Cloud Computing –Technologie & MissbrauchspotentialeJens Deponteadesso AG11.07.2011
Cloud11.07.2011   2   Cloud Computing - Technologie und Missbrauchspotential
Cloud Servicemodelle: IaaS – PaaS – SaaS       Infrastructure                              Platform                      S...
Gemeinsame Eigenschaften►   On-Demand    > Nur nutzen (und zahlen), wenn man es gerade braucht►   Überall nutzbar über das...
Cloud Liefermodelle►   Private Cloud►   Public Cloud►   Hybrid Cloud►   Community Cloud11.07.2011   5   Cloud Computing - ...
Cloud-Vorteile: Kostenmodell►   Man bezahlt nur, was man nutzt (Pay-as-you-go) (Public Cloud)►   Praktisch keine Investiti...
Cloud-Aspekt: DatenschutzVerarbeitung personenbezogener Daten►   Ort der Verarbeitung?    > USA? China?    > Europa! (amaz...
Cloud als Angriffswerkzeug11.07.2011   8   Cloud Computing - Technologie und Missbrauchspotential
Cloud als AngriffswerkzeugDirekte Angriffe aus der Cloud►   Alternative zu klassischen Botnets►   Hosting von C&C Servern►...
Cloud als AngriffswerkzeugCloud als unterstützendes Werkzeug►   Nutzung der Rechenleistung & Speicherkapazität►   Kostengü...
Cloud als Angriffsziel11.07.2011   11   Cloud Computing - Technologie und Missbrauchspotential
Cloud als AngriffszielDifferenzierung nach Cloud-Liefermodell und ermittelten Risiken►   Private Cloud    > Analogien zu „...
Auswirkungen von AngriffenHohes Schadenpotential bei Angriffen gegen Cloud-Services►   Große Breitenwirkung möglich durch ...
Cloud als AngriffszielGegenmaßnahmen in der Public Cloud►   Cloud Provider muss Sicherheit bereitstellen►   Perimeter Prot...
Forensik in der CloudUntersuchung von Angriffen in der Public Cloud►   Isolierung der angegriffenen Komponenten ist schwie...
business.people.technology.                          adesso AG                          Stockholmer Allee 24              ...
Nächste SlideShare
Wird geladen in …5
×

Cloud Computing - Technologie und Missbrauchspotentiale

1.220 Aufrufe

Veröffentlicht am

Veröffentlicht in: Sport
0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
1.220
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
1
Aktionen
Geteilt
0
Downloads
14
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

Cloud Computing - Technologie und Missbrauchspotentiale

  1. 1. Cloud Computing –Technologie & MissbrauchspotentialeJens Deponteadesso AG11.07.2011
  2. 2. Cloud11.07.2011 2 Cloud Computing - Technologie und Missbrauchspotential
  3. 3. Cloud Servicemodelle: IaaS – PaaS – SaaS Infrastructure Platform Software as a Service as a Service as a Service> Virtuelle Server> Analog zu > Application Server in Virtualisierung der Cloud > Software Service in> Nur Betriebssystem, > Automatisches der Cloud Storage etc. Skalieren > EMail, CRM, Office> Erst nach Installation > Basis für Individual- Suites… von Applikationsinfra- Software struktur nutzbar Google AppEngine 11.07.2011 3 VMware CloudFoundry Cloud Computing - Technologie und Missbrauchspotential
  4. 4. Gemeinsame Eigenschaften► On-Demand > Nur nutzen (und zahlen), wenn man es gerade braucht► Überall nutzbar über das Netz► Schnelle Elastizität z. B. bei hoher Last > Mehr Ressourcen können schnell zur Verfügung gestellt werden► Self-Service > Selber buchen über eine Portal > Vollautomatisierte Prozesse > Keine Beauftragung des Betriebs oder Dienstleisters > Wesentlich weniger Aufwand und wesentlich schneller► Vision: IT wird wie Strom oder das Telefon > Steht immer und überall ausreichend zur Verfügung11.07.2011 4 Cloud Computing - Technologie und Missbrauchspotential
  5. 5. Cloud Liefermodelle► Private Cloud► Public Cloud► Hybrid Cloud► Community Cloud11.07.2011 5 Cloud Computing - Technologie und Missbrauchspotential
  6. 6. Cloud-Vorteile: Kostenmodell► Man bezahlt nur, was man nutzt (Pay-as-you-go) (Public Cloud)► Praktisch keine Investitionskosten► Last-Spitzen kostengünstig abdecken► Transparente Kosten► Bessere Ressourcen-Auslastung (Private Cloud)► Kosten können intern weiterberechnet werden► Logischer Schritt nach Virtualisierung11.07.2011 6 Cloud Computing - Technologie und Missbrauchspotential
  7. 7. Cloud-Aspekt: DatenschutzVerarbeitung personenbezogener Daten► Ort der Verarbeitung? > USA? China? > Europa! (amazon-Einstellung: Daten nur in Europa verarbeiten und speichern)► Rechts (un) sicherheit > Beschlagnahmeschutz / Insolvenzschutz► Verantwortliche Stelle > Auftragsdatenverarbeitung (§11 BDSG) – Cloud Dienstleistung als klassische ‚Datenverarbeitung im Auftrag?‘ – Überprüfung der technisch-organisatorischen Maßnahmen wird vorausgesetzt > Funktionsübertragung – Erfordert Zustimmung (z.B. in AGBs) oder ‚Erforderlichkeit‘► Ausweg bspw. die GDV-Initiative Trusted German Insurance Cloud11.07.2011 7 Cloud Computing - Technologie und Missbrauchspotential
  8. 8. Cloud als Angriffswerkzeug11.07.2011 8 Cloud Computing - Technologie und Missbrauchspotential
  9. 9. Cloud als AngriffswerkzeugDirekte Angriffe aus der Cloud► Alternative zu klassischen Botnets► Hosting von C&C Servern► Nutzbar z. B. für (D)DoS oder Brute ForceQuelle: http://www.tecchannel.de/sicherheit/news/2027448/sip_attacken_angriffe_kommen_aus_der_amazon_cloud/index.html?r=557603823902419&lid=7383911.07.2011 9 Cloud Computing - Technologie und Missbrauchspotential
  10. 10. Cloud als AngriffswerkzeugCloud als unterstützendes Werkzeug► Nutzung der Rechenleistung & Speicherkapazität► Kostengünstige Berechnungen > z. B. von Rainbowtables► Knacken von Passworten oder kryptographischen Schlüsseln > z. B. zum Brechen der iPhone-Verschlüsselung► Beschleunigung durch GPU-Computing in der Cloud > CUDA, OpenCL etc. erlauben deutlich höhere Durchsatzraten als Standard- Hardware > HPC in der Cloud11.07.2011 10 Cloud Computing - Technologie und Missbrauchspotential
  11. 11. Cloud als Angriffsziel11.07.2011 11 Cloud Computing - Technologie und Missbrauchspotential
  12. 12. Cloud als AngriffszielDifferenzierung nach Cloud-Liefermodell und ermittelten Risiken► Private Cloud > Analogien zu „klassischer“ Infrastrukur► Public Cloud > Eigene Maßnahmen i.W. auf organisatorischer Ebene möglich (Risikoanalyse) Availability > Cloud Provider muss Sicherheit bereitstellen > Vertrauen zum Provider?! Integrity Confidentiality11.07.2011 12 Cloud Computing - Technologie und Missbrauchspotential
  13. 13. Auswirkungen von AngriffenHohes Schadenpotential bei Angriffen gegen Cloud-Services► Große Breitenwirkung möglich durch gezielte Angriffe auf > Basisinfrastruktur (Netzwerk, Storage etc.) > Hypervisor► Schäden durch > Ausfallzeiten > Datendiebstahl > Datenverlust► Großes Schadenpotential durch starke Verdichtung von Services ggf. unterschiedlicher Kunden in einer CloudBeispiel (unabhängig von der Ursache):► Ausfall der Cloud-Services bei amazon ab 21.04.2011: > Ausfallzeiten von bis zu 3 Tagen > unwiederbringliche Datenverluste11.07.2011 13 Cloud Computing - Technologie und Missbrauchspotential
  14. 14. Cloud als AngriffszielGegenmaßnahmen in der Public Cloud► Cloud Provider muss Sicherheit bereitstellen► Perimeter Protection funktioniert nur eingeschränkt > Eindämmung von Angriffen aus der Cloud in die Cloud► Security Infrastruktur nur als Software-Lösung > Bspw. keine WAF-Appliance > Neue kryptographische Verfahren in Entwicklung► Monitoring, Intrusion Detection & Prevention > in klassischer DMZ schon aufwändig > Cloud bietet deutlich mehr Flexibilität► Ein Fazit: > Absicherung muss auf der Anwendungsebene erfolgen11.07.2011 14 Cloud Computing - Technologie und Missbrauchspotential
  15. 15. Forensik in der CloudUntersuchung von Angriffen in der Public Cloud► Isolierung der angegriffenen Komponenten ist schwierig► Zugriff auf Log-Daten erschwert insb. bei SaaS► Forensik-Werkzeuge müssen auf Cloud-Technologie angepasst werden > Ausnahme: VM Image sehr gut untersuchbar11.07.2011 15 Cloud Computing - Technologie und Missbrauchspotential
  16. 16. business.people.technology. adesso AG Stockholmer Allee 24 44269 Dortmund Phone: +49 231 930-9234 Fax: +49 231 930-9331 Jens Deponte Mobil: +49 178 280 8021 jens.deponte@adesso.de Principal Software Engineer www.adesso.de

×