Vertraulichkeit für sensible Daten und Transparenz für ihre Prozesse

Transkript

1 Vertraulichkeit für sensible Daten und Transparenz für ihre Prozesse Christian Kreß General Manager SSH Communications Security WE ENABLE, MONITOR & MANAGE ENCRYPTED NETWORKS

2 Agenda Worum geht es? Wie ist der Status Quo Ansätze die Ihnen helfen 2

3 Der Ursprung - rsh, telnet, ftp, Alle Linux und Unix Systeme auf der Welt Jeder Router oder Switch Viele Windows Systeme Bis hin zum Mainframe (z/os und z/linux) 3

4 SSH Protokoll Eigenschaften SSH Feature Name Remote Zugriff SFTP secure file transfer protocol SCP file transfers Local port forwarding (aka local tunneling) Remote port forwarding (aka remote tunneling) Agent forwarding X11 forwarding Remote command execution Description Ersatz/Ablösung des unverschlüsselten Zugangsprotokolls telnet Ersatz/Ablösung des unverschlüsselten Datenübertragungsprotokolls ftp Secure Copy (abgekürzt SCP) ist ein zusätzliches Protokoll (und ein Programm) zur verschlüsselten Übertragung von Daten zwischen zwei Computern über ein Rechnernetz. Verbindungen einer Anwendung auf System des SSH-Clients werden per SSH verschlüsselt auf den Zielserver weitergeleitet: $ ssh -L 9000:localhost:5432 user@example.com $ psql -h localhost -p 9000 Verbindungen einer Anwendung auf System des SSH-Clients werden per SSH verschlüsselt auf den Zielserver weitergeleitet, z.b. um den lokalen VNC Zugriff durch den SSH Tunnel zu erlauben: ssh -R 5900:localhost:5900 Im Zusammenhang mit Passwort geschützten SSH private Keys wird das geheime Passwort automatisch aus einem Agent übermittelt. X Windows basierte Anwendungen benutzen das SSH tunneling für den verschlüsselten Transport der Session Daten. Ersatz/Ablösung des unverschlüsselten Protokolls rsh: tar -cf - /some/dir ssh remote.host.com "cat - > /remote/dir/destination.file.tar" 4

5 Secure Shell in Unternehmen Frage: Wie wichtig ist der Einsatz von Secure Shell in Ihrem Unternehmen? Und wofür kommt SSH zum Einsatz? 82 % 68 % Setzen SSH bewusst ein Sehen SSH als eine kritische Ressource Managed File Transfer Admin-Zugang zu den Systemen Remote VPN Verschlüsselte Datenübertragung im WAN Verschlüsselte M2M Kommunikation Automatisierte Backups RZ Management Automatisierung Zugang für Anwendungsentwickler Erfüllung von Compliance-Anforderungen Cluster/Failover Steuerung 5

6 Wie funktionieren SSH-Keys Tür = System Der Private-Key entspricht dem Schlüssel Der Public-Key entspricht dem Schloss SSH ist besonders häufig bei der Anmeldung von Administratoren oder automatisierten Diensten im Einsatz. Üblicher Status Quo: Jeder Mitarbeiter verantwortet selbst seinen persönlichen Schlüssel bzw. alle von ihm generierten Schlüssel, z.b. für Test- und Produktionssysteme.... Schlüssel von Diensten werden im besten Fall organisatorisch an Personen oder Gruppen gebunden. 6

7 Huch, noch ein Schlüssel Übersetzt: Ist das meine Bank, mit der ich beim Online Banking spreche oder jemand ganz anderes??? 7

8 Im richtigen Leben: 582 Systeme 80-95% aller gefundenen SSH Schlüssel sind nicht oder Übersicht Es gibt Verbindungen mit gültigen SSH Schlüsseln Jede Linie entsteht durch eine Kombination aus privatem und zugehörigen öffentlichen Schlüssel Die roten Linien führen in eine nicht untersuchte Umgebung, z.b. das normale Büro-Netzwerk nicht mehr relevant 8

9 Ein kleineres Netz in Zahlen 670 unterschiedliche Public Keys 498 komplett unbekannte Key Owner 311 Private Keys Public Keys als gültiger Zugang Trust Beziehungen zwischen den Servern (M2M) 10 Administratoren 100 Unix Server. 9

10 12 kleine Herausforderungen 1. Sehr schnell Wachsende Anzahl von SSH Schlüsseln 2. Keine Nachvollziehbarkeit 3. Unklare Prozesse bzgl. der Schlüsselerzeugung und Verwaltung 4. Unklares SSH Konfigurationsmanagement (sshd_config) 5. Nicht definiertes LifeCycle- Management der SSH Schlüssel 6. Unklare Vertrauensstellungen 7. Abgeleitetes Rechtemanagement oft unklar oder unzureichend 8. Hoher manueller Verwaltungsaufwand durch mehrfaches Management von Identitäten 9. Nicht erfüllte Compliance Anforderungen 10. Fehlerhafte SSH Schlüsselerstellung und Verwaltung (manuell) 11. Handling von Dienst-Accounts 12. Host-Key Management mangelhaft. 10

11 Ansätze für eine Lösung 11

12 Integration von Linux und AD Peter Meier User/Password Windows AD Wichtig: Trennung zwischen Datenerfassung und Datenanalyse Linux Host 1 Linux Host 2 Linux Host 3 SSH CryptoAuditor Nur im AD werden die Benutzer verwaltet 12

13 Lösung: Managed Services Provider Peter Meier Windows AD Kunde 1 User/Passwort Firewall Internet Kunde 2 Übrigens: Keinerlei Änderungen am Server oder am Client! SSH CryptoAuditor Kunde 3 Proaktiv das Vertrauen der Kunden gewinnen 13

14 Eine SSH Policy (vereinfacht) Jeder SSH Schlüssel ist bekannt und unbekannte (neue) Schlüssel führen zu einer Alarmierung. hat einen eindeutigen Besitzer bzw. ist einer Rolle zugeordnet. unterliegt klaren Prozessen, z.b. wenn ein Mitarbeiter ausscheidet, ist eindeutig definiert, wie mit den ihm zugeordneten Schlüsseln verfahren wird. hat seinen eindeutigen geschäftlichen Grund (business need). ist auf seine inhaltliche Notwendigkeit beschränkt. 14

15 Christian Kress General Manager Germany Simone Klann EMEA Inside Sales Sebastian Mahn EMEA Inside Sales Manager Michael Groß Support Engineer Wie dürfen wir Sie unterstützen? ENABLE, MONITOR & MANAGE ENCRYPTED NETWORKS