SecTXL 22.11.2011 twitter: @boosc

Standardisierung funktioniert

nicht Akt III – Sicherheit

Akt III ?

Akt I

Software / Entwicklung

Akt II

Systembetrieb /

IT Service Management

Akt III ?

Agenda

Was hat Sicherheit mit

Standardisierung zu tun?

Sicherheit 1.0

Sicherheit für kleine Diktatoren

Willkommen in der echten Welt…

Was hat das mit Cloud zu tun?

Sicherheit 2.0

Ergebnis, nicht Mehrode

Wie setzt man das um?

Was hat Sicherheit mit

Standardisierung zu tun?

Kontrolle war alles!

Fehler machen war verboten!!!

Prozeduren und andere

Arbeitsvorschriften waren das

Allheilmittel

Sicherheit 1.0

Sicherheit für kleine Diktatoren

Perimeter Sicherheit

Physikalisch

Digital

Software Stack

Standard ist, was ich mir

denke

Eine Grenze, die man nicht

bewachen kann.

Governance

Niemals ist jemand

verantwortlich

Lange Entscheidungswege

und trotzdem Security

by Obscurity

Datenschutz

Informationelle

Selbstbestimmung ist, wenn

niemand meine Daten hat,

oder???

Willkommen in der

echten Welt

Software Design

Vielfalt ersetzt die Standards

BASE

Basically Available, Soft State,

Eventually Consistent

Zero Downtime Deployment

Technologie ohne

Entscheidungswege aber mit

direktem Feedback

Netzwerk Sicherheit

oder wie der Leichtsinn die Welt

regiert

Data Seepage ist gefährlicher

als direkte Angriffe

Das Risiko liegt in der

Anwendung

Sind Sie Papst?

Glauben Sie wirklich,

ausgehenden Traffic

dauerhaft kontrollieren zu

können

Datenschutz

ist eine Illusion

Facebook ist die drittgrößte

„Nation“ auf unserer Erde

Und keiner hat die

Benutzer gezwungen daran

teilzunehmen

Datenauswertung

Empfehlungen und virale

Methoden werden als

Mehrwert wahrgenommen

Überraschung….

Gesetzliche Restriktionen

interessieren die Benutzer

nicht

Was hat das mit Cloud zu tun?

Cloud ist BASE

Private Cloud

Dort, wo man immer noch

alles kontrollieren kann

Das ist nur ein

Zwischenschritt

Wer redet von Standards?

Wir können uns ja kaum auf

Betriebssysteme einigen…

Clouds funktionieren mit

Bausteinen und APIs

Das bedeutet

Standardisierung des

absoluten Minimums

Security 2.0

Wenn man das Ergebnis und nicht die

Methode vorschreibt

…ändern Sie

nichts an Ihrer

Security Policy

und ersetzen Sie

Ihre alten

Firewalls durch

Technologien

wie vShield

Wenn Sie IaaS als Migrationsprojekt machen…

…nur wenn

Menschen einen

Mehrwert sehen,

halten sie sich

daran…

Datenschutz ist eine Sache des Bewusstseins

1995

1996

19981999

20062009

2010

2011

2007

Unternehmen bestehen

übrigens aus Menschen

Netzwerksicherheit in der Cloud

Nutzen Sie Cloud und Crowd

Security Services

Standards beschreiben nicht das

Wie, sondern das Was?

Das ist eine Policy

Sagen Sie nicht wie etwas

implementiert werden soll,

sondern WAS das Ergebnis

sein muss (z.B. Web Server

dürfen nur einen offenen Port

haben)

Sicherheit in verteilten

Systemen duldet keine

Flaschenhälse

Also verzichten Sie auf

Konzepte wie zentrale

Firewalls, zentrale Scanner

oder Proxy Server

Sicherheit durch Software Design

Echte Cloud Applikationen sind

mehr als die Virtualisierung ihrer

Vorgänger

Der Unterschied ist

mehr als Abrechnung

Sessions gehören NICHT in den

Applikationsserver

Wenn wir schon dabei sind,

vergessen Sie Sessions

einfach…

Applikationen müssen ihren

Workflow kennen

Konsistenz und Verfügbarkeit

dürfen zu keiner Zeit einfach

angenommen werden.

Governance

Policies vs. Standards

Policies müssen in jeder

Umgebung anwendbar sein

Vergessen Sie Schuld!

Fehler passieren. Wie in der

Cloud Entwicklung,

planen Sie so, dass Fehler

machen erlaubt ist und dass

Verantwortung übernehmen

nicht schmerzt

Von „Cover Your Arse“

nach „Solve the Problem“

Und wie soll man so

etwas umsetzen?

Policies automatisch

überwachen

Wissensbasiert an Stelle von

skriptbasiert.

Dokumentiert an Stelle von

philosophiert.

Ablaufschemata von

Applikationen verlangen

Endliche Automaten –

Alles was nicht erlaubt ist,

ist verboten

APIs absichern

Automatische Datenerhebung

erlaubt neue Aussagen und

Analysen

Was war erfolgreich, was

nicht?

Handelt es sich um eine

Langzeitattacke

Deal with Data Seepage

Intern modern arbeiten…

Photo CreditsFolie 6: ltz / stock.xchng

Folie 7: a_b Oli R / flickr

Folie 8: float / stock.xchng

Folie 10: Library of Congress, LC-USW36-180 / flickr

Folie 11: Library of Congress, LC-USW36-840 / flickr

Folie 12: mikkosoft / stock.xchng

Folie 13: jurvetson / flickr

Folie 16: float / stock.xchng

Folie 17: float / stock.xchng

Folie 18: float / stock.xchng

Folie 20: float / stock.xchng

Folie 21: float / stock.xchng

Folie 22: float / stock.xchng

Folie 24: fuzzcat / flickr

Folie 25: WageIndicator - Paulien Osse / flickr

Folie 26: todorov40 / stock.xchng

Folie 28: Dominic's pics / flickr

Folie 29: Dominic's pics / flickr

Folie 31: jaja_1985 / flickr

Folie 37: cleomedes / stock.xchng

Folie 38: mrbill / flickr

Folie 39: mmagallan / stock.xchng

Folie 41: kipcurry / stock.xchng

Folie 42: float / stock.xchng

Folie 43: float / stock.xchng

Folie 44: Dominic's pics / flickr

Folie 47: Milosz1 / flickr

Folie 48: 802 / flickr

Folie 50: Dominic's pics / flickr

Folie 51: createsima / stock.xchng

Folie 52: float / stockxchng

Folie 53: evhead / flickr

arago AG

Hans-Christian Boos

Eschersheimer Landstr. 526 - 532

60433 Frankfurt am Main

Tel: +49 (0) 69 405 680

Mail: boos@arago.de

www.arago.de

www.hcboos.net

Vielen Dank für Ihre Zeit