Hvordan beskyttes en cloud-baseret infrastruktur? Henrik Larsson, Senior Security Consultant, Dubex Bygholm Park, Horsens, den 12. maj 2016
Hvad er Cloud Computing?
Hvad er Cloud Computing? Cloud Computing? Cloud == Internet Det er blot outsourcing Det er virtualisering Hype og marketing Ikke noget nyt Cloud? Computing Cloud Computing En helt ny service model *aas = as a Service On-demand / Pay-as-you-go Fleksibelt og skalerbart Abstrakt ressourcebegreb Cloud Computing is a model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction. This cloud model is composed of five essential characteristics, three service models, and four deployment models. http://www.nist.gov/itl/cloud/ http://nvlpubs.nist.gov/nistpubs/legacy/sp/nistspecialpublication800-145.pdf NIST - Definition of Cloud Computing
Udfordringen Det er muligt at man mister indsigt i den samlede løsning når den flyttes til skyen. Derfor kan det være svært at opdage skadelige mønstre eller datatab uden brug af de rigtige værktøjer. Mange virksomheder skal give adgang deres data i cloud på mange forskellige typer af enheder i flere tilfælde også enheder som virksomheden ikke selv har kontrol over. Selvom din cloud leverandør har muligheder for sikkerhed og kontrol i deres løsning, er det ikke sikkert at disse lever op til de krav der tidligere har været stillet i forbindelse med en lignende onpremise løsning.
Der er faktisk firmaer der bruger cloud - Netflix Completing the Netflix Cloud Migration Our journey to the cloud at Netflix began in August of 2008, when we experienced a major database corruption and for three days could not ship DVDs to our members. That is when we realized that we had to move away from vertically scaled single points of failure, like relational databases in our datacenter, towards highly reliable, horizontally scalable, distributed systems in the cloud. We chose Amazon Web Services (AWS) as our cloud provider because it provided us with the greatest scale and the broadest set of services and features. The majority of our systems, including all customer-facing services, had been migrated to the cloud prior to 2015. Since then, we've been taking the time necessary to figure out a secure and durable cloud path for our billing infrastructure as well as all aspects of our customer and employee data management. We are happy to report that in early January, 2016, after seven years of diligent effort, we have finally completed our cloud migration and shut down the last remaining data center bits used by our streaming service! netflix.com d. 11. februar 2016
Der er faktisk firmaer der bruger cloud - Xstream Dansk streamingfirma går all-in på platform-as-a-service:»det fjerner en kompleksitet, vi ikke vidste var unødvendig«der er ingen grund til at drifte noget som helst selv, hvis det kan operere sikkert og smertefrit i skyen. Sådan lyder strategien hos den danske streamingvirksomhed Xstream, der sigter efter at skrælle infrastrukturen ind til benet, droppe driftsarbejdet og samtidig spare penge.»vi vil nok stadig have nogle enkelte virtuelle maskiner til at køre,«indleder Loke Dupont, der er Head of Services hos Xstream.»Men vi prøver så meget vi kan, at gå fra at bruge infrastructure-asa-service og over på platform-as-a-service,«forklarer han til Version2. version2.dk d. 9. maj 2016
Enabling teknologier Virtualisering Effektiv udnyttelse af ressourcer Hurtig provisionering Stordriftsfordele Lavere omkostninger Åbne standarder Fælles protokoller Web 2.0 brugervenlige webapplikationer Management Virtual Machines Hypervisor Servers Automatisering Internet & båndbredde Storage Billig båndbredde Global mulighed for opkobling
Cloud som forretningsenabler Forretning er interesseret i processer og information - ikke teknologi, applikationer og infrastruktur On-demand self-service Brugeren kan i realtid selv tildele ressourcer Automatiseret; Ingen involvering af serviceudbyderen eller it-afdelingen IT er et værktøj og ikke et mål i sig selv Det er i forretning at der genereres værdien, alt andet er i princippet blot understøttelse Fra et forretningssynspunkt har IT i sig selv ingen værdi - værdien ligger i hvor effektivt IT kan understøtte forretningen Krav fra forretningen er med til at drive adoptionen af Cloud Computing Broad network access Resource pooling Rapid elasticity Measured Service Service tilgås via internettet Anvendelse af standardmekanismer Ressourcer (for)deles mellem flere brugere, abstraheret fra selve implementeringen Kunden har ikke kendskab til infrastrukturen Fleksibel, simpel og enkel realtidsservice ressourcer tildeles efter behov Pay-as-you go - Ressourceforbruget måles, overvåges, styres og afregnes løbende Ingen CapEx kun variabel OpEx
Software as a Service (SaaS) Anvender udbyderens applikationer over netværket Eksempler Webmail SalesForce Google Docs Brugeren har ingen adgang til den underliggende cloud-infrastruktur Management Virtual Machines Hypervisor Servers Storage Automatisering Dit indhold Dit problem
Platform as a Service (PaaS) Brugerens applikationer afvikles på en cloud-infrastruktur Eksempler Google Engine Microsoft Azure Websites VMforce Kræver at applikationerne er udviklet i værktøjer supporteret af leverandøren Management Virtual Machines Hypervisor Servers Automatisering Brugeren har kun adgang til at administrere egne applikationer Storage Din applikation Dit problem
Infrastructure as a Service (IaaS) Adgang til processor, storage og netværk Mulighed for selv at tildele og styre alle ressourcer brugeren kan afvikle vilkårlige operativsystemer og applikationer Eksempler Amazon Web Services Microsoft Azure Brugeren har ingen adgang til den underliggende cloud-infrastruktur, men kontrol over egne ressourcer Management Virtual Machines Hypervisor Servers Storage Automatisering Dine servere Dit problem
Service Models shared responsibility Private (On-Premise) Infrastructure (as a Service) Platform (as a Service) Software (as a Service) Access control Access control Access control Access control lications lications lications lications Data Data Data Data Security & Integration Security & Integration Security & Integration Security & Integration Databases Databases Databases Databases Servers Servers Servers Servers Virtualization Virtualization Virtualization Virtualization Server HW Storage Networking Server HW Storage Networking Server HW Storage Networking Server HW Storage Networking Managed by you Managed by vendor
Nye teknologier nye udfordringer Dagens datacenter Vi har selv kontrol over data Serverrummet er placeret på X adresse Data ligger på server Y og Z Vi har backup på plads Vi har styr på vores administratoradgang Vores oppetid er tilstrækkelig og ellers kan vi selv gøre noget ved det Vi har vores egne sikkerhedseksperter Morgendagens Cloud løsning Hvem har kontrol? Hvor står serverne? Hvor er vores data opbevaret? Hvad sikre der er taget backup? Hvem har adgang? Hvor robust er det? Hvordan kan vi lave audit? Hvordan skal vores sikkerhedsfolk arbejde??
Udfordringer Det er muligt at man mister indsigt i den samlede løsning når den flyttes til skyen. Derfor kan det være svært at opdage skadelige mønstre eller datatab uden brug af de rigtige værktøjer. Mange virksomheder skal give adgang deres data i cloud på mange forskellige typer af enheder i flere tilfælde også enheder som virksomheden ikke selv har kontrol over. Selvom din leverandør har muligheder for sikkerhed og kontrol i din cloud løsning, er det ikke sikkert at disse lever op til de krav der tidligere har været stillet i forbindelse med en lignende on-premise løsning.
Hvad er cloud-sikkerhed? Sikring af anvendelsen af cloudløsninger (SaaS) - Cloud Enabling Sikring af opkoblingen af cloudløsninger via f.eks. Blue Coat og Check Point Kryptering af data i cloud Visibilitet og overvågning, DLP Integration af cloud-løsninger fx IAM, Federation (F5), m.fl. Sikkerhed i cloud-løsninger (IaaS) Sikkerhed på AWS og Azure med Check Point, Trend Micro, F5 m.fl. Sikring af private cloud-løsninger Design af sikkerhed i cloudløsninger Compliance i cloud-løsninger Sikkerhedsservices leveret via Cloud Cloud websikkerhed fra fx Blue Coat, Trend Micro, Zscaler Mobil sikkerhed DDoS-beskyttelse Threat Emulation/Sandbox fra fx Check Point eller Trend Micro Dubex Managed Security Services Dubex Security Operations Center: Tufin, Airwave, Check Point, Trend Micro m.m. Dubex Security Analytics Center: LogSafe and Security Analytics Center
Sikring af anvendelsen af cloud-løsninger - Cloud Enabling Cloud Access Security Brokers (CASBs) Discover apps and assess risk Shadow IT unauthorized risky cloud services used Understand content to, from, and in apps Protect data in context who, what, where, activity, data Identity, provision & deprovision of users Secure access to apps with SSO and strong authentication Detect anomalies risky behavior, security threats Ensure compliance audit trails, remediation, reporting Segment apps sanctioned/unsanctioned Audit activities user/admin/data Enforce granular policies in real-time, across any app Coach users via conversations and automated Visibility CASBs provide shadow IT discovery and sanctioned application control, as well as a consolidated view of an organization's cloud service usage and the users who access data from any device or location. Compliance CASBs assist with data residency and compliance with regulations and standards, as well as identify cloud usage and the risks of specific cloud services. Data security CASBs provide the ability to enforce datacentric security policies to prevent unwanted activity based on data classification, discovery and user activity monitoring of access to sensitive data or privilege escalation. Policies are applied through controls, such as audit, alert, block, quarantine, delete and encrypt/tokenize, at the field and file level in cloud services. Threat protection CASBs prevent unwanted devices, users and versions of applications from accessing cloud services. Other examples in this category are user and entity behavior analytics (UEBA), the use of threat intelligence and malware identification. SaaS security is identity and data centric not network centric Gartner, Market Guide for Cloud Access Security Brokers, ID:G00274053
CASB Cloud Access Security Broker Organization Direct to Cloud CASB IBM Bluemix Force.com Oracle Cloud Mobile Devices and Data Inside Perimeter Redirected End- user and Administrator Traffc to Cloud Services Traffic Enterprise Integration Visibility Data Security Enterprise Integration Compliance Threat Protection Redirected Traffic API Access ServiceNow Workday Google at Work Salesforce Microsoft Azure IBM SoftLayer Amazon Web Services Through 2017, 90% of enterprises will fail to prevent the use of unauthorized cloud services Gartner
Data Access Governance Identity Governance and Administration Identity and Access Management er vigtigt Best Practices: Link to Enterprise Directory Use Groups for Users Use Roles for Servers ly Least Privilege Use Context-Based Policies Require Strong Authentication for Sensitive Operations Require MFA for Admins Integrate With Enterprise PAM Virtual Machine Management Management lications Log Systems Directories Through 2020, 80% of cloud breaches will be due to customer misconfiguration, mismanaged credentials or insider theft, not cloud provider vulnerabilities. - Gartner File Systems
Adaptive access control Kræve forskellige metoder for login ud fra definerede parametre: Hvornår logger brugeren ind? Hvorfra logger brugeren ind? Fra hvilken enhed logger brugeren ind?
Malware beskyttelse af SaaS - eksempler
Malware beskyttelse i IaaS eksempel
Netværk beskyttelse i IaaS - eksempel SECURED BY SECURED BY SECURED BY SECURED BY Physical Virtual Private Cloud (On-Premise) Public Cloud (Off-Premise) l HW l HW l HW l l Hypervisor HARDWARE l Traditional enterprise Virtualization, better utilization Owned and operated by organization Resources on demand and pay-per-use Managed by
Logløsning - eksempel - Holde øje med administrative handlinger - Indsamling og korrelation af log - Overvågning af login og tilladelser - Log af bruger adgang herunder unormal adfærd
Er cloud sikkert at bruge? Måske Hvem har ansvaret for din it-sikkerhed i cloud? Kan du opnå den ønskede sikkerhed og hvordan? Hvem kan og må tilgå dine data? Hvor vigtigt er det for dig at vide, hvor dine data befinder sig? Kan du overholde gældende compliance-krav? Sæt dig grundigt ind i udfordringer og begrænsninger i den enkelte løsning. Cloud er ikke en silver bullet i sig selv.
CSA Top Threats for 2016 *Ranked in order of severity per survey results 1. Data Breaches 2. Weak Identity, Credential and Access Management 3. Insecure APIs 4. System and lication Vulnerabilities 5. Account Hijacking 6. Malicious Insiders 7. Advanced Persistent Threats (APTs) 8. Data Loss 9. Insufficient Due Diligence 10. Abuse and Nefarious Use of Cloud Services 11. Denial of Service 12. Shared Technology Issues Follow up to earlier research artifacts Top Threats research plays a crucial role in the CSA research ecosystem The report provides organizations with an up-todate, expert-informed understanding of cloud security concerns in order to make educated riskmanagement decisions regarding cloud adoption strategies. The report reflects the current consensus among security experts in the CSA community about the most significant security issues in the cloud.
Anbefalinger Udvikle en holistisk cloud-sikkerhedsstrategi, som omfatter: Baseret på Shared Responsibility Model Beskyttelsen af virksomhedernes SaaS-applikationer Beskyttelsen af virksomhedernes systemer, der kører i offentligt eller privat IaaS Security Management & overvågningstjenester i Cloud Omfatter alle led i sikkerhedsprocessen Risikostyring og planlægning (Predict & Identify) Implementering af passende, afvejede kontroller (Prevent & Protect) Overvåning så angreb og kompromitteringer opdages (Detect) Reaktion, beredskab og Incident Response (Respond & Recover) Generelt Forstå konsekvenserne ved at anvende en global infrastruktur og hvor data opbevares Husk at hvis data er ekstremt følsomme, og fx memory snapshot er en uacceptabel risiko, så bør de holdes lokalt Ved evalueringen cloud-udbydere, så undersøg også deres understøttelse for tredjeparts sikkerhedsløsninger og økosystem for sikkerhed Krypter og/eller masker følsomme og fortrolige data in rest and in transit. Husk også at beskytte nøglerne! Overvågning
Anbefalinger Infrastructure as a Service (IaaS) Forstå, accepter og design omkring de begrænsninger der trods alt er i en cloud-infrastruktur Sørg for at have styr på den basale sikkerhed grundlæggende hærdning, konfiguration og patch management af og applikationer Anvend gerne whitelisting som fundament for serverbeskyttelse, men husk stadig løbende overvågning Planlæg de sikkerhedskontroller, som compliance og sikkerhed vil kræve Software as a Service (SaaS) Prøv at finde en SaaS, der har alle de nødvendige funktioner, så egen udvikling og tilpasning undgås Planlæg anvendelse af en Cloud Access Security Broker Vurder en trinvis tilgang (adgang, rettigheder & discovery først) Planlæg aktive kontroller (DLP, kryptering, anti-malware) og forstå implementeringsmuligheder (API, proxy, Endpoint)
Cloud is not evil just because it s cloud Betragt ikke cloud som hverken et onde eller et nødvendigt onde, men tænk den ønskede sikkerhed ind i løsningen fra starten. Sikkerhed i cloud er Shared Responsibility