VaaS Verschlüsselung als Mehrwert-Dienst für Hoster, Provider und Systemintegratoren

Größe: px

Ab Seite anzeigen:

Download "VaaS Verschlüsselung als Mehrwert-Dienst für Hoster, Provider und Systemintegratoren"

Bernd Pfaff
vor 9 Jahren
Abrufe

1 VaaS Verschüsseung as Mehrwert-Dienst für Hoster, Provider und Systemintegratoren Ronad Kuhs Snr. Pre-Saes Consuting Eric Behrendt - Channe Saes Manager eric.behrendt@rohde-schwarz.com Rohde & Schwarz SIT GmbH

Pre-Saes Consuting ronad.kuhs@rohde-schwarz.

2 Umwetfaktoren IT Sicherheit Datenschutz, TKG, GDPdU IT Sicherheitsgesetz Sarbanes-Oxey Act (SOX) BSI Grundschutz ISO9001, AQAP Base II & III Geheimschutz (VSA) IT Sicherheit aus Deutschand, Oktober 2014, Rohde & Schwarz SIT 2

Grundschutz ISO9001, AQAP Base II & III Geheimschutz

3 IT-Sicherheitsgesetz Entwurf 08/2014 Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme Agemein Ziee: IT-Systeme und digitae Infrastrukturen Deutschands soen die sichersten der Wet werden Themen: Verbesserung der IT-Sicherheit bei Unternehmen, insbes. bei kritischen Infrastrukturen Schutz der Bürgerinnen und Bürger in einem sicheren Net Schutz der IT des Bundes Stärkung des Bundesamtes für Sicherheit in der Informationstechnik Erweiterung der Ermittungszuständigkeiten des Bundeskrimina-amtes im Bereich Cybercrime Spezie für Kritische Infrastruktur Medepficht von Cyberangriffen (auch anonym) Ab 2015 bindend für Unternehmen der kritischen Infrastruktur: Bis 2017 haben Unternehmen Zeit für Umsetzung, anschießen soen Überprüfungen aer 2 Jahre

bei kritischen Infrastrukturen Schutz der Bürgerinnen und Bürger in einem sicheren Net Schutz der IT des Bundes Stärkung des Bundesamtes für Sicherheit in der Informationstechnik Erweiterung

4 Datenzustände und Sicherungsmaßnahmen Rest bzw. Daten in Ruhe Festpattenverschüsseung beiben nicht ewig nur dort Datenbank Kontentverschüsseung Schüsse- und Zugangsverwatung Datei Verschüsseung Schüsse- und Zugriffsverwatung Data in Motion bzw. Daten auf Reise Meisten Angriffe erfogen auf oder über die Kommunikationswege Pishing DoS Abhören Unterschieben Verändern Übersicht Krypto-Anwendungen für Dimension Data Mai 2014, Rohde & Schwarz SIT 4

Zugangsverwatung Datei Verschüsseung Schüsse- und Zugriffsverwatung Data in Motion bzw.

5 Schwachstee Kommunikation Mobifunknetz GSM/ UMTS/LTE Sateite, Richtfunk Objekt A Leased Line DSL / IP Übertragungsnetz / WAN (Providernetz) Objekt B Ethernet Service Objekt C Mobifunknetz o Sateit GSM/UMTS/LTE /Vsat.. 8

Übertragungsnetz / WAN (Providernetz) Objekt B

6 Was tun? Verschüssen! Was? und Wo? Wo schießen sie Türen ab? Wie verschicken sie Werte? Authentisieren! Wie? Wo? Wie viee Prüfungen auf dem Weg vom Parkpatz zum Abfug? Womit und Wie Verschüssen und Authentisieren? Fahren Sie mit ihrem Wohnmobi stets zur Arbeit? Wievie Schüsse haben Sie am Schüssebund? Was darf es kosten? Was habe ich davon? Ruhig schafen? Kaum Betriebsaufwand? Vertrauen der Kunden? Wenig Rückwirkung auf den Norma Betrieb? Übersicht Krypto-Anwendungen für Dimension Data Mai 2014, Rohde & Schwarz SIT 6

Wievie Schüsse haben Sie am Schüssebund? Was darf es kosten? Was habe ich davon? Ruhig schafen? Kaum Betriebsaufwand?

7 Schutzmaßnahmen Einsatz vertrauenswürdiger IT, Zertifizierung und Zuassung Vor aem in sicherheitskritischen Bereichen soten ausschießich Komponenten eingesetzt werden, die sich einer Zertifizierung nach einem internationa anerkannten Zertifizierungsstandard unterzogen haben.(bsi Zuassung : VS NfD, CC EALx) TeeTrust e.v. [ ] empfieht deshab mit Nachdruck mindestens bei Coud-Speicherung und vertrauicher Kommunikation den Einsatz von Technoogie deutscher oder europäischer Anbieter [ ] 17

Zertifizierungsstandard unterzogen haben.(bsi Zuassung : VS NfD, CC EALx) TeeTrust e.v.

8 Verschüsseung as Mehrwert für Endkunden Emotiona Vertrauen durch zugeassene, zertifizierte Verschüsseung VS-NfD (NATO restricted) Vertrauen in den Anbieter Vertrauen in die Übertragungswege Funktiona Schutz der Übertagung gegen Abhöhren und Manipuation Erfüen vom Compiance Anforderungen Effektiv und effizient über den gesamten Lebenszykus Übersicht Krypto-Anwendungen für Dimension Data Mai 2014, Rohde & Schwarz SIT 8

der Übertagung gegen Abhöhren und Manipuation Erfüen vom Compiance Anforderungen Effektiv und effizient

9 Warum extern verschüssen anstatt im Netzknoten trennt Sicherheit vom Netzwerk Angreifer attackieren oft Netzwerkknoten; hijacked Router gefährden eingebaute Sicherheitsmechanismen Attack physische Separierung trennt Netzwerk- und Sicherheitsmanagement bbereits physisch, Security settings Separate Verschüsseung eraubt Muti- Vendor Netze und Network settings Risiken und Feherpotentia wächst in kompexen Systemen exponentie Kompexe Systeme sind kaum umfassend prüfbar ANG RIFF ANG RIFF IT Sicherheit aus Deutschand, Oktober 2014, Rohde & Schwarz SIT

Security settings Separate Verschüsseung eraubt Muti- Vendor Netze und Network settings Risiken und Feherpotentia wächst in kompexen

10 Netze und Sicherheit Die 7 ISO-OSI Layer und Sicherheitsinien = Strukturierte Sicherheit oder gestaffete Verteidigung Im Leben ISO-OSI Computer Nutzerogin Emaiversch. Appication Layer Presentation Layer Session Layer Aktenschrank Safe/Schrankschüsse SSL, SSH, https Transport Layer Bürotür Büroschüsse IPSec L3 versch. Network Layer Firmengeände Gebäudezugang SDH,Eth. versch. Data Link Layer Öffentiche Straße Firmenausweis (Tor) Leitungsversch. Physica Layer

Appication Layer Presentation Layer Session Layer Aktenschrank Safe/Schrankschüsse SSL, SSH, https Transport Layer

11 Verschüsseungsansätze im Vergeich ISO-OSI Ebene Layer 1 (WDM, Link) Layer 2 (Ethernet) Layer 3 (IP) Pro s Kein Overhead Wenig Angriffsfäche (verschüsseter Bitstrom) Geringste Latenz Geringer Overhead Point-Mutipoint und Mutipoint- Mutipoint Geringe Latenz Wenig Angriffsfäche (verschüssete Datenpakete) Protoko unabhängig (IPv4, v6; FCoE; ) Fexiber Einsatz Vermittung und Übertragung gekoppet Point-Mutipoint and Fumesh Mobie use cases Cross vendor operation (IPsec standard) Many access services are IP based Con s Punkt zu Punkt Kein Integritätsschutz Schüssemanagement ist probematisch (key negotiation key exchange) Seten End to End L2 Dienst notwendig IP Ádressierung nicht sichtbar Verschüsseung für Standeitungen Leitungsvermittung (auch LAN) Geroutete Netze Vermittung und Übertragung gekoppet Re. großer Overhead IPSec ist ohne Muticast Hohe Latenz kompexe Verwatung Beispie DWDM Verschüsseung Verschüssetes Ethernet VPN [EPL, EVPL (VPWS), ELAN, EVPLAN(VPLS)] IPSec, GetVPN IT Sicherheit aus Deutschand, Oktober 2014, Rohde & Schwarz SIT

Point-Mutipoint and Fumesh Mobie use cases Cross vendor operation (IPsec standard) Many access services are IP based Con s Punkt zu Punkt Kein Integritätsschutz Schüssemanagement ist probematisch

12 Datenstau durch Verschüsseung? Kommt darauf an Ethernet pur Aufteiung IP-Pakete nach Größe ( IMIX Traffic ) Größe Anzah 40 Byte Byte Byte 1 64 IT Sicherheit aus Deutschand, Oktober 2014, Rohde & Schwarz SIT

Größe ( IMIX Traffic ) Größe Anzah 40 Byte 7 576 Byte

13 Anwendung: Low-Latency und sichere RZ-Koppung Standort mit Backup-Rechenzentrum 2x 10 Gbit/s Standeitung R&S SITLine ETH40G Zentrae mit Rechenzentrum, Carrier, Sateit und Standeitung R&S SITLine ETH40G Produktion 1x 1 Gbit/s Carrier R&S SITLine ETH1G Low-atency, vermascht Standort mit Forschung und Entwickung 1x 1 Gbit/s Carrier R&S SITLine ETH1G IT Sicherheit aus Deutschand, Oktober 2014, Rohde & Schwarz SIT 13

ETH40G Produktion 1x 1 Gbit/s Carrier R&S SITLine ETH1G Low-atency, vermascht Standort mit Forschung

14 Anwendung: gesicherte SAN Koppung

15 VaaS mit gesicherten Layer 2 Coud Dienst Punkt zu Punkt / zu Mehrpunkt Verbindungen Physikaisch pro Port abgebidet Kundenindividuees Equipment Logisch dargestet auf VLAN Basis Ethernet WAN-Dienste Ethernet Private Line (EPL) Ethernet Private Line (EPLAN) Ethernet Virtua Private Line (EVPL) Ethernet Virtua Private LAN (EVPLAN) Bandbreiten je Standort 40Gbit/s; n*10gbit/s; 1Gbit/s; n*1gbit/s, 100Mbit/s; n*100mbit/s 50,25,10 Mbit/s (auch as EFM via DSL) 1-10 Mbit/s as EFM via DSL Management Netzwerkmanagement (inband) Sicherheitsmanagement über Partner (wg TKÜV, vgbar mit managed IP) aternativ as Secure ++ Dienst > Kunde

Private LAN (EVPLAN) Bandbreiten je Standort 40Gbit/s; n*10gbit/s; 1Gbit/s; n*1gbit/s, 100Mbit/s; n*100mbit/s 50,25,10 Mbit/s (auch as EFM via DSL) 1-10

Ähnliche Dokumente

Sicherheit mobiler Geräte und Cyber Defence

Sicherheit mobiler Geräte und Cyber Defence Sicherheit mobier Geräte und Cyber Defence Kobenzer Fachtagung Informationstechnik 2012 30.08.2012 Raf Dittmar Inhat Mobie Kommunikation heute und morgen Anforderungen und Risiken mobier Geräte Sicherheit