SecDevOps
in der Cloud
Anforderungen im Bankenumfeld &
SecDevOps Demo
17.06.2020 | stackconf 2020
Braintower ist ein IT Dienstleister mit 30 Mitarbeitern. Sitz des Unternehmens ist das
Saarland. Fokus des Geschäfts liegt auf Design, Aufbau und Betrieb von Netzwerk-,
Security-, Cloud- und DevOps- sowie Monitoring-Lösungen bei Enterprise Kunden.
MAKE IT BETTER
Macht Innovationen verlässlich
Florian Wiethoff
Cloud Architect
CEO
SecDevOps
in der Cloud
Anforderungen im Bankenumfeld &
SecDevOps Demo
SHARED
RESPONSIBILITY
SHARED RESPONSIBILITY
Kunde
Security “in” the cloud
- Kundendaten
- Identity & Access Management
- Applikationen
- Betriebssysteme
- Netzwerk & Firewall Konfiguration
- Verschlüsselung (Transport, Storage)
Cloud Anbieter
Security “of” the cloud
- Rechenzentren (Zutritt, Strom, Klima)
- Netzwerk
- Storage
- Virtualisierungsplattform
- Cloud Services (IaaS, PaaS, SaaS)
- API
SPEZIALFALL BANKEN?
SPEZIALFALL BANKEN?
• besondere Vorgaben (Bafin)
• Sicherheit, Verfügbarkeit, Georedundanz, etc.
• Datenschutz
• Sicherstellung von Kernprozessen
• Compliance (MaRisk, §25a KWG, …)
• interne Vorgaben
Kein Cloud Provider liefert fertige
Lösungen für alle diese Anforderungen
ANFORDERUNGEN
ANFORDERUNGEN
• Firewalls
• Azure: Network Security Groups
• AWS: Security Groups
• Google: Google Compute Firewall
• Stateful Packet Inspection
ANFORDERUNGEN
• Firewalls
• Stateful Packet Inspection
• zweistufiges Firewall Konzept
Hersteller BHersteller A
ANFORDERUNGEN
• Firewalls
• Stateful Packet Inspection
• zweistufiges Firewall Konzept
ANFORDERUNGEN
• Firewalls
• Stateful Packet Inspection
• zweistufiges Firewall Konzept
• weitere Features:
• VPN
• dynamisches Routing
• Webfilter
• Anti Virus
• Anti Spam
• Intrusion Detection
• usw.
ANFORDERUNGEN
• Firewalls
• Stateful Packet Inspection
• zweistufiges Firewall Konzept
• weitere Features
• Hub & Spoke Architektur
Hub virtual network
Gateway subnet
VPN
Gateway
vnet peering
NSG
Web
Frontend subnet
Spoke 1 virtual network
Spoke 2 virtual network
vnet peering
Firewall subnet
Firewall
NSG
NSG
App
Backend subnet
NSG
Web
Frontend subnet
NSG
App
Backend subnet
Hub virtual network
Gateway subnet
VPN
Gateway
VPN
vnet peering
On-premises network
NSG
Web
Frontend subnet
Spoke 1 virtual network
Spoke 2 virtual network
vnet peering
Firewall subnet
Firewall
NSG
NSG
App
Backend subnet
NSG
Web
Frontend subnet
NSG
App
Backend subnet
VPN
Gateway
ANFORDERUNGEN
• Firewalls
• Stateful Packet Inspection
• zweistufiges Firewall Konzept
• weitere Features
• Hub & Spoke Architektur
ANFORDERUNGEN
• Hochverfügbarkeit
• Firewalls
• Stateful Packet Inspection
• zweistufiges Firewall Konzept
• weitere Features
• Hub & Spoke Architektur
ANFORDERUNGEN
• Hochverfügbarkeit
• Firewalls
• Stateful Packet Inspection
• zweistufiges Firewall Konzept
• weitere Features
• Hub & Spoke Architektur
• Vernetzung der Clouds mit VPNs und BGP
Azure 10.100.0.0/16
BGP ASN 65900
GCP 10.102.0.0/16
BGP ASN 65902
AWS 10.101.0.0/16
BGP ASN 65901
On-Premise
10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16
BGP ASN 65000
Public
Internet
Public
Internet
• Hunderte Ressourcen mit dutzenden
Einstellungen
• schlecht reproduzierbar und fehleranfällig
• schwere Auditierbarkeit
• unautorisierte Änderungen
Hohe Komplexität
Automatisierung
als Lösung
MULTICLOUD
(Sec)DevOps
MULTICLOUD (Sec)DevOps
• Terraform
• mehr als 150 Adapter
• Modularisierbarkeit
• Einheitlichkeit
• automatisierte Konfiguration
• reproduzierbar, skalierbar und inkrementell
• Versionskontrolle, IDEs
• Agilität
• Auditierbarkeit
• Ansible, Chef, Puppet, Powershell DC
für OS und Apps
• CI/CD Pipelines
• enorme Geschwindigkeit
• hohe Qualität
• Testumgebung = einfaches Troubleshooting
SecDevOps Demo
SecDevOps Demo
• Verwendete Technologien
• Microsoft Azure
• GitLab Enterprise Server mit Kubernetes Runner
• Terraform 0.12
• Fortinet VM Firewalls
• Fortinet Terraform Provider
• Ansible
SecDevOps Demo
• Schritt 1
• Erläuterung des IaC Codes
• Deployment Demo Hub in Azure
• Erläuterung der Cloud Ressourcen
• Zugriff auf die serielle Console der Firewalls
• Zugriff auf das Webinterface der Firewalls per VPN
SecDevOps Demo
VIDEO
SecDevOps Demo
• Schritt 2
• Deployment Demo Spoke 1 in Azure
• Erläuterung des IaC Codes
• Erläuterung der Cloud Ressourcen
• Erläuterung der Firewall Konfiguration
SecDevOps Demo
VIDEO
SecDevOps Demo
• Schritt 3
• Deployment Demo Spoke 2 in Azure
• Erläuterung der Cloud Ressourcen
• Erläuterung der Firewall Konfiguration
SecDevOps Demo
VIDEO
SecDevOps Demo
• Schritt 4
• Deployment Demo VM 1 in Azure
• Erläuterung des IaC und CaC Codes
• Erläuterung der Cloud Ressourcen
SecDevOps Demo
VIDEO
SecDevOps Demo
• Schritt 5
• Deployment Demo VM 2 in Azure
• Erläuterung der Cloud Ressourcen
SecDevOps Demo
VIDEO
SecDevOps Demo
• Tests
• Zugriff auf die VMs
• Erläuterung der Demo Applikation
• Zugriffe von VM 1 zu VM 2
• Troubleshooting
• Firewall-Freischaltungen mit IaC
SecDevOps Demo
VIDEO
SecDevOps Demo
• Was man noch machen könnte…
• Zugriffe zwischen Subnetzen per NSG testen und freischalten
• Dynamisches Routing konfigurieren
• Azure Application Gateway als Reverse Proxy und WAF konfigurieren
• Web Filter konfigurieren
• Intrusion Detection & Prevention konfigurieren
• FortiAnalyzer anbinden
• Vergleichbare Module für AWS, Google Cloud Platform, VMware und viele
andere Cloud- und On-Premise-Resourcen schreiben
SecDevOps Demo
• Was man noch machen könnte…
• Icinga 2 automatisch konfigurieren
• CMDBs automatisch befüllen
• Server vollautomatisch konfigurieren und patchen
• Backups automatisch erstellen
• Daten in die Peer-Region replizieren
• CI/CD-Pipelines für eine Disaster Recovery in der Peer-Region konfigurieren
• GitLab Geo
Vielen Dank für Eure
Aufmerksamkeit.
Noch Fragen?

stackconf 2020 | SecDevOps in der Cloud by Florian Wiethoff

  • 1.
    SecDevOps in der Cloud Anforderungenim Bankenumfeld & SecDevOps Demo 17.06.2020 | stackconf 2020
  • 2.
    Braintower ist einIT Dienstleister mit 30 Mitarbeitern. Sitz des Unternehmens ist das Saarland. Fokus des Geschäfts liegt auf Design, Aufbau und Betrieb von Netzwerk-, Security-, Cloud- und DevOps- sowie Monitoring-Lösungen bei Enterprise Kunden. MAKE IT BETTER Macht Innovationen verlässlich Florian Wiethoff Cloud Architect CEO
  • 3.
    SecDevOps in der Cloud Anforderungenim Bankenumfeld & SecDevOps Demo
  • 4.
  • 5.
    SHARED RESPONSIBILITY Kunde Security “in”the cloud - Kundendaten - Identity & Access Management - Applikationen - Betriebssysteme - Netzwerk & Firewall Konfiguration - Verschlüsselung (Transport, Storage) Cloud Anbieter Security “of” the cloud - Rechenzentren (Zutritt, Strom, Klima) - Netzwerk - Storage - Virtualisierungsplattform - Cloud Services (IaaS, PaaS, SaaS) - API
  • 6.
  • 7.
    SPEZIALFALL BANKEN? • besondereVorgaben (Bafin) • Sicherheit, Verfügbarkeit, Georedundanz, etc. • Datenschutz • Sicherstellung von Kernprozessen • Compliance (MaRisk, §25a KWG, …) • interne Vorgaben Kein Cloud Provider liefert fertige Lösungen für alle diese Anforderungen
  • 8.
  • 9.
    ANFORDERUNGEN • Firewalls • Azure:Network Security Groups • AWS: Security Groups • Google: Google Compute Firewall • Stateful Packet Inspection
  • 10.
    ANFORDERUNGEN • Firewalls • StatefulPacket Inspection • zweistufiges Firewall Konzept Hersteller BHersteller A
  • 11.
    ANFORDERUNGEN • Firewalls • StatefulPacket Inspection • zweistufiges Firewall Konzept
  • 12.
    ANFORDERUNGEN • Firewalls • StatefulPacket Inspection • zweistufiges Firewall Konzept • weitere Features: • VPN • dynamisches Routing • Webfilter • Anti Virus • Anti Spam • Intrusion Detection • usw.
  • 13.
    ANFORDERUNGEN • Firewalls • StatefulPacket Inspection • zweistufiges Firewall Konzept • weitere Features • Hub & Spoke Architektur Hub virtual network Gateway subnet VPN Gateway vnet peering NSG Web Frontend subnet Spoke 1 virtual network Spoke 2 virtual network vnet peering Firewall subnet Firewall NSG NSG App Backend subnet NSG Web Frontend subnet NSG App Backend subnet
  • 14.
    Hub virtual network Gatewaysubnet VPN Gateway VPN vnet peering On-premises network NSG Web Frontend subnet Spoke 1 virtual network Spoke 2 virtual network vnet peering Firewall subnet Firewall NSG NSG App Backend subnet NSG Web Frontend subnet NSG App Backend subnet VPN Gateway ANFORDERUNGEN • Firewalls • Stateful Packet Inspection • zweistufiges Firewall Konzept • weitere Features • Hub & Spoke Architektur
  • 15.
    ANFORDERUNGEN • Hochverfügbarkeit • Firewalls •Stateful Packet Inspection • zweistufiges Firewall Konzept • weitere Features • Hub & Spoke Architektur
  • 16.
    ANFORDERUNGEN • Hochverfügbarkeit • Firewalls •Stateful Packet Inspection • zweistufiges Firewall Konzept • weitere Features • Hub & Spoke Architektur • Vernetzung der Clouds mit VPNs und BGP Azure 10.100.0.0/16 BGP ASN 65900 GCP 10.102.0.0/16 BGP ASN 65902 AWS 10.101.0.0/16 BGP ASN 65901 On-Premise 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 BGP ASN 65000 Public Internet Public Internet
  • 17.
    • Hunderte Ressourcenmit dutzenden Einstellungen • schlecht reproduzierbar und fehleranfällig • schwere Auditierbarkeit • unautorisierte Änderungen Hohe Komplexität Automatisierung als Lösung
  • 18.
  • 19.
    MULTICLOUD (Sec)DevOps • Terraform •mehr als 150 Adapter • Modularisierbarkeit • Einheitlichkeit • automatisierte Konfiguration • reproduzierbar, skalierbar und inkrementell • Versionskontrolle, IDEs • Agilität • Auditierbarkeit • Ansible, Chef, Puppet, Powershell DC für OS und Apps • CI/CD Pipelines • enorme Geschwindigkeit • hohe Qualität • Testumgebung = einfaches Troubleshooting
  • 20.
  • 21.
    SecDevOps Demo • VerwendeteTechnologien • Microsoft Azure • GitLab Enterprise Server mit Kubernetes Runner • Terraform 0.12 • Fortinet VM Firewalls • Fortinet Terraform Provider • Ansible
  • 22.
    SecDevOps Demo • Schritt1 • Erläuterung des IaC Codes • Deployment Demo Hub in Azure • Erläuterung der Cloud Ressourcen • Zugriff auf die serielle Console der Firewalls • Zugriff auf das Webinterface der Firewalls per VPN
  • 23.
  • 24.
    SecDevOps Demo • Schritt2 • Deployment Demo Spoke 1 in Azure • Erläuterung des IaC Codes • Erläuterung der Cloud Ressourcen • Erläuterung der Firewall Konfiguration
  • 25.
  • 26.
    SecDevOps Demo • Schritt3 • Deployment Demo Spoke 2 in Azure • Erläuterung der Cloud Ressourcen • Erläuterung der Firewall Konfiguration
  • 27.
  • 28.
    SecDevOps Demo • Schritt4 • Deployment Demo VM 1 in Azure • Erläuterung des IaC und CaC Codes • Erläuterung der Cloud Ressourcen
  • 29.
  • 30.
    SecDevOps Demo • Schritt5 • Deployment Demo VM 2 in Azure • Erläuterung der Cloud Ressourcen
  • 31.
  • 32.
    SecDevOps Demo • Tests •Zugriff auf die VMs • Erläuterung der Demo Applikation • Zugriffe von VM 1 zu VM 2 • Troubleshooting • Firewall-Freischaltungen mit IaC
  • 33.
  • 34.
    SecDevOps Demo • Wasman noch machen könnte… • Zugriffe zwischen Subnetzen per NSG testen und freischalten • Dynamisches Routing konfigurieren • Azure Application Gateway als Reverse Proxy und WAF konfigurieren • Web Filter konfigurieren • Intrusion Detection & Prevention konfigurieren • FortiAnalyzer anbinden • Vergleichbare Module für AWS, Google Cloud Platform, VMware und viele andere Cloud- und On-Premise-Resourcen schreiben
  • 35.
    SecDevOps Demo • Wasman noch machen könnte… • Icinga 2 automatisch konfigurieren • CMDBs automatisch befüllen • Server vollautomatisch konfigurieren und patchen • Backups automatisch erstellen • Daten in die Peer-Region replizieren • CI/CD-Pipelines für eine Disaster Recovery in der Peer-Region konfigurieren • GitLab Geo
  • 36.
    Vielen Dank fürEure Aufmerksamkeit. Noch Fragen?