Standardisierung funktioniert nicht - Akt III Sicherheit

55
SecTXL 22.11.2011 twitter: @boosc Standardisierung funktioniert nicht Akt III – Sicherheit

description

Präsentation von Chris Boos (Vorstand arago) auf der SecTXL '11 am 22.11.11 in Frankfurt.

Transcript of Standardisierung funktioniert nicht - Akt III Sicherheit

Page 1: Standardisierung funktioniert nicht -  Akt III Sicherheit

SecTXL 22.11.2011 twitter: @boosc

Standardisierung funktioniert nicht Akt III – Sicherheit

Page 2: Standardisierung funktioniert nicht -  Akt III Sicherheit

Akt III ?

Page 3: Standardisierung funktioniert nicht -  Akt III Sicherheit

Akt ISoftware / Entwicklung

Akt IISystembetrieb / IT Service Management

Akt III ?

Page 4: Standardisierung funktioniert nicht -  Akt III Sicherheit

Agenda

Was hat Sicherheit mit Standardisierung zu tun?

Sicherheit 1.0Sicherheit für kleine Diktatoren

Willkommen in der echten Welt…

Was hat das mit Cloud zu tun?

Sicherheit 2.0Ergebnis, nicht Mehrode

Wie setzt man das um?

Page 5: Standardisierung funktioniert nicht -  Akt III Sicherheit

Was hat Sicherheit mit Standardisierung zu tun?

Page 6: Standardisierung funktioniert nicht -  Akt III Sicherheit

Kontrolle war alles!

Page 7: Standardisierung funktioniert nicht -  Akt III Sicherheit

Fehler machen war verboten!!!

Page 8: Standardisierung funktioniert nicht -  Akt III Sicherheit

Prozeduren und andere Arbeitsvorschriften waren das Allheilmittel

Page 9: Standardisierung funktioniert nicht -  Akt III Sicherheit

Sicherheit 1.0Sicherheit für kleine Diktatoren

Page 10: Standardisierung funktioniert nicht -  Akt III Sicherheit

Perimeter Sicherheit

Physikalisch

Digital

Page 11: Standardisierung funktioniert nicht -  Akt III Sicherheit

Software Stack

Standard ist, was ich mirdenke

Eine Grenze, die man nicht bewachen kann.

Page 12: Standardisierung funktioniert nicht -  Akt III Sicherheit

Governance

Niemals ist jemand verantwortlich Lange Entscheidungswege und trotzdem Security by Obscurity

Page 13: Standardisierung funktioniert nicht -  Akt III Sicherheit

Datenschutz

Informationelle Selbstbestimmung ist, wenn niemand meine Daten hat, oder???

Page 14: Standardisierung funktioniert nicht -  Akt III Sicherheit

Willkommen in der echten Welt

Page 15: Standardisierung funktioniert nicht -  Akt III Sicherheit

Software Design

Vielfalt ersetzt die Standards

Page 16: Standardisierung funktioniert nicht -  Akt III Sicherheit

BASEBasically Available, Soft State, Eventually Consistent

Page 17: Standardisierung funktioniert nicht -  Akt III Sicherheit

Zero Downtime Deployment

Page 18: Standardisierung funktioniert nicht -  Akt III Sicherheit

Technologie ohne Entscheidungswege aber mit direktem Feedback

Page 19: Standardisierung funktioniert nicht -  Akt III Sicherheit

Netzwerk Sicherheit

oder wie der Leichtsinn die Welt regiert

Page 20: Standardisierung funktioniert nicht -  Akt III Sicherheit

Data Seepage ist gefährlicher als direkte Angriffe

Page 21: Standardisierung funktioniert nicht -  Akt III Sicherheit

Das Risiko liegt in der Anwendung

Page 22: Standardisierung funktioniert nicht -  Akt III Sicherheit

Sind Sie Papst?

Glauben Sie wirklich, ausgehenden Traffic dauerhaft kontrollieren zu können

Page 23: Standardisierung funktioniert nicht -  Akt III Sicherheit

Datenschutz

ist eine Illusion

Page 24: Standardisierung funktioniert nicht -  Akt III Sicherheit

Facebook ist die drittgrößte „Nation“ auf unserer Erde

Und keiner hat die Benutzer gezwungen daran teilzunehmen

Page 25: Standardisierung funktioniert nicht -  Akt III Sicherheit

Datenauswertung

Empfehlungen und virale Methoden werden als Mehrwert wahrgenommen

Page 26: Standardisierung funktioniert nicht -  Akt III Sicherheit

Überraschung….

Gesetzliche Restriktionen interessieren die Benutzer nicht

Page 27: Standardisierung funktioniert nicht -  Akt III Sicherheit

Was hat das mit Cloud zu tun?

Page 28: Standardisierung funktioniert nicht -  Akt III Sicherheit

Cloud ist BASE

Page 29: Standardisierung funktioniert nicht -  Akt III Sicherheit

Private Cloud

Dort, wo man immer noch alles kontrollieren kann

Das ist nur ein Zwischenschritt

Page 30: Standardisierung funktioniert nicht -  Akt III Sicherheit

Wer redet von Standards? Wir können uns ja kaum auf Betriebssysteme einigen…

Page 31: Standardisierung funktioniert nicht -  Akt III Sicherheit

Clouds funktionieren mit Bausteinen und APIs

Das bedeutet Standardisierung des absoluten Minimums

Page 32: Standardisierung funktioniert nicht -  Akt III Sicherheit

Security 2.0Wenn man das Ergebnis und nicht die Methode vorschreibt

Page 33: Standardisierung funktioniert nicht -  Akt III Sicherheit

…ändern Sie nichts an Ihrer Security Policy und ersetzen Sie Ihre alten Firewalls durch Technologien wie vShield

Wenn Sie IaaS als Migrationsprojekt machen…

Page 34: Standardisierung funktioniert nicht -  Akt III Sicherheit

…nur wenn Menschen einen Mehrwert sehen, halten sie sich daran…

Datenschutz ist eine Sache des Bewusstseins

Page 35: Standardisierung funktioniert nicht -  Akt III Sicherheit

1995

1996

19981999

2006 2009

2010

2011

2007

Unternehmen bestehen übrigens aus Menschen

Page 36: Standardisierung funktioniert nicht -  Akt III Sicherheit

Netzwerksicherheit in der Cloud

Page 37: Standardisierung funktioniert nicht -  Akt III Sicherheit

Nutzen Sie Cloud und CrowdSecurity Services

Page 38: Standardisierung funktioniert nicht -  Akt III Sicherheit

Standards beschreiben nicht das Wie, sondern das Was?Das ist eine Policy

Sagen Sie nicht wie etwas implementiert werden soll, sondern WAS das Ergebnis sein muss (z.B. Web Server dürfen nur einen offenen Port haben)

Page 39: Standardisierung funktioniert nicht -  Akt III Sicherheit

Sicherheit in verteilten Systemen duldet keine Flaschenhälse

Also verzichten Sie auf Konzepte wie zentrale Firewalls, zentrale Scanner oder Proxy Server

Page 40: Standardisierung funktioniert nicht -  Akt III Sicherheit

Sicherheit durch Software Design

Page 41: Standardisierung funktioniert nicht -  Akt III Sicherheit

Echte Cloud Applikationen sind mehr als die Virtualisierung ihrer Vorgänger

Der Unterschied istmehr als Abrechnung

Page 42: Standardisierung funktioniert nicht -  Akt III Sicherheit

Sessions gehören NICHT in den Applikationsserver

Wenn wir schon dabei sind, vergessen Sie Sessions einfach…

Page 43: Standardisierung funktioniert nicht -  Akt III Sicherheit

Applikationen müssen ihren Workflow kennen

Page 44: Standardisierung funktioniert nicht -  Akt III Sicherheit

Konsistenz und Verfügbarkeit dürfen zu keiner Zeit einfach angenommen werden.

Page 45: Standardisierung funktioniert nicht -  Akt III Sicherheit

Governance

Page 46: Standardisierung funktioniert nicht -  Akt III Sicherheit

Policies vs. Standards

Policies müssen in jeder Umgebung anwendbar sein

Page 47: Standardisierung funktioniert nicht -  Akt III Sicherheit

Vergessen Sie Schuld!

Fehler passieren. Wie in der Cloud Entwicklung, planen Sie so, dass Fehler machen erlaubt ist und dass Verantwortung übernehmen nicht schmerzt

Page 48: Standardisierung funktioniert nicht -  Akt III Sicherheit

Von „Cover Your Arse“ nach „Solve the Problem“

ZENSIERT

Page 49: Standardisierung funktioniert nicht -  Akt III Sicherheit

Und wie soll man so etwas umsetzen?

Page 50: Standardisierung funktioniert nicht -  Akt III Sicherheit

Policies automatisch überwachen

Wissensbasiert an Stelle von skriptbasiert.

Dokumentiert an Stelle von philosophiert.

Page 51: Standardisierung funktioniert nicht -  Akt III Sicherheit

Ablaufschemata von Applikationen verlangen

Endliche Automaten – Alles was nicht erlaubt ist, ist verboten

APIs absichern

Page 52: Standardisierung funktioniert nicht -  Akt III Sicherheit

Automatische Datenerhebung erlaubt neue Aussagen und Analysen

Was war erfolgreich, was nicht?

Handelt es sich um eine Langzeitattacke

Deal with Data Seepage

Page 53: Standardisierung funktioniert nicht -  Akt III Sicherheit

Intern modern arbeiten…

Page 54: Standardisierung funktioniert nicht -  Akt III Sicherheit

Photo CreditsFolie 6: ltz / stock.xchng

Folie 7: a_b Oli R / flickr

Folie 8: float / stock.xchng

Folie 10: Library of Congress, LC-USW36-180 / flickr

Folie 11: Library of Congress, LC-USW36-840 / flickr

Folie 12: mikkosoft / stock.xchng

Folie 13: jurvetson / flickr

Folie 16: float / stock.xchng

Folie 17: float / stock.xchng

Folie 18: float / stock.xchng

Folie 20: float / stock.xchng

Folie 21: float / stock.xchng

Folie 22: float / stock.xchng

Folie 24: fuzzcat / flickr

Folie 25: WageIndicator - Paulien Osse / flickr

Folie 26: todorov40 / stock.xchng

Folie 28: Dominic's pics / flickr

Folie 29: Dominic's pics / flickr

Folie 31: jaja_1985 / flickr

Folie 37: cleomedes / stock.xchng

Folie 38: mrbill / flickr

Folie 39: mmagallan / stock.xchng

Folie 41: kipcurry / stock.xchng

Folie 42: float / stock.xchng

Folie 43: float / stock.xchng

Folie 44: Dominic's pics / flickr

Folie 47: Milosz1 / flickr

Folie 48: 802 / flickr

Folie 50: Dominic's pics / flickr

Folie 51: createsima / stock.xchng

Folie 52: float / stockxchng

Folie 53: evhead / flickr