Public Clouds werden mittlerweile von fast allen Unternehmen genutzt. Viele Verantwortliche vergessen dabei jedoch, dass die Sicherheit ihrer Cloud-Umgebungen zu großen Teilen ihre Aufgabe ist – Stichwort Shared Responsibility. Die Security Features, die von den Cloud Anbietern zur Verfügung gestellt werden – Firewalls, Reverse Proxys, Web Application Firewalls – sind zudem nicht auf dem Niveau, das man von ausgereifen On-Premises Lösungen kennt.
Dieser Talk soll Erfahrungen aus Cloud-Projekten im Bankenumfeld weitergeben. Ich werde die wichtigsten Anforderungen und Best Practices vorstellen.
2. Braintower ist ein IT Dienstleister mit 30 Mitarbeitern. Sitz des Unternehmens ist das
Saarland. Fokus des Geschäfts liegt auf Design, Aufbau und Betrieb von Netzwerk-,
Security-, Cloud- und DevOps- sowie Monitoring-Lösungen bei Enterprise Kunden.
MAKE IT BETTER
Macht Innovationen verlässlich
Florian Wiethoff
Cloud Architect
CEO
21. SecDevOps Demo
• Verwendete Technologien
• Microsoft Azure
• GitLab Enterprise Server mit Kubernetes Runner
• Terraform 0.12
• Fortinet VM Firewalls
• Fortinet Terraform Provider
• Ansible
22. SecDevOps Demo
• Schritt 1
• Erläuterung des IaC Codes
• Deployment Demo Hub in Azure
• Erläuterung der Cloud Ressourcen
• Zugriff auf die serielle Console der Firewalls
• Zugriff auf das Webinterface der Firewalls per VPN
32. SecDevOps Demo
• Tests
• Zugriff auf die VMs
• Erläuterung der Demo Applikation
• Zugriffe von VM 1 zu VM 2
• Troubleshooting
• Firewall-Freischaltungen mit IaC
34. SecDevOps Demo
• Was man noch machen könnte…
• Zugriffe zwischen Subnetzen per NSG testen und freischalten
• Dynamisches Routing konfigurieren
• Azure Application Gateway als Reverse Proxy und WAF konfigurieren
• Web Filter konfigurieren
• Intrusion Detection & Prevention konfigurieren
• FortiAnalyzer anbinden
• Vergleichbare Module für AWS, Google Cloud Platform, VMware und viele
andere Cloud- und On-Premise-Resourcen schreiben
35. SecDevOps Demo
• Was man noch machen könnte…
• Icinga 2 automatisch konfigurieren
• CMDBs automatisch befüllen
• Server vollautomatisch konfigurieren und patchen
• Backups automatisch erstellen
• Daten in die Peer-Region replizieren
• CI/CD-Pipelines für eine Disaster Recovery in der Peer-Region konfigurieren
• GitLab Geo