Download - SecTXL '11 | Hamburg - Ulf Feger: "Der Weg zur Cloud Security - ein Transformationsprozess"
© 2011 IBM Corporation
Ulf FegerSecurity Architect, CISSPCompetence Leader Tivoli - Data Center Automation, Cloud & Security
Konzepte, Prozesse und Werkzeuge
Der Weg zur Cloud Security - ein Transformationsprozess
© 2011 IBM Corporation
Konzepte, Prozesse und Werkzeuge
Teil I – Transformation wozu und wovon ?Teil II – Workshop
- Vorstellung und Diskussion der vielseitigen technischen Sicherheitsschichten und (notwendigen) Prozessabbildungen- Sichtweisen auf die Anforderungen gestellt durch das BSI-Eckpunktepapier und deren mögliche Umsetzungen
Der Weg zur Cloud Security - ein Transformationsprozess
© 2011 IBM Corporation3
Cloud & Security
“Cloud”
Standardisierung3
Die private Cloud - Ausgangssituation
Standardisierung / Service Katalog / Image Katalog
Ressourcenplanung (Beschaffung)Request Freigabe Workflow
AbbauBereitstellung/Nutzung(Abrechnung/Kostenverteilung)
Training ApplikationenTest/Dev ...
Power VM, VMware, KVM… Virtualisierung
Monitoring High Availability
Security Secure virt. env. Identity & Access Mgmt.
Repository
Process Automation Engine
Ressourcen
DynamischeProvisionierung
Automatisierung4
Sichere und hochverfügbare private Cloud
5
Virtualisierung2
Konsolidierung1
© 2011 IBM Corporation4
Cloud & Security
Die private Cloud - Ausgangssituation
Power VM, VMware, KVM…Virtualisierung
Ressourcen
Power VM, VMware, KVM…Virtualisierung
Ressourcen
Power VM, VMware, KVM…Virtualisierung
Ressourcen
Power VM, VMware, KVM…Virtualisierung
Ressourcen
Power VM, VMware, KVM…Virtualisierung
Ressourcen
Power VM, VMware, KVM…Virtualisierung
Ressourcen
Power VM, VMware, KVM…Virtualisierung
Ressourcen
Standardisierung / Service Katalog / Image Katalog
Ressourcenplanung (Beschaffung)Request Freigabe Workflow
AbbauBereitstellung/Nutzung(Abrechnung/Kostenverteilung)
Process Automation Engine
© 2011 IBM Corporation5
Cloud & Security
Private Cloud Services
Department A
Enterprise
Department B
Test & Development
Use Case 1
Case specific challenges & pains
Workload Type 1
Production Workloads
Workload Type 2
VDI
Workload Type 2
Hosted Cloud Services
Customer A
Provider
Customer B
Test & Development
Use Case 2Case specific challenges & pains
+ challenges faced by internal providers
Workload Type 1
Production Workloads
Workload Type 3
VDI
Workload Type 2
Not all potential Cloud adopters are IT Service Providers facing Service Provider challenges, however the individual Workload Types are still relevant in these instances – e.g. Test & Dev Hosted SaaS
Workload Type 4
Cloud – Workload – Daten und Prozesse
© 2011 IBM Corporation6
Cloud & Security
Cloud Transformationsphasen zur eigenen Cloud Wo bleibt da die Security ?
Ziele
1
2
3
4
Transition
Transition
Transition
IT Prozesse
IT Prozesse
IT Prozesse
IT Prozesse
IT Prozesse
GSPrz
GSPrz
GSPrz
GSPrz
GSPrz
GRCBaselineSecurityApproval
VSPSIEM
RichtlinienWorkflows
ApprovalReporting
Bsp:
1 2 3 4 5
Konsolidierung
Virtualisierung
Standardisierung
Automatisierung
Cloud
Eliminierung
© 2011 IBM Corporation
Konzepte, Prozesse und Werkzeuge
Teil II – Workshop- Vorstellung und Diskussion der vielseitigen technischen Sicherheitsschichten und (notwendigen) Prozessabbildungen- Sichtweisen auf die Anforderungen gestellt durch das BSI-Eckpunktepapier und deren mögliche Umsetzungen
Der Weg zur Cloud Security - ein Transformationsprozess
© 2011 IBM Corporation8
Cloud & Security
Private Cloud Konstrukte - mehr Möglichkeiten als man denkt
© 2011 IBM Corporation9
Cloud & Security
CloudDienste + Infrastruktur
✪
Cloud RZ Struktur
Private Cloud Firmen-RZ Struktur
CloudDienste + Infrastruktur
Cloud RZ Struktur – lokal verteilt
Deutschland, 1 BL
CloudDienste + Infrastruktur
Cloud RZ Struktur – beliebig, verteilt
weltweit
CloudDienste + Infrastruktur
Cloud RZ Struktur – lokal, verteilt
Deutschland, 1 BLDeutschland, x BLEU weitT&A PE
Admin
© 2011 IBM Corporation10
Cloud & Security
Anforderungen – Cloud Computing & Sicherheit
Sicherheitsanforderungen bezüglich
Datenschutz und Datensicherheit Zugriffs- und Identitätsmanagment Applikations- und Dienstebereitstellung inkl. “Entsorgung” Applikations- und Systemtests inkl. Daten Service Level Agreement – SLA Management Schwachstellen Management und Beseitigung Dienstverfügbarkeit inkl. (überregionalem) Lastausgleich Auditierbarkeit & Governance (GRC – Governance, Risk & Compliance) Grenzüberschreitende Gesetzeseinhaltung, z.B. personenbezogener Informationen Grenzüberschreitende Eigentumsrechte & Exportbegrenzungen Buchungs- und Rechungsgrundlagen und deren Informationsbasis Exit-Management
Cloud Services
Cloud ComputingModel
© 2011 IBM Corporation11
Cloud & Security
IBM Cloud Lösungskomponenten – mehr als nur Virtualisierung
2. Integrate withservice desk and IT asset management processes
1. Anforderung/ Katalog
3. Provision Service
4. Integrate withStorage area network (SAN) and network pools and security mngment
8. Collect, analyze, Report and billbased on Service usage and costs
6. Monitor the Service to detect bottlenecks and potential problems; generate alerts5. Discover the
Service; track configuration and changes to the Service
7. Real-timemanagement and consolidation of events associatedwith Business Service
9. Visualize and align the Service with business objectives and service levels
10. Manage supported Service LevelAgreements (SLAs)
Service = Software, Platform, Infrastructure (i.e. Composite Application, Physical / Virtual OS, Middleware, Network, Storage
Not in all cases will all steps exist in a client engagement
Cloud Services
BSS
OSS
Common Cloud Management Platform
© 2011 IBM Corporation12
Cloud & Security
WindowsApps
WindowsApps
WebApp
WebApp
WebApp
Por
tal
HTT
P S
erve
r
Internet
EnterpriseDir
WindowsApps
Other Apps
WS Gateway
Consumer
Business
User
HR System
Employee/Staff
Por
tal
HTT
P S
erve
r
Web
Aut
hent
icat
ion
and
Aut
horiz
atio
n
ESB (SOA)
Web
Aut
hent
icat
ion
and
Auth
oriz
atio
n
Ent
erpr
ise
Sin
gle
Sig
non
Use
r Aut
hent
icat
ion
Web
Sin
gle
Sign
on
Web
Sin
gle
Sig
non
IdentitySynchronisation
Pro
visi
onin
g
Rec
onci
liatio
n
Workflow & Lifecycle
Entitlement Policy
User Self-service
IdentityStoreR
epor
ting
Provisioning Engine
Admin.
Admin
Auditor
FedSSO A&A FedSSO
A&A
IdentityMapping
Audit Log Consolidation
Log
Col
lect
Log
Col
lect
Log
Col
lect
Log
Col
lect
Log
Col
lect
Log
Col
lect
Log
Col
lect
Log
Col
lect
Log
Col
lect
Audit Policy Compliance Reporting
Policy Enforce
Management Domain
Web Policy Mgmt
FedSSOConf.
WS Policy Mgmt
Admin(s)
Auditor Auditor
SSOPolicyMgmt
Policy Enforce
Unterstützende Sicherheits ”landschaft”
Dynam
isieru
ng
© 2011 IBM Corporation13
Cloud & Security
WindowsApps
WindowsApps
WebApp
WebApp
WebApp
Por
tal
HTT
P S
erve
r
Internet
EnterpriseDir
Security Policy Repository
Identity Repository(Person & Account)
WindowsApps
Other Apps
WS Gateway
Consumer
Business
HTTP (incl. SOAP/HTTP) Connection
Web Services Connection
User
HR System
Employee/Staff
Por
tal
HTT
P S
erve
r
Desktop/Client Connection
Web
Aut
hent
icat
ion
and
Auth
oriz
atio
n
ESB (SOA)
Web
Aut
hent
icat
ion
and
Auth
oriz
atio
n
Ente
rpris
e S
ingl
e S
igno
n
Use
r Aut
hent
icat
ion
Web
Sin
gle
Sign
on
Web
Sin
gle
Sign
on
IdentitySynchronisation
Pro
visi
onin
g
Rec
onci
liatio
n
Workflow & Lifecycle
Entitlement Policy
User Self-service
IdentityStoreR
epor
ting
Provisioning Engine
Admin.
Admin
Auditor
FedSSO A&A FedSSO
A&A
IdentityMapping
Audit Log Consolidation
Log
Col
lect
Log
Col
lect
Log
Col
lect
Log
Col
lect
Log
Col
lect
Log
Col
lect
Log
Col
lect
Log
Col
lect
Log
Col
lect
Audit Policy Compliance Reporting
Tivoli Identity Manager (TIM)
Tivoli Access Manager for e-business (TAMeb)
Tivoli Federated Identity Manager (TFIM)
Tivoli Access Manager for Enterprise Single Signon (TAM E-SSO)
Tivoli Compliance Insight Manager (TCIM)
Policy Enforce
Tivoli Security Policy Manager (TSPM)Management Domain
Web Policy Mgmt
FedSSOConf.
WS Policy Mgmt
Admin(s)
Auditor Auditor
SSOPolicyMgmt
Policy Enforce
Unterstützende Sicherheits ”landschaft”
Cloud Services
BSS
OSS
Common Cloud Management Platform
© 2011 IBM Corporation14
Cloud & Security
WindowsApps
WindowsApps
WebApp
WebApp
WebApp
Por
tal
HTT
P S
erve
r
Internet
EnterpriseDir
Security Policy Repository
Identity Repository(Person & Account)
WindowsApps
Other Apps
WS Gateway
Consumer
Business
HTTP (incl. SOAP/HTTP) Connection
Web Services Connection
User
HR System
Employee/Staff
Por
tal
HTT
P S
erve
r
Desktop/Client Connection
Web
Aut
hent
icat
ion
and
Auth
oriz
atio
n
ESB (SOA)
Web
Aut
hent
icat
ion
and
Auth
oriz
atio
n
Ente
rpris
e S
ingl
e S
igno
n
Use
r Aut
hent
icat
ion
Web
Sin
gle
Sign
on
Web
Sin
gle
Sign
on
IdentitySynchronisation
Pro
visi
onin
g
Rec
onci
liatio
n
Workflow & Lifecycle
Entitlement Policy
User Self-service
IdentityStoreR
epor
ting
Provisioning Engine
Admin.
Admin
Auditor
FedSSO A&A FedSSO
A&A
IdentityMapping
Audit Log Consolidation
Log
Col
lect
Log
Col
lect
Log
Col
lect
Log
Col
lect
Log
Col
lect
Log
Col
lect
Log
Col
lect
Log
Col
lect
Log
Col
lect
Audit Policy Compliance Reporting
Tivoli Identity Manager (TIM)
Tivoli Access Manager for e-business (TAMeb)
Tivoli Federated Identity Manager (TFIM)
Tivoli Access Manager for Enterprise Single Signon (TAM E-SSO)
Tivoli Compliance Insight Manager (TCIM)
Policy Enforce
Tivoli Security Policy Manager (TSPM)Management Domain
Web Policy Mgmt
FedSSOConf.
WS Policy Mgmt
Admin(s)
Auditor Auditor
SSOPolicyMgmt
Policy Enforce
Unterstützende Sicherheits ”landschaft”
Cloud Services
BSS
OSS
Common Cloud Management Platform
Cloud Services
BSS
OSS
Cloud Services
BSS
OSS
Cloud ServicesCloud Services
BSSBSS
OSSOSS
Common Cloud Management Platform
© 2011 IBM Corporation15
Cloud & Security
Cloud Services
BSS
OSS
Common Cloud Management Platform
WindowsApps
WindowsApps
WebApp
WebApp
WebApp
Por
tal
HTT
P S
erve
r
Internet
EnterpriseDir
WindowsApps
Other Apps
WS Gateway
Consumer
Business
User
HR System
Employee/Staff
Por
tal
HTT
P S
erve
r
Web
Aut
hent
icat
ion
and
Aut
horiz
atio
n
ESB (SOA)
Web
Aut
hent
icat
ion
and
Auth
oriz
atio
n
Ent
erpr
ise
Sin
gle
Sig
non
Use
r Aut
hent
icat
ion
Web
Sin
gle
Sign
on
Web
Sin
gle
Sig
non
IdentitySynchronisation
Pro
visi
onin
g
Rec
onci
liatio
n
Workflow & Lifecycle
Entitlement Policy
User Self-service
IdentityStoreR
epor
ting
Provisioning Engine
Admin.
Admin
Auditor
FedSSO A&A FedSSO
A&A
IdentityMapping
Audit Log Consolidation
Log
Col
lect
Log
Col
lect
Log
Col
lect
Log
Col
lect
Log
Col
lect
Log
Col
lect
Log
Col
lect
Log
Col
lect
Log
Col
lect
Audit Policy Compliance Reporting
Policy Enforce
Management Domain
Web Policy Mgmt
FedSSOConf.
WS Policy Mgmt
Admin(s)
Auditor Auditor
SSOPolicyMgmt
Policy Enforce
Unterstützende Sicherheits ”landschaft”
© 2011 IBM Corporation16
Cloud & Security
Cloud - Nutzer Cloud – (Dienst-)AnbieterIT - “klassisch”
Nutzen:• Diensteangebot
Pflichten:
- Authentifizierung- Autorisierung - del. Administration- Rechung begleichen
Erwartungen:
-SLA Erfüllung-Richlinienkonformität-detailiertes Berichts-
wesen
• Zugriffskontrolle, inkl. Regelwerk und Richtlinienverwaltung
• Benutzer- und Berechtigungsmgmnt inkl. Prozessverwaltung und –automation
• Rollenbasierte Funktionstrennung
• Security Policy Management
• Security Monitoring, Auditing, Compliance Reporting
• Funktionstrennung, Mandantenfähigkeit
• Berichtswesen – Security Information und Event Management
• Compliance Audit & Reporting über die IT
• Absicherung von virtuellen Maschinen und der Hosts
• Sicherheits- und Compliance Werkzeug zur Verifikation der Server
• Configuration and Change Management
• Mandantenfähigkeit
• Verknüpfung mit dem Rechnungswesen / Accounting
• Service Management
• Zugriffskontrolle, inkl. Regelwerk und Richtlinienverwaltung
• Benutzer- und Berechtigungsmgmnt inkl. Prozessverwaltung und –automation
• Rollenbasierte Funktionstrennung
• Security Policy Management
• Security Monitoring, Auditing, Compliance Reporting
• Funktionstrennung, Mandantenfähigkeit
• Berichtswesen – Security Information und Event Management
• Compliance Audit & Reporting über die IT
• Absicherung von virtuellen Maschinen und der Hosts
• Sicherheits- und Compliance Werkzeug zur Verifikation der Server
• Configuration and Change Management
• Mandantenfähigkeit
• Verknüpfung mit dem Rechnungswesen / Accounting
• Service Management
Dynam
isieru
ngWelche Herausforderungen sind zu lösen - eine lange Liste, eine neue Liste ?
© 2011 IBM Corporation17
Cloud & Security
Cloud - Kommunikation
Szenarien
DN - DienstnutzerDA - Dienstanbieter1
DN DA
2DA1 DA2DN
DAN3
DAM
DN DA1 DAM+1
DAM+P
FW
IPS
FW
IPS
Cloud-Dienste & Infrastruktur
DN DA
=
* * * *
1 .. n, n>>1
* * * *
Geschäftapplikationen Infrastrukturapplikationen Verzeichnisdienste Container: WS, AS, .. hoch dynamisch Last reaktiv Service managed autom. Provisioniert Security managed
Daten und Prozesse, Prozess-Zertifizierung
© 2011 IBM Corporation18
Cloud & Security
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Mindestanforderungen/Eckpunktepapier-Sicherheitsempfehlungen-CloudComputing-Anbieter.pdf?__blob=publicationFile
© 2011 IBM Corporation19
Cloud & Security
EckpunktepapierSicherheitsempfehlungen für Cloud Computing Anbieter
Sicherheitsmanagement beim Anbieter Rechenzentrumssicherheit Server-Sicherheit Netzsicherheit Sicherheitszone für das Management der Cloud Sicherheitszone für die Live Migration, falls Servervirtualisierung
eingesetzt wird Sicherheitszone für das Storage-Netz Eigene Sicherheitszonen für die virtuellen Maschinen eines
Kunden bei IaaS Anwendungs- und Plattformsicherheit Datensicherheit Verschlüsselung und Schlüsselmanagement ID- und Rechtemanagement Authentisierung Autorisierung Kontrollmöglichkeiten für Nutzer Monitoring und Security Incident Management Notfallmanagement Portabilität und Interoperabilität Sicherheitsprüfung und -nachweis Anforderungen an das Personal Vertragsgestaltung Service Level Agreement (SLA) Datenschutz und Compliance
• BSI-Standard 100-2• IT-Grundschutz• ISO 27001 u.27002• Cloud Security Alliance – German Chapter• ISF – Information Security Forum• TMForum – Tele Management Forum
Interaktives Erarbeiten weiterer Themen
+
Diskussion
© 2011 IBM Corporation20
Cloud & Security
https://www.pcisecuritystandards.org/documents/Rth87Wp/Virtualization_InfoSupp_v2.pdf
© 2011 IBM Corporation21
Cloud & Security
Ausschnitt
Virtualization Overview– Virtualization Concepts and Classes– Virtual System Components and Scoping Guidance
Risks for Virtualized Environments– Vulnerabilities in the Physical Environment Apply in a Virtual Environment– Hypervisor Creates New Attack Surface – Increased Complexity of Virtualized Systems and Networks– More Than One Function per Physical System– Mixing VMs of Different Trust Levels– Lack of Separation of Duties– Dormant Virtual Machines – VM Images and Snapshots – Immaturity of Monitoring Solutions – Information Leakage between Virtual Network Segments– Information Leakage between Virtual Components
Recommendations 15 – Recommendations for Mixed-Mode Environments– Recommendations for Cloud Computing Environments– Guidance for Assessing Risks in Virtual Environments
Virtualization Considerations for PCI DSS
© 2011 IBM Corporation22
Cloud & Security
Risk Management and Security
Themenübersicht• Gesetzliche Grundlagen für das Betreiben von Cloud Computing (National, International ) • Risiko Planung • Risiko Management in Public Cloud Umgebungen • Risiko Management in Privat Cloud Umgebungen • Sicherheits Planung • Security Management in Public Cloud Umgebungen • Security Management in Privat Cloud Umgebungen • Verfügbarkeits Aspekte in Cloud Umgebungen (Hardware Verfügbarkeit - Server, Netzwerk, Storage, Services etc.) • Überprüfung von Security Policys und deren Qualität • Datensicherung und Backup Infrastrukturen in der Cloud • Desaster Recovery Lösungen • Einhaltung von Standards • ITIL in Cloud Umgebungen • Service to Service • Authentifizierungsmethoden in Cloud Umgebungen • Datenschutzbeauftragter und Cloud Computing
© 2011 IBM Corporation23
Cloud & Security
http://www.ibm.com/security/cloud-security.html
IBM Cloud Computing: ibm.com/cloudcomputingibm.com/de/cloud/
Trustworthy Cloud tclouds-project.eu/IBM Enterprise Security: ibm.com/securityIBM Internet Security Systems: ibm.com/services/security
IBM X-Force® Security Alerts and Advisories: xforce.iss.netCloud Standards Customer Council cloud-council.org/
Ulf FegerSecurity Architect, CISSPIBM Software Group
Gustav-Heinemann Ufer 12050968 Cologne, GermanyMobile.: +49-171-22 619 22E-Mail: [email protected]
Q&A
© 2011 IBM Corporation24
Cloud & Security
Sicherheit ist eines der wichtigsten Anliegen beim Cloud-ComputingDas IBM Security Framework bietet hierfür eine speziell konzipierte Struktur
Benutzer und Identitäten
Reduzierung der Risiken bei Benutzerzugriffen auf Unternehmensressourcen
Daten und Informationen
Ermittlung, Implementierung und Auditierung der Kontrollen für den Zugriff auf (sensible) Daten und deren Verwendung
i
Anwendungen und Prozesse
Schutz der Anwendungen vor einer Nutzung in bösartiger oder betrügerischer Absicht sowie vor Ausfällen
Netzwerk, Server und Endpunkte
Optimierung der Serviceverfügbarkeit durch Senkung des Risikos für Netzwerkkomponenten
Physische Infrastruktur
Bereitstellung sinnvoller Informationen zum aktuellen Sicherheitsstatus der physischen Infrastruktur und den entsprechenden Empfehlungen
© 2011 IBM Corporation25
Cloud & Security
IBM Security Framework - IBM Security LösungenIBM Security Framework
© 2011 IBM Corporation26
Cloud & Security
Compliance Anforderungen verstehen – Data Privacy – Data Security
Erwartung
Ziel
Verbesserung der Sicherheit Kostenreduktion Auslastoptimierung
1 Innere Sicherheit Äußere Sicherheit Operationale Sicherheit
2Wie weise ich
nach?
4
Fokussierung auf „Was brauche ich“
3Nachweisbarkeit
5
Sicherheitsrichtlinien Management
Unternehmensrisiken verstehen
Sicherheitsrichtlinien & -programme
Überwachung & Prüfung
Durchsetzung & Automatisierung