sectxl '11 | frankfurt - ulf feger: "der weg zur cloud security – ein...

© 2011 IBM Corporation1

Cloud & Security

Ulf FegerSecurity Architect, CISSPCompetence Leader Tivoli - Data Center Automation, Cloud & SecurityMember of Cloud Security Alliance, German Chapter

Der Weg zur Cloud Security –

ein Transformationsprozess !


„Der Weg zur Cloud Security – ein Transformationsprozess!"

Transformation der Security, der Sicherheit, des Sicherheitsbedürfnis

Die Festung Der Nutzer



Customer Expectations and Experiences

Healing bei Touching The Cloud – yes, of course with Security – solves all our Security challenges, we

have no problems We expect all – give nothing and it‘s part of your offering – means for „free“ Open discussions: I know what I know and to be honest tell me what I should know What you tell me is not Cloud security that‘s security The roadmap to Cloud & Security



“Cloud”

Standardisierung3

Cloud .. und wie funktionierts .. ?

Standardisierung / Service Katalog / Image Katalog

Ressourcenplanung (Beschaffung)Request Freigabe Workflow

AbbauBereitstellung/Nutzung(Abrechnung/Kostenverteilung)

Training ApplikationenTest/Dev ...

Power VM, VMware, KVM… Virtualisierung

Monitoring High Availability

Security Secure virt. env. Identity & Access Mgmt.

Repository

Process Automation Engine

Ressourcen

DynamischeProvisionierung

Automatisierung4

Sichere und hochverfügbare private Cloud

5

Virtualisierung2

Konsolidierung1




Power VM, VMware, KVM…Virtualisierung

Ressourcen


Ressourcen


Ressourcen


Ressourcen


Ressourcen


Ressourcen


Ressourcen









Ressourcen


Ressourcen


Ressourcen


Ressourcen


Ressourcen


Ressourcen


Ressourcen





FrankreichUngarn

ChinaBrasilien

Deutschland



Anforderungen – Cloud Computing & Sicherheit

Sicherheitsanforderungen bezüglich

Datenschutz und Datensicherheit Zugriffs- und Identitätsmanagment Applikations- und Dienstebereitstellung inkl. “Entsorgung” Applikations- und Systemtests inkl. Daten Service Level Agreement – SLA Management Schwachstellen Management und Beseitigung Dienstverfügbarkeit inkl. (überregionalem) Lastausgleich Auditierbarkeit & Governance (GRC – Governance, Risk & Compliance) Grenzüberschreitende Gesetzeseinhaltung, z.B. personenbezogener Informationen Grenzüberschreitende Eigentumsrechte & Exportregularien Buchungs- und Rechungsgrundlagen und deren Informationsbasis Exit-Management

Cloud Services

Cloud ComputingModel

© 2011 IBM Corporation8 IBM


Betrachtung der Cloud aus Exportkontrollsicht

Ein Export / Verbringung liegt vor bei

Grenzüberschreitenden Clouds (die Daten gehen über Grenzen) Bei Verlagerungen des Service d.h.

Die Server und die Daten selbst bleiben im Land Jedoch erhält jemand aus dem Ausland den Zugriff

auf die Daten in Deutschland sog. „Root Access“ Welche Güter sind betroffen ?

Technologie und Source Code Wer ist der Ausführer ?

Derjenige der entscheidet, dass die Technologie oder der Source Code übertragen werden

Das ist nicht der Cloudbetreiber, sondern der Nutzer der Cloud

Root Access

Grenzüberschreitende Cloud



CloudServices + Infrastructure

✪

Cloud CC structure

Private Cloud Compute Center structure


Cloud CC struture – loc. distr.

Germany, 1 BL (federal state)


Cloud CC structure – arbitrary, distributed

world wide- Safe Harbour- Patriot Act


Cloud CC structure – local, distributed

Germany, 1 BLGermany, x BLEU/EEA wide

All Private & All Secure



Private Cloud Compute Center structure


Cloud CC struture – loc. distr.

Germany, 1 BL (federal state)


Cloud CC structure – arbitrary, distributed

world wide- Safe Harbour- Patriot Act


Cloud CC structure – local, distributed

Germany, 1 BLGermany, x BLEU/EEA wideT&V PD

Admin

All Private & All Secure

x



Cloud Transformationsphasen zur eigenen Cloud Wo bleibt da die Security ?

Ziele

1

2

3

4

Transition

Transition

Transition

IT Prozesse

IT Prozesse

IT Prozesse

IT Prozesse

IT Prozesse

GSPrz

GSPrz

GSPrz

GSPrz

GSPrz

GRCBaselineSecurityApproval

VSPSIEM

RichtlinienWorkflows

ApprovalReporting

Bsp:

1 2 3 4 5

Konsolidierung

Virtualisierung

Standardisierung

Automatisierung

Cloud

Eliminierung



4 (simple) examples of underestimated threads


Ressourcen Power VM, VMware, KVM…Virtualisierung



Ressourcen

x



• Zugriffskontrolle, inkl. Regelwerk und Richtlinienverwaltung

• Benutzer- und Berechtigungsmgmnt inkl. Prozessverwaltung und –automation

• Rollenbasierte Funktionstrennung

• Security Policy Management

• Security Monitoring, Auditing, Compliance Reporting

• Funktionstrennung, Mandantenfähigkeit

• Berichtswesen – Security Information und Event Management

• Compliance Audit & Reporting über die IT

• Absicherung von virtuellen Maschinen und der Hosts

• Sicherheits- und Compliance Werkzeug zur Verifikation der Server

• Configuration and Change Management

• Mandantenfähigkeit

• Verknüpfung mit dem Rechnungswesen / Accounting

• Service Management

Cloud - Nutzer Cloud – (Dienst-)AnbieterIT - “klassisch”

Nutzen:• Diensteangebot

Pflichten:

- Authentifizierung- Autorisierung - del. Administration- Rechnung begleichen

Erwartungen:

-SLA Erfüllung-Richlinienkonformität-detailiertes Berichts-

wesen

• Zugriffskontrolle, inkl. Regelwerk und Richtlinienverwaltung

• Benutzer- und Berechtigungsmgmnt inkl. Prozessverwaltung und –automation

• Rollenbasierte Funktionstrennung

• Security Policy Management

• Security Monitoring, Auditing, Compliance Reporting

• Funktionstrennung, Mandantenfähigkeit

• Berichtswesen – Security Information und Event Management

• Compliance Audit & Reporting über die IT

• Absicherung von virtuellen Maschinen und der Hosts

• Sicherheits- und Compliance Werkzeug zur Verifikation der Server

• Configuration and Change Management

• Mandantenfähigkeit

• Verknüpfung mit dem Rechnungswesen / Accounting

• Service Management

Welche Herausforderungen sind zu lösen - eine lange Liste, eine neue Liste ?

Dynam

isieru

ng



Cloud Enabled Data Center - simple use case

Cloud Enabled Data CenterCloud Enabled Data Center

Self-Service GUI

Cloud Platform

User identityis verified and authenticated

User identityis verified and authenticated

1

Available Resource

Resource Pool

Resource chosen from correct security domain

Resource chosen from correct security domain 2

Image Library

Machine Image

VM is configured with appropriate security policy

VM is configured with appropriate security policy

3

Hypervisor

Configured Machine Image

Virtual Machine

Virtual Machine

Image provisioned behind FW / IPS

Image provisioned behind FW / IPS

4

Host securityinstalled and updated

Host securityinstalled and updated

5

SW Catalog

Config Binaries

Software patches applied and up-to-date

Software patches applied and up-to-date

6



Eckpunktepapier- Sicherheitsempfehlungen für Cloud Computing Anbieter

More sources:

• IT-Grundschutz• BSI-Standard 100-2/100-4• ISO 27001/2• Cloud Security Alliance – German Chapter, cloudsecurityalliance.org• ISF – Information Security Forum, www.securityforum.org• TMForum – TeleManagement Forum, www.tmfourm.org• Euro Cloud e.V. en.eurocloud.de/

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Mindestanforderungen/Eckpunktepapier-Sicherheitsempfehlungen-CloudComputing-Anbieter.pdf?__blob=publicationFile



Die Chance – Die Themenvielfalt



Cloud Services

BSS

OSS

Cloud Plattform

Cloud Services

BSS

OSS

Cloud Services

BSS

OSS

Cloud ServicesCloud Services

BSSBSS

OSSOSS

Cloud Plattform

WindowsApps

WindowsApps

WebApp

WebApp

WebApp

Por

tal

HTT

P S

erve

r

Internet

EnterpriseDir

Security Policy Repository

Identity Repository(Person & Account)

WindowsApps

Other Apps

WS Gateway

Consumer

Business

HTTP (incl. SOAP/HTTP) Connection

Web Services Connection

User

HR System

Employee/Staff

Por

tal

HTT

P S

erve

r

Desktop/Client Connection

Web

Aut

hent

icat

ion

and

Auth

oriz

atio

n

ESB (SOA)

Web

Aut

hent

icat

ion

and

Auth

oriz

atio

n

Ente

rpris

e S

ingl

e S

igno

n

Use

r Aut

hent

icat

ion

Web

Sin

gle

Sign

on

Web

Sin

gle

Sign

on

IdentitySynchronisation

Pro

visi

onin

g

Rec

onci

liatio

n

Workflow & Lifecycle

Entitlement Policy

User Self-service

IdentityStoreR

epor

ting

Provisioning Engine

Admin.

Admin

Auditor

FedSSO A&A FedSSO

A&A

IdentityMapping

Audit Log Consolidation

Log

Col

lect

Log

Col

lect

Log

Col

lect

Log

Col

lect

Log

Col

lect

Log

Col

lect

Log

Col

lect

Log

Col

lect

Log

Col

lect

Audit Policy Compliance Reporting

Tivoli Identity Manager (TIM)

Tivoli Access Manager for e-business (TAMeb)

Tivoli Federated Identity Manager (TFIM)

Tivoli Access Manager for Enterprise Single Signon (TAM E-SSO)

Tivoli Compliance Insight Manager (TCIM)

Policy Enforce

Tivoli Security Policy Manager (TSPM)Management Domain

Web Policy Mgmt

FedSSOConf.

WS Policy Mgmt

Admin(s)

Auditor Auditor

SSOPolicyMgmt

Policy Enforce

Cloud Services

BSS

OSS

Cloud Plattform

Cloud Services

BSS

OSS

Cloud Services

BSS

OSS

Cloud ServicesCloud Services

BSSBSS

OSSOSS

Cloud Plattform

dynam

ic ad

aptio

nSupporting Security landscape – What is the target of my security ?



Cloud Services

BSS

OSS

Common Cloud Management Platform

WindowsApps

WindowsApps

WebApp

WebApp

WebApp

Por

tal

HTT

P S

erve

r

Internet

EnterpriseDir

WindowsApps

Other Apps

WS Gateway

Consumer

Business

User

HR System

Employee/Staff

Por

tal

HTT

P S

erve

r

Web

Aut

hent

icat

ion

and

Aut

horiz

atio

n

ESB (SOA)

Web

Aut

hent

icat

ion

and

Auth

oriz

atio

n

Ent

erpr

ise

Sin

gle

Sig

non

Use

r Aut

hent

icat

ion

Web

Sin

gle

Sign

on

Web

Sin

gle

Sig

non

IdentitySynchronisation

Pro

visi

onin

g

Rec

onci

liatio

n

Workflow & Lifecycle

Entitlement Policy

User Self-service

IdentityStoreR

epor

ting

Provisioning Engine

Admin.

Admin

Auditor

FedSSO A&A FedSSO

A&A

IdentityMapping

Audit Log Consolidation

Log

Col

lect

Log

Col

lect

Log

Col

lect

Log

Col

lect

Log

Col

lect

Log

Col

lect

Log

Col

lect

Log

Col

lect

Log

Col

lect

Audit Policy Compliance Reporting

Policy Enforce

Management Domain

Web Policy Mgmt

FedSSOConf.

WS Policy Mgmt

Admin(s)

Auditor Auditor

SSOPolicyMgmt

Policy Enforce

dynam

ic ad

aptio

nSupporting Security landscape – What is the target of my security ?



19

Highlights aus dem X-Force Bericht 2011:

Die Anzahl der aufgedeckten Schwachstellen in 2011 bewegt sich auf dem Niveau von 2006.

Der Anteil der Schwachstellen in Web Applikationen ist in 2011 von 49% auf 37% stark zurückgegangen.

Das traditionelle E-Mail Phishing ist weiter auf dem Rückzug. Nur noch 0.01% aller Spams sind E-Mail Phishings.

Mobile Endgeräte (Smartphones) werden zunehmend Ziel von Malware. Der in 2010 erkennbare Trend setzt sich ungebremst fort.



20

For More IBM X-Force Security Leadership

X-Force Trend ReportsThe IBM X-Force Trend & Risk Reports provide statistical information about all

aspects of threats that affect Internet security,. Find out more at http://www-935.ibm.com/services/us/iss/xforce/trendreports/

X-Force Security Alerts and AdvisoriesOnly IBM X-Force can deliver preemptive security due to our unwavering

commitment to research and development and 24/7 global attack monitoring. Find out more at http://xforce.iss.net/

X-Force Blogs and FeedsFor a real-time update of Alerts, Advisories, and other security issues,

subscribe to the X-Force RSS feeds. You can subscribe to the X-Force alerts and advisories feed at http://iss.net/rss.php or the Frequency X

Blog at http://blogs.iss.net/rss.php

http://www-935.ibm.com/services/us/iss/xforce/trendreports/

http://xforce.iss.net/



http://iss.net/rss.php

http://iss.net/rss.php

http://blogs.iss.net/rss.php

http://blogs.iss.net/rss.php



http://www.ibm.com/security/cloud-security.html

IBM Cloud Computing: ibm.com/cloudcomputingibm.com/de/cloud/

Trustworthy Cloud tclouds-project.eu/IBM Enterprise Security: ibm.com/securityIBM Internet Security Systems: ibm.com/services/security

IBM X-Force® Security Alerts and Advisories: xforce.iss.netCloud Standards Customer Council cloud-council.org/

Ulf FegerSecurity Architect, CISSPIBM Software Group

Gustav-Heinemann Ufer 12050968 Köln, DeutschlandMobile.: +49-171-22 619 22E-Mail: [email protected]

Q&A

sectxl '11 | frankfurt - ulf feger: "der weg zur cloud security – ein...

Technology