1. SecTXL 22.11.2011 twitter: @booscStandardisierung
funktioniertnicht Akt III Sicherheit
2. Akt III ?
3. Akt III ? Akt I Software / Entwicklung Akt II Systembetrieb
/ IT Service Management
4. Was hat Sicherheit mit Standardisierung zu tun? Sicherheit
1.0 Sicherheit fr kleine DiktatorenAgenda Willkommen in der echten
Welt Was hat das mit Cloud zu tun? Sicherheit 2.0 Ergebnis, nicht
Mehrode Wie setzt man das um?
5. Was hat Sicherheit mitStandardisierung zu tun?
6. Kontrolle war alles!
7. Fehler machen war verboten!!!
8. Prozeduren und andereArbeitsvorschriften waren
dasAllheilmittel
9. Sicherheit 1.0Sicherheit fr kleine Diktatoren
10. Perimeter Sicherheit Physikalisch Digital
11. Software Stack Standard ist, was ich mir denke Eine Grenze,
die man nicht bewachen kann.
12. Governance Niemals ist jemand verantwortlich Lange
Entscheidungswege und trotzdem Security by Obscurity
13. Datenschutz Informationelle Selbstbestimmung ist, wenn
niemand meine Daten hat, oder???
18. Technologie ohneEntscheidungswege aber mitdirektem
Feedback
19. Netzwerk Sicherheitoder wie der Leichtsinn die
Weltregiert
20. Data Seepage ist gefhrlicherals direkte Angriffe
21. Das Risiko liegt in derAnwendung
22. Sind Sie Papst? Glauben Sie wirklich, ausgehenden Traffic
dauerhaft kontrollieren zu knnen
23. Datenschutzist eine Illusion
24. Facebook ist die drittgrteNation auf unserer Erde Und
keiner hat die Benutzer gezwungen daran teilzunehmen
25. Datenauswertung Empfehlungen und virale Methoden werden als
Mehrwert wahrgenommen
26. berraschung. Gesetzliche Restriktionen interessieren die
Benutzer nicht
27. Was hat das mit Cloud zu tun?
28. Cloud ist BASE
29. Private Cloud Dort, wo man immer noch alles kontrollieren
kann Das ist nur ein Zwischenschritt
30. Wer redet von Standards?Wir knnen uns ja kaum
aufBetriebssysteme einigen
31. Clouds funktionieren mitBausteinen und APIs Das bedeutet
Standardisierung des absoluten Minimums
32. Security 2.0Wenn man das Ergebnis und nicht dieMethode
vorschreibt
33. Wenn Sie IaaS als Migrationsprojekt machenndern Sienichts
an IhrerSecurity Policyund ersetzen SieIhre altenFirewalls
durchTechnologienwie vShield
34. Datenschutz ist eine Sache des Bewusstseinsnur wennMenschen
einenMehrwert sehen,halten sie sichdaran
35. Unternehmen bestehenbrigens aus Menschen 2011 2010 1999
2009 1998 2006 2007 19961995
36. Netzwerksicherheit in der Cloud
37. Nutzen Sie Cloud und CrowdSecurity Services
38. Standards beschreiben nicht dasWie, sondern das Was?Das ist
eine Policy Sagen Sie nicht wie etwas implementiert werden soll,
sondern WAS das Ergebnis sein muss (z.B. Web Server drfen nur einen
offenen Port haben)
39. Sicherheit in verteiltenSystemen duldet keineFlaschenhlse
Also verzichten Sie auf Konzepte wie zentrale Firewalls, zentrale
Scanner oder Proxy Server
40. Sicherheit durch Software Design
41. Echte Cloud Applikationen sindmehr als die Virtualisierung
ihrerVorgnger Der Unterschied ist mehr als Abrechnung
42. Sessions gehren NICHT in denApplikationsserver Wenn wir
schon dabei sind, vergessen Sie Sessions einfach
43. Applikationen mssen ihrenWorkflow kennen
44. Konsistenz und Verfgbarkeitdrfen zu keiner Zeit
einfachangenommen werden.
45. Governance
46. Policies vs. Standards Policies mssen in jeder Umgebung
anwendbar sein
47. Vergessen Sie Schuld! Fehler passieren. Wie in der Cloud
Entwicklung, planen Sie so, dass Fehler machen erlaubt ist und dass
Verantwortung bernehmen nicht schmerzt
48. Von Cover Your Arsenach Solve the Problem
49. Und wie soll man soetwas umsetzen?
50. Policies automatischberwachen Wissensbasiert an Stelle von
skriptbasiert. Dokumentiert an Stelle von philosophiert.
51. Ablaufschemata vonApplikationen verlangen Endliche
Automaten Alles was nicht erlaubt ist, ist verboten APIs
absichern
52. Automatische Datenerhebungerlaubt neue Aussagen undAnalysen
Was war erfolgreich, was nicht? Handelt es sich um eine
Langzeitattacke Deal with Data Seepage
