SecTXL 22.11.2011    twitter: @booscStandardisierung funktioniertnicht Akt III – Sicherheit
Akt III ?
Akt III ?  Akt I Software / Entwicklung  Akt II Systembetrieb / IT Service Management
Was hat Sicherheit mit         Standardisierung zu tun?         Sicherheit 1.0         Sicherheit für kleine DiktatorenAge...
Was hat Sicherheit mitStandardisierung zu tun?
Kontrolle war alles!
Fehler machen war verboten!!!
Prozeduren und andereArbeitsvorschriften waren dasAllheilmittel
Sicherheit 1.0Sicherheit für kleine Diktatoren
Perimeter Sicherheit      Physikalisch      Digital
Software Stack      Standard ist, was ich mir      denke        Eine Grenze, die man nicht        bewachen kann.
Governance     Niemals ist jemand     verantwortlich      Lange Entscheidungswege      und trotzdem Security      by Obscu...
Datenschutz     Informationelle     Selbstbestimmung ist, wenn     niemand meine Daten hat,     oder???
Willkommen in derechten Welt
Software DesignVielfalt ersetzt die Standards
BASEBasically Available, SoftState, Eventually Consistent
Zero Downtime Deployment
Technologie ohneEntscheidungswege aber mitdirektem Feedback
Netzwerk Sicherheitoder wie der Leichtsinn die Weltregiert
Data Seepage ist gefährlicherals direkte Angriffe
Das Risiko liegt in derAnwendung
Sind Sie Papst?      Glauben Sie      wirklich, ausgehenden Traffic      dauerhaft kontrollieren zu      können
Datenschutzist eine Illusion
Facebook ist die drittgrößte„Nation“ auf unserer Erde         Und keiner hat die         Benutzer gezwungen daran         ...
Datenauswertung       Empfehlungen und virale       Methoden werden als       Mehrwert wahrgenommen
Überraschung….     Gesetzliche Restriktionen     interessieren die Benutzer     nicht
Was hat das mit Cloud zu tun?
Cloud ist BASE
Private Cloud      Dort, wo man immer noch      alles kontrollieren kann      Das ist nur ein      Zwischenschritt
Wer redet von Standards?Wir können uns ja kaum aufBetriebssysteme einigen…
Clouds funktionieren mitBausteinen und APIs       Das bedeutet       Standardisierung des       absoluten Minimums
Security 2.0Wenn man das Ergebnis und nicht dieMethode vorschreibt
Wenn Sie IaaS als Migrationsprojekt machen……ändern Sienichts an IhrerSecurity Policyund ersetzen SieIhre altenFirewalls du...
Datenschutz ist eine Sache des Bewusstseins…nur wennMenschen einenMehrwert sehen,halten sie sichdaran…
Unternehmen bestehenübrigens aus Menschen                                                        2011                     ...
Netzwerksicherheit in der Cloud
Nutzen Sie Cloud und CrowdSecurity Services
Standards beschreiben nicht dasWie, sondern das Was?Das ist eine Policy       Sagen Sie nicht wie etwas       implementier...
Sicherheit in verteiltenSystemen duldet keineFlaschenhälse       Also verzichten Sie auf       Konzepte wie zentrale      ...
Sicherheit durch Software Design
Echte Cloud Applikationen sindmehr als die Virtualisierung ihrerVorgänger              Der Unterschied ist              me...
Sessions gehören NICHT in denApplikationsserver      Wenn wir schon dabei sind,      vergessen Sie Sessions      einfach…
Applikationen müssen ihrenWorkflow kennen
Konsistenz und Verfügbarkeitdürfen zu keiner Zeit einfachangenommen werden.
Governance
Policies vs. Standards      Policies müssen in jeder      Umgebung anwendbar sein
Vergessen Sie Schuld!      Fehler passieren. Wie in der      Cloud Entwicklung,      planen Sie so, dass Fehler      mache...
Von „Cover Your Arse“nach „Solve the Problem“
Und wie soll man soetwas umsetzen?
Policies automatischüberwachen      Wissensbasiert an Stelle von      skriptbasiert.      Dokumentiert an Stelle von      ...
Ablaufschemata vonApplikationen verlangen      Endliche Automaten –      Alles was nicht erlaubt ist,      ist verboten   ...
Automatische Datenerhebungerlaubt neue Aussagen undAnalysen     Was war erfolgreich, was     nicht?       Handelt es sich ...
Intern modern arbeiten…
Photo Credits Folie 6: ltz / stock.xchng                             Folie 28: Dominics pics / flickr Folie 7: a_b Oli R /...
Vielen Dank für Ihre Zeitarago AGHans-Christian BoosEschersheimer Landstr. 526 - 53260433 Frankfurt am MainTel: +49 (0) 69...
Nächste SlideShare
Wird geladen in …5
×

Standardisierung funktioniert nicht - Akt III Sicherheit

912 Aufrufe

Veröffentlicht am

Präsentation von Chris Boos (Vorstand arago) auf der SecTXL '11 am 22.11.11 in Frankfurt.

Veröffentlicht in: Technologie
0 Kommentare
1 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

Keine Downloads
Aufrufe
Aufrufe insgesamt
912
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
7
Aktionen
Geteilt
0
Downloads
4
Kommentare
0
Gefällt mir
1
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

Standardisierung funktioniert nicht - Akt III Sicherheit

  1. 1. SecTXL 22.11.2011 twitter: @booscStandardisierung funktioniertnicht Akt III – Sicherheit
  2. 2. Akt III ?
  3. 3. Akt III ? Akt I Software / Entwicklung Akt II Systembetrieb / IT Service Management
  4. 4. Was hat Sicherheit mit Standardisierung zu tun? Sicherheit 1.0 Sicherheit für kleine DiktatorenAgenda Willkommen in der echten Welt… Was hat das mit Cloud zu tun? Sicherheit 2.0 Ergebnis, nicht Mehrode Wie setzt man das um?
  5. 5. Was hat Sicherheit mitStandardisierung zu tun?
  6. 6. Kontrolle war alles!
  7. 7. Fehler machen war verboten!!!
  8. 8. Prozeduren und andereArbeitsvorschriften waren dasAllheilmittel
  9. 9. Sicherheit 1.0Sicherheit für kleine Diktatoren
  10. 10. Perimeter Sicherheit Physikalisch Digital
  11. 11. Software Stack Standard ist, was ich mir denke Eine Grenze, die man nicht bewachen kann.
  12. 12. Governance Niemals ist jemand verantwortlich Lange Entscheidungswege und trotzdem Security by Obscurity
  13. 13. Datenschutz Informationelle Selbstbestimmung ist, wenn niemand meine Daten hat, oder???
  14. 14. Willkommen in derechten Welt
  15. 15. Software DesignVielfalt ersetzt die Standards
  16. 16. BASEBasically Available, SoftState, Eventually Consistent
  17. 17. Zero Downtime Deployment
  18. 18. Technologie ohneEntscheidungswege aber mitdirektem Feedback
  19. 19. Netzwerk Sicherheitoder wie der Leichtsinn die Weltregiert
  20. 20. Data Seepage ist gefährlicherals direkte Angriffe
  21. 21. Das Risiko liegt in derAnwendung
  22. 22. Sind Sie Papst? Glauben Sie wirklich, ausgehenden Traffic dauerhaft kontrollieren zu können
  23. 23. Datenschutzist eine Illusion
  24. 24. Facebook ist die drittgrößte„Nation“ auf unserer Erde Und keiner hat die Benutzer gezwungen daran teilzunehmen
  25. 25. Datenauswertung Empfehlungen und virale Methoden werden als Mehrwert wahrgenommen
  26. 26. Überraschung…. Gesetzliche Restriktionen interessieren die Benutzer nicht
  27. 27. Was hat das mit Cloud zu tun?
  28. 28. Cloud ist BASE
  29. 29. Private Cloud Dort, wo man immer noch alles kontrollieren kann Das ist nur ein Zwischenschritt
  30. 30. Wer redet von Standards?Wir können uns ja kaum aufBetriebssysteme einigen…
  31. 31. Clouds funktionieren mitBausteinen und APIs Das bedeutet Standardisierung des absoluten Minimums
  32. 32. Security 2.0Wenn man das Ergebnis und nicht dieMethode vorschreibt
  33. 33. Wenn Sie IaaS als Migrationsprojekt machen……ändern Sienichts an IhrerSecurity Policyund ersetzen SieIhre altenFirewalls durchTechnologienwie vShield
  34. 34. Datenschutz ist eine Sache des Bewusstseins…nur wennMenschen einenMehrwert sehen,halten sie sichdaran…
  35. 35. Unternehmen bestehenübrigens aus Menschen 2011 2010 1999 2009 1998 2006 2007 19961995
  36. 36. Netzwerksicherheit in der Cloud
  37. 37. Nutzen Sie Cloud und CrowdSecurity Services
  38. 38. Standards beschreiben nicht dasWie, sondern das Was?Das ist eine Policy Sagen Sie nicht wie etwas implementiert werden soll, sondern WAS das Ergebnis sein muss (z.B. Web Server dürfen nur einen offenen Port haben)
  39. 39. Sicherheit in verteiltenSystemen duldet keineFlaschenhälse Also verzichten Sie auf Konzepte wie zentrale Firewalls, zentrale Scanner oder Proxy Server
  40. 40. Sicherheit durch Software Design
  41. 41. Echte Cloud Applikationen sindmehr als die Virtualisierung ihrerVorgänger Der Unterschied ist mehr als Abrechnung
  42. 42. Sessions gehören NICHT in denApplikationsserver Wenn wir schon dabei sind, vergessen Sie Sessions einfach…
  43. 43. Applikationen müssen ihrenWorkflow kennen
  44. 44. Konsistenz und Verfügbarkeitdürfen zu keiner Zeit einfachangenommen werden.
  45. 45. Governance
  46. 46. Policies vs. Standards Policies müssen in jeder Umgebung anwendbar sein
  47. 47. Vergessen Sie Schuld! Fehler passieren. Wie in der Cloud Entwicklung, planen Sie so, dass Fehler machen erlaubt ist und dass Verantwortung übernehmen nicht schmerzt
  48. 48. Von „Cover Your Arse“nach „Solve the Problem“
  49. 49. Und wie soll man soetwas umsetzen?
  50. 50. Policies automatischüberwachen Wissensbasiert an Stelle von skriptbasiert. Dokumentiert an Stelle von philosophiert.
  51. 51. Ablaufschemata vonApplikationen verlangen Endliche Automaten – Alles was nicht erlaubt ist, ist verboten APIs absichern
  52. 52. Automatische Datenerhebungerlaubt neue Aussagen undAnalysen Was war erfolgreich, was nicht? Handelt es sich um eine Langzeitattacke Deal with Data Seepage
  53. 53. Intern modern arbeiten…
  54. 54. Photo Credits Folie 6: ltz / stock.xchng Folie 28: Dominics pics / flickr Folie 7: a_b Oli R / flickr Folie 29: Dominics pics / flickr Folie 8: float / stock.xchng Folie 31: jaja_1985 / flickr Folie 10: Library of Congress, LC-USW36-180 / flickr Folie 37: cleomedes / stock.xchng Folie 11: Library of Congress, LC-USW36-840 / flickr Folie 38: mrbill / flickr Folie 12: mikkosoft / stock.xchng Folie 39: mmagallan / stock.xchng Folie 13: jurvetson / flickr Folie 41: kipcurry / stock.xchng Folie 16: float / stock.xchng Folie 42: float / stock.xchng Folie 17: float / stock.xchng Folie 43: float / stock.xchng Folie 18: float / stock.xchng Folie 44: Dominics pics / flickr Folie 20: float / stock.xchng Folie 47: Milosz1 / flickr Folie 21: float / stock.xchng Folie 48: 802 / flickr Folie 22: float / stock.xchng Folie 50: Dominics pics / flickr Folie 24: fuzzcat / flickr Folie 51: createsima / stock.xchng Folie 25: WageIndicator - Paulien Osse / flickr Folie 52: float / stockxchng Folie 26: todorov40 / stock.xchng Folie 53: evhead / flickr
  55. 55. Vielen Dank für Ihre Zeitarago AGHans-Christian BoosEschersheimer Landstr. 526 - 53260433 Frankfurt am MainTel: +49 (0) 69 405 680Mail: boos@arago.dewww.arago.dewww.hcboos.net

×