieru

ngWelche Herausforderungen sind zu lösen - eine lange Liste, eine neue Liste ?


Cloud & Security

Cloud - Kommunikation

Szenarien

DN - DienstnutzerDA - Dienstanbieter1

DN DA

2DA1 DA2DN

DAN3

DAM

DN DA1 DAM+1

DAM+P

FW

IPS

FW

IPS

Cloud-Dienste & Infrastruktur

DN DA

=

* * * *

1 .. n, n>>1

* * * *

Geschäftapplikationen Infrastrukturapplikationen Verzeichnisdienste Container: WS, AS, .. hoch dynamisch Last reaktiv Service managed autom. Provisioniert Security managed

Daten und Prozesse, Prozess-Zertifizierung


Cloud & Security

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Mindestanforderungen/Eckpunktepapier-Sicherheitsempfehlungen-CloudComputing-Anbieter.pdf?__blob=publicationFile


Cloud & Security

EckpunktepapierSicherheitsempfehlungen für Cloud Computing Anbieter

Sicherheitsmanagement beim Anbieter Rechenzentrumssicherheit Server-Sicherheit Netzsicherheit Sicherheitszone für das Management der Cloud Sicherheitszone für die Live Migration, falls Servervirtualisierung

eingesetzt wird Sicherheitszone für das Storage-Netz Eigene Sicherheitszonen für die virtuellen Maschinen eines

Kunden bei IaaS Anwendungs- und Plattformsicherheit Datensicherheit Verschlüsselung und Schlüsselmanagement ID- und Rechtemanagement Authentisierung Autorisierung Kontrollmöglichkeiten für Nutzer Monitoring und Security Incident Management Notfallmanagement Portabilität und Interoperabilität Sicherheitsprüfung und -nachweis Anforderungen an das Personal Vertragsgestaltung Service Level Agreement (SLA) Datenschutz und Compliance

• BSI-Standard 100-2• IT-Grundschutz• ISO 27001 u.27002• Cloud Security Alliance – German Chapter• ISF – Information Security Forum• TMForum – Tele Management Forum

Interaktives Erarbeiten weiterer Themen

+

Diskussion


Cloud & Security

https://www.pcisecuritystandards.org/documents/Rth87Wp/Virtualization_InfoSupp_v2.pdf


Cloud & Security

Ausschnitt

Virtualization Overview– Virtualization Concepts and Classes– Virtual System Components and Scoping Guidance

Risks for Virtualized Environments– Vulnerabilities in the Physical Environment Apply in a Virtual Environment– Hypervisor Creates New Attack Surface – Increased Complexity of Virtualized Systems and Networks– More Than One Function per Physical System– Mixing VMs of Different Trust Levels– Lack of Separation of Duties– Dormant Virtual Machines – VM Images and Snapshots – Immaturity of Monitoring Solutions – Information Leakage between Virtual Network Segments– Information Leakage between Virtual Components

Recommendations 15 – Recommendations for Mixed-Mode Environments– Recommendations for Cloud Computing Environments– Guidance for Assessing Risks in Virtual Environments

Virtualization Considerations for PCI DSS


Cloud & Security

Risk Management and Security

Themenübersicht• Gesetzliche Grundlagen für das Betreiben von Cloud Computing (National, International ) • Risiko Planung • Risiko Management in Public Cloud Umgebungen • Risiko Management in Privat Cloud Umgebungen • Sicherheits Planung • Security Management in Public Cloud Umgebungen • Security Management in Privat Cloud Umgebungen • Verfügbarkeits Aspekte in Cloud Umgebungen (Hardware Verfügbarkeit - Server, Netzwerk, Storage, Services etc.) • Überprüfung von Security Policys und deren Qualität • Datensicherung und Backup Infrastrukturen in der Cloud • Desaster Recovery Lösungen • Einhaltung von Standards • ITIL in Cloud Umgebungen • Service to Service • Authentifizierungsmethoden in Cloud Umgebungen • Datenschutzbeauftragter und Cloud Computing


Cloud & Security

http://www.ibm.com/security/cloud-security.html

IBM Cloud Computing: ibm.com/cloudcomputingibm.com/de/cloud/

Trustworthy Cloud tclouds-project.eu/IBM Enterprise Security: ibm.com/securityIBM Internet Security Systems: ibm.com/services/security

IBM X-Force® Security Alerts and Advisories: xforce.iss.netCloud Standards Customer Council cloud-council.org/

Ulf FegerSecurity Architect, CISSPIBM Software Group

Gustav-Heinemann Ufer 12050968 Cologne, GermanyMobile.: +49-171-22 619 22E-Mail: [email protected]

Q&A


Cloud & Security

Sicherheit ist eines der wichtigsten Anliegen beim Cloud-ComputingDas IBM Security Framework bietet hierfür eine speziell konzipierte Struktur

Benutzer und Identitäten

Reduzierung der Risiken bei Benutzerzugriffen auf Unternehmensressourcen

Daten und Informationen

Ermittlung, Implementierung und Auditierung der Kontrollen für den Zugriff auf (sensible) Daten und deren Verwendung

i

Anwendungen und Prozesse

Schutz der Anwendungen vor einer Nutzung in bösartiger oder betrügerischer Absicht sowie vor Ausfällen

Netzwerk, Server und Endpunkte

Optimierung der Serviceverfügbarkeit durch Senkung des Risikos für Netzwerkkomponenten

Physische Infrastruktur

Bereitstellung sinnvoller Informationen zum aktuellen Sicherheitsstatus der physischen Infrastruktur und den entsprechenden Empfehlungen


Cloud & Security

IBM Security Framework - IBM Security LösungenIBM Security Framework


Cloud & Security

Compliance Anforderungen verstehen – Data Privacy – Data Security

Erwartung

Ziel

Verbesserung der Sicherheit Kostenreduktion Auslastoptimierung

1 Innere Sicherheit Äußere Sicherheit Operationale Sicherheit

2Wie weise ich

nach?

4

Fokussierung auf „Was brauche ich“

3Nachweisbarkeit

5

Sicherheitsrichtlinien Management

Unternehmensrisiken verstehen

Sicherheitsrichtlinien & -programme

Überwachung & Prüfung

Durchsetzung & Automatisierung

SecTXL '11 | Hamburg - Ulf Feger: "Der Weg zur Cloud Security - ein Transformationsprozess"

Technology

Transcript of SecTXL '11 | Hamburg - Ulf Feger: "Der Weg zur Cloud Security - ein Transformationsprozess"