Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.
Cloud Computing –Technologie & MissbrauchspotentialeJens Deponteadesso AG11.07.2011
Cloud11.07.2011   2   Cloud Computing - Technologie und Missbrauchspotential
Cloud Servicemodelle: IaaS – PaaS – SaaS       Infrastructure                              Platform                      S...
Gemeinsame Eigenschaften►   On-Demand    > Nur nutzen (und zahlen), wenn man es gerade braucht►   Überall nutzbar über das...
Cloud Liefermodelle►   Private Cloud►   Public Cloud►   Hybrid Cloud►   Community Cloud11.07.2011   5   Cloud Computing - ...
Cloud-Vorteile: Kostenmodell►   Man bezahlt nur, was man nutzt (Pay-as-you-go) (Public Cloud)►   Praktisch keine Investiti...
Cloud-Aspekt: DatenschutzVerarbeitung personenbezogener Daten►   Ort der Verarbeitung?    > USA? China?    > Europa! (amaz...
Cloud als Angriffswerkzeug11.07.2011   8   Cloud Computing - Technologie und Missbrauchspotential
Cloud als AngriffswerkzeugDirekte Angriffe aus der Cloud►   Alternative zu klassischen Botnets►   Hosting von C&C Servern►...
Cloud als AngriffswerkzeugCloud als unterstützendes Werkzeug►   Nutzung der Rechenleistung & Speicherkapazität►   Kostengü...
Cloud als Angriffsziel11.07.2011   11   Cloud Computing - Technologie und Missbrauchspotential
Cloud als AngriffszielDifferenzierung nach Cloud-Liefermodell und ermittelten Risiken►   Private Cloud    > Analogien zu „...
Auswirkungen von AngriffenHohes Schadenpotential bei Angriffen gegen Cloud-Services►   Große Breitenwirkung möglich durch ...
Cloud als AngriffszielGegenmaßnahmen in der Public Cloud►   Cloud Provider muss Sicherheit bereitstellen►   Perimeter Prot...
Forensik in der CloudUntersuchung von Angriffen in der Public Cloud►   Isolierung der angegriffenen Komponenten ist schwie...
business.people.technology.                          adesso AG                          Stockholmer Allee 24              ...
Nächste SlideShare
Wird geladen in …5
×

Cloud Computing - Technologie und Missbrauchspotentiale

1.355 Aufrufe

Veröffentlicht am

Veröffentlicht in: Sport
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Cloud Computing - Technologie und Missbrauchspotentiale

  1. 1. Cloud Computing –Technologie & MissbrauchspotentialeJens Deponteadesso AG11.07.2011
  2. 2. Cloud11.07.2011 2 Cloud Computing - Technologie und Missbrauchspotential
  3. 3. Cloud Servicemodelle: IaaS – PaaS – SaaS Infrastructure Platform Software as a Service as a Service as a Service> Virtuelle Server> Analog zu > Application Server in Virtualisierung der Cloud > Software Service in> Nur Betriebssystem, > Automatisches der Cloud Storage etc. Skalieren > EMail, CRM, Office> Erst nach Installation > Basis für Individual- Suites… von Applikationsinfra- Software struktur nutzbar Google AppEngine 11.07.2011 3 VMware CloudFoundry Cloud Computing - Technologie und Missbrauchspotential
  4. 4. Gemeinsame Eigenschaften► On-Demand > Nur nutzen (und zahlen), wenn man es gerade braucht► Überall nutzbar über das Netz► Schnelle Elastizität z. B. bei hoher Last > Mehr Ressourcen können schnell zur Verfügung gestellt werden► Self-Service > Selber buchen über eine Portal > Vollautomatisierte Prozesse > Keine Beauftragung des Betriebs oder Dienstleisters > Wesentlich weniger Aufwand und wesentlich schneller► Vision: IT wird wie Strom oder das Telefon > Steht immer und überall ausreichend zur Verfügung11.07.2011 4 Cloud Computing - Technologie und Missbrauchspotential
  5. 5. Cloud Liefermodelle► Private Cloud► Public Cloud► Hybrid Cloud► Community Cloud11.07.2011 5 Cloud Computing - Technologie und Missbrauchspotential
  6. 6. Cloud-Vorteile: Kostenmodell► Man bezahlt nur, was man nutzt (Pay-as-you-go) (Public Cloud)► Praktisch keine Investitionskosten► Last-Spitzen kostengünstig abdecken► Transparente Kosten► Bessere Ressourcen-Auslastung (Private Cloud)► Kosten können intern weiterberechnet werden► Logischer Schritt nach Virtualisierung11.07.2011 6 Cloud Computing - Technologie und Missbrauchspotential
  7. 7. Cloud-Aspekt: DatenschutzVerarbeitung personenbezogener Daten► Ort der Verarbeitung? > USA? China? > Europa! (amazon-Einstellung: Daten nur in Europa verarbeiten und speichern)► Rechts (un) sicherheit > Beschlagnahmeschutz / Insolvenzschutz► Verantwortliche Stelle > Auftragsdatenverarbeitung (§11 BDSG) – Cloud Dienstleistung als klassische ‚Datenverarbeitung im Auftrag?‘ – Überprüfung der technisch-organisatorischen Maßnahmen wird vorausgesetzt > Funktionsübertragung – Erfordert Zustimmung (z.B. in AGBs) oder ‚Erforderlichkeit‘► Ausweg bspw. die GDV-Initiative Trusted German Insurance Cloud11.07.2011 7 Cloud Computing - Technologie und Missbrauchspotential
  8. 8. Cloud als Angriffswerkzeug11.07.2011 8 Cloud Computing - Technologie und Missbrauchspotential
  9. 9. Cloud als AngriffswerkzeugDirekte Angriffe aus der Cloud► Alternative zu klassischen Botnets► Hosting von C&C Servern► Nutzbar z. B. für (D)DoS oder Brute ForceQuelle: http://www.tecchannel.de/sicherheit/news/2027448/sip_attacken_angriffe_kommen_aus_der_amazon_cloud/index.html?r=557603823902419&lid=7383911.07.2011 9 Cloud Computing - Technologie und Missbrauchspotential
  10. 10. Cloud als AngriffswerkzeugCloud als unterstützendes Werkzeug► Nutzung der Rechenleistung & Speicherkapazität► Kostengünstige Berechnungen > z. B. von Rainbowtables► Knacken von Passworten oder kryptographischen Schlüsseln > z. B. zum Brechen der iPhone-Verschlüsselung► Beschleunigung durch GPU-Computing in der Cloud > CUDA, OpenCL etc. erlauben deutlich höhere Durchsatzraten als Standard- Hardware > HPC in der Cloud11.07.2011 10 Cloud Computing - Technologie und Missbrauchspotential
  11. 11. Cloud als Angriffsziel11.07.2011 11 Cloud Computing - Technologie und Missbrauchspotential
  12. 12. Cloud als AngriffszielDifferenzierung nach Cloud-Liefermodell und ermittelten Risiken► Private Cloud > Analogien zu „klassischer“ Infrastrukur► Public Cloud > Eigene Maßnahmen i.W. auf organisatorischer Ebene möglich (Risikoanalyse) Availability > Cloud Provider muss Sicherheit bereitstellen > Vertrauen zum Provider?! Integrity Confidentiality11.07.2011 12 Cloud Computing - Technologie und Missbrauchspotential
  13. 13. Auswirkungen von AngriffenHohes Schadenpotential bei Angriffen gegen Cloud-Services► Große Breitenwirkung möglich durch gezielte Angriffe auf > Basisinfrastruktur (Netzwerk, Storage etc.) > Hypervisor► Schäden durch > Ausfallzeiten > Datendiebstahl > Datenverlust► Großes Schadenpotential durch starke Verdichtung von Services ggf. unterschiedlicher Kunden in einer CloudBeispiel (unabhängig von der Ursache):► Ausfall der Cloud-Services bei amazon ab 21.04.2011: > Ausfallzeiten von bis zu 3 Tagen > unwiederbringliche Datenverluste11.07.2011 13 Cloud Computing - Technologie und Missbrauchspotential
  14. 14. Cloud als AngriffszielGegenmaßnahmen in der Public Cloud► Cloud Provider muss Sicherheit bereitstellen► Perimeter Protection funktioniert nur eingeschränkt > Eindämmung von Angriffen aus der Cloud in die Cloud► Security Infrastruktur nur als Software-Lösung > Bspw. keine WAF-Appliance > Neue kryptographische Verfahren in Entwicklung► Monitoring, Intrusion Detection & Prevention > in klassischer DMZ schon aufwändig > Cloud bietet deutlich mehr Flexibilität► Ein Fazit: > Absicherung muss auf der Anwendungsebene erfolgen11.07.2011 14 Cloud Computing - Technologie und Missbrauchspotential
  15. 15. Forensik in der CloudUntersuchung von Angriffen in der Public Cloud► Isolierung der angegriffenen Komponenten ist schwierig► Zugriff auf Log-Daten erschwert insb. bei SaaS► Forensik-Werkzeuge müssen auf Cloud-Technologie angepasst werden > Ausnahme: VM Image sehr gut untersuchbar11.07.2011 15 Cloud Computing - Technologie und Missbrauchspotential
  16. 16. business.people.technology. adesso AG Stockholmer Allee 24 44269 Dortmund Phone: +49 231 930-9234 Fax: +49 231 930-9331 Jens Deponte Mobil: +49 178 280 8021 jens.deponte@adesso.de Principal Software Engineer www.adesso.de

×