Cloud Computing - Technologie und Missbrauchspotentiale
description
Transcript of Cloud Computing - Technologie und Missbrauchspotentiale
Cloud Computing –Technologie & Missbrauchspotentiale
Jens Deponteadesso AG
11.07.2011
Cloud
11.07.2011 2 Cloud Computing - Technologie und Missbrauchspotentia l
> Virtuelle Server
> Analog zuVirtualisierung
> Nur Betriebssystem, Storage etc.
> Erst nach Installationvon Applikationsinfra-struktur nutzbar
Infrastructureas a Service
Platformas a Service
Softwareas a Service
> Application Server inder Cloud
> AutomatischesSkalieren
> Basis für Individual-Software
Cloud Servicemodelle: IaaS – PaaS – SaaS
> Software Service inder Cloud
> EMail, CRM, OfficeSuites…
Google AppEngine
VMware CloudFoundry11.07.2011 Cloud Computing - Technologie und Missbrauchspotenti al3
Gemeinsame Eigenschaften
Cloud Computing - Technologie und Missbrauchspotentia l
► On-Demand
> Nur nutzen (und zahlen), wenn man es gerade braucht
► Überall nutzbar über das Netz
► Schnelle Elastizität z. B. bei hoher Last> Mehr Ressourcen können schnell zur Verfügung gestellt
werden
► Self-Service
> Selber buchen über eine Portal
> Vollautomatisierte Prozesse
> Keine Beauftragung des Betriebs oder Dienstleisters
> Wesentlich weniger Aufwand und wesentlich schneller
► Vision: IT wird wie Strom oder das Telefon
> Steht immer und überall ausreichend zur Verfügung
11.07.2011 4
Cloud Liefermodelle
► Private Cloud
► Public Cloud
► Hybrid Cloud
► Community Cloud
Cloud Computing - Technologie und Missbrauchspotenti al11.07.2011 5
Cloud-Vorteile: Kostenmodell
► Man bezahlt nur, was man nutzt (Pay-as-you-go) (Public Cloud)
► Praktisch keine Investitionskosten
► Last-Spitzen kostengünstig abdecken
► Transparente Kosten
► Bessere Ressourcen-Auslastung (Private Cloud)
► Kosten können intern weiterberechnet werden
► Logischer Schritt nach Virtualisierung
Cloud Computing - Technologie und Missbrauchspotenti al11.07.2011 6
Cloud-Aspekt: Datenschutz
Verarbeitung personenbezogener Daten
► Ort der Verarbeitung?> USA? China?
> Europa! (amazon-Einstellung: Daten nur in Europa verarbeiten und speichern)
► Rechts (un) sicherheit> Beschlagnahmeschutz / Insolvenzschutz
► Verantwortliche Stelle> Auftragsdatenverarbeitung (§11 BDSG)
– Cloud Dienstleistung als klassische ‚Datenverarbeitung im Auftrag?‘
– Überprüfung der technisch-organisatorischen Maßnahmen wird vorausgesetzt
> Funktionsübertragung
– Erfordert Zustimmung (z.B. in AGBs) oder ‚Erforderlichkeit‘
► Ausweg bspw. die GDV-Initiative Trusted German Insurance Cloud
Cloud Computing - Technologie und Missbrauchspotenti al11.07.2011 7
Cloud als Angriffswerkzeug
11.07.2011 8 Cloud Computing - Technologie und Missbrauchspotentia l
11.07.2011
Cloud als Angriffswerkzeug
Direkte Angriffe aus der Cloud
► Alternative zu klassischen Botnets
► Hosting von C&C Servern
► Nutzbar z. B. für (D)DoS oder Brute Force
Cloud Computing - Technologie und Missbrauchspotentia l9
Quelle: http://www.tecchannel.de/sicherheit/news/2027448/sip_attacken_angriffe_kommen_aus_der_amazon_cloud/index.html?r=557603823902419&lid=73839
11.07.2011
Cloud als Angriffswerkzeug
Cloud als unterstützendes Werkzeug
► Nutzung der Rechenleistung & Speicherkapazität
► Kostengünstige Berechnungen> z. B. von Rainbowtables
► Knacken von Passworten oder kryptographischen Schlüsseln
> z. B. zum Brechen der iPhone-Verschlüsselung
► Beschleunigung durch GPU-Computing in der Cloud
> CUDA, OpenCL etc. erlauben deutlich höhere Durchsatzraten als Standard-Hardware
> HPC in der Cloud
Cloud Computing - Technologie und Missbrauchspotentia l10
Cloud als Angriffsziel
11.07.2011 11 Cloud Computing - Technologie und Missbrauchspotentia l
11.07.2011
Cloud als Angriffsziel
Differenzierung nach Cloud-Liefermodell und ermittel ten Risiken
► Private Cloud
> Analogien zu „klassischer“ Infrastrukur
► Public Cloud> Eigene Maßnahmen i.W. auf organisatorischer
Ebene möglich (Risikoanalyse)
> Cloud Provider muss Sicherheit bereitstellen
> Vertrauen zum Provider?!
Cloud Computing - Technologie und Missbrauchspotentia l12
Confidentiality
Integrity
Availability
11.07.2011
Auswirkungen von Angriffen
Hohes Schadenpotential bei Angriffen gegen Cloud-Se rvices
► Große Breitenwirkung möglich durch gezielte Angriffe auf
> Basisinfrastruktur (Netzwerk, Storage etc.)
> Hypervisor
► Schäden durch> Ausfallzeiten
> Datendiebstahl
> Datenverlust
► Großes Schadenpotential durch starke Verdichtung von Services ggf. unterschiedlicher Kunden in einer Cloud
Beispiel (unabhängig von der Ursache):
► Ausfall der Cloud-Services bei amazon ab 21.04.2011:> Ausfallzeiten von bis zu 3 Tagen
> unwiederbringliche Datenverluste
Cloud Computing - Technologie und Missbrauchspotentia l13
11.07.2011
Cloud als Angriffsziel
Gegenmaßnahmen in der Public Cloud
► Cloud Provider muss Sicherheit bereitstellen
► Perimeter Protection funktioniert nur eingeschränkt> Eindämmung von Angriffen aus der Cloud in die Cloud
► Security Infrastruktur nur als Software-Lösung
> Bspw. keine WAF-Appliance
> Neue kryptographische Verfahren in Entwicklung
► Monitoring, Intrusion Detection & Prevention
> in klassischer DMZ schon aufwändig
> Cloud bietet deutlich mehr Flexibilität
► Ein Fazit:> Absicherung muss auf der Anwendungsebene erfolgen
Cloud Computing - Technologie und Missbrauchspotentia l14
11.07.2011
Forensik in der Cloud
Untersuchung von Angriffen in der Public Cloud
► Isolierung der angegriffenen Komponenten ist schwierig
► Zugriff auf Log-Daten erschwert insb. bei SaaS
► Forensik-Werkzeuge müssen auf Cloud-Technologie angepasst werden
> Ausnahme: VM Image sehr gut untersuchbar
Cloud Computing - Technologie und Missbrauchspotentia l15
business.people.technology.
Jens Deponte
Principal Software Engineer
adesso AGStockholmer Allee 2444269 Dortmund
Phone: +49 231 930-9234Fax: +49 231 930-9331Mobil: +49 178 280 [email protected]