Secure Cloud - "In-the-Cloud-Sicherheit" Christian Klein Senior Sales Engineer Trend Micro Deutschland GmbH Copyright 2009 Trend Micro Inc.
Virtualisierung nimmt zu 16.000.000 14.000.000 Absatz virtualisierter x86-systeme 12.000.000 10.000.000 8.000.000 6.000.000 Physisch Logisch 4.000.000 2.000.000 0 2005 2006 2007 2008 2009 2010 2011 2012 Quelle: IDC 2009
Etappen der Virtualisierung Etappe 1 Server Konsolidierung Etappe 2 Expansion & Desktop Servers Etappe 3 Private > Public Cloud 85% Desktops 70% 30% 15% Herausforderungen auf dem Weg zur Virtualisierung
Die Cloud
Definition: Cloud Computing Cloud computing is a pay-per-use model for enabling available, convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, services) that can be rapidly provisioned and released with minimal management effort or service provider interaction. National Institute of Standards & Technology (NIST), USA
Definition: Cloud Computing Cloud computing is a pay-per-use model for enabling available, convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, services) that can be rapidly provisioned and released with minimal management effort or service provider interaction. National Institute of Standards & Technology (NIST), USA
Cloud: Chance oder Risiko?
Sicherheitsbedenken Cloud Skills Uptime Costs Lock-In Integration Compliance Immaturity Performance Security & Privacy Gartner (April 2010)
Wer hat die Kontrolle? Server Private Cloud (Virtualisierung) Öffentliche Cloud IaaS Öffentliche Cloud PaaS Öffentliche Cloud SaaS Endbenutzer (Unternehmen) Service-Provider
Der Internet-Benutzer übernimmt die Verantwortung für die Sicherheit und muss diese entsprechend planen.
Privates, virtualisiertes Rechenzentrum Internet Firewall, IPS & Schutz am Netzwerkrand Gemeinsamer Speicher Virtuelle Server
Virtualisierung stellt Sicherheit vor neue Herausforderungen Altes Modell Sicherheit der Infrastruktur schützt Anwendungen und Server Neues Modell Virtuelle Server und Anwendungen sind beweglich, verändern sich... IPS erfordert Neukonfiguration... ebenso die Firewall... wo ist die virtuelle Maschine?!!!!!!!!! VM1 VM2 VM3 Anw1 BS Anw2 BS Anw3 BS Anw4 BS Anw1 BS1 Anw2 BS2! Anw3 BS3 HW HW HW HW Hypervisor VM4 Anw4 BS4!
VMs brauchen besonderen Schutz Virtualisierte und physische Server sind gleichermaßen bedroht... 1 2 3 4 5 Neue Herausforderungen Inaktive VMs Ressourcenkonflikt VM-Wildwuchs Inter-VM-Datenverkehr vmotion
Lösung: Der Host verteidigt sich selbst
Vision eines neuen Sicherheitsmodells für Datenzentren Der virtuelle Host muss sich selbst schützen Selbstschützende Anwendung Firewall, IPS, Virenschutz...! Integration von VM- und Netzwerk-Sicherheit!! VM1 VM3! Anw1! Anw3!! BS1 BS3 Hypervisor
Fortschritte bei der Virtualisierungssicherheit Schützt die VM durch Überprüfung der virtuellen Komponenten Virtuelle Appliance Herausragende Sicherheit für Anwendungen und Daten innerhalb der VM Vollständige Integration und Berücksichtigung von vmotion, Storage VMotion, HA usw.
Trend Micro Deep Security Weit mehr als nur Malware-Schutz Virtual Security Antivirus Agentless 1 vshield Endpoint Agentless IDS / IPS Web Application Protection Application Control Firewall Agent-based Integrity Monitoring 2 3 VMsafe APIs Security Virtual Machine v S p h e r e Integriert sich in das vcenter Agent-based Log Inspection 4 Security agent on Individual VMs
Öffentliche Cloud Gemeinsames Netzwerk innerhalb der Firewall Mehrere Benutzer auf einem gemeinsamen physischen Server potenzielles Angriffsrisiko über den Hypervisor Internet Gemeinsame Firewall kleinste gemeinsam genutzte Ressource weniger präzise Kontrolle Firewall, IPS und Schutz am Netzwerkrand Images können leicht erstellt werden wer sonst hat Zugriff auf den Server? Virtuelle Server Gemeinsamer Speicher Gemeinsamer Speicher sind Kundensegmente vor Angriffen geschützt?
Daten in der Cloud: Gefahrenpotentiale Verschlüsselung wird kaum genutzt: Wer hat Zugriff auf die Daten? Name: John Doe SSN: 425-79-0053 Visa #: 4456-8732 Virtuelle Volumes und Server sind mobil: Sind Ihre Daten verschoben worden? Feindliche Server greifen auf Ihre Daten zu: Wer mountet Ihre Volumes? Fehlende Überwachung und Alarmierung: Was ist in Ihrer Abwesenheit passiert? Name: John Doe SSN: 425-79-0053 Visa #: 4456-8732 Schlüssel beim Cloud Provider: Wer hat Zugriff auf die Schlüssel? Lock-In? Überreste Ihrer Daten : Werden die Daten sicher gelöscht?
Lösung: Daten werden in der öffentlichen Cloud geschützt und kontrolliert
SecureCloud Datenschutz in der öffentlichen Cloud Direkte Verwaltung durch das Unternehmen 23
Richtlininenbasiertes Schlüsselmanagement für die Cloud Identität Meine VM?? Authentifizierung Lokation Startzeit etc Integrität Ist diese OK? Firewall AV Self integrity check etc Automatische oder manuelle, regelbasierte Schlüsselfreigabe
Öffentliche Cloud Private Sicherheit Gemeinsames Netzwerk innerhalb der Firewall Kein Problem. Ich betrachte das LAN als öffentlich. Mehrere Benutzer auf einem gemeinsamen physischen Server potenzielles Angriffsrisiko über den Hypervisor Kein Problem. Mein virtueller Server wird von einer Firewall geschützt. Internet Firewall, IPS und Netzwerksicherheit Gemeinsamer Speicher Gemeinsame Firewall kleinste gemeinsam genutzte Ressource weniger präzise Kontrolle Kein Problem. Ich betrachte das LAN als öffentlich. Images können leicht erstellt werden wer sonst hat Zugriff auf den Server? Kein Problem. Sie können meinen Server starten, aber meine Daten sind gesperrt. Virtuelle Server Gemeinsamer Speicher sind Kundensegmente vor Angriffen geschützt? Kein Problem. Meine Daten sind verschlüsselt
Empfehlungen 1 Überdenken Sie Ihre Sicherheitsarchitektur Denken Sie an Ihre vorhandenen Investitionen, und steuern Sie in eine neue Richtung 2 Setzen Sie Richtlinien für die VM-Verteilung durch Verhindern Sie VM-Wildwuchs 3 Machen Sie Sicherheit virtualisierungsfähig 26
Vielen Dank!