SIKRING AV SKYTJENESTER mnemonic frokostseminar 07.06.2016 trond@mnemonic.no
Me % whoami trond % cat /etc/passwd grep trond trond:x:2147:10000:trond Tolnæs:/home/trond:/usr/bin/bash % ls -ltd /home/trond/.[^.]* tail -1 -rw------- 1 trond mnemonic 50 Sep 1 2002 /home/trond/.w3m C:\Users\trond>net user trond /domain find "*" Global Group memberships * MSI * Teknisk * Presale < NOW(): * Professional Services * System Integration * IRT
Bruk av skytjenester Brukere, bedrifter og software produsenter blir drevet raskt mot skybaserte tjenester. Dette medfører at de tradisjonelle løsningene ikke lenger klarer å håndheve sikkerhet og compliance på lik linje med on-premise miljøet.
Infrastructure Platform Software Skytjenestemodeller Cloud Clients Apps, Browsers, Mobiles SAAS Applications (Office365, SharePoint Online, Google Apps for Work) PAAS OS, database, web-server, dev-tools,... (Windows Azure, SQL Azure, IIS...) IAAS Virtual Machines, networks, storage,... (Amazon Web Services, MS Azure, Google Cloud Platform, OpenStack)
Utfordringer Ifølge Cloud Security Alliance er de 3 største truslene i skyen: -Insecure Interfaces and API's (29%) -Data Loss & Leakage (25%) -Hardware Failure (10%) Utveksling av sensitive data utført av brukere mot godkjente og ikke godkjente skytjenester. Skyleverandørene tilbyr få garantier eller SLAer rundt sine sikkerhetsløsninger. Det blir derfor kundens ansvar å implementere sikkerhet ved bruk av innebyggede mekanismer og/eller 3.parts løsninger.
Utfordringer "There are some real Achilles' heels in the cloud infrastructure that are making big holes for the bad guys to get into". -- Eugene Schultz, chief technology officer at Emagined Security, Buzzword: Hyperjacking - Gaining control of huge stores of information through a single attack Ett eksempel på dette er Dropbox security breach
Hvem har ansvaret for sikkerheten? Skyleverandørene bruker forskjellige mekanismer og implementerer sikkerhet ulikt i alle modellene (SaaS, PaaS, IaaS) Uansett modell er IAM (Identity and Access Management) og sikring av dataene alltid kundens ansvar Skyleverandøren isolerer kunder fra hverandre, men det er kundens ansvar å segmentere sitt logiske nettverk. Husk redundans for lagring Husk å ta backup! Selv om skyleverandøren er f.eks. PCI godkjent, betyr ikke det at applikasjonen du kjører der også automatisk er det den må gjennom audit og sertifsering som vanlig. Å flytte en tjeneste til skyen gjør den ikke automatisk mer sikker!
Hvem har ansvaret for sikkerheten? Customers need to ensure that visibility, compliance, threat prevention and data security are being addressed at the cloud level with same level of consistency as is present in on-premises services. --Gartner 2016
Anbefalte tiltak Ta i bruk rollebasert Identity Management og bestem hvem som får lov til å gjøre hva. Ta i bruk CASB (Cloud Access Security Broker) Sikre lagrede data med kryptering. Som et minimum - segmenter og lås ned nettverkstrafikk med skyleverandørens innebyggede filtreringsmekanismer.
Anbefalte tiltak Bruk TLS og VPN for kryptert overføring av data Øk sporbarhet og trusselbeskyttelse med 3.parts løsninger (NGFW/NGTP, SSO, logging, etc.) Automatiser sikkerhetskonfigurasjonen vha. API og scripting
IaaS eksempel Hvordan kan man bygge en sikker skytjeneste?...med/uten 3.parts sikkerhetsprodukter...i MS Azure
Små forskjeller tilsvarende funksjonalitet Virtual Private Cloud (VPC) Network ACL Virtual Network Network Security Group
Sikkerhet i Azure Although Microsoft invests heavily in protecting the cloud infrastructure, customers must also protect their cloud services and resource groups. A multilayered approach to security provides the best defense.
Azure under panseret...
Microsofts referansedesign
Fallgruver Traffic fra Azure til on-premise datasenter inspiseres ikke! Nedlasting av dine data har en kost! (ved bruk av Express Route eller Azure VPN Gateway) VPN site-to-site (mot Azure VPN Gateway) begrenses til 200 Mbit!
Nyhet! UDR mot GatewaySubnet CheckPoint Referansearkitektur for Azure: http://supportcontent.checkpoint.com/solutions?id=sk109360 http://supportcontent.checkpoint.com/solutions?id=sk110993
Spørsmål?
Takk for meg!