SlideShare ist ein Scribd-Unternehmen logo

stackconf 2020 | SecDevOps in der Cloud by Florian Wiethoff

NETWAYS
NETWAYS

Public Clouds werden mittlerweile von fast allen Unternehmen genutzt. Viele Verantwortliche vergessen dabei jedoch, dass die Sicherheit ihrer Cloud-Umgebungen zu großen Teilen ihre Aufgabe ist – Stichwort Shared Responsibility. Die Security Features, die von den Cloud Anbietern zur Verfügung gestellt werden – Firewalls, Reverse Proxys, Web Application Firewalls – sind zudem nicht auf dem Niveau, das man von ausgereifen On-Premises Lösungen kennt. Dieser Talk soll Erfahrungen aus Cloud-Projekten im Bankenumfeld weitergeben. Ich werde die wichtigsten Anforderungen und Best Practices vorstellen.

Software
1 von 36
Downloaden Sie, um offline zu lesen
SecDevOps in der Cloud Anforderungen im Bankenumfeld & SecDevOps Demo 17.06.2020 | stackconf 2020
Braintower ist ein IT Dienstleister mit 30 Mitarbeitern. Sitz des Unternehmens ist das Saarland. Fokus des Geschäfts liegt auf Design, Aufbau und Betrieb von Netzwerk-, Security-, Cloud- und DevOps- sowie Monitoring-Lösungen bei Enterprise Kunden. MAKE IT BETTER Macht Innovationen verlässlich Florian Wiethoff Cloud Architect CEO
SecDevOps in der Cloud Anforderungen im Bankenumfeld & SecDevOps Demo
SHARED RESPONSIBILITY
SHARED RESPONSIBILITY Kunde Security “in” the cloud - Kundendaten - Identity & Access Management - Applikationen - Betriebssysteme - Netzwerk & Firewall Konfiguration - Verschlüsselung (Transport, Storage) Cloud Anbieter Security “of” the cloud - Rechenzentren (Zutritt, Strom, Klima) - Netzwerk - Storage - Virtualisierungsplattform - Cloud Services (IaaS, PaaS, SaaS) - API
SPEZIALFALL BANKEN?
SPEZIALFALL BANKEN? • besondere Vorgaben (Bafin) • Sicherheit, Verfügbarkeit, Georedundanz, etc. • Datenschutz • Sicherstellung von Kernprozessen • Compliance (MaRisk, §25a KWG, …) • interne Vorgaben Kein Cloud Provider liefert fertige Lösungen für alle diese Anforderungen
ANFORDERUNGEN
ANFORDERUNGEN • Firewalls • Azure: Network Security Groups • AWS: Security Groups • Google: Google Compute Firewall • Stateful Packet Inspection
ANFORDERUNGEN • Firewalls • Stateful Packet Inspection • zweistufiges Firewall Konzept Hersteller BHersteller A
ANFORDERUNGEN • Firewalls • Stateful Packet Inspection • zweistufiges Firewall Konzept
ANFORDERUNGEN • Firewalls • Stateful Packet Inspection • zweistufiges Firewall Konzept • weitere Features: • VPN • dynamisches Routing • Webfilter • Anti Virus • Anti Spam • Intrusion Detection • usw.
ANFORDERUNGEN • Firewalls • Stateful Packet Inspection • zweistufiges Firewall Konzept • weitere Features • Hub & Spoke Architektur Hub virtual network Gateway subnet VPN Gateway vnet peering NSG Web Frontend subnet Spoke 1 virtual network Spoke 2 virtual network vnet peering Firewall subnet Firewall NSG NSG App Backend subnet NSG Web Frontend subnet NSG App Backend subnet
Hub virtual network Gateway subnet VPN Gateway VPN vnet peering On-premises network NSG Web Frontend subnet Spoke 1 virtual network Spoke 2 virtual network vnet peering Firewall subnet Firewall NSG NSG App Backend subnet NSG Web Frontend subnet NSG App Backend subnet VPN Gateway ANFORDERUNGEN • Firewalls • Stateful Packet Inspection • zweistufiges Firewall Konzept • weitere Features • Hub & Spoke Architektur
ANFORDERUNGEN • Hochverfügbarkeit • Firewalls • Stateful Packet Inspection • zweistufiges Firewall Konzept • weitere Features • Hub & Spoke Architektur
ANFORDERUNGEN • Hochverfügbarkeit • Firewalls • Stateful Packet Inspection • zweistufiges Firewall Konzept • weitere Features • Hub & Spoke Architektur • Vernetzung der Clouds mit VPNs und BGP Azure 10.100.0.0/16 BGP ASN 65900 GCP 10.102.0.0/16 BGP ASN 65902 AWS 10.101.0.0/16 BGP ASN 65901 On-Premise 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 BGP ASN 65000 Public Internet Public Internet
• Hunderte Ressourcen mit dutzenden Einstellungen • schlecht reproduzierbar und fehleranfällig • schwere Auditierbarkeit • unautorisierte Änderungen Hohe Komplexität Automatisierung als Lösung
MULTICLOUD (Sec)DevOps
MULTICLOUD (Sec)DevOps • Terraform • mehr als 150 Adapter • Modularisierbarkeit • Einheitlichkeit • automatisierte Konfiguration • reproduzierbar, skalierbar und inkrementell • Versionskontrolle, IDEs • Agilität • Auditierbarkeit • Ansible, Chef, Puppet, Powershell DC für OS und Apps • CI/CD Pipelines • enorme Geschwindigkeit • hohe Qualität • Testumgebung = einfaches Troubleshooting
SecDevOps Demo
SecDevOps Demo • Verwendete Technologien • Microsoft Azure • GitLab Enterprise Server mit Kubernetes Runner • Terraform 0.12 • Fortinet VM Firewalls • Fortinet Terraform Provider • Ansible
SecDevOps Demo • Schritt 1 • Erläuterung des IaC Codes • Deployment Demo Hub in Azure • Erläuterung der Cloud Ressourcen • Zugriff auf die serielle Console der Firewalls • Zugriff auf das Webinterface der Firewalls per VPN
SecDevOps Demo VIDEO
SecDevOps Demo • Schritt 2 • Deployment Demo Spoke 1 in Azure • Erläuterung des IaC Codes • Erläuterung der Cloud Ressourcen • Erläuterung der Firewall Konfiguration
SecDevOps Demo VIDEO
SecDevOps Demo • Schritt 3 • Deployment Demo Spoke 2 in Azure • Erläuterung der Cloud Ressourcen • Erläuterung der Firewall Konfiguration
SecDevOps Demo VIDEO
SecDevOps Demo • Schritt 4 • Deployment Demo VM 1 in Azure • Erläuterung des IaC und CaC Codes • Erläuterung der Cloud Ressourcen
SecDevOps Demo VIDEO
SecDevOps Demo • Schritt 5 • Deployment Demo VM 2 in Azure • Erläuterung der Cloud Ressourcen
SecDevOps Demo VIDEO
SecDevOps Demo • Tests • Zugriff auf die VMs • Erläuterung der Demo Applikation • Zugriffe von VM 1 zu VM 2 • Troubleshooting • Firewall-Freischaltungen mit IaC
SecDevOps Demo VIDEO
SecDevOps Demo • Was man noch machen könnte… • Zugriffe zwischen Subnetzen per NSG testen und freischalten • Dynamisches Routing konfigurieren • Azure Application Gateway als Reverse Proxy und WAF konfigurieren • Web Filter konfigurieren • Intrusion Detection & Prevention konfigurieren • FortiAnalyzer anbinden • Vergleichbare Module für AWS, Google Cloud Platform, VMware und viele andere Cloud- und On-Premise-Resourcen schreiben
SecDevOps Demo • Was man noch machen könnte… • Icinga 2 automatisch konfigurieren • CMDBs automatisch befüllen • Server vollautomatisch konfigurieren und patchen • Backups automatisch erstellen • Daten in die Peer-Region replizieren • CI/CD-Pipelines für eine Disaster Recovery in der Peer-Region konfigurieren • GitLab Geo
Vielen Dank für Eure Aufmerksamkeit. Noch Fragen?

Empfohlen

Kubernetes ist so viel mehr als ein Container Orchestrierer
Kubernetes ist so viel mehr als ein Container OrchestriererKubernetes ist so viel mehr als ein Container Orchestrierer
Kubernetes ist so viel mehr als ein Container OrchestriererQAware GmbH
 
Enterprise Cloud Native ist das neue Normal
Enterprise Cloud Native ist das neue NormalEnterprise Cloud Native ist das neue Normal
Enterprise Cloud Native ist das neue NormalQAware GmbH
 
Holistische Sicherheit für Microservice Architekturen
Holistische Sicherheit für Microservice ArchitekturenHolistische Sicherheit für Microservice Architekturen
Holistische Sicherheit für Microservice ArchitekturenQAware GmbH
 
Enterprise Cloud Native ist das neue Normal
Enterprise Cloud Native ist das neue NormalEnterprise Cloud Native ist das neue Normal
Enterprise Cloud Native ist das neue NormalQAware GmbH
 
Der Status Quo des Chaos Engineerings
Der Status Quo des Chaos EngineeringsDer Status Quo des Chaos Engineerings
Der Status Quo des Chaos EngineeringsQAware GmbH
 
IPv6 ist da - warum es jetzt keine Ausreden mehr gibt
IPv6 ist da - warum es jetzt keine Ausreden mehr gibtIPv6 ist da - warum es jetzt keine Ausreden mehr gibt
IPv6 ist da - warum es jetzt keine Ausreden mehr gibtMartin Krengel
 
In den sicheren Hafen jax2020
In den sicheren Hafen jax2020In den sicheren Hafen jax2020
In den sicheren Hafen jax2020Stephan Kaps
 
WebLogic: Wie schütze ich den AdminServer vor dem Ausfall?
WebLogic: Wie schütze ich den AdminServer vor dem Ausfall?WebLogic: Wie schütze ich den AdminServer vor dem Ausfall?
WebLogic: Wie schütze ich den AdminServer vor dem Ausfall?OPITZ CONSULTING Deutschland
 

Empfohlen

Kubernetes ist so viel mehr als ein Container Orchestrierer
Kubernetes ist so viel mehr als ein Container OrchestriererKubernetes ist so viel mehr als ein Container Orchestrierer
Kubernetes ist so viel mehr als ein Container OrchestriererQAware GmbH
 
Enterprise Cloud Native ist das neue Normal
Enterprise Cloud Native ist das neue NormalEnterprise Cloud Native ist das neue Normal
Enterprise Cloud Native ist das neue NormalQAware GmbH
 
Holistische Sicherheit für Microservice Architekturen
Holistische Sicherheit für Microservice ArchitekturenHolistische Sicherheit für Microservice Architekturen
Holistische Sicherheit für Microservice ArchitekturenQAware GmbH
 
Enterprise Cloud Native ist das neue Normal
Enterprise Cloud Native ist das neue NormalEnterprise Cloud Native ist das neue Normal
Enterprise Cloud Native ist das neue NormalQAware GmbH
 
Der Status Quo des Chaos Engineerings
Der Status Quo des Chaos EngineeringsDer Status Quo des Chaos Engineerings
Der Status Quo des Chaos EngineeringsQAware GmbH
 
IPv6 ist da - warum es jetzt keine Ausreden mehr gibt
IPv6 ist da - warum es jetzt keine Ausreden mehr gibtIPv6 ist da - warum es jetzt keine Ausreden mehr gibt
IPv6 ist da - warum es jetzt keine Ausreden mehr gibtMartin Krengel
 
In den sicheren Hafen jax2020
In den sicheren Hafen jax2020In den sicheren Hafen jax2020
In den sicheren Hafen jax2020Stephan Kaps
 
WebLogic: Wie schütze ich den AdminServer vor dem Ausfall?
WebLogic: Wie schütze ich den AdminServer vor dem Ausfall?WebLogic: Wie schütze ich den AdminServer vor dem Ausfall?
WebLogic: Wie schütze ich den AdminServer vor dem Ausfall?OPITZ CONSULTING Deutschland
 
Holistische Sicherheit für Microservice-basierte Systeme
Holistische Sicherheit für Microservice-basierte SystemeHolistische Sicherheit für Microservice-basierte Systeme
Holistische Sicherheit für Microservice-basierte SystemeQAware GmbH
 
Kontinuierliches (Nicht)-Funktionales Testen von Microservices auf K8s
Kontinuierliches (Nicht)-Funktionales Testen von Microservices auf K8sKontinuierliches (Nicht)-Funktionales Testen von Microservices auf K8s
Kontinuierliches (Nicht)-Funktionales Testen von Microservices auf K8sQAware GmbH
 
DevOpsCon 2016 - Continuous Security Testing - Stephan Kaps
DevOpsCon 2016 - Continuous Security Testing - Stephan KapsDevOpsCon 2016 - Continuous Security Testing - Stephan Kaps
DevOpsCon 2016 - Continuous Security Testing - Stephan KapsStephan Kaps
 
Private Cloud mit Open Source
Private Cloud mit Open SourcePrivate Cloud mit Open Source
Private Cloud mit Open SourceDaniel Schneller
 
Einführung in RequireJS
Einführung in RequireJSEinführung in RequireJS
Einführung in RequireJSandreaswo
 
LinuxTag 2008 - Virtuelle Cold-Standby Server mit Linux
LinuxTag 2008 - Virtuelle Cold-Standby Server mit LinuxLinuxTag 2008 - Virtuelle Cold-Standby Server mit Linux
LinuxTag 2008 - Virtuelle Cold-Standby Server mit LinuxSchlomo Schapiro
 
Private Cloud mit Ceph und OpenStack
Private Cloud mit Ceph und OpenStackPrivate Cloud mit Ceph und OpenStack
Private Cloud mit Ceph und OpenStackDaniel Schneller
 
Mit OpenStack zur eigenen Cloud (OSDC 2012)
Mit OpenStack zur eigenen Cloud (OSDC 2012)Mit OpenStack zur eigenen Cloud (OSDC 2012)
Mit OpenStack zur eigenen Cloud (OSDC 2012)hastexo
 
Supersonic Java für die Cloud: Quarkus
Supersonic Java für die Cloud: QuarkusSupersonic Java für die Cloud: Quarkus
Supersonic Java für die Cloud: QuarkusOPEN KNOWLEDGE GmbH
 
Cloud Connectivity - Herausforderungen und Loesungen
Cloud Connectivity - Herausforderungen und LoesungenCloud Connectivity - Herausforderungen und Loesungen
Cloud Connectivity - Herausforderungen und LoesungenDaniel Steiger
 
Boost your APEX Deployment and Provisioning with Docker
Boost your APEX Deployment and Provisioning with DockerBoost your APEX Deployment and Provisioning with Docker
Boost your APEX Deployment and Provisioning with DockerSteven Grzbielok
 
Enterprise Cloud Native ist das neue Normal
Enterprise Cloud Native ist das neue NormalEnterprise Cloud Native ist das neue Normal
Enterprise Cloud Native ist das neue NormalQAware GmbH
 
Palo Alto Networks - Just another Firewall
Palo Alto Networks - Just another FirewallPalo Alto Networks - Just another Firewall
Palo Alto Networks - Just another Firewallpillardata
 
Ivory Soa Suite
Ivory Soa SuiteIvory Soa Suite
Ivory Soa SuitePredrag61
 
Technologien 2011 Einblick in die Zukunft von Citrix
Technologien 2011 Einblick in die Zukunft von CitrixTechnologien 2011 Einblick in die Zukunft von Citrix
Technologien 2011 Einblick in die Zukunft von CitrixDigicomp Academy AG
 
Nanoservice Architekturen
Nanoservice ArchitekturenNanoservice Architekturen
Nanoservice ArchitekturenLeo Lindhorst
 
Monitoring Openstack - LinuxTag 2013
Monitoring Openstack - LinuxTag 2013Monitoring Openstack - LinuxTag 2013
Monitoring Openstack - LinuxTag 2013NETWAYS
 
Kaps - Es muss nicht immer Kubernetes sein
Kaps - Es muss nicht immer Kubernetes seinKaps - Es muss nicht immer Kubernetes sein
Kaps - Es muss nicht immer Kubernetes seinStephan Kaps
 
Schlanke Webarchitekturen nicht nur mit JSF 2 und CDI
Schlanke Webarchitekturen nicht nur mit JSF 2 und CDISchlanke Webarchitekturen nicht nur mit JSF 2 und CDI
Schlanke Webarchitekturen nicht nur mit JSF 2 und CDIadesso AG
 
Steinzeit war gestern! Wege der Cloud-nativen Evolution.
Steinzeit war gestern! Wege der Cloud-nativen Evolution.Steinzeit war gestern! Wege der Cloud-nativen Evolution.
Steinzeit war gestern! Wege der Cloud-nativen Evolution.QAware GmbH
 
Hybrid cloud iaa-s_office-365-azure_sharepoint-konferenz-wien-2013_ankbs_mich...
Hybrid cloud iaa-s_office-365-azure_sharepoint-konferenz-wien-2013_ankbs_mich...Hybrid cloud iaa-s_office-365-azure_sharepoint-konferenz-wien-2013_ankbs_mich...
Hybrid cloud iaa-s_office-365-azure_sharepoint-konferenz-wien-2013_ankbs_mich...Michael Kirst-Neshva
 
Desktop Containers 12: Next Generation of ZENworks Application Virtualization
Desktop Containers 12: Next Generation of ZENworks Application VirtualizationDesktop Containers 12: Next Generation of ZENworks Application Virtualization
Desktop Containers 12: Next Generation of ZENworks Application VirtualizationGWAVA
 

Weitere ähnliche Inhalte

Was ist angesagt?

Holistische Sicherheit für Microservice-basierte Systeme
Holistische Sicherheit für Microservice-basierte SystemeHolistische Sicherheit für Microservice-basierte Systeme
Holistische Sicherheit für Microservice-basierte SystemeQAware GmbH
 
Kontinuierliches (Nicht)-Funktionales Testen von Microservices auf K8s
Kontinuierliches (Nicht)-Funktionales Testen von Microservices auf K8sKontinuierliches (Nicht)-Funktionales Testen von Microservices auf K8s
Kontinuierliches (Nicht)-Funktionales Testen von Microservices auf K8sQAware GmbH
 
DevOpsCon 2016 - Continuous Security Testing - Stephan Kaps
DevOpsCon 2016 - Continuous Security Testing - Stephan KapsDevOpsCon 2016 - Continuous Security Testing - Stephan Kaps
DevOpsCon 2016 - Continuous Security Testing - Stephan KapsStephan Kaps
 
Private Cloud mit Open Source
Private Cloud mit Open SourcePrivate Cloud mit Open Source
Private Cloud mit Open SourceDaniel Schneller
 
Einführung in RequireJS
Einführung in RequireJSEinführung in RequireJS
Einführung in RequireJSandreaswo
 
LinuxTag 2008 - Virtuelle Cold-Standby Server mit Linux
LinuxTag 2008 - Virtuelle Cold-Standby Server mit LinuxLinuxTag 2008 - Virtuelle Cold-Standby Server mit Linux
LinuxTag 2008 - Virtuelle Cold-Standby Server mit LinuxSchlomo Schapiro
 
Private Cloud mit Ceph und OpenStack
Private Cloud mit Ceph und OpenStackPrivate Cloud mit Ceph und OpenStack
Private Cloud mit Ceph und OpenStackDaniel Schneller
 
Mit OpenStack zur eigenen Cloud (OSDC 2012)
Mit OpenStack zur eigenen Cloud (OSDC 2012)Mit OpenStack zur eigenen Cloud (OSDC 2012)
Mit OpenStack zur eigenen Cloud (OSDC 2012)hastexo
 
Supersonic Java für die Cloud: Quarkus
Supersonic Java für die Cloud: QuarkusSupersonic Java für die Cloud: Quarkus
Supersonic Java für die Cloud: QuarkusOPEN KNOWLEDGE GmbH
 

Was ist angesagt? (9)

Holistische Sicherheit für Microservice-basierte Systeme
Holistische Sicherheit für Microservice-basierte SystemeHolistische Sicherheit für Microservice-basierte Systeme
Holistische Sicherheit für Microservice-basierte Systeme
 
Kontinuierliches (Nicht)-Funktionales Testen von Microservices auf K8s
Kontinuierliches (Nicht)-Funktionales Testen von Microservices auf K8sKontinuierliches (Nicht)-Funktionales Testen von Microservices auf K8s
Kontinuierliches (Nicht)-Funktionales Testen von Microservices auf K8s
 
DevOpsCon 2016 - Continuous Security Testing - Stephan Kaps
DevOpsCon 2016 - Continuous Security Testing - Stephan KapsDevOpsCon 2016 - Continuous Security Testing - Stephan Kaps
DevOpsCon 2016 - Continuous Security Testing - Stephan Kaps
 
Private Cloud mit Open Source
Private Cloud mit Open SourcePrivate Cloud mit Open Source
Private Cloud mit Open Source
 
Einführung in RequireJS
Einführung in RequireJSEinführung in RequireJS
Einführung in RequireJS
 
LinuxTag 2008 - Virtuelle Cold-Standby Server mit Linux
LinuxTag 2008 - Virtuelle Cold-Standby Server mit LinuxLinuxTag 2008 - Virtuelle Cold-Standby Server mit Linux
LinuxTag 2008 - Virtuelle Cold-Standby Server mit Linux
 
Private Cloud mit Ceph und OpenStack
Private Cloud mit Ceph und OpenStackPrivate Cloud mit Ceph und OpenStack
Private Cloud mit Ceph und OpenStack
 
Mit OpenStack zur eigenen Cloud (OSDC 2012)
Mit OpenStack zur eigenen Cloud (OSDC 2012)Mit OpenStack zur eigenen Cloud (OSDC 2012)
Mit OpenStack zur eigenen Cloud (OSDC 2012)
 
Supersonic Java für die Cloud: Quarkus
Supersonic Java für die Cloud: QuarkusSupersonic Java für die Cloud: Quarkus
Supersonic Java für die Cloud: Quarkus
 

Ähnlich wie stackconf 2020 | SecDevOps in der Cloud by Florian Wiethoff

Cloud Connectivity - Herausforderungen und Loesungen
Cloud Connectivity - Herausforderungen und LoesungenCloud Connectivity - Herausforderungen und Loesungen
Cloud Connectivity - Herausforderungen und LoesungenDaniel Steiger
 
Boost your APEX Deployment and Provisioning with Docker
Boost your APEX Deployment and Provisioning with DockerBoost your APEX Deployment and Provisioning with Docker
Boost your APEX Deployment and Provisioning with DockerSteven Grzbielok
 
Enterprise Cloud Native ist das neue Normal
Enterprise Cloud Native ist das neue NormalEnterprise Cloud Native ist das neue Normal
Enterprise Cloud Native ist das neue NormalQAware GmbH
 
Palo Alto Networks - Just another Firewall
Palo Alto Networks - Just another FirewallPalo Alto Networks - Just another Firewall
Palo Alto Networks - Just another Firewallpillardata
 
Ivory Soa Suite
Ivory Soa SuiteIvory Soa Suite
Ivory Soa SuitePredrag61
 
Technologien 2011 Einblick in die Zukunft von Citrix
Technologien 2011 Einblick in die Zukunft von CitrixTechnologien 2011 Einblick in die Zukunft von Citrix
Technologien 2011 Einblick in die Zukunft von CitrixDigicomp Academy AG
 
Nanoservice Architekturen
Nanoservice ArchitekturenNanoservice Architekturen
Nanoservice ArchitekturenLeo Lindhorst
 
Monitoring Openstack - LinuxTag 2013
Monitoring Openstack - LinuxTag 2013Monitoring Openstack - LinuxTag 2013
Monitoring Openstack - LinuxTag 2013NETWAYS
 
Kaps - Es muss nicht immer Kubernetes sein
Kaps - Es muss nicht immer Kubernetes seinKaps - Es muss nicht immer Kubernetes sein
Kaps - Es muss nicht immer Kubernetes seinStephan Kaps
 
Schlanke Webarchitekturen nicht nur mit JSF 2 und CDI
Schlanke Webarchitekturen nicht nur mit JSF 2 und CDISchlanke Webarchitekturen nicht nur mit JSF 2 und CDI
Schlanke Webarchitekturen nicht nur mit JSF 2 und CDIadesso AG
 
Steinzeit war gestern! Wege der Cloud-nativen Evolution.
Steinzeit war gestern! Wege der Cloud-nativen Evolution.Steinzeit war gestern! Wege der Cloud-nativen Evolution.
Steinzeit war gestern! Wege der Cloud-nativen Evolution.QAware GmbH
 
Hybrid cloud iaa-s_office-365-azure_sharepoint-konferenz-wien-2013_ankbs_mich...
Hybrid cloud iaa-s_office-365-azure_sharepoint-konferenz-wien-2013_ankbs_mich...Hybrid cloud iaa-s_office-365-azure_sharepoint-konferenz-wien-2013_ankbs_mich...
Hybrid cloud iaa-s_office-365-azure_sharepoint-konferenz-wien-2013_ankbs_mich...Michael Kirst-Neshva
 
Desktop Containers 12: Next Generation of ZENworks Application Virtualization
Desktop Containers 12: Next Generation of ZENworks Application VirtualizationDesktop Containers 12: Next Generation of ZENworks Application Virtualization
Desktop Containers 12: Next Generation of ZENworks Application VirtualizationGWAVA
 
Umzug in die Cloud - flexible, dynamische Websites und Digital Marketing am B...
Umzug in die Cloud - flexible, dynamische Websites und Digital Marketing am B...Umzug in die Cloud - flexible, dynamische Websites und Digital Marketing am B...
Umzug in die Cloud - flexible, dynamische Websites und Digital Marketing am B...comspace GmbH & Co. KG
 
Enterprise Cloud Native ist das neue Schwarz
Enterprise Cloud Native ist das neue SchwarzEnterprise Cloud Native ist das neue Schwarz
Enterprise Cloud Native ist das neue SchwarzQAware GmbH
 
ANEO | Automatisierung mit RedHat Ansible
ANEO | Automatisierung mit RedHat AnsibleANEO | Automatisierung mit RedHat Ansible
ANEO | Automatisierung mit RedHat AnsibleCarolineAuerMarcher
 
A Hitchhiker's Guide to the Cloud Native Stack
A Hitchhiker's Guide to the Cloud Native StackA Hitchhiker's Guide to the Cloud Native Stack
A Hitchhiker's Guide to the Cloud Native StackQAware GmbH
 
A Hitchhiker’s Guide to the Cloud Native Stack. #ContainerConf
A Hitchhiker’s Guide to the Cloud Native Stack. #ContainerConfA Hitchhiker’s Guide to the Cloud Native Stack. #ContainerConf
A Hitchhiker’s Guide to the Cloud Native Stack. #ContainerConfMario-Leander Reimer
 
OpenNebula - LinuxTag 2013
OpenNebula - LinuxTag 2013OpenNebula - LinuxTag 2013
OpenNebula - LinuxTag 2013NETWAYS
 

Ähnlich wie stackconf 2020 | SecDevOps in der Cloud by Florian Wiethoff (20)

Cloud Connectivity - Herausforderungen und Loesungen
Cloud Connectivity - Herausforderungen und LoesungenCloud Connectivity - Herausforderungen und Loesungen
Cloud Connectivity - Herausforderungen und Loesungen
 
Boost your APEX Deployment and Provisioning with Docker
Boost your APEX Deployment and Provisioning with DockerBoost your APEX Deployment and Provisioning with Docker
Boost your APEX Deployment and Provisioning with Docker
 
Enterprise Cloud Native ist das neue Normal
Enterprise Cloud Native ist das neue NormalEnterprise Cloud Native ist das neue Normal
Enterprise Cloud Native ist das neue Normal
 
Palo Alto Networks - Just another Firewall
Palo Alto Networks - Just another FirewallPalo Alto Networks - Just another Firewall
Palo Alto Networks - Just another Firewall
 
Ivory Soa Suite
Ivory Soa SuiteIvory Soa Suite
Ivory Soa Suite
 
Technologien 2011 Einblick in die Zukunft von Citrix
Technologien 2011 Einblick in die Zukunft von CitrixTechnologien 2011 Einblick in die Zukunft von Citrix
Technologien 2011 Einblick in die Zukunft von Citrix
 
Nanoservice Architekturen
Nanoservice ArchitekturenNanoservice Architekturen
Nanoservice Architekturen
 
Monitoring Openstack - LinuxTag 2013
Monitoring Openstack - LinuxTag 2013Monitoring Openstack - LinuxTag 2013
Monitoring Openstack - LinuxTag 2013
 
Kaps - Es muss nicht immer Kubernetes sein
Kaps - Es muss nicht immer Kubernetes seinKaps - Es muss nicht immer Kubernetes sein
Kaps - Es muss nicht immer Kubernetes sein
 
Schlanke Webarchitekturen nicht nur mit JSF 2 und CDI
Schlanke Webarchitekturen nicht nur mit JSF 2 und CDISchlanke Webarchitekturen nicht nur mit JSF 2 und CDI
Schlanke Webarchitekturen nicht nur mit JSF 2 und CDI
 
Steinzeit war gestern! Wege der Cloud-nativen Evolution.
Steinzeit war gestern! Wege der Cloud-nativen Evolution.Steinzeit war gestern! Wege der Cloud-nativen Evolution.
Steinzeit war gestern! Wege der Cloud-nativen Evolution.
 
Hybrid cloud iaa-s_office-365-azure_sharepoint-konferenz-wien-2013_ankbs_mich...
Hybrid cloud iaa-s_office-365-azure_sharepoint-konferenz-wien-2013_ankbs_mich...Hybrid cloud iaa-s_office-365-azure_sharepoint-konferenz-wien-2013_ankbs_mich...
Hybrid cloud iaa-s_office-365-azure_sharepoint-konferenz-wien-2013_ankbs_mich...
 
Desktop Containers 12: Next Generation of ZENworks Application Virtualization
Desktop Containers 12: Next Generation of ZENworks Application VirtualizationDesktop Containers 12: Next Generation of ZENworks Application Virtualization
Desktop Containers 12: Next Generation of ZENworks Application Virtualization
 
PROFI Cloud Lösung
PROFI Cloud LösungPROFI Cloud Lösung
PROFI Cloud Lösung
 
Umzug in die Cloud - flexible, dynamische Websites und Digital Marketing am B...
Umzug in die Cloud - flexible, dynamische Websites und Digital Marketing am B...Umzug in die Cloud - flexible, dynamische Websites und Digital Marketing am B...
Umzug in die Cloud - flexible, dynamische Websites und Digital Marketing am B...
 
Enterprise Cloud Native ist das neue Schwarz
Enterprise Cloud Native ist das neue SchwarzEnterprise Cloud Native ist das neue Schwarz
Enterprise Cloud Native ist das neue Schwarz
 
ANEO | Automatisierung mit RedHat Ansible
ANEO | Automatisierung mit RedHat AnsibleANEO | Automatisierung mit RedHat Ansible
ANEO | Automatisierung mit RedHat Ansible
 
A Hitchhiker's Guide to the Cloud Native Stack
A Hitchhiker's Guide to the Cloud Native StackA Hitchhiker's Guide to the Cloud Native Stack
A Hitchhiker's Guide to the Cloud Native Stack
 
A Hitchhiker’s Guide to the Cloud Native Stack. #ContainerConf
A Hitchhiker’s Guide to the Cloud Native Stack. #ContainerConfA Hitchhiker’s Guide to the Cloud Native Stack. #ContainerConf
A Hitchhiker’s Guide to the Cloud Native Stack. #ContainerConf
 
OpenNebula - LinuxTag 2013
OpenNebula - LinuxTag 2013OpenNebula - LinuxTag 2013
OpenNebula - LinuxTag 2013
 

Kürzlich hochgeladen

FEHLENDE DATEN? (K)EIN PROBLEM!: Die Kunst der Data Imputation
FEHLENDE DATEN? (K)EIN PROBLEM!: Die Kunst der Data ImputationFEHLENDE DATEN? (K)EIN PROBLEM!: Die Kunst der Data Imputation
FEHLENDE DATEN? (K)EIN PROBLEM!: Die Kunst der Data ImputationOPEN KNOWLEDGE GmbH
 
From Zero to still Zero: Die schönsten Fehler auf dem Weg in die Cloud
From Zero to still Zero: Die schönsten Fehler auf dem Weg in die CloudFrom Zero to still Zero: Die schönsten Fehler auf dem Weg in die Cloud
From Zero to still Zero: Die schönsten Fehler auf dem Weg in die CloudOPEN KNOWLEDGE GmbH
 
Machine Learning? Ja gerne! Aber was und wie? Eine Kurzanleitung für den erfo...
Machine Learning? Ja gerne! Aber was und wie? Eine Kurzanleitung für den erfo...Machine Learning? Ja gerne! Aber was und wie? Eine Kurzanleitung für den erfo...
Machine Learning? Ja gerne! Aber was und wie? Eine Kurzanleitung für den erfo...OPEN KNOWLEDGE GmbH
 
Slides (1) zu Teil 3 der Veranstaltungsreihe Anwendungsentwicklung mit Volt M...
Slides (1) zu Teil 3 der Veranstaltungsreihe Anwendungsentwicklung mit Volt M...Slides (1) zu Teil 3 der Veranstaltungsreihe Anwendungsentwicklung mit Volt M...
Slides (1) zu Teil 3 der Veranstaltungsreihe Anwendungsentwicklung mit Volt M...DNUG e.V.
 
Rückwärts denken vorwärts handeln - Requirements Reverse Engineering bei Syst...
Rückwärts denken vorwärts handeln - Requirements Reverse Engineering bei Syst...Rückwärts denken vorwärts handeln - Requirements Reverse Engineering bei Syst...
Rückwärts denken vorwärts handeln - Requirements Reverse Engineering bei Syst...Markus Unterauer
 
Slides (2) zu Teil 3 der Veranstaltungsreihe Anwendungsentwicklung mit Volt M...
Slides (2) zu Teil 3 der Veranstaltungsreihe Anwendungsentwicklung mit Volt M...Slides (2) zu Teil 3 der Veranstaltungsreihe Anwendungsentwicklung mit Volt M...
Slides (2) zu Teil 3 der Veranstaltungsreihe Anwendungsentwicklung mit Volt M...DNUG e.V.
 

Kürzlich hochgeladen (6)

FEHLENDE DATEN? (K)EIN PROBLEM!: Die Kunst der Data Imputation
FEHLENDE DATEN? (K)EIN PROBLEM!: Die Kunst der Data ImputationFEHLENDE DATEN? (K)EIN PROBLEM!: Die Kunst der Data Imputation
FEHLENDE DATEN? (K)EIN PROBLEM!: Die Kunst der Data Imputation
 
From Zero to still Zero: Die schönsten Fehler auf dem Weg in die Cloud
From Zero to still Zero: Die schönsten Fehler auf dem Weg in die CloudFrom Zero to still Zero: Die schönsten Fehler auf dem Weg in die Cloud
From Zero to still Zero: Die schönsten Fehler auf dem Weg in die Cloud
 
Machine Learning? Ja gerne! Aber was und wie? Eine Kurzanleitung für den erfo...
Machine Learning? Ja gerne! Aber was und wie? Eine Kurzanleitung für den erfo...Machine Learning? Ja gerne! Aber was und wie? Eine Kurzanleitung für den erfo...
Machine Learning? Ja gerne! Aber was und wie? Eine Kurzanleitung für den erfo...
 
Slides (1) zu Teil 3 der Veranstaltungsreihe Anwendungsentwicklung mit Volt M...
Slides (1) zu Teil 3 der Veranstaltungsreihe Anwendungsentwicklung mit Volt M...Slides (1) zu Teil 3 der Veranstaltungsreihe Anwendungsentwicklung mit Volt M...
Slides (1) zu Teil 3 der Veranstaltungsreihe Anwendungsentwicklung mit Volt M...
 
Rückwärts denken vorwärts handeln - Requirements Reverse Engineering bei Syst...
Rückwärts denken vorwärts handeln - Requirements Reverse Engineering bei Syst...Rückwärts denken vorwärts handeln - Requirements Reverse Engineering bei Syst...
Rückwärts denken vorwärts handeln - Requirements Reverse Engineering bei Syst...
 
Slides (2) zu Teil 3 der Veranstaltungsreihe Anwendungsentwicklung mit Volt M...
Slides (2) zu Teil 3 der Veranstaltungsreihe Anwendungsentwicklung mit Volt M...Slides (2) zu Teil 3 der Veranstaltungsreihe Anwendungsentwicklung mit Volt M...
Slides (2) zu Teil 3 der Veranstaltungsreihe Anwendungsentwicklung mit Volt M...
 

stackconf 2020 | SecDevOps in der Cloud by Florian Wiethoff

  • 1. SecDevOps in der Cloud Anforderungen im Bankenumfeld & SecDevOps Demo 17.06.2020 | stackconf 2020
  • 2. Braintower ist ein IT Dienstleister mit 30 Mitarbeitern. Sitz des Unternehmens ist das Saarland. Fokus des Geschäfts liegt auf Design, Aufbau und Betrieb von Netzwerk-, Security-, Cloud- und DevOps- sowie Monitoring-Lösungen bei Enterprise Kunden. MAKE IT BETTER Macht Innovationen verlässlich Florian Wiethoff Cloud Architect CEO
  • 3. SecDevOps in der Cloud Anforderungen im Bankenumfeld & SecDevOps Demo
  • 5. SHARED RESPONSIBILITY Kunde Security “in” the cloud - Kundendaten - Identity & Access Management - Applikationen - Betriebssysteme - Netzwerk & Firewall Konfiguration - Verschlüsselung (Transport, Storage) Cloud Anbieter Security “of” the cloud - Rechenzentren (Zutritt, Strom, Klima) - Netzwerk - Storage - Virtualisierungsplattform - Cloud Services (IaaS, PaaS, SaaS) - API
  • 7. SPEZIALFALL BANKEN? • besondere Vorgaben (Bafin) • Sicherheit, Verfügbarkeit, Georedundanz, etc. • Datenschutz • Sicherstellung von Kernprozessen • Compliance (MaRisk, §25a KWG, …) • interne Vorgaben Kein Cloud Provider liefert fertige Lösungen für alle diese Anforderungen
  • 9. ANFORDERUNGEN • Firewalls • Azure: Network Security Groups • AWS: Security Groups • Google: Google Compute Firewall • Stateful Packet Inspection
  • 10. ANFORDERUNGEN • Firewalls • Stateful Packet Inspection • zweistufiges Firewall Konzept Hersteller BHersteller A
  • 11. ANFORDERUNGEN • Firewalls • Stateful Packet Inspection • zweistufiges Firewall Konzept
  • 12. ANFORDERUNGEN • Firewalls • Stateful Packet Inspection • zweistufiges Firewall Konzept • weitere Features: • VPN • dynamisches Routing • Webfilter • Anti Virus • Anti Spam • Intrusion Detection • usw.
  • 13. ANFORDERUNGEN • Firewalls • Stateful Packet Inspection • zweistufiges Firewall Konzept • weitere Features • Hub & Spoke Architektur Hub virtual network Gateway subnet VPN Gateway vnet peering NSG Web Frontend subnet Spoke 1 virtual network Spoke 2 virtual network vnet peering Firewall subnet Firewall NSG NSG App Backend subnet NSG Web Frontend subnet NSG App Backend subnet
  • 14. Hub virtual network Gateway subnet VPN Gateway VPN vnet peering On-premises network NSG Web Frontend subnet Spoke 1 virtual network Spoke 2 virtual network vnet peering Firewall subnet Firewall NSG NSG App Backend subnet NSG Web Frontend subnet NSG App Backend subnet VPN Gateway ANFORDERUNGEN • Firewalls • Stateful Packet Inspection • zweistufiges Firewall Konzept • weitere Features • Hub & Spoke Architektur
  • 15. ANFORDERUNGEN • Hochverfügbarkeit • Firewalls • Stateful Packet Inspection • zweistufiges Firewall Konzept • weitere Features • Hub & Spoke Architektur
  • 16. ANFORDERUNGEN • Hochverfügbarkeit • Firewalls • Stateful Packet Inspection • zweistufiges Firewall Konzept • weitere Features • Hub & Spoke Architektur • Vernetzung der Clouds mit VPNs und BGP Azure 10.100.0.0/16 BGP ASN 65900 GCP 10.102.0.0/16 BGP ASN 65902 AWS 10.101.0.0/16 BGP ASN 65901 On-Premise 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 BGP ASN 65000 Public Internet Public Internet
  • 17. • Hunderte Ressourcen mit dutzenden Einstellungen • schlecht reproduzierbar und fehleranfällig • schwere Auditierbarkeit • unautorisierte Änderungen Hohe Komplexität Automatisierung als Lösung
  • 19. MULTICLOUD (Sec)DevOps • Terraform • mehr als 150 Adapter • Modularisierbarkeit • Einheitlichkeit • automatisierte Konfiguration • reproduzierbar, skalierbar und inkrementell • Versionskontrolle, IDEs • Agilität • Auditierbarkeit • Ansible, Chef, Puppet, Powershell DC für OS und Apps • CI/CD Pipelines • enorme Geschwindigkeit • hohe Qualität • Testumgebung = einfaches Troubleshooting
  • 21. SecDevOps Demo • Verwendete Technologien • Microsoft Azure • GitLab Enterprise Server mit Kubernetes Runner • Terraform 0.12 • Fortinet VM Firewalls • Fortinet Terraform Provider • Ansible
  • 22. SecDevOps Demo • Schritt 1 • Erläuterung des IaC Codes • Deployment Demo Hub in Azure • Erläuterung der Cloud Ressourcen • Zugriff auf die serielle Console der Firewalls • Zugriff auf das Webinterface der Firewalls per VPN
  • 24. SecDevOps Demo • Schritt 2 • Deployment Demo Spoke 1 in Azure • Erläuterung des IaC Codes • Erläuterung der Cloud Ressourcen • Erläuterung der Firewall Konfiguration
  • 26. SecDevOps Demo • Schritt 3 • Deployment Demo Spoke 2 in Azure • Erläuterung der Cloud Ressourcen • Erläuterung der Firewall Konfiguration
  • 28. SecDevOps Demo • Schritt 4 • Deployment Demo VM 1 in Azure • Erläuterung des IaC und CaC Codes • Erläuterung der Cloud Ressourcen
  • 30. SecDevOps Demo • Schritt 5 • Deployment Demo VM 2 in Azure • Erläuterung der Cloud Ressourcen
  • 32. SecDevOps Demo • Tests • Zugriff auf die VMs • Erläuterung der Demo Applikation • Zugriffe von VM 1 zu VM 2 • Troubleshooting • Firewall-Freischaltungen mit IaC
  • 34. SecDevOps Demo • Was man noch machen könnte… • Zugriffe zwischen Subnetzen per NSG testen und freischalten • Dynamisches Routing konfigurieren • Azure Application Gateway als Reverse Proxy und WAF konfigurieren • Web Filter konfigurieren • Intrusion Detection & Prevention konfigurieren • FortiAnalyzer anbinden • Vergleichbare Module für AWS, Google Cloud Platform, VMware und viele andere Cloud- und On-Premise-Resourcen schreiben
  • 35. SecDevOps Demo • Was man noch machen könnte… • Icinga 2 automatisch konfigurieren • CMDBs automatisch befüllen • Server vollautomatisch konfigurieren und patchen • Backups automatisch erstellen • Daten in die Peer-Region replizieren • CI/CD-Pipelines für eine Disaster Recovery in der Peer-Region konfigurieren • GitLab Geo
  • 36. Vielen Dank für Eure Aufmerksamkeit. Noch Fragen?