Cloud Computing - Technologie und Missbrauchspotentiale

Cloud Computing –Technologie & Missbrauchspotentiale

Jens Deponteadesso AG

11.07.2011

Cloud

11.07.2011 2 Cloud Computing - Technologie und Missbrauchspotentia l

> Virtuelle Server

> Analog zuVirtualisierung

> Nur Betriebssystem, Storage etc.

> Erst nach Installationvon Applikationsinfra-struktur nutzbar

Infrastructureas a Service

Platformas a Service

Softwareas a Service

> Application Server inder Cloud

> AutomatischesSkalieren

> Basis für Individual-Software

Cloud Servicemodelle: IaaS – PaaS – SaaS

> Software Service inder Cloud

> EMail, CRM, OfficeSuites…

Google AppEngine

VMware CloudFoundry11.07.2011 Cloud Computing - Technologie und Missbrauchspotenti al3

Gemeinsame Eigenschaften

Cloud Computing - Technologie und Missbrauchspotentia l

► On-Demand

> Nur nutzen (und zahlen), wenn man es gerade braucht

► Überall nutzbar über das Netz

► Schnelle Elastizität z. B. bei hoher Last> Mehr Ressourcen können schnell zur Verfügung gestellt

werden

► Self-Service

> Selber buchen über eine Portal

> Vollautomatisierte Prozesse

> Keine Beauftragung des Betriebs oder Dienstleisters

> Wesentlich weniger Aufwand und wesentlich schneller

► Vision: IT wird wie Strom oder das Telefon

> Steht immer und überall ausreichend zur Verfügung

11.07.2011 4

Cloud Liefermodelle

► Private Cloud

► Public Cloud

► Hybrid Cloud

► Community Cloud

Cloud Computing - Technologie und Missbrauchspotenti al11.07.2011 5

Cloud-Vorteile: Kostenmodell

► Man bezahlt nur, was man nutzt (Pay-as-you-go) (Public Cloud)

► Praktisch keine Investitionskosten

► Last-Spitzen kostengünstig abdecken

► Transparente Kosten

► Bessere Ressourcen-Auslastung (Private Cloud)

► Kosten können intern weiterberechnet werden

► Logischer Schritt nach Virtualisierung


Cloud-Aspekt: Datenschutz

Verarbeitung personenbezogener Daten

► Ort der Verarbeitung?> USA? China?

> Europa! (amazon-Einstellung: Daten nur in Europa verarbeiten und speichern)

► Rechts (un) sicherheit> Beschlagnahmeschutz / Insolvenzschutz

► Verantwortliche Stelle> Auftragsdatenverarbeitung (§11 BDSG)

– Cloud Dienstleistung als klassische ‚Datenverarbeitung im Auftrag?‘

– Überprüfung der technisch-organisatorischen Maßnahmen wird vorausgesetzt

> Funktionsübertragung

– Erfordert Zustimmung (z.B. in AGBs) oder ‚Erforderlichkeit‘

► Ausweg bspw. die GDV-Initiative Trusted German Insurance Cloud


Cloud als Angriffswerkzeug


11.07.2011


Direkte Angriffe aus der Cloud

► Alternative zu klassischen Botnets

► Hosting von C&C Servern

► Nutzbar z. B. für (D)DoS oder Brute Force

Cloud Computing - Technologie und Missbrauchspotentia l9

Quelle: http://www.tecchannel.de/sicherheit/news/2027448/sip_attacken_angriffe_kommen_aus_der_amazon_cloud/index.html?r=557603823902419&lid=73839

11.07.2011


Cloud als unterstützendes Werkzeug

► Nutzung der Rechenleistung & Speicherkapazität

► Kostengünstige Berechnungen> z. B. von Rainbowtables

► Knacken von Passworten oder kryptographischen Schlüsseln

> z. B. zum Brechen der iPhone-Verschlüsselung

► Beschleunigung durch GPU-Computing in der Cloud

> CUDA, OpenCL etc. erlauben deutlich höhere Durchsatzraten als Standard-Hardware

> HPC in der Cloud


Cloud als Angriffsziel


11.07.2011


Differenzierung nach Cloud-Liefermodell und ermittel ten Risiken

► Private Cloud

> Analogien zu „klassischer“ Infrastrukur

► Public Cloud> Eigene Maßnahmen i.W. auf organisatorischer

Ebene möglich (Risikoanalyse)

> Cloud Provider muss Sicherheit bereitstellen

> Vertrauen zum Provider?!


Confidentiality

Integrity

Availability

11.07.2011

Auswirkungen von Angriffen

Hohes Schadenpotential bei Angriffen gegen Cloud-Se rvices

► Große Breitenwirkung möglich durch gezielte Angriffe auf

> Basisinfrastruktur (Netzwerk, Storage etc.)

> Hypervisor

► Schäden durch> Ausfallzeiten

> Datendiebstahl

> Datenverlust

► Großes Schadenpotential durch starke Verdichtung von Services ggf. unterschiedlicher Kunden in einer Cloud

Beispiel (unabhängig von der Ursache):

► Ausfall der Cloud-Services bei amazon ab 21.04.2011:> Ausfallzeiten von bis zu 3 Tagen

> unwiederbringliche Datenverluste


11.07.2011


Gegenmaßnahmen in der Public Cloud

► Cloud Provider muss Sicherheit bereitstellen

► Perimeter Protection funktioniert nur eingeschränkt> Eindämmung von Angriffen aus der Cloud in die Cloud

► Security Infrastruktur nur als Software-Lösung

> Bspw. keine WAF-Appliance

> Neue kryptographische Verfahren in Entwicklung

► Monitoring, Intrusion Detection & Prevention

> in klassischer DMZ schon aufwändig

> Cloud bietet deutlich mehr Flexibilität

► Ein Fazit:> Absicherung muss auf der Anwendungsebene erfolgen


11.07.2011

Forensik in der Cloud

Untersuchung von Angriffen in der Public Cloud

► Isolierung der angegriffenen Komponenten ist schwierig

► Zugriff auf Log-Daten erschwert insb. bei SaaS

► Forensik-Werkzeuge müssen auf Cloud-Technologie angepasst werden

> Ausnahme: VM Image sehr gut untersuchbar


business.people.technology.

Jens Deponte

Principal Software Engineer

adesso AGStockholmer Allee 2444269 Dortmund

Phone: +49 231 930-9234Fax: +49 231 930-9331Mobil: +49 178 280 [email protected]

Cloud Computing - Technologie und Missbrauchspotentiale

Sports

Transcript of Cloud Computing - Technologie und Missbrauchspotentiale