Weitere ähnliche Inhalte
Mehr von Symposia 360° (13)
SecTXL '11 | Hamburg - Ulf Feger: "Der Weg zur Cloud Security - ein Transformationsprozess"
- 1. Der Weg zur Cloud Security - ein Transformationsprozess
Konzepte, Prozesse und Werkzeuge
Ulf Feger
Security Architect, CISSP
Competence Leader Tivoli - Data Center Automation, Cloud & Security
© 2011 IBM Corporation
- 2. Der Weg zur Cloud Security - ein Transformationsprozess
Konzepte, Prozesse und Werkzeuge
Teil I – Transformation wozu und wovon ?
Teil II – Workshop
- Vorstellung und Diskussion der vielseitigen technischen Sicherheitsschichten und
(notwendigen) Prozessabbildungen
- Sichtweisen auf die Anforderungen gestellt durch das BSI-Eckpunktepapier und deren
mögliche Umsetzungen
© 2011 IBM Corporation
- 3. Cloud & Security
Die private Cloud - Ausgangssituation
“Cloud”
Test/Dev Training Applikationen ... 3 Standardisierung
Standardisierung / Service Katalog / Image Katalog
Ressourcenplanung
Request Freigabe Workflow
(Beschaffung)
Bereitstellung/Nutzung
4 Automatisierung
Abbau
(Abrechnung/Kostenverteilung)
Process Automation Engine
Monitoring High Availability
Dynamische Sichere und
Provisionierung Security 5 hochverfügbare
Repository Secure virt. env. private Cloud
Identity & Access Mgmt.
Virtualisierung Power VM, VMware, KVM… 2 Virtualisierung
Ressourcen
1 Konsolidierung
© 2011 IBM Corporation
3
- 4. Cloud & Security
Standardisierung / Service Katalog / Image Katalog
Ressourcenplanung
Request Freigabe Workflow
Die private Cloud - Ausgangssituation (Beschaffung)
Bereitstellung/Nutzung Abbau
(Abrechnung/Kostenverteilung)
Process Automation Engine
Virtualisierung Power VM, VMware, KVM…
Ressourcen
Virtualisierung Power VM, VMware, KVM…
Ressourcen
Virtualisierung Power VM, VMware, KVM…
Virtualisierung Power VM, VMware, KVM…
Ressourcen
Ressourcen
Virtualisierung Power VM, VMware, KVM…
Virtualisierung Power VM, VMware, KVM…
Ressourcen
Ressourcen
Virtualisierung Power VM, VMware, KVM…
Ressourcen
© 2011 IBM Corporation
4
- 5. Cloud & Security
Cloud – Workload – Daten und Prozesse
Enterprise Provider
Department A Department B Customer A Customer B
Private Cloud Services Hosted Cloud Services
Use Case 1 Use Case 2
Case specific challenges & pains Case specific challenges & pains
+ challenges faced by internal providers
Workload Workload Workload Workload Workload Workload
Type 1 Type 2 Type 2 Type 1 Type 2 Type 3
Test & Production Test & Production
VDI VDI
Development Workloads Development Workloads
Not all potential Cloud adopters are IT Service Providers Workload Type 4
facing Service Provider challenges, however the individual
Workload Types are still relevant in these instances – e.g.
Test & Dev Hosted SaaS
© 2011 IBM Corporation
5
- 6. Cloud & Security
Cloud Transformationsphasen zur eigenen Cloud
Wo bleibt da die Security ?
1 2 3 4 5
IT IT IT IT IT
Prozesse Prozesse Prozesse Prozesse Prozesse
GS
Transition Cloud Prz
4
Transition GS
Automatisierung Prz
3 GS
Transition Standardisierung Prz
2
GS
Virtualisierung Prz
1
GS
Konsolidierung Prz
Eliminierung
Bsp: Baseline VSP Richtlinien Approval GRC Ziele
Security SIEM Workflows Reporting
Approval
© 2011 IBM Corporation
6
- 7. Der Weg zur Cloud Security - ein Transformationsprozess
Konzepte, Prozesse und Werkzeuge
Teil II – Workshop
- Vorstellung und Diskussion der vielseitigen technischen Sicherheitsschichten und
(notwendigen) Prozessabbildungen
- Sichtweisen auf die Anforderungen gestellt durch das BSI-Eckpunktepapier und deren
mögliche Umsetzungen
© 2011 IBM Corporation
- 8. Cloud & Security
Private Cloud Konstrukte - mehr Möglichkeiten als man denkt
© 2011 IBM Corporation
8
- 9. Cloud & Security
Private Cloud Firmen-RZ Struktur
Cloud RZ Struktur Cloud RZ Struktur – lokal, verteilt
✪
Deutschland, 1 BL
Cloud
Deutschland, x BL
E T&A P
Dienste + Infrastruktur
Cloud
Dienste + Infrastruktur EU weit
Admin
Cloud RZ Struktur – lokal verteilt Cloud RZ Struktur – beliebig, verteilt
weltweit
Cloud
Cloud
Dienste + Infrastruktur
Dienste + Infrastruktur
Deutschland, 1 BL
© 2011 IBM Corporation
9
- 10. Cloud & Security
Anforderungen – Cloud Computing & Sicherheit
Sicherheitsanforderungen bezüglich
Datenschutz und Datensicherheit
Cloud Services
Zugriffs- und Identitätsmanagment
Applikations- und Dienstebereitstellung inkl. “Entsorgung”
Applikations- und Systemtests inkl. Daten Cloud Computing
Model
Service Level Agreement – SLA Management
Schwachstellen Management und Beseitigung
Dienstverfügbarkeit inkl. (überregionalem) Lastausgleich
Auditierbarkeit & Governance (GRC – Governance, Risk & Compliance)
Grenzüberschreitende Gesetzeseinhaltung, z.B. personenbezogener Informationen
Grenzüberschreitende Eigentumsrechte & Exportbegrenzungen
Buchungs- und Rechungsgrundlagen und deren Informationsbasis
Exit-Management
© 2011 IBM Corporation
10
- 11. Cloud & Security
IBM Cloud Lösungskomponenten – mehr als nur Virtualisierung
10. Manage 9. Visualize and
supported Service align the Service
Level with business
Agreements (SLAs) 8. Collect,
objectives and
analyze,
service levels
Report and bill
based on Service
usage and costs
Common Cloud
Management Platform
1. Anforderung/ 3. Provision Service Cloud Services 7. Real-time
Katalog management and
consolidation of
events associated
BSS with Business Service
4. Integrate with OSS 6. Monitor the
2. Integrate with
Storage area Service to
service desk
network (SAN) and detect bottlenecks
and IT asset
network pools and and potential
management
security mngment problems; generate
processes
alerts
5. Discover the
Service; track
configuration and
changes to the
Service = Software, Platform, Infrastructure (i.e. Composite Service
Application, Physical / Virtual OS, Middleware, Network, Storage
Not in all cases will all steps exist in a client engagement
© 2011 IBM Corporation
11
- 12. Cloud & Security
ng
Unterstützende Sicherheits ”landschaft”
ru
ie
is
Admin User
am
User Self-
Admin.
service Identity
Synchronisation
Reporting
Workflow & Lifecycle
Identity HR
yn
Entitlement Policy
Store System
Auditor
Provisioning Engine
Management Domain
D
Reconciliation
Provisioning
SSO WS Fed Web
Policy Policy SSO Policy
Mgmt Mgmt Conf. Mgmt
Admin(s)
Policy
Enforce
Web
Web Authentication and
App
Web Single Signon
Web Authentication and
Portal
Portal
Web Single Signon
HTTP Server
Authorization
HTTP Server
Authorization
Web
Consumer
App
Enterprise Single Signon
User Authentication
Web
Internet App
Other Employee/
FedSSO Apps Staff
A&A FedSSO
A&A
WS ESB
Business
Gateway (SOA) Windows
Windows
Windows
Apps
Policy Apps
Identity Apps
Enforce Mapping Enterprise
Dir
Collect
Collect
Collect
Collect
Collect
Collect
Collect
Collect
Collect
Log
Log
Log
Log
Log
Log
Log
Log
Log
Audit Log Consolidation
Audit Policy Compliance Reporting
© 2011 IBM Corporation
12 Auditor Auditor
- 13. Cloud & Security
Unterstützende Sicherheits ”landschaft”
Desktop/Client Security Policy
Connection Repository
HTTP (incl. SOAP/
HTTP) Connection Identity Repository
Admin User
Web Services (Person & Account)
Connection User Self-
Admin.
service Identity
Synchronisation
Reporting
Tivoli Identity Manager (TIM) Workflow & Lifecycle
Tivoli Access Manager for e-business (TAMeb) Common Cloud Entitlement Policy Identity HR
Store System
Tivoli Federated Identity Manager (TFIM) Auditor
Management Platform
Provisioning Engine
Management Domain
Tivoli Security Policy Manager (TSPM)
Reconciliation
Provisioning
Tivoli Access Manager for Enterprise Single Signon (TAM E-SSO) SSO WS Fed Web
Policy Policy SSO Policy
Tivoli Compliance Insight Manager (TCIM) Mgmt Mgmt Conf. Mgmt
Admin(s)
Policy
Enforce
Cloud Services
Web
Web Authentication and
App
Web Single Signon
Web Authentication and
Portal
Portal
Web Single Signon
HTTP Server
Authorization
HTTP Server
Authorization
Web
Consumer
App
Enterprise Single Signon
User Authentication
Web
Internet App
Other Employee/
FedSSO
A&A FedSSO BSS Apps Staff
A&A
WS ESB
Business
Gateway (SOA) Windows
Windows
Windows
Apps
Policy Apps
Identity Apps
Enforce Mapping Enterprise
Dir
Collect
Collect
Collect
Collect
Collect
Collect
Collect
Collect
Collect
Log
Log
Log
Log
Log
Log
Log
Log
Log
Audit Policy
OSS
Audit Log Consolidation
Compliance Reporting
© 2011 IBM Corporation
13 Auditor Auditor
- 14. Cloud & Security
Unterstützende Sicherheits ”landschaft”
Desktop/Client Security Policy
Connection Repository
HTTP (incl. SOAP/
HTTP) Connection Identity Repository
Admin User
Web Services (Person & Account)
Connection User Self-
Admin.
service Identity
Synchronisation
Reporting
Tivoli Identity Manager (TIM) Workflow & Lifecycle
Tivoli Access Manager for e-business (TAMeb) Entitlement Policy Identity HR
Store System
Tivoli Federated Identity Manager (TFIM) Auditor
Provisioning Engine
Management Domain
Tivoli Security Policy Manager (TSPM)
Reconciliation
Provisioning
Tivoli Access Manager for Enterprise Single Signon (TAM E-SSO) SSO WS Fed Web
Policy Policy SSO Policy
Tivoli Compliance Insight Manager (TCIM) Mgmt Mgmt Conf. Mgmt
Admin(s)
Policy
Enforce
Web
Web Authentication and
App Common Cloud
Web Single Signon
Web Authentication and
Management Platform
Portal
Portal
Web Single Signon
HTTP Server
Authorization
HTTP Server
Authorization
Web
Consumer
App
Enterprise Single Signon
Cloud Services
User Authentication
Web
Internet App
Other Employee/
BSS
FedSSO Apps Staff
A&A FedSSO
A&A
WS ESB
Business
Gateway (SOA) Windows
Windows
OSS Windows
Apps
Policy Apps
Identity Apps
Enforce Mapping Enterprise
Dir
Collect
Collect
Collect
Collect
Collect
Collect
Collect
Collect
Collect
Log
Log
Log
Log
Log
Log
Log
Log
Log
Audit Log Consolidation
Audit Policy Compliance Reporting
© 2011 IBM Corporation
14 Auditor Auditor
- 15. Cloud & Security
Unterstützende Sicherheits ”landschaft”
Admin User
User Self-
Admin.
service Identity
Synchronisation
Common Cloud
Reporting
Workflow & Lifecycle
Identity HR
Entitlement Policy
Auditor Management Platform
Provisioning Engine
Store System
Management Domain
Reconciliation
Provisioning
SSO WS Fed Web
Policy Policy SSO Policy
Mgmt Mgmt Conf. Mgmt
Policy
Cloud Services Admin(s)
Enforce
Web
Web Authentication and
App
Web Single Signon
Web Authentication and
Portal
Portal
Web Single Signon
HTTP Server
Authorization
HTTP Server
Authorization
Web
Consumer
App
Enterprise Single Signon
User Authentication
Web
Internet App
FedSSO
FedSSO
BSS Other
Apps
Employee/
Staff
A&A
A&A
WS ESB
Business
Gateway (SOA) Windows
Windows
Windows
Apps
Policy Apps
Identity Apps
Enforce Mapping Enterprise
Dir
Collect
Collect
Collect
Collect
Collect
Collect
Collect
Collect
Collect
Log
Log
Log
Log
Log
Log
Log
Log
Log
OSS
Audit Log Consolidation
Audit Policy Compliance Reporting
© 2011 IBM Corporation
15 Auditor Auditor
- 16. Welche Herausforderungen sind zu lösen - eine lange Liste, eine neue Liste ?
Cloud & Security
ng
Cloud - Nutzer IT - “klassisch” Cloud – (Dienst-)Anbieter
ru
• Zugriffskontrolle, inkl. Regelwerk und • Zugriffskontrolle, inkl. Regelwerk und
Nutzen:
• Diensteangebotie Richtlinienverwaltung Richtlinienverwaltung
is
• Benutzer- und Berechtigungsmgmnt inkl. • Benutzer- und Berechtigungsmgmnt inkl.
am
Prozessverwaltung und –automation Prozessverwaltung und –automation
Pflichten:
yn
• Rollenbasierte Funktionstrennung • Rollenbasierte Funktionstrennung
- Authentifizierung
D
- Autorisierung • Security Policy Management • Security Policy Management
- del. Administration
• Security Monitoring, Auditing, Compliance • Security Monitoring, Auditing,
- Rechung begleichen
Reporting Compliance Reporting
Erwartungen: • Funktionstrennung, Mandantenfähigkeit • Funktionstrennung, Mandantenfähigkeit
-SLA Erfüllung • Berichtswesen – Security Information • Berichtswesen – Security Information
-Richlinienkonformität und Event Management und Event Management
-detailiertes Berichts- • Compliance Audit & Reporting über die IT • Compliance Audit & Reporting über die IT
wesen
• Absicherung von virtuellen Maschinen • Absicherung von virtuellen Maschinen
und der Hosts und der Hosts
• Sicherheits- und Compliance Werkzeug • Sicherheits- und Compliance Werkzeug
zur Verifikation der Server zur Verifikation der Server
• Configuration and Change Management • Configuration and Change Management
• Mandantenfähigkeit • Mandantenfähigkeit
• Verknüpfung mit dem Rechnungswesen • Verknüpfung mit dem Rechnungswesen
© 2011 IBM Corporation
16 / Accounting / Accounting
- 17. Cloud & Security Daten und Prozesse, Prozess-Zertifizierung
Cloud - Kommunikation
Szenarien DN DA
Cloud-Dienste &
DN DA DN - Dienstnutzer
= IP
S
F
W
F
W
IP
S Infrastruktur
1 DA - Dienstanbieter
DN DA1 DA2 * * * * * * * *
2
1 .. n, n>>1
DAM Geschäftapplikationen
Infrastrukturapplikationen
Verzeichnisdienste
DN DA1 DAN
3
DAM+1 Container: WS, AS, ..
hoch dynamisch
Last reaktiv
DAM+P Service managed
autom. Provisioniert
Security managed
© 2011 IBM Corporation
17
- 19. Cloud & Security
Eckpunktepapier
Sicherheitsempfehlungen für Cloud Computing Anbieter
Sicherheitsmanagement beim Anbieter
Rechenzentrumssicherheit • BSI-Standard 100-2
Server-Sicherheit • IT-Grundschutz
Netzsicherheit • ISO 27001 u.27002
Sicherheitszone für das Management der Cloud • Cloud Security Alliance – German Chapter
Sicherheitszone für die Live Migration, falls Servervirtualisierung • ISF – Information Security Forum
eingesetzt wird • TMForum – Tele Management Forum
Sicherheitszone für das Storage-Netz
Eigene Sicherheitszonen für die virtuellen Maschinen eines
Kunden bei IaaS
Anwendungs- und Plattformsicherheit
Datensicherheit
Verschlüsselung und Schlüsselmanagement
Interaktives Erarbeiten
ID- und Rechtemanagement
Authentisierung
weiterer Themen
Autorisierung
Kontrollmöglichkeiten für Nutzer
Monitoring und Security Incident Management +
Notfallmanagement
Portabilität und Interoperabilität
Sicherheitsprüfung und -nachweis Diskussion
Anforderungen an das Personal
Vertragsgestaltung
Service Level Agreement (SLA)
Datenschutz und Compliance
© 2011 IBM Corporation
19
- 20. Cloud & Security
20 https://www.pcisecuritystandards.org/documents/Rth87Wp/Virtualization_InfoSupp_v2.pdf © 2011 IBM Corporation
- 21. Cloud & Security
Ausschnitt
Virtualization Overview
– Virtualization Concepts and Classes
– Virtual System Components and Scoping Guidance
Risks for Virtualized Environments
– Vulnerabilities in the Physical Environment Apply in a Virtual Environment
– Hypervisor Creates New Attack Surface
– Increased Complexity of Virtualized Systems and Networks
– More Than One Function per Physical System
– Mixing VMs of Different Trust Levels
– Lack of Separation of Duties
– Dormant Virtual Machines
– VM Images and Snapshots
– Immaturity of Monitoring Solutions
– Information Leakage between Virtual Network Segments
– Information Leakage between Virtual Components
Recommendations 15
– Recommendations for Mixed-Mode Environments
– Recommendations for Cloud Computing Environments
– Guidance for Assessing Risks in Virtual Environments
Virtualization Considerations for PCI DSS
© 2011 IBM Corporation
21
- 22. Cloud & Security
Risk Management and Security
Themenübersicht
• Gesetzliche Grundlagen für das Betreiben von Cloud Computing (National,
International )
• Risiko Planung
• Risiko Management in Public Cloud Umgebungen
• Risiko Management in Privat Cloud Umgebungen
• Sicherheits Planung
• Security Management in Public Cloud Umgebungen
• Security Management in Privat Cloud Umgebungen
• Verfügbarkeits Aspekte in Cloud Umgebungen (Hardware Verfügbarkeit - Server,
Netzwerk, Storage, Services etc.)
• Überprüfung von Security Policys und deren Qualität
• Datensicherung und Backup Infrastrukturen in der Cloud
• Desaster Recovery Lösungen
• Einhaltung von Standards
• ITIL in Cloud Umgebungen
• Service to Service
• Authentifizierungsmethoden in Cloud Umgebungen
• Datenschutzbeauftragter und Cloud Computing
© 2011 IBM Corporation
22
- 23. Cloud & Security
Ulf Feger
Security Architect, CISSP
IBM Software Group
Q&A Gustav-Heinemann Ufer 120
50968 Cologne, Germany
Mobile.: +49-171-22 619 22
E-Mail: ulf.feger@de.ibm.com
http://www.ibm.com/security/cloud-security.html
IBM Cloud Computing: ibm.com/cloudcomputing
ibm.com/de/cloud/
Trustworthy Cloud tclouds-project.eu/
IBM Enterprise Security: ibm.com/security
IBM Internet Security Systems: ibm.com/services/security
IBM X-Force® Security Alerts and Advisories: xforce.iss.net
Cloud Standards Customer Council cloud-council.org/
© 2011 IBM Corporation
23
- 24. Cloud & Security
Sicherheit ist eines der wichtigsten Anliegen beim Cloud-Computing
Das IBM Security Framework bietet hierfür eine speziell konzipierte Struktur
Benutzer und Identitäten
Reduzierung der Risiken bei Benutzerzugriffen auf
Unternehmensressourcen
i Daten und Informationen
Ermittlung, Implementierung und Auditierung der
Kontrollen für den Zugriff auf (sensible) Daten und deren
Verwendung
Anwendungen und Prozesse
Schutz der Anwendungen vor einer Nutzung in
bösartiger oder betrügerischer Absicht sowie vor
Ausfällen
Netzwerk, Server und Endpunkte
Optimierung der Serviceverfügbarkeit durch Senkung
des Risikos für Netzwerkkomponenten
Physische Infrastruktur
Bereitstellung sinnvoller Informationen zum aktuellen
Sicherheitsstatus der physischen Infrastruktur und den
entsprechenden Empfehlungen
© 2011 IBM Corporation
24
- 25. IBM Security Framework
Cloud & Security
IBM Security Framework - IBM Security Lösungen
© 2011 IBM Corporation
25
- 26. Cloud & Security
Compliance Anforderungen verstehen – Data Privacy – Data Security
Erwartung
1 Verbesserung der Sicherheit
2 Innere Sicherheit
4
Wie weise ich
Kostenreduktion Äußere Sicherheit nach?
Auslastoptimierung Operationale Sicherheit
3 5
Fokussierung auf
Nachweisbarkeit
„Was brauche ich“
Ziel
Unternehmensrisiken Sicherheitsrichtlinien
verstehen & -programme
Sicherheitsrichtlinien
Management
Überwachung & Durchsetzung &
Prüfung Automatisierung
© 2011 IBM Corporation
26