Sicherheit in der technischen Infrastruktur von Rechenzentren. future thinking 2016

Transkript

1 Sicherheit in der technischen Infrastruktur von Rechenzentren future thinking 2016 Prof. Dr.-Ing. Andreas Grzemba innovativ & lebendig Bildungsregion DonauWald

2 Prof. Dr.-Ing. Andreas Grzemba Studium: Technische Kybernetik und Automatisierungstechnik Entwickler/Produktmanager für GLT-Systeme Vizepräsident F&E der TH Deggendorf Lehre: Digitaltechnik, Sensor-Aktor-Netzwerke, Echtzeitsysteme, Systemprogrammierung Forschung: In-Car Kommunikationssysteme, Embedded Security Leiter des Instituts ProtectIT Zweiter Vorstand des Verein Technik für Kinder ( Hobby: Segelfluglehrer an der Alpenflugschule Unterwössen

3 Inhalt Vorstellung TH Deggendorf Gefahrenpotential in ICS und RZ Infrastruktur Security Anforderungen für RZ Infrastruktur Security Aspekte in Kontext mit BACnet Vorschlag für eine sichere RZ Infrastruktur Zusammenfassung 3

4 Der Campus in Deggendorf 1994: Gründung 1998: Neubau und Einrichtung der Ingenieurfakultäten 2013: Ernennung zur Technischen Hochschule 2014: Eröffnung Campuserweiterung 6 Fakultäten 21 Bachelorstudiengänge 12 Masterstudiengänge 6 Weiterbildungs-Master 5 Weiterbildungs-Bachelor

5 Verteilung der Studierende 5600 Studierenden in 6 Fakultäten: Angewandte Wirtschaftswissenschaften (School of Management) Maschinenbau & Mechatronik Elektrotechnik, Medientechnik & Informatik Bauingenieurwesen & Umwelttechnik Naturwissenschaft Wirtschaftsingenieurwesen Angewandte Gesundheitswissenschaften Berufsbegleitendes Studium inkl. Master und MBA

6 RZ- Seminare an der TH Deggendorf Management und Betrieb von Rechenzentren Datencenter Infrastruktur, Architektur und Design Dauer / Zeitkonzept: 4-Tages-Seminar (Montag Donnerstag) von 8.30 Uhr bis 17:00 Uhr

7 Technischen Hochschule Deggendorf Prof. Dr.-Ing. Peter Fröhlich Prof. Dr.-Ing. Andreas Grzemba 8

8 ProtectIT Institute ANSII (Anomaly detection and embedded security in Industrial IT) Embedded security and anomaly detection Establish chain of trust SINEMA ( Security in industrial networks based on smart anomaly detection) Integrity verification of individual devices (e.g. TPM, TNC) Intelligent methods for anomaly detection (e.g., Neural Networks) SURF (Systemic Security for Critical Infrastructures) Systemic security for critical infrastructures Security for legacy systems Measuring probes for information pre-processing

9 Project SURF Systemic Security for Critical Infrastructures Systemic security for critical infrastructures Security for legacy systems Measuring probes for information preprocessing Priorization of alarm messages Automatic reaction recommendations to incidents TECHNISCHE HOCHSCHULE DEGGENDORF

10 Inhalt Vorstellung TH Deggendorf Gefahrenpotential in ICS und RZ Infrastruktur Security Anforderungen für RZ Infrastruktur Security Aspekte in Kontext mit BACnet Vorschlag für eine sichere RZ Infrastruktur Zusammenfassung 11

11 Sicherheitsvorfälle Heise online am BSI-Sicherheitsbericht: Erfolgreiche Cyber-Attacke auf deutsches Stahlwerk Spear-Phishing -> Büronetz -> Infiltrierung der Steueranlagen -> Manipulation der SPS -> der Hochofen konnte nicht geregelt heruntergefahren werden -> massive Schäden Beschädigungen Mehr als PLCs über das Internet erreichbar Scan mit der Suchmaschine Shodan belegt: stieg die Zahl der frei zugänglichen PLCs um gut 300 Prozent auf über Oftmals sind die Industrie-Komponenten aus Wartungsgründen direkt mit dem Internet verbunden Heise online am Heise online am Stromausfall in der Ukraine augenscheinlich durch Hacker ausgelöst Stromausfälle in der westukrainischen Region Iwano-Frankiwsk zumindest zum Teil durch einen Hacker-Angriff ausgelöst 12

12 BSI: Top 10 der Bedrohungen für ICS N o 1 Unberechtigte Nutzung von Fernwartungszugängen Infektion mit Schadsoftware über Internet und Intranet 2 Online Attacks via Office / Enterprise Networks Einschleusen von Schadsoftware über Wechseldatenträger und externe Hardware 3 Angriffe auf eingesetzte Standardkomponenten im ICS Social Engineering Netz 4 (D)DoS Attacks Menschliches Fehlverhalten und Sabotage 5 Menschliches Fehlverhalten und Sabotage Einbruch über Fernwartungszugänge 6 Einschleusen von Schadcode über Wechseldatenträger Internet verbundene Steuerungskomponenten und externe Hardware 7 Lesen und Schreiben von Nachrichten im ICS Netz Technisches Fehlverhalten und höhere Gewalt 8 Unberechtigter Zugriff auf Ressourcen Kompromittierung von Smartphones im Produktionsumfeld 9 Angriffe auf Netzwerkkomponenten Kompromittierung von Extranet und Cloud Komponenten 10 Technisches Fehlverhalten und höhere Gewalt (D)DoS Angriffe Source: Quelle: BSI-A-CS 005 Version 1.10 vom

13 ICS-CERT Fiscal Year 2015: Final Incident Response Statistics Incidents by Sector, 295 total. Incidents by Attempted Infection Vector Quelle: ICS-CERT Monitor Nov-Dec

14 IT-Sicherheitsgesetz Pflicht zur Einhaltung von IT-Sicherheitsstandards (Stand der Technik) Allgemein: ISO 2700x, IT-Grundschutzkataloge des BSI, ISO/IEC (Common Criteria), NIST Industrial Security Standards: IEC 62443, VDI/VDE 2182, NIST NIST SP 800 series Vorschriften: FDA, NERC CIP, CFATS, CPNI, KRITIS, ICS-Security-Kompendium des BSI Empfehlungen des ICS-CERT VDMA (Entwurf) Bitkom Arbeitskreis RZ Infrastruktur 16

15 Inhalt Vorstellung TH Deggendorf Gefahrenpotential in ICS und RZ Infrastruktur Security Anforderungen für RZ Infrastruktur Security Aspekte in Kontext mit BACnet Vorschlag für eine sichere RZ Infrastruktur Zusammenfassung 19

16 Sicheres Rechenzentrum - Kategorie D Ausfallzeit = 0min EVU-Einspeisung redundant USV redundant Notstrom redundant Klimasystem redundant Brandmeldeanlage Sauerstoffreduzierungssystem Zugangskontrolle BITKOM; Planungshilfe betriebssicheres Rechenzentrum;

17 Netzwerkarchitektur TECHNISCHE HOCHSCHULE DEGGENDORF Fernwartung GLT- Leitstation Internet VPN VPN Rechenzentrum BACnet/IP HTTP GLT-Server BACnet/IP Gateway/Datenkonzentrator Ethernet M-Bus Messsysteme HLK Controller HLK Controller HLK Controller HLK Controller HLK Controller HLK Controller BACnet Modbus/TCP Proprietär KNX Modbus RS485 Proprietäres Protokoll Elektro USV USV Controller Wartung Redundantes Systems Wartung 21

18 Verfügbarkeit - Security ICS-Security Integrität Verfügbarkeit Verfügbarkeit Vertraulichkeit 1-dimensionale Risikoklassifikation Mehrdimensionale Risikoklassifikation

19 Herausforderungen Schutz gegen Eindringen Intrusion Prevention Systems (IPS) (Härten) Erkennen von Angriffen Intrusion Detection Systems (IDS) Analyse von Angriffen Security Information and Event Management (SIEM) Forensik Löschen von nicht benötigten Daten 23

20 ICS versus IT and Security Industrial Control Systems (ICS) Schutz eines sicheren und zuverlässigen Betriebs M2M-Kommunikation Dezentrales vernetztes System Remote Access Long Life Cycles Nicht einfach patchbar IT Systems Schutz von Daten und deren Transport Nutzer ist eine Person Zentralisiertes System betriebswirtschaftlich skaliert Remote Access seltener Relativ Short Life Cycles Standardisierter Patchprozess 25

21 Inhalt Vorstellung TH Deggendorf Gefahrenpotential in ICS und RZ Infrastruktur Security Anforderungen für RZ Infrastruktur Security Aspekte in Kontext mit BACnet Vorschlag für eine sichere RZ Infrastruktur Zusammenfassung 26

22 BACnet Protokoll Source: BACnet standards; ASHRAE Standards Client Who-is Request I-Am Response BACnet Device 27

23 Protocol Stacks Application Layer Transport Layer Network Layer HTTP, MQTT OPC UA TLS TCP IPv4/IPv6 COAP/ BACnet DTLS UDP IPv6 6LowPAN AVB/TSN IEEE1588 ARP Spanning Tree Protocol (STP). Security Data Link Layer MAC Layer IEEE Physical Layer UTP;STP; Coax; POF; Wireless IEEE

24 Inhalt Vorstellung TH Deggendorf Gefahrenpotential in ICS und RZ Infrastruktur Security Anforderungen für RZ Infrastruktur Security Aspekte in Kontext mit BACnet Vorschlag für eine sichere RZ Infrastruktur Zusammenfassung 30

25 Segmentierung: Zentrale Maßnahme nach IEC Segmentierung Netzwerk in Zonen einteilen Conduits definieren die Kommunikation zwischen den Zonen Firewalls überwachen die Kommunikation zwischen den Zonen Firewall stateful filter VLAN VPN IDS 31

26 Netzwerkarchitektur Internet Fernwartung VPN VPN DMZ Infrastruktur Rechenzentrum Wartung IDS; Firewall, Virenscanner Authentifizierung Wartungs- Server BACnet/IP Proxy-Server HTTP GLT-Server BACnet/IP Gateway/Datenkonzentrator BACnet HLK Controller Ethernet VLAN1 M-Bus KNX Messsysteme Elektro Conduit HLK Controller VLAN2 Redundantes Systems Modbus RS485 Proprietäres Protokoll USV USV Controller Wartung

27 Zusammenfassung Defense in Depth Anlagensicherheit Netzwerksicherheit Systemsicherheit Dynamischer Prozess VDI/VDE 2182: Vorgehensmodell Zonenbildung/Netzwerksequentierung Durchdachtes (Fern)Wartungskonzept 33

28 Fragen? See our project page Contact information Deggendorf Institute of Technology Institute ProtectIT Edlmairstr Deggendorf, Germany 34

29 Seminar: Management und Betrieb von Rechenzentren Zielgruppe: Fachkräfte, die bereits als RZ-Mitarbeiter tätig sind Hochschulabsolventen aus den Fachdisziplinen wie Informatik, Ingenieurwissenschaft, Mathematik oder Wirtschaftsinformatik Praktiker mit einem Abschluss aus der dualen Berufsbildung (z.b. Fachinformatiker, Informatikkaufmann/frau, IT-System-Elektroniker) und einer mindestens 3-jährigen einschlägigen Berufserfahrung Inhalt: Strategiemanagement - Personalmanagement Lieferanten-, Partner- u. Vertragsmanagement - Wartungsmanagement Recht- und Compliancemanagement - Produkt- und Komponentenmanagement Anlagenmanagement - Risikomanagement Informations- und Kommunikationsmanagement - Krisenmanagement Versicherungsmanagement - Beschaffungsmanagement Dokumentationsmanagement - Sicherheitsmanagement Dauer / Zeitkonzept: 4-Tages-Seminar (Montag Donnerstag) von 8.30 Uhr bis 17:00 Uhr Gruppengröße: Mindestteilnehmerzahl: 8 Teilnehmer Kosten: 990 EUR inkl. Schulungsunterlagen

30 Seminar: Datencenter Infrastruktur, Architektur und Design Zielgruppe: Fachkräfte, die bereits als RZ-Mitarbeiter tätig sind Hochschulabsolventen aus den Fachdisziplinen wie Informatik, Ingenieurwissenschaft, Mathematik oder Wirtschaftsinformatik Praktiker mit einem Abschluss aus der dualen Berufsbildung (z.b. Fachinformatiker, Informatikkaufmann/frau, IT-System-Elektroniker) und einer mindestens 3-jährigen einschlägigen Berufserfahrung Inhalt: Gebäude - Räume und Erschließung - Stromversorgung Klimatechnik - Sicherheitstechnik - Verkabelungssysteme RZ- und IT-Einrichtungen - WLAN LAN - SAN - NAS Storage - Server - Switch Dauer / Zeitkonzept: 4-Tages-Seminar (Montag Donnerstag) von 8.30 Uhr bis 17:00 Uhr Gruppengröße: Mindestteilnehmerzahl: 8 Teilnehmer Kosten: 990 EUR inkl. Schulungsunterlagen