Standardisierung funktioniert nicht - Akt III Sicherheit
-
Upload
arago-gmbh -
Category
Technology
-
view
650 -
download
0
description
Transcript of Standardisierung funktioniert nicht - Akt III Sicherheit
SecTXL 22.11.2011 twitter: @boosc
Standardisierung funktioniert nicht Akt III – Sicherheit
Akt III ?
Akt ISoftware / Entwicklung
Akt IISystembetrieb / IT Service Management
Akt III ?
Agenda
Was hat Sicherheit mit Standardisierung zu tun?
Sicherheit 1.0Sicherheit für kleine Diktatoren
Willkommen in der echten Welt…
Was hat das mit Cloud zu tun?
Sicherheit 2.0Ergebnis, nicht Mehrode
Wie setzt man das um?
Was hat Sicherheit mit Standardisierung zu tun?
Kontrolle war alles!
Fehler machen war verboten!!!
Prozeduren und andere Arbeitsvorschriften waren das Allheilmittel
Sicherheit 1.0Sicherheit für kleine Diktatoren
Perimeter Sicherheit
Physikalisch
Digital
Software Stack
Standard ist, was ich mirdenke
Eine Grenze, die man nicht bewachen kann.
Governance
Niemals ist jemand verantwortlich Lange Entscheidungswege und trotzdem Security by Obscurity
Datenschutz
Informationelle Selbstbestimmung ist, wenn niemand meine Daten hat, oder???
Willkommen in der echten Welt
Software Design
Vielfalt ersetzt die Standards
BASEBasically Available, Soft State, Eventually Consistent
Zero Downtime Deployment
Technologie ohne Entscheidungswege aber mit direktem Feedback
Netzwerk Sicherheit
oder wie der Leichtsinn die Welt regiert
Data Seepage ist gefährlicher als direkte Angriffe
Das Risiko liegt in der Anwendung
Sind Sie Papst?
Glauben Sie wirklich, ausgehenden Traffic dauerhaft kontrollieren zu können
Datenschutz
ist eine Illusion
Facebook ist die drittgrößte „Nation“ auf unserer Erde
Und keiner hat die Benutzer gezwungen daran teilzunehmen
Datenauswertung
Empfehlungen und virale Methoden werden als Mehrwert wahrgenommen
Überraschung….
Gesetzliche Restriktionen interessieren die Benutzer nicht
Was hat das mit Cloud zu tun?
Cloud ist BASE
Private Cloud
Dort, wo man immer noch alles kontrollieren kann
Das ist nur ein Zwischenschritt
Wer redet von Standards? Wir können uns ja kaum auf Betriebssysteme einigen…
Clouds funktionieren mit Bausteinen und APIs
Das bedeutet Standardisierung des absoluten Minimums
Security 2.0Wenn man das Ergebnis und nicht die Methode vorschreibt
…ändern Sie nichts an Ihrer Security Policy und ersetzen Sie Ihre alten Firewalls durch Technologien wie vShield
Wenn Sie IaaS als Migrationsprojekt machen…
…nur wenn Menschen einen Mehrwert sehen, halten sie sich daran…
Datenschutz ist eine Sache des Bewusstseins
1995
1996
19981999
2006 2009
2010
2011
2007
Unternehmen bestehen übrigens aus Menschen
Netzwerksicherheit in der Cloud
Nutzen Sie Cloud und CrowdSecurity Services
Standards beschreiben nicht das Wie, sondern das Was?Das ist eine Policy
Sagen Sie nicht wie etwas implementiert werden soll, sondern WAS das Ergebnis sein muss (z.B. Web Server dürfen nur einen offenen Port haben)
Sicherheit in verteilten Systemen duldet keine Flaschenhälse
Also verzichten Sie auf Konzepte wie zentrale Firewalls, zentrale Scanner oder Proxy Server
Sicherheit durch Software Design
Echte Cloud Applikationen sind mehr als die Virtualisierung ihrer Vorgänger
Der Unterschied istmehr als Abrechnung
Sessions gehören NICHT in den Applikationsserver
Wenn wir schon dabei sind, vergessen Sie Sessions einfach…
Applikationen müssen ihren Workflow kennen
Konsistenz und Verfügbarkeit dürfen zu keiner Zeit einfach angenommen werden.
Governance
Policies vs. Standards
Policies müssen in jeder Umgebung anwendbar sein
Vergessen Sie Schuld!
Fehler passieren. Wie in der Cloud Entwicklung, planen Sie so, dass Fehler machen erlaubt ist und dass Verantwortung übernehmen nicht schmerzt
Von „Cover Your Arse“ nach „Solve the Problem“
ZENSIERT
Und wie soll man so etwas umsetzen?
Policies automatisch überwachen
Wissensbasiert an Stelle von skriptbasiert.
Dokumentiert an Stelle von philosophiert.
Ablaufschemata von Applikationen verlangen
Endliche Automaten – Alles was nicht erlaubt ist, ist verboten
APIs absichern
Automatische Datenerhebung erlaubt neue Aussagen und Analysen
Was war erfolgreich, was nicht?
Handelt es sich um eine Langzeitattacke
Deal with Data Seepage
Intern modern arbeiten…
Photo CreditsFolie 6: ltz / stock.xchng
Folie 7: a_b Oli R / flickr
Folie 8: float / stock.xchng
Folie 10: Library of Congress, LC-USW36-180 / flickr
Folie 11: Library of Congress, LC-USW36-840 / flickr
Folie 12: mikkosoft / stock.xchng
Folie 13: jurvetson / flickr
Folie 16: float / stock.xchng
Folie 17: float / stock.xchng
Folie 18: float / stock.xchng
Folie 20: float / stock.xchng
Folie 21: float / stock.xchng
Folie 22: float / stock.xchng
Folie 24: fuzzcat / flickr
Folie 25: WageIndicator - Paulien Osse / flickr
Folie 26: todorov40 / stock.xchng
Folie 28: Dominic's pics / flickr
Folie 29: Dominic's pics / flickr
Folie 31: jaja_1985 / flickr
Folie 37: cleomedes / stock.xchng
Folie 38: mrbill / flickr
Folie 39: mmagallan / stock.xchng
Folie 41: kipcurry / stock.xchng
Folie 42: float / stock.xchng
Folie 43: float / stock.xchng
Folie 44: Dominic's pics / flickr
Folie 47: Milosz1 / flickr
Folie 48: 802 / flickr
Folie 50: Dominic's pics / flickr
Folie 51: createsima / stock.xchng
Folie 52: float / stockxchng
Folie 53: evhead / flickr
arago AGHans-Christian BoosEschersheimer Landstr. 526 - 53260433 Frankfurt am MainTel: +49 (0) 69 405 680Mail: [email protected]
www.arago.dewww.hcboos.net
Vielen Dank für Ihre Zeit