eberhard@keyon.ch V1.3b 2012 by keyon (www.keyon.ch)

eberhard@keyon.ch V1.3b 2012 by keyon (www.keyon.ch)

Über Keyon Experten im Bereich IT-Sicherheit und Software Engineering

Über diese Keynote

Einleitung Über diese Keynote Um die Aspekte «IAM in der Cloud» verstehen zu können, werden die folgenden Punkte in dieser Keynote angesprochen Definition und Grundsätze IAM Definition und Grundsätze Cloud Authentisierungs-, Autorisierungs- und Provisioningmodelle in der Cloud

Definition und Grundsätze IAM

Einleitung IAM Definition Identity und Access Management (IAM) Identity Management (IDM) Organisatorische und technische Prozesse im Zusammenhang mit der Definition, Benennung Verwaltung und Rapportierung von digitalen Identitäten, deren Rollen, Attributen und Berechtigungen. Access Management Technische Prozesse im Zusammenhang mit der Regelung und Rapportierung eines Zugriffs auf IT-Ressourcen.

Einleitung IAM Zielsetzung IAM Zentrale, einheitliche und effiziente Verwaltung von Entitäten und deren Rollen und Berechtigungen. Wissen, wer wann wem für wie lange welche Rechte zugewiesen hat. Konsolidieren und reduzieren aktueller Benutzer und Gruppen Verantwortungen auf fachlicher Ebene regeln und überprüfen Einhalten von regulatorischen Anforderungen Being ready for the cloud

Einleitung IAM Grundsätze im Umgang mit IAM Entitäten (Personen, Systeme und technische Accounts) werden über definierte HR resp- IT Prozesse nachvollziehbar erfasst, gelöscht, mutiert, aktiviert und deaktiviert. Berechtigungen werden durch die jeweiligen Fachbereiche über Business- resp. Funktionsrollen vergeben, mutiert, aktiviert und deaktiviert. Die Rollenteilung muss übergeordnet über dem jeweiligen Fachbereich sichergestellt werden. Die Rollen mit den entsprechenden Berechtigungen werden nach dem «need to know» resp. «need to have» Prinzip vergeben.

Einleitung IAM Grundsätze im Umgang mit IAM Die Fachbereiche überprüfen und bereinigen periodisch die Benutzerkonten sowie deren Zuordnung zu den jeweiligen Rollen und Berechtigungen. Einführen von technischen Massnahmen. Beispielsweise können Konten, die über einen längeren Zeitraum nicht verwendet wurden, automatisch deaktiviert werden. Primär organisatorische Prozesse in Abhängigkeit von regulatorischen Anforderungen.

Einleitung IAM Funktionsweise IAM (vereinfacht) Im IAM werden Entitäten, Rollen und deren Berechtigungen verwaltet. Die Entitäten, Rollen und Berechtigungen werden über entsprechende Konnektoren, der Zielapplikation bereitgestellt. Die Zielapplikation authentisiert den Benutzer und autorisiert den Zugriff über lokale (ACL) oder zentrale Services IT Inventar IAM Application / Services Entität m:n Rolle p:q Recht App / Servic HR Management AD / LDAP Provisioning Audit Monitoring IDP Access Services / ACL

Gruppen vs. Rollen Gruppen DAC, MAC Rechte werden an Benutzer oder Gruppen zugewiesen. Bei der Rechteprüfung (z.b. Leserechte bei einem File) spielt es keine Rolle, ob das Recht dem einzelnen Benutzer oder der Gruppe zugeordnet wurde. Ein spezifischer Benutzer kann 0..n Gruppen angehören. Gruppen sind lediglich ein Hilfsmittel für Administratoren, einzelne Rechte an mehreren Benutzern zu vergeben. Gruppen werden fälschlicherweise auch als Rollen bezeichnet. Keine Aufgabentrennung (Separation of Duty) Das Authentisierungsframework von Windows basiert auf DAC User r:s Gruppe m:n p:q Recht

Gruppen vs. Rollen Rollen RBAC Rechte werden an Rollen zugewiesen. Benutzer werden Rollen zugeteilt. Bei der Rechteprüfung (z.b. Leserechte bei einem File) werden ausschliesslich die Rechte der Rolle überprüft. Statische Aufgabentrennung (Separation of Duty) Dynamische Aufgabentrennung mit Sessions (Separation of Duty) e:f Gruppe g:h a:b Session c:d Dynamic Separation of Duty Entität m:n Rolle p:q Recht r:s Zusammengesetzte Rolle Einfache Rolle

Gruppen vs. Rollen Rollen RBAC in der Praxis (Windows / Unix) Im IDM werden Benutzer, Rollen und Rechte gemäss den Prinzipien von RBAC verwaltet. Die Rollen werden nach definierten Regeln in Windows / Unix Gruppen zugeordnet und periodisch auf den entsprechenden System aktualisiert (Provisioning) Nur statische Aufgabentrennung möglich Unix / Linux LDAP IDM Provisioning Microsoft AD Gruppe e:f g:h Session a:b c:d Dynamic / Static Separation of Duty User r:s Gruppe User m:n Rolle p:q Recht r:s m:n p:q Zusammengesetzte Rolle Einfache Rolle Recht

Zusammenfassung IAM Die Umsetzung eines IAM betrifft primär organisatorische Strukturen und Prozesse. Sie ist weitgehend unabhängig von technischen Eigenschaften der Lösung oder von Standorten der IAM Komponenten.

Definition und Grundsätze Cloud

Gruppen vs. Rollen Definition Cloud Computing Cloud Computing bezeichnet das dynamisch, an den Bedarf angepasste Anbieten, Nutzen und Abrechnen von IT-Dienstleistungen über ein Netz. Angebot und Nutzung dieser Dienstleistungen erfolgen dabei ausschliesslich über definierte technische Schnittstellen und Protokolle. Die Spannbreite der im Rahmen von Cloud Computing angebotenen Dienstleistungen umfasst das komplette Spektrum der Informationstechnik und beinhaltet unter anderem Infrastruktur, Plattformen und Software. Quelle: BSI - Eckpunktepapier Sicherheitsempfehlungen für Cloud Computing Anbieter Mindestanforderungen in der Informationssicherheit

Einleitung Cloud Vorgehen der Unternehmen (Auszüge aus aktuellen Studien) Wie intensiv befassen sich Unternehmen mit Cloud Strategien? Quelle: IDC Executive Brief, Transformation der Unternehmens-IT auf dem Weg in die Cloud, 2011

Einleitung Cloud Cloud relevante Herausforderungen? Welches sind die wichtigsten Herausforderungen für die IT in den kommenden 12 bis 24 Monaten? Quelle: IDC Executive Brief, Transformation der Unternehmens- IT auf dem Weg in die Cloud, 2011

Einleitung Cloud Definition Public Cloud Quelle: http://cloudbestpractices.net/author/lotuscsp/

Gruppen vs. Rollen Definition *aas in der Public Cloud Software as a Service Nutzungszugang von Anwendungsprogrammen. Der Kunde ist verantwortlich für die Vergabe der Zugriffsrechte. Beispiel: servicenow, salesforce Plattform as a Service Nutzungszugang von Programmierungs- oder Laufzeitumgebungen mit flexiblen und dynamischen Rechen- und Datenkapazitäten. Der Kunde ist verantwortlich für die Applikation und stellt diese beispielsweise als.war File bereit. Zudem ist er verantwortlich für die diesbezüglichen Sicherheits- und Managementfunktionen. Beispiel: Google App Engine

Gruppen vs. Rollen Definition Public Cloud Infrastructure as a Service Nutzungszugang von virtualisierten Ressourcen (Server, Netzwerk Speicher und Storage). Der Kunde ist verantwortlich für das Betriebssystem inkl. allen Applikationen, Sicherheits- und Managementfunktionen. Beispiel: Amazon EC2 Alle zuvor genannten Services können innerhalb eines Unternehmens analog bereitgestellt werden (Private Cloud). Als «Hybrid Cloud» werden Dienste bezeichnet, die sowohl aus der Private- als auch der Public Cloud bezogen werden.

Einleitung Cloud Verantwortlichkeiten in der Public Cloud Public Cloud Managed by Customer SaaS Access control (partial) Monitoring system use and access (partial) Incident response PaaS Availability management (external resources) Access control Vulnerability management (applications) Patch management (applications) Configuration management (applications) Incident response Monitoring system use and access (applications) IaaS Availability management (external services) Access control (user and limited network) Vulnerability management (operating system and applications) Patch management (operating system and applications) Configuration management (operating system and applications) Incident response Monitoring system use and access (operating system and applications) Quelle: Cloud Security and Privacy, ISBN: 978-0-596-80276-9

IaaS PaaS SaaS Regulatorien, Compliance PaaS Einleitung Cloud Verantwortlichkeiten in der Public Cloud Der Cloud Kunde ist alleinig verantwortlich für die Authentisierung / Autorisierung bei *aas. Cloud Customer App Authentication / Autorization App / Prozesse IaaS SaaS Plattform / Mgmt. Prozesse Virtualisierung / Mgmt. Prozesse Hardware Gebäude / Lokation Cloud Provider Basis ohne Regulatorien und Compliance: NIST Special Publication 800-144

Einleitung Cloud Sicherheit in der Public Cloud Abhängig vom *aas hat das Unternehmen mehr oder weniger Kontrolle über die ausgelagerte Komponenten oder Daten. Dem Cloud Anbieter muss entsprechend vertraut werden. Dies bezieht sich auf die Infrastrukturkomponenten sowie auf die Vertraulichkeit, Integrität und Authentizität der Daten. Zudem muss auf die korrekte Funktionsweise der für die Authentifizierung und Autorisierung verwendeten Komponenten (im Falle von PaaS und SaaS sowie Administration von PaaS und IaaS) sowie den entsprechenden Managementprozessen vertraut werden. Es gibt viele Sicherheitsaspekte, die im Zusammenhang mit dem Auslagern von Komponenten oder Applikationen von Seiten des Kunden und des Cloud Anbieters betrachtet werden müssen. Die Sicherheitsempfehlungen des BSI für Cloud Computing Anbieter sind eine gute Orientierungshilfe. https://www.bsi.bund.de/shareddocs/downloads/de/bsi/mindestanforderungen/eckpunktepapier-sicherheitsempfehlungen-cloudcomputing-anbieter.pdf? blob=publicationfile

Einleitung Cloud Neue Sicherheitslösungen für die Private Cloud und Public Cloud Im Businesskritischen Umfeld sind die Vertraulichkeit der Daten sowie die Kontrolle (Start, Kopie, etc.) der virtuellen Instanzen Schlüsselelemente für den Erfolg Beispielsweise bietet SafeNet auf diesem Gebiet interessante Sicherheitslösungen an, welche die Vertraulichkeit der Daten sowie die Kontrolle der virtuellen Instanzen sichern. SafeNet ProtectV Instance Verschlüsselung von virtuellen Servern SafeNet ProtectV Volume / Protect Storage Verschlüsselung von Files und Folder auf Lokalen und Cloud Storage

Einleitung Cloud Klassifizierung der Daten und Bewerten der Cloud Anbieter Es liegt in der Verantwortung der Kunden zu entscheiden, welche Daten mit welchen Klassifizierungen an spezifische Cloud Anbieter ausgelagert werden können. Beurteilen der Sicherheitsäquivalenz Die Sicherheitsempfehlungen des BSI für Cloud Computing Anbieter sind eine gute Orientierungs- und Entscheidungshilfe. Folgende übergeordnete Serviceklassifizierungen werden hierbei berücksichtigt: Basisanforderungen Hohe Vertraulichkeit umfasst zusätzliche Anforderungen für Bereiche mit hohem Schutzbedarf bei Vertraulichkeit Hohe Verfügbarkeit umfasst zusätzliche Anforderungen für Bereiche mit hohem Verfügbarkeitsbedarf https://www.bsi.bund.de/shareddocs/downloads/de/bsi/mindestanforderungen/eckpunktepapier-sicherheitsempfehlungen-cloudcomputing-anbieter.pdf? blob=publicationfile

Zusammenfassung Cloud Cloud Services etablieren sich mehr und mehr. Abhängig vom *aas können unterschiedliche Applikationen oder Infrastrukturkomponenten ausgelagert werden. Entsprechend sind die operationellen und sicherheitstechnischen Verantwortlichkeiten zwischen Kunde und Cloud Anbieter aufgeteilt.

Authentisierungs-, Autorisierungs- und Provisioningmodelle in der Cloud

Authentisierungs-, Autorisierungs- und Provisioningmodelle Authentisierungs- und Autorisierungsmodelle in der Cloud SAML Die Security Assertion Markup Language ist ein XML-Framework zum Austausch von Authentifizierungs- und Autorisierungsinformationen. SAML ist der de-facto Standard für Authentisierungs- und Autorisierungsmodelle im Business Umfeld. Beispiel: SuisseID IDP, servicenow XACML extensible Access Control Markup Language (XACML) ist ein XML- Schema, das die Darstellung und Verarbeitung von Autorisierungs- Policies standardisiert. Alternativ zu XACML kann WS-SecurityPolicy verwendet werden.

Authentisierungs-, Autorisierungs- und Provisioningmodelle Authentisierungs- und Autorisierungsmodelle in der Cloud Open Authentication OAuth ist ein einfaches Verfahren, das es erlaubt, Drittanbietern von Dienstleistungen Zugang zu einem Primär-Account (z.b. Facebook) zu gewähren, ohne dass man dem Drittanbieter sein Passwort anvertrauen muss. Beispiel: Google, Facebook und Twitter Consumer bezogene Verfahren wie «OpenID» oder «Microsoft CardSpace» werden hier nicht betrachtet. Alle Protokolle haben gemeinsam, dass sie «Tokens» verwenden über «HTTP Redirections» funktionieren.

Authentisierungs-, Autorisierungs- und Provisioningmodelle Identity-Mapping = Neue Registrierung? Ein Benutzer kann unterschiedliche Authentisierungsmerkmale besitzen. Seine digitale Identität muss jeweils eindeutig einem Authentisierungsmerkmal zugewiesen werden. Es ist darauf zu achten, dass die Zuweisung unterschiedlicher Authentisierungsmerkmale hierarchisch in Bezug auf deren Güte erfolgt. Falls auf der Basis eines schwachen Authentisierungsmerkmals ein stärkeres registriert werden soll, werden zusätzliche Registrierinformationen benötigt.? IDP User A SuisseID SMS OTP Service 1 UserID A_x

Authentisierungs-, Autorisierungs- und Provisioningmodelle Identity-Mapping = Neue Registrierung? Zwei Dienste werden unabhängig voneinander in Anspruch genommen. Die Informationen des Benutzers werden unter unterschiedlichen UserIDs verwaltet. Die beiden Dienste müssen die Daten austauschen und dem gleichen Benutzer zuordnen können. Falls keine Übergeordnete, eindeutige Mappinginformation existiert, müssen die Benutzer neu registriert werden.? User A SuisseID SMS Beispiel: Patientendossier OTP IDP Service 1? Service 2 Es gibt keine «Wunder» in der IT. UserID A_x UserID A_y

Authentisierungs-, Autorisierungs- und Provisioningmodelle Provisioningmodelle in der Cloud SPML Die Service Provisioning Markup Language (SPML) ist ein XML-basiertes Framework für den Austausch von Benutzer-, Ressourcen- und Service- Provisioning-Informationen zwischen kooperierenden Organisationen. Transformationstabellen Über Transformationstabellen können heute verfügbare User- und Berechtigungsinformationen eines IDM (CSV, JDBC, XML) in ein Cloud- Service übermittelt werden. Quelle: http://wiki.service-now.com/index.php?title=import_sets

Authentisierungs-, Autorisierungs- und Provisioningmodelle Beispiel SAML Authentisierung - Übersicht über die Komponenten Organization Cloud HR AD / LDAP IAM Corporate Services IDP (analog auch PEP) Client Cloud Service 1 SAML 1.1, Attr. X Cloud Service 2 SAML 2.0, Attr. Y Cloud Service n SAML 2.0, Attr. Z

Authentisierungs-, Autorisierungs- und Provisioningmodelle Beispiel SAML - Single Sign On SAML Single Sign On Example User Client (Browser) IDP Service 1 Service 2 Initial request 2 User Initial request 1 Logon 1.1 Logon 2.1 Redirect to IDP (SAML) Redirect Auth. Logon Redirect to Service (SAML) Redirect Logon 1.2 Logon 2.2 Phase

Phase Authentisierungs-, Autorisierungs- und Provisioningmodelle Beispiel SAML - Single Sign Out SAML Single Sign Out Example User (Client) IDP Service 1 Service 2 User Get Logout URL (Logout Request) Logout 1 Redirect to IDP (SAML) Redirect SAML Logout for n services Redirect for n services Logout n for n services Redirect Logout Redirect Logout 2

Authentisierungs-, Autorisierungs- und Provisioningmodelle Grundsätzliche Autorisierungsmöglichkeiten & Schnittstellen Lokale ACL lokal administriert Administrator Manual management Client UserID (+ Role) Cloud Service IAM ACL Beispiel: Standard MS Sharepoint basierte Applikationen (CRM)

Authentisierungs-, Autorisierungs- und Provisioningmodelle Grundsätzliche Autorisierungsmöglichkeiten & Schnittstellen Lokale ACL über ein zentrales IAM administriert Administrator Client UserID (+ Role) SPML, CSV Cloud Service IAM ACL Beispiel: servicenow

Authentisierungs-, Autorisierungs- und Provisioningmodelle Grundsätzliche Autorisierungsmöglichkeiten & Schnittstellen Zentrale Rechteverwaltung (IAM administriert) Policy Decision Point (PDP) Policy Enforcement Point (PEP) XACML / WS-SecurityPolicy Client UserID (+Role) Service IAM User based ACL Beispiel: Kundenprojekt

Authentisierungs-, Autorisierungs- und Provisioningmodelle Sicherheitsbetrachtungen (nicht abschliessend) Keine Netzwerkzonen in der Public Cloud Die Sicherheitsmassnahmen verlagern sich nahezu vollständig auf die Applikationsebene unter Verwendung von IDP delegierten Authentisierungs- und Autorisierungstokens. Sichere Netzwerke zwischen Kunde und Cloud Anbieter Unabhängig von *aas müssen die Netzwerke zwischen dem Kunden und dem Cloud Anbieter authentisch, integer und vertraulich sein. Vertraulichkeit Eine hohe Vertraulichkeit erfordert die Kundenseitige Verschlüsselung der Daten (unabhängig von der Cloud Infrastruktur).

Authentisierungs-, Autorisierungs- und Provisioningmodelle Sicherheitsbetrachtungen Wo sollen IAM und IDP Komponenten platziert werden? Organization Cloud HR AD / LDAP Spannungsfeld Sicherheit Beide Komponenten (IAM und IDP) müssen bez. Integration von Cloud- Services eine hohe Flexibilität aufweisen. (Protokolle, Attribute). Sie sind jedoch, neben dem jeweiligen Authentisierungs- und Autorisierungs- Service, die zentralen Sicherheitskomponenten im Corporate und Cloud Umfeld. Corporate Services Client IAM IDP (analog auch PEP) Cloud Service 1 SAML 1.1, Attr. X Cloud Service 2 SAML 2.0, Attr. Y Cloud Service n SAML 2.0, Attr. Z

Zusammenfassung Authentisierungs-, Autorisierungs- und Provisioningmodelle Ein IAM (oder Teile davon) sind eine wesentliche Voraussetzung für die Cloud. Die unterschiedlichen Provisioning- und Sicherheitsstandards sind zwar definiert, werden jedoch nicht oder nur begrenzt eingesetzt. SAML scheint sich bei Unternehmensspezifischen Diensten zu etablieren. Bei der Nutzung von Cloud Diensten müssen die technischen, organisatorischen, betriebswirtschaftlichen und regulatorischen Anforderungen klar formuliert und bewertet werden.

Hinweise und Referenzen Hinweise und Referenzen Top Threats of Cloud Computing V2, July 2012 https://cloudsecurityalliance.org/topthreats/ Sicherheitsempfehlungen für Cloud Computing Anbieter https://www.bsi.bund.de/shareddocs/downloads/de/bsi/mindestanfor derungen/eckpunktepapier-sicherheitsempfehlungen- CloudComputing-Anbieter.pdf? blob=publicationfile

Vielen Dank für Ihre Aufmerksamkeit Ich freue mich auf die Podiumsdiskussion. Aus Gründen Ihrer Sicherheit