SecTXL '11 | Frankfurt - Ulf Feger: "Der Weg zur Cloud Security – ein Transformationsprozess !"
-
Upload
symposia-360 -
Category
Technology
-
view
302 -
download
3
description
Transcript of SecTXL '11 | Frankfurt - Ulf Feger: "Der Weg zur Cloud Security – ein Transformationsprozess !"
© 2011 IBM Corporation1
Cloud & Security
Ulf FegerSecurity Architect, CISSPCompetence Leader Tivoli - Data Center Automation, Cloud & SecurityMember of Cloud Security Alliance, German Chapter
Der Weg zur Cloud Security –
ein Transformationsprozess !
© 2011 IBM Corporation2
„Der Weg zur Cloud Security – ein Transformationsprozess!"
Transformation der Security, der Sicherheit, des Sicherheitsbedürfnis
Die Festung Der Nutzer
© 2011 IBM Corporation3
„Der Weg zur Cloud Security – ein Transformationsprozess!"
Customer Expectations and Experiences
Healing bei Touching The Cloud – yes, of course with Security – solves all our Security challenges, we
have no problems We expect all – give nothing and it‘s part of your offering – means for „free“ Open discussions: I know what I know and to be honest tell me what I should know What you tell me is not Cloud security that‘s security The roadmap to Cloud & Security
© 2011 IBM Corporation4
„Der Weg zur Cloud Security – ein Transformationsprozess!"
“Cloud”
Standardisierung3
Cloud .. und wie funktionierts .. ?
Standardisierung / Service Katalog / Image Katalog
Ressourcenplanung (Beschaffung)Request Freigabe Workflow
AbbauBereitstellung/Nutzung(Abrechnung/Kostenverteilung)
Training ApplikationenTest/Dev ...
Power VM, VMware, KVM… Virtualisierung
Monitoring High Availability
Security Secure virt. env. Identity & Access Mgmt.
Repository
Process Automation Engine
Ressourcen
DynamischeProvisionierung
Automatisierung4
Sichere und hochverfügbare private Cloud
5
Virtualisierung2
Konsolidierung1
© 2011 IBM Corporation5
„Der Weg zur Cloud Security – ein Transformationsprozess!"
Cloud .. und wie funktionierts .. ?
Power VM, VMware, KVM…Virtualisierung
Ressourcen
Power VM, VMware, KVM…Virtualisierung
Ressourcen
Power VM, VMware, KVM…Virtualisierung
Ressourcen
Power VM, VMware, KVM…Virtualisierung
Ressourcen
Power VM, VMware, KVM…Virtualisierung
Ressourcen
Power VM, VMware, KVM…Virtualisierung
Ressourcen
Power VM, VMware, KVM…Virtualisierung
Ressourcen
Standardisierung / Service Katalog / Image Katalog
Ressourcenplanung (Beschaffung)Request Freigabe Workflow
AbbauBereitstellung/Nutzung(Abrechnung/Kostenverteilung)
Process Automation Engine
© 2011 IBM Corporation6
„Der Weg zur Cloud Security – ein Transformationsprozess!"
Cloud .. und wie funktionierts .. ?
Power VM, VMware, KVM…Virtualisierung
Ressourcen
Power VM, VMware, KVM…Virtualisierung
Ressourcen
Power VM, VMware, KVM…Virtualisierung
Ressourcen
Power VM, VMware, KVM…Virtualisierung
Ressourcen
Power VM, VMware, KVM…Virtualisierung
Ressourcen
Power VM, VMware, KVM…Virtualisierung
Ressourcen
Power VM, VMware, KVM…Virtualisierung
Ressourcen
Standardisierung / Service Katalog / Image Katalog
Ressourcenplanung (Beschaffung)Request Freigabe Workflow
AbbauBereitstellung/Nutzung(Abrechnung/Kostenverteilung)
Process Automation Engine
FrankreichUngarn
ChinaBrasilien
Deutschland
© 2011 IBM Corporation7
„Der Weg zur Cloud Security – ein Transformationsprozess!"
Anforderungen – Cloud Computing & Sicherheit
Sicherheitsanforderungen bezüglich
Datenschutz und Datensicherheit Zugriffs- und Identitätsmanagment Applikations- und Dienstebereitstellung inkl. “Entsorgung” Applikations- und Systemtests inkl. Daten Service Level Agreement – SLA Management Schwachstellen Management und Beseitigung Dienstverfügbarkeit inkl. (überregionalem) Lastausgleich Auditierbarkeit & Governance (GRC – Governance, Risk & Compliance) Grenzüberschreitende Gesetzeseinhaltung, z.B. personenbezogener Informationen Grenzüberschreitende Eigentumsrechte & Exportregularien Buchungs- und Rechungsgrundlagen und deren Informationsbasis Exit-Management
Cloud Services
Cloud ComputingModel
© 2011 IBM Corporation8 IBM
„Der Weg zur Cloud Security – ein Transformationsprozess!"
Betrachtung der Cloud aus Exportkontrollsicht
Ein Export / Verbringung liegt vor bei
Grenzüberschreitenden Clouds (die Daten gehen über Grenzen) Bei Verlagerungen des Service d.h.
Die Server und die Daten selbst bleiben im Land Jedoch erhält jemand aus dem Ausland den Zugriff
auf die Daten in Deutschland sog. „Root Access“ Welche Güter sind betroffen ?
Technologie und Source Code Wer ist der Ausführer ?
Derjenige der entscheidet, dass die Technologie oder der Source Code übertragen werden
Das ist nicht der Cloudbetreiber, sondern der Nutzer der Cloud
Root Access
Grenzüberschreitende Cloud
© 2011 IBM Corporation9
„Der Weg zur Cloud Security – ein Transformationsprozess!"
CloudServices + Infrastructure
✪
Cloud CC structure
Private Cloud Compute Center structure
CloudServices + Infrastructure
Cloud CC struture – loc. distr.
Germany, 1 BL (federal state)
CloudServices + Infrastructure
Cloud CC structure – arbitrary, distributed
world wide- Safe Harbour- Patriot Act
CloudServices + Infrastructure
Cloud CC structure – local, distributed
Germany, 1 BLGermany, x BLEU/EEA wide
All Private & All Secure
© 2011 IBM Corporation10
„Der Weg zur Cloud Security – ein Transformationsprozess!"
Private Cloud Compute Center structure
CloudServices + Infrastructure
Cloud CC struture – loc. distr.
Germany, 1 BL (federal state)
CloudServices + Infrastructure
Cloud CC structure – arbitrary, distributed
world wide- Safe Harbour- Patriot Act
CloudServices + Infrastructure
Cloud CC structure – local, distributed
Germany, 1 BLGermany, x BLEU/EEA wideT&V PD
Admin
All Private & All Secure
x
© 2011 IBM Corporation11
„Der Weg zur Cloud Security – ein Transformationsprozess!"
Cloud Transformationsphasen zur eigenen Cloud Wo bleibt da die Security ?
Ziele
1
2
3
4
Transition
Transition
Transition
IT Prozesse
IT Prozesse
IT Prozesse
IT Prozesse
IT Prozesse
GSPrz
GSPrz
GSPrz
GSPrz
GSPrz
GRCBaselineSecurityApproval
VSPSIEM
RichtlinienWorkflows
ApprovalReporting
Bsp:
1 2 3 4 5
Konsolidierung
Virtualisierung
Standardisierung
Automatisierung
Cloud
Eliminierung
© 2011 IBM Corporation12
„Der Weg zur Cloud Security – ein Transformationsprozess!"
4 (simple) examples of underestimated threads
Power VM, VMware, KVM…Virtualisierung
Ressourcen Power VM, VMware, KVM…Virtualisierung
Ressourcen Power VM, VMware, KVM…Virtualisierung
Ressourcen Power VM, VMware, KVM…Virtualisierung
Ressourcen
x
© 2011 IBM Corporation13
„Der Weg zur Cloud Security – ein Transformationsprozess!"
• Zugriffskontrolle, inkl. Regelwerk und Richtlinienverwaltung
• Benutzer- und Berechtigungsmgmnt inkl. Prozessverwaltung und –automation
• Rollenbasierte Funktionstrennung
• Security Policy Management
• Security Monitoring, Auditing, Compliance Reporting
• Funktionstrennung, Mandantenfähigkeit
• Berichtswesen – Security Information und Event Management
• Compliance Audit & Reporting über die IT
• Absicherung von virtuellen Maschinen und der Hosts
• Sicherheits- und Compliance Werkzeug zur Verifikation der Server
• Configuration and Change Management
• Mandantenfähigkeit
• Verknüpfung mit dem Rechnungswesen / Accounting
• Service Management
Cloud - Nutzer Cloud – (Dienst-)AnbieterIT - “klassisch”
Nutzen:• Diensteangebot
Pflichten:
- Authentifizierung- Autorisierung - del. Administration- Rechnung begleichen
Erwartungen:
-SLA Erfüllung-Richlinienkonformität-detailiertes Berichts-
wesen
• Zugriffskontrolle, inkl. Regelwerk und Richtlinienverwaltung
• Benutzer- und Berechtigungsmgmnt inkl. Prozessverwaltung und –automation
• Rollenbasierte Funktionstrennung
• Security Policy Management
• Security Monitoring, Auditing, Compliance Reporting
• Funktionstrennung, Mandantenfähigkeit
• Berichtswesen – Security Information und Event Management
• Compliance Audit & Reporting über die IT
• Absicherung von virtuellen Maschinen und der Hosts
• Sicherheits- und Compliance Werkzeug zur Verifikation der Server
• Configuration and Change Management
• Mandantenfähigkeit
• Verknüpfung mit dem Rechnungswesen / Accounting
• Service Management
Welche Herausforderungen sind zu lösen - eine lange Liste, eine neue Liste ?
Dynam
isieru
ng
© 2011 IBM Corporation14
„Der Weg zur Cloud Security – ein Transformationsprozess!"
Cloud Enabled Data Center - simple use case
Cloud Enabled Data CenterCloud Enabled Data Center
Self-Service GUI
Cloud Platform
User identityis verified and authenticated
User identityis verified and authenticated
1
Available Resource
Resource Pool
Resource chosen from correct security domain
Resource chosen from correct security domain 2
Image Library
Machine Image
VM is configured with appropriate security policy
VM is configured with appropriate security policy
3
Hypervisor
Configured Machine Image
Virtual Machine
Virtual Machine
Image provisioned behind FW / IPS
Image provisioned behind FW / IPS
4
Host securityinstalled and updated
Host securityinstalled and updated
5
SW Catalog
Config Binaries
Software patches applied and up-to-date
Software patches applied and up-to-date
6
© 2011 IBM Corporation15
„Der Weg zur Cloud Security – ein Transformationsprozess!"
Eckpunktepapier- Sicherheitsempfehlungen für Cloud Computing Anbieter
More sources:
• IT-Grundschutz• BSI-Standard 100-2/100-4• ISO 27001/2• Cloud Security Alliance – German Chapter, cloudsecurityalliance.org• ISF – Information Security Forum, www.securityforum.org• TMForum – TeleManagement Forum, www.tmfourm.org• Euro Cloud e.V. en.eurocloud.de/
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Mindestanforderungen/Eckpunktepapier-Sicherheitsempfehlungen-CloudComputing-Anbieter.pdf?__blob=publicationFile
© 2011 IBM Corporation16
„Der Weg zur Cloud Security – ein Transformationsprozess!"
Die Chance – Die Themenvielfalt
© 2011 IBM Corporation17
„Der Weg zur Cloud Security – ein Transformationsprozess!"
Cloud Services
BSS
OSS
Cloud Plattform
Cloud Services
BSS
OSS
Cloud Services
BSS
OSS
Cloud ServicesCloud Services
BSSBSS
OSSOSS
Cloud Plattform
WindowsApps
WindowsApps
WebApp
WebApp
WebApp
Por
tal
HTT
P S
erve
r
Internet
EnterpriseDir
Security Policy Repository
Identity Repository(Person & Account)
WindowsApps
Other Apps
WS Gateway
Consumer
Business
HTTP (incl. SOAP/HTTP) Connection
Web Services Connection
User
HR System
Employee/Staff
Por
tal
HTT
P S
erve
r
Desktop/Client Connection
Web
Aut
hent
icat
ion
and
Auth
oriz
atio
n
ESB (SOA)
Web
Aut
hent
icat
ion
and
Auth
oriz
atio
n
Ente
rpris
e S
ingl
e S
igno
n
Use
r Aut
hent
icat
ion
Web
Sin
gle
Sign
on
Web
Sin
gle
Sign
on
IdentitySynchronisation
Pro
visi
onin
g
Rec
onci
liatio
n
Workflow & Lifecycle
Entitlement Policy
User Self-service
IdentityStoreR
epor
ting
Provisioning Engine
Admin.
Admin
Auditor
FedSSO A&A FedSSO
A&A
IdentityMapping
Audit Log Consolidation
Log
Col
lect
Log
Col
lect
Log
Col
lect
Log
Col
lect
Log
Col
lect
Log
Col
lect
Log
Col
lect
Log
Col
lect
Log
Col
lect
Audit Policy Compliance Reporting
Tivoli Identity Manager (TIM)
Tivoli Access Manager for e-business (TAMeb)
Tivoli Federated Identity Manager (TFIM)
Tivoli Access Manager for Enterprise Single Signon (TAM E-SSO)
Tivoli Compliance Insight Manager (TCIM)
Policy Enforce
Tivoli Security Policy Manager (TSPM)Management Domain
Web Policy Mgmt
FedSSOConf.
WS Policy Mgmt
Admin(s)
Auditor Auditor
SSOPolicyMgmt
Policy Enforce
Cloud Services
BSS
OSS
Cloud Plattform
Cloud Services
BSS
OSS
Cloud Services
BSS
OSS
Cloud ServicesCloud Services
BSSBSS
OSSOSS
Cloud Plattform
dynam
ic ad
aptio
nSupporting Security landscape – What is the target of my security ?
© 2011 IBM Corporation18
„Der Weg zur Cloud Security – ein Transformationsprozess!"
Cloud Services
BSS
OSS
Common Cloud Management Platform
WindowsApps
WindowsApps
WebApp
WebApp
WebApp
Por
tal
HTT
P S
erve
r
Internet
EnterpriseDir
WindowsApps
Other Apps
WS Gateway
Consumer
Business
User
HR System
Employee/Staff
Por
tal
HTT
P S
erve
r
Web
Aut
hent
icat
ion
and
Aut
horiz
atio
n
ESB (SOA)
Web
Aut
hent
icat
ion
and
Auth
oriz
atio
n
Ent
erpr
ise
Sin
gle
Sig
non
Use
r Aut
hent
icat
ion
Web
Sin
gle
Sign
on
Web
Sin
gle
Sig
non
IdentitySynchronisation
Pro
visi
onin
g
Rec
onci
liatio
n
Workflow & Lifecycle
Entitlement Policy
User Self-service
IdentityStoreR
epor
ting
Provisioning Engine
Admin.
Admin
Auditor
FedSSO A&A FedSSO
A&A
IdentityMapping
Audit Log Consolidation
Log
Col
lect
Log
Col
lect
Log
Col
lect
Log
Col
lect
Log
Col
lect
Log
Col
lect
Log
Col
lect
Log
Col
lect
Log
Col
lect
Audit Policy Compliance Reporting
Policy Enforce
Management Domain
Web Policy Mgmt
FedSSOConf.
WS Policy Mgmt
Admin(s)
Auditor Auditor
SSOPolicyMgmt
Policy Enforce
dynam
ic ad
aptio
nSupporting Security landscape – What is the target of my security ?
© 2011 IBM Corporation19
„Der Weg zur Cloud Security – ein Transformationsprozess!"
19
Highlights aus dem X-Force Bericht 2011:
Die Anzahl der aufgedeckten Schwachstellen in 2011 bewegt sich auf dem Niveau von 2006.
Der Anteil der Schwachstellen in Web Applikationen ist in 2011 von 49% auf 37% stark zurückgegangen.
Das traditionelle E-Mail Phishing ist weiter auf dem Rückzug. Nur noch 0.01% aller Spams sind E-Mail Phishings.
Mobile Endgeräte (Smartphones) werden zunehmend Ziel von Malware. Der in 2010 erkennbare Trend setzt sich ungebremst fort.
© 2011 IBM Corporation20
„Der Weg zur Cloud Security – ein Transformationsprozess!"
20
For More IBM X-Force Security Leadership
X-Force Trend ReportsThe IBM X-Force Trend & Risk Reports provide statistical information about all
aspects of threats that affect Internet security,. Find out more at http://www-935.ibm.com/services/us/iss/xforce/trendreports/
X-Force Security Alerts and AdvisoriesOnly IBM X-Force can deliver preemptive security due to our unwavering
commitment to research and development and 24/7 global attack monitoring. Find out more at http://xforce.iss.net/
X-Force Blogs and FeedsFor a real-time update of Alerts, Advisories, and other security issues,
subscribe to the X-Force RSS feeds. You can subscribe to the X-Force alerts and advisories feed at http://iss.net/rss.php or the Frequency X
Blog at http://blogs.iss.net/rss.php
© 2011 IBM Corporation21
„Der Weg zur Cloud Security – ein Transformationsprozess!"
http://www.ibm.com/security/cloud-security.html
IBM Cloud Computing: ibm.com/cloudcomputingibm.com/de/cloud/
Trustworthy Cloud tclouds-project.eu/IBM Enterprise Security: ibm.com/securityIBM Internet Security Systems: ibm.com/services/security
IBM X-Force® Security Alerts and Advisories: xforce.iss.netCloud Standards Customer Council cloud-council.org/
Ulf FegerSecurity Architect, CISSPIBM Software Group
Gustav-Heinemann Ufer 12050968 Köln, DeutschlandMobile.: +49-171-22 619 22E-Mail: [email protected]
Q&A