NETWAYS, profile picture
Hochgeladen vonNETWAYS
85 aufrufe

stackconf 2020 | SecDevOps in der Cloud by Florian Wiethoff

Das Dokument behandelt die Implementierung von SecDevOps in der Cloud für Banken, wobei besondere Anforderungen wie Sicherheit, Verfügbarkeit und Compliance berücksichtigt werden. Es wird ein Überblick über die benötigte Infrastruktur, wie Firewalls und Azure-Services sowie die Vorteile von Automatisierung und Multicloud-Strategien gegeben. Eine Demo zur praktischen Anwendung von Technologien wie Terraform, Azure und Ansible wird vorgestellt, um den Prozess und mögliche Optimierungen zu demonstrieren.

Präsentation einbetten

Downloaden Sie, um offline zu lesen
SecDevOps in der Cloud Anforderungen im Bankenumfeld & SecDevOps Demo 17.06.2020 | stackconf 2020
Braintower ist ein IT Dienstleister mit 30 Mitarbeitern. Sitz des Unternehmens ist das Saarland. Fokus des Geschäfts liegt auf Design, Aufbau und Betrieb von Netzwerk-, Security-, Cloud- und DevOps- sowie Monitoring-Lösungen bei Enterprise Kunden. MAKE IT BETTER Macht Innovationen verlässlich Florian Wiethoff Cloud Architect CEO
SecDevOps in der Cloud Anforderungen im Bankenumfeld & SecDevOps Demo
SHARED RESPONSIBILITY
SHARED RESPONSIBILITY Kunde Security “in” the cloud - Kundendaten - Identity & Access Management - Applikationen - Betriebssysteme - Netzwerk & Firewall Konfiguration - Verschlüsselung (Transport, Storage) Cloud Anbieter Security “of” the cloud - Rechenzentren (Zutritt, Strom, Klima) - Netzwerk - Storage - Virtualisierungsplattform - Cloud Services (IaaS, PaaS, SaaS) - API
SPEZIALFALL BANKEN?
SPEZIALFALL BANKEN? • besondere Vorgaben (Bafin) • Sicherheit, Verfügbarkeit, Georedundanz, etc. • Datenschutz • Sicherstellung von Kernprozessen • Compliance (MaRisk, §25a KWG, …) • interne Vorgaben Kein Cloud Provider liefert fertige Lösungen für alle diese Anforderungen
ANFORDERUNGEN
ANFORDERUNGEN • Firewalls • Azure: Network Security Groups • AWS: Security Groups • Google: Google Compute Firewall • Stateful Packet Inspection
ANFORDERUNGEN • Firewalls • Stateful Packet Inspection • zweistufiges Firewall Konzept Hersteller BHersteller A
ANFORDERUNGEN • Firewalls • Stateful Packet Inspection • zweistufiges Firewall Konzept
ANFORDERUNGEN • Firewalls • Stateful Packet Inspection • zweistufiges Firewall Konzept • weitere Features: • VPN • dynamisches Routing • Webfilter • Anti Virus • Anti Spam • Intrusion Detection • usw.
ANFORDERUNGEN • Firewalls • Stateful Packet Inspection • zweistufiges Firewall Konzept • weitere Features • Hub & Spoke Architektur Hub virtual network Gateway subnet VPN Gateway vnet peering NSG Web Frontend subnet Spoke 1 virtual network Spoke 2 virtual network vnet peering Firewall subnet Firewall NSG NSG App Backend subnet NSG Web Frontend subnet NSG App Backend subnet
Hub virtual network Gateway subnet VPN Gateway VPN vnet peering On-premises network NSG Web Frontend subnet Spoke 1 virtual network Spoke 2 virtual network vnet peering Firewall subnet Firewall NSG NSG App Backend subnet NSG Web Frontend subnet NSG App Backend subnet VPN Gateway ANFORDERUNGEN • Firewalls • Stateful Packet Inspection • zweistufiges Firewall Konzept • weitere Features • Hub & Spoke Architektur
ANFORDERUNGEN • Hochverfügbarkeit • Firewalls • Stateful Packet Inspection • zweistufiges Firewall Konzept • weitere Features • Hub & Spoke Architektur
ANFORDERUNGEN • Hochverfügbarkeit • Firewalls • Stateful Packet Inspection • zweistufiges Firewall Konzept • weitere Features • Hub & Spoke Architektur • Vernetzung der Clouds mit VPNs und BGP Azure 10.100.0.0/16 BGP ASN 65900 GCP 10.102.0.0/16 BGP ASN 65902 AWS 10.101.0.0/16 BGP ASN 65901 On-Premise 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 BGP ASN 65000 Public Internet Public Internet
• Hunderte Ressourcen mit dutzenden Einstellungen • schlecht reproduzierbar und fehleranfällig • schwere Auditierbarkeit • unautorisierte Änderungen Hohe Komplexität Automatisierung als Lösung
MULTICLOUD (Sec)DevOps
MULTICLOUD (Sec)DevOps • Terraform • mehr als 150 Adapter • Modularisierbarkeit • Einheitlichkeit • automatisierte Konfiguration • reproduzierbar, skalierbar und inkrementell • Versionskontrolle, IDEs • Agilität • Auditierbarkeit • Ansible, Chef, Puppet, Powershell DC für OS und Apps • CI/CD Pipelines • enorme Geschwindigkeit • hohe Qualität • Testumgebung = einfaches Troubleshooting
SecDevOps Demo
SecDevOps Demo • Verwendete Technologien • Microsoft Azure • GitLab Enterprise Server mit Kubernetes Runner • Terraform 0.12 • Fortinet VM Firewalls • Fortinet Terraform Provider • Ansible
SecDevOps Demo • Schritt 1 • Erläuterung des IaC Codes • Deployment Demo Hub in Azure • Erläuterung der Cloud Ressourcen • Zugriff auf die serielle Console der Firewalls • Zugriff auf das Webinterface der Firewalls per VPN
SecDevOps Demo VIDEO
SecDevOps Demo • Schritt 2 • Deployment Demo Spoke 1 in Azure • Erläuterung des IaC Codes • Erläuterung der Cloud Ressourcen • Erläuterung der Firewall Konfiguration
SecDevOps Demo VIDEO
SecDevOps Demo • Schritt 3 • Deployment Demo Spoke 2 in Azure • Erläuterung der Cloud Ressourcen • Erläuterung der Firewall Konfiguration
SecDevOps Demo VIDEO
SecDevOps Demo • Schritt 4 • Deployment Demo VM 1 in Azure • Erläuterung des IaC und CaC Codes • Erläuterung der Cloud Ressourcen
SecDevOps Demo VIDEO
SecDevOps Demo • Schritt 5 • Deployment Demo VM 2 in Azure • Erläuterung der Cloud Ressourcen
SecDevOps Demo VIDEO
SecDevOps Demo • Tests • Zugriff auf die VMs • Erläuterung der Demo Applikation • Zugriffe von VM 1 zu VM 2 • Troubleshooting • Firewall-Freischaltungen mit IaC
SecDevOps Demo VIDEO
SecDevOps Demo • Was man noch machen könnte… • Zugriffe zwischen Subnetzen per NSG testen und freischalten • Dynamisches Routing konfigurieren • Azure Application Gateway als Reverse Proxy und WAF konfigurieren • Web Filter konfigurieren • Intrusion Detection & Prevention konfigurieren • FortiAnalyzer anbinden • Vergleichbare Module für AWS, Google Cloud Platform, VMware und viele andere Cloud- und On-Premise-Resourcen schreiben
SecDevOps Demo • Was man noch machen könnte… • Icinga 2 automatisch konfigurieren • CMDBs automatisch befüllen • Server vollautomatisch konfigurieren und patchen • Backups automatisch erstellen • Daten in die Peer-Region replizieren • CI/CD-Pipelines für eine Disaster Recovery in der Peer-Region konfigurieren • GitLab Geo
Vielen Dank für Eure Aufmerksamkeit. Noch Fragen?

Weitere ähnliche Inhalte

PDF
Kubernetes ist so viel mehr als ein Container Orchestrierer
vonQAware GmbH
 
PDF
Enterprise Cloud Native ist das neue Normal
vonQAware GmbH
 
PDF
Holistische Sicherheit für Microservice Architekturen
vonQAware GmbH
 
PDF
Enterprise Cloud Native ist das neue Normal
vonQAware GmbH
 
PDF
Der Status Quo des Chaos Engineerings
vonQAware GmbH
 
PDF
IPv6 ist da - warum es jetzt keine Ausreden mehr gibt
vonMartin Krengel
 
PDF
In den sicheren Hafen jax2020
vonStephan Kaps
 
PPTX
WebLogic: Wie schütze ich den AdminServer vor dem Ausfall?
vonOPITZ CONSULTING Deutschland
 
Kubernetes ist so viel mehr als ein Container Orchestrierer
vonQAware GmbH
 
Enterprise Cloud Native ist das neue Normal
vonQAware GmbH
 
Holistische Sicherheit für Microservice Architekturen
vonQAware GmbH
 
Enterprise Cloud Native ist das neue Normal
vonQAware GmbH
 
Der Status Quo des Chaos Engineerings
vonQAware GmbH
 
IPv6 ist da - warum es jetzt keine Ausreden mehr gibt
vonMartin Krengel
 
In den sicheren Hafen jax2020
vonStephan Kaps
 
WebLogic: Wie schütze ich den AdminServer vor dem Ausfall?
vonOPITZ CONSULTING Deutschland
 

Was ist angesagt?

PDF
Holistische Sicherheit für Microservice-basierte Systeme
vonQAware GmbH
 
PDF
Kontinuierliches (Nicht)-Funktionales Testen von Microservices auf K8s
vonQAware GmbH
 
PDF
DevOpsCon 2016 - Continuous Security Testing - Stephan Kaps
vonStephan Kaps
 
PDF
Private Cloud mit Open Source
vonDaniel Schneller
 
PDF
Einführung in RequireJS
vonandreaswo
 
PDF
LinuxTag 2008 - Virtuelle Cold-Standby Server mit Linux
vonSchlomo Schapiro
 
PDF
Private Cloud mit Ceph und OpenStack
vonDaniel Schneller
 
PDF
Mit OpenStack zur eigenen Cloud (OSDC 2012)
vonhastexo
 
PDF
Supersonic Java für die Cloud: Quarkus
vonOPEN KNOWLEDGE GmbH
 
Holistische Sicherheit für Microservice-basierte Systeme
vonQAware GmbH
 
Kontinuierliches (Nicht)-Funktionales Testen von Microservices auf K8s
vonQAware GmbH
 
DevOpsCon 2016 - Continuous Security Testing - Stephan Kaps
vonStephan Kaps
 
Private Cloud mit Open Source
vonDaniel Schneller
 
Einführung in RequireJS
vonandreaswo
 
LinuxTag 2008 - Virtuelle Cold-Standby Server mit Linux
vonSchlomo Schapiro
 
Private Cloud mit Ceph und OpenStack
vonDaniel Schneller
 
Mit OpenStack zur eigenen Cloud (OSDC 2012)
vonhastexo
 
Supersonic Java für die Cloud: Quarkus
vonOPEN KNOWLEDGE GmbH
 

Ähnlich wie stackconf 2020 | SecDevOps in der Cloud by Florian Wiethoff

PDF
Data Center Automation for the Cloud
voninovex GmbH
 
PDF
Cloud Computing ­- eine Revolution? by Hartmut Streppel
vonMedien Meeting Mannheim
 
PDF
OpenStack – Automatisiertes Bereitstellen von Instanzen
vonB1 Systems GmbH
 
PPTX
Service Orchestrierung mit Apache Mesos
vonRalf Ernst
 
PDF
Per Anhalter durch den Cloud Native Stack. #SEACONHH
vonMario-Leander Reimer
 
PDF
Intelligent Workload Management by Werner Lütkemeier
vonMedien Meeting Mannheim
 
Data Center Automation for the Cloud
voninovex GmbH
 
Cloud Computing ­- eine Revolution? by Hartmut Streppel
vonMedien Meeting Mannheim
 
OpenStack – Automatisiertes Bereitstellen von Instanzen
vonB1 Systems GmbH
 
Service Orchestrierung mit Apache Mesos
vonRalf Ernst
 
Per Anhalter durch den Cloud Native Stack. #SEACONHH
vonMario-Leander Reimer
 
Intelligent Workload Management by Werner Lütkemeier
vonMedien Meeting Mannheim
 

stackconf 2020 | SecDevOps in der Cloud by Florian Wiethoff

  • 1.
    SecDevOps in der Cloud Anforderungenim Bankenumfeld & SecDevOps Demo 17.06.2020 | stackconf 2020
  • 2.
    Braintower ist einIT Dienstleister mit 30 Mitarbeitern. Sitz des Unternehmens ist das Saarland. Fokus des Geschäfts liegt auf Design, Aufbau und Betrieb von Netzwerk-, Security-, Cloud- und DevOps- sowie Monitoring-Lösungen bei Enterprise Kunden. MAKE IT BETTER Macht Innovationen verlässlich Florian Wiethoff Cloud Architect CEO
  • 3.
    SecDevOps in der Cloud Anforderungenim Bankenumfeld & SecDevOps Demo
  • 4.
  • 5.
    SHARED RESPONSIBILITY Kunde Security “in”the cloud - Kundendaten - Identity & Access Management - Applikationen - Betriebssysteme - Netzwerk & Firewall Konfiguration - Verschlüsselung (Transport, Storage) Cloud Anbieter Security “of” the cloud - Rechenzentren (Zutritt, Strom, Klima) - Netzwerk - Storage - Virtualisierungsplattform - Cloud Services (IaaS, PaaS, SaaS) - API
  • 6.
  • 7.
    SPEZIALFALL BANKEN? • besondereVorgaben (Bafin) • Sicherheit, Verfügbarkeit, Georedundanz, etc. • Datenschutz • Sicherstellung von Kernprozessen • Compliance (MaRisk, §25a KWG, …) • interne Vorgaben Kein Cloud Provider liefert fertige Lösungen für alle diese Anforderungen
  • 8.
  • 9.
    ANFORDERUNGEN • Firewalls • Azure:Network Security Groups • AWS: Security Groups • Google: Google Compute Firewall • Stateful Packet Inspection
  • 10.
    ANFORDERUNGEN • Firewalls • StatefulPacket Inspection • zweistufiges Firewall Konzept Hersteller BHersteller A
  • 11.
    ANFORDERUNGEN • Firewalls • StatefulPacket Inspection • zweistufiges Firewall Konzept
  • 12.
    ANFORDERUNGEN • Firewalls • StatefulPacket Inspection • zweistufiges Firewall Konzept • weitere Features: • VPN • dynamisches Routing • Webfilter • Anti Virus • Anti Spam • Intrusion Detection • usw.
  • 13.
    ANFORDERUNGEN • Firewalls • StatefulPacket Inspection • zweistufiges Firewall Konzept • weitere Features • Hub & Spoke Architektur Hub virtual network Gateway subnet VPN Gateway vnet peering NSG Web Frontend subnet Spoke 1 virtual network Spoke 2 virtual network vnet peering Firewall subnet Firewall NSG NSG App Backend subnet NSG Web Frontend subnet NSG App Backend subnet
  • 14.
    Hub virtual network Gatewaysubnet VPN Gateway VPN vnet peering On-premises network NSG Web Frontend subnet Spoke 1 virtual network Spoke 2 virtual network vnet peering Firewall subnet Firewall NSG NSG App Backend subnet NSG Web Frontend subnet NSG App Backend subnet VPN Gateway ANFORDERUNGEN • Firewalls • Stateful Packet Inspection • zweistufiges Firewall Konzept • weitere Features • Hub & Spoke Architektur
  • 15.
    ANFORDERUNGEN • Hochverfügbarkeit • Firewalls •Stateful Packet Inspection • zweistufiges Firewall Konzept • weitere Features • Hub & Spoke Architektur
  • 16.
    ANFORDERUNGEN • Hochverfügbarkeit • Firewalls •Stateful Packet Inspection • zweistufiges Firewall Konzept • weitere Features • Hub & Spoke Architektur • Vernetzung der Clouds mit VPNs und BGP Azure 10.100.0.0/16 BGP ASN 65900 GCP 10.102.0.0/16 BGP ASN 65902 AWS 10.101.0.0/16 BGP ASN 65901 On-Premise 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 BGP ASN 65000 Public Internet Public Internet
  • 17.
    • Hunderte Ressourcenmit dutzenden Einstellungen • schlecht reproduzierbar und fehleranfällig • schwere Auditierbarkeit • unautorisierte Änderungen Hohe Komplexität Automatisierung als Lösung
  • 18.
  • 19.
    MULTICLOUD (Sec)DevOps • Terraform •mehr als 150 Adapter • Modularisierbarkeit • Einheitlichkeit • automatisierte Konfiguration • reproduzierbar, skalierbar und inkrementell • Versionskontrolle, IDEs • Agilität • Auditierbarkeit • Ansible, Chef, Puppet, Powershell DC für OS und Apps • CI/CD Pipelines • enorme Geschwindigkeit • hohe Qualität • Testumgebung = einfaches Troubleshooting
  • 20.
  • 21.
    SecDevOps Demo • VerwendeteTechnologien • Microsoft Azure • GitLab Enterprise Server mit Kubernetes Runner • Terraform 0.12 • Fortinet VM Firewalls • Fortinet Terraform Provider • Ansible
  • 22.
    SecDevOps Demo • Schritt1 • Erläuterung des IaC Codes • Deployment Demo Hub in Azure • Erläuterung der Cloud Ressourcen • Zugriff auf die serielle Console der Firewalls • Zugriff auf das Webinterface der Firewalls per VPN
  • 23.
  • 24.
    SecDevOps Demo • Schritt2 • Deployment Demo Spoke 1 in Azure • Erläuterung des IaC Codes • Erläuterung der Cloud Ressourcen • Erläuterung der Firewall Konfiguration
  • 25.
  • 26.
    SecDevOps Demo • Schritt3 • Deployment Demo Spoke 2 in Azure • Erläuterung der Cloud Ressourcen • Erläuterung der Firewall Konfiguration
  • 27.
  • 28.
    SecDevOps Demo • Schritt4 • Deployment Demo VM 1 in Azure • Erläuterung des IaC und CaC Codes • Erläuterung der Cloud Ressourcen
  • 29.
  • 30.
    SecDevOps Demo • Schritt5 • Deployment Demo VM 2 in Azure • Erläuterung der Cloud Ressourcen
  • 31.
  • 32.
    SecDevOps Demo • Tests •Zugriff auf die VMs • Erläuterung der Demo Applikation • Zugriffe von VM 1 zu VM 2 • Troubleshooting • Firewall-Freischaltungen mit IaC
  • 33.
  • 34.
    SecDevOps Demo • Wasman noch machen könnte… • Zugriffe zwischen Subnetzen per NSG testen und freischalten • Dynamisches Routing konfigurieren • Azure Application Gateway als Reverse Proxy und WAF konfigurieren • Web Filter konfigurieren • Intrusion Detection & Prevention konfigurieren • FortiAnalyzer anbinden • Vergleichbare Module für AWS, Google Cloud Platform, VMware und viele andere Cloud- und On-Premise-Resourcen schreiben
  • 35.
    SecDevOps Demo • Wasman noch machen könnte… • Icinga 2 automatisch konfigurieren • CMDBs automatisch befüllen • Server vollautomatisch konfigurieren und patchen • Backups automatisch erstellen • Daten in die Peer-Region replizieren • CI/CD-Pipelines für eine Disaster Recovery in der Peer-Region konfigurieren • GitLab Geo
  • 36.
    Vielen Dank fürEure Aufmerksamkeit. Noch Fragen?