Javan Cloud Security 950526 (oCCc63)

رایانش ابریمقدمه ای بر امنیت در مرتضی جوانwww.msjavan.ir

1

به نام خدا

http://crc.aut.ac.ir

سناریوهای ساده

• VM Delete / App Remove / Service Stop

• Server / VM Dump Memory

• Clone / Copy / Mount Disk

• Traffic Capture

• Change DNS

• Traffic Manipulation

2

مروری بر رویدادهای اخیر

3

4

...صنعت همگانی پنجم : رایانش ابری F

UL

L S

TA

CK

SE

CU

RIT

Y

Application

Data

Runtime / API

Middleware

OS

Virtualization

Hypervisor

Networking

Storage

Server

Business / Process

5

(فني و غيرفني)مالحظات

کاهش مدیریت و نظارت کاهش کنترل بر روي منابع

کاهش کنترل بر روي داده ها افزایش وابستگي

...و

:شمایی از انواع روش های نفوذ

6

X

Data Center5

Data Center4

Data Center2

Data Center7

Data Center1

Data Center3

Data Center6

7

VM اجرای آسیب پذیری در

های VMنفوذ به مجاور

نفوذ به شبکه میزبان فیزیکی و VMدسترسی به

های دیگر

افزایش گرایش به مجازی سازی افزایش یافته استامنیتی، با پذیری های آسیب

8

http://cve.occc.ir

9

DEMO

10

(DARPA)مثال موردی

11

• MRC (Mission-Oriented Resilient Clouds)

• PROCEED (Computation on Encrypted Data)

• CRASH (Adaptive Secure Hosts)

• CBMEN (Content-Based Mobile Edge Networking)

• CORONET (Cloud-to-Cloud Connectivity)

استانداردها و محک های امنیتی

12

13

Please Notice Some of The Current Cloud Security Standards Limitations !

Cloud service partner (CSN)

CSN: Cloud

Auditor

CSN: Cloud

service developer

CSN: Cloud

service broker

Cloud service customer (CSC)

CSC: Service Administer

and Security

CSC: Cloud service user

CSC: Cloud service

business manager

CSC: Cloud service

integrator

Cloud service provider (CSP)

CSP: Cloud service

deployment manager

CSP: Cloud service

operations manager

CSP: Cloud service

manager

CSP: Cloud service

business manager

CSP: Inter-cloud

provider

CSP: Customer support and

care representative

CSP: Service security and

risk manager

CSP: Network provider

ISO/IEC 17789: 2014 Cloud computing — Reference architecture

14

CSN: Cloud

Auditor

CSP: Service Security and

Risk Manager

CSC: Service Administer

and Security

FU

LL

ST

AC

K S

EC

UR

ITY

S

a

a

S

P

a

a

S

I

a

a

S

Application

Data

Runtime / API

Middleware

OS

Virtualization

Hypervisor

Networking

Storage

Server

Business / Process

CSN: Cloud

Auditor

CSP: Service Security and

Risk Manager

CSC: Service Administer

and Security

16

Compliance Control

Regulatory Control

Privacy Impact

Encryption

Data at rest

/ in motion Integrity Backup & Recovery

Policies

Change Management Align Policies

& SLA

Risk Management Hardening

Compliance Compatibility

Business Continuity

Monitoring & Analysis

Vulnerabilities

Tenant Isolation Personal & Physical

Security

Integration Privacy & PII

Authorization & Access Control

Network & Communication

S

a

a

S

P

a

a

S

I

a

a

S

FU

LL

ST

AC

K S

EC

UR

ITY

Audit Interfaces

Assets and Inventory Path & Update Management

Authentication & Identity Management

Application

Data

Runtime / API

Middleware

OS

Virtualization

Hypervisor

Networking

Storage

Server

Business / Process

CSC: Cloud Service

Customer

CSN: Cloud

Auditor

CSP: Cloud Service

Provider

17

مالحظات مانیتورینگ

FU

LL

ST

AC

K S

EC

UR

ITY

Application

Data

Runtime / API

Middleware

OS

Virtualization

Hypervisor

Networking

Storage

Server

Business / Process

(عدم کارآیی سیستم های مانیتورینگ سنتی)

رمزنگاری داده و محاسبات در ابر

18

> Secure Storage > Trusted Computing

نظارت و تنظیم مقررات

19

PaaS SaaS Visibility &

Control

FU

LL

ST

AC

K S

EC

UR

ITY

Application

Data

Runtime / API

Middleware

OS

Virtualization

Hypervisor

Networking

Storage

Server

Business / Process

HIPPA Compliant

پذیری امنیتیرعایت استانداردها و انطباق

ISMS ISO 27001

PCI DSS

SOC

FIPS

FedRAMP

...

20

Cloud Infrastructure

PCI Compliant

FU

LL

ST

AC

K S

EC

UR

ITY

Application

Data

Runtime / API

Middleware

OS

Virtualization

Hypervisor

Networking

Storage

Server

Business / Process

(Hardening)مالحظات محکم کاری

و الگوها( MI)ماشین مجازی تصاویر •

استقرار سرویسدخالت کاربر در حذف •

و محک های امنیتیاستانداردها •

پیکربندی های امن در الیه های مختلف•

بستن درگاه های مختلف•

گزارش گیری و ثبت رویداد در الیه های مختلف•

بکارگیری دیوارهای آتش در سطح میزبان•

•...

21

FU

LL

ST

AC

K S

EC

UR

ITY

Application

Data

Runtime / API

Middleware

OS

Virtualization

Hypervisor

Networking

Storage

Server

Business / Process

مدیریت وصله ها و به روز رسانی

به روزرسانی میان افزار•

(فوق ناظر)به روزرسانی سیستم عامل میزبان •

(ناهمگن)میهمان سیستم عامل به روزرسانی •

به روزرسانی الگوها و تصاویر ماشین مجازی•

خاموش( مجازی)ماشین های •

اجزای اصلی سیستم ابری•

پشته نرم افزاری سرویس نهایی•

نیازمندی های سفارشی مستاجرها•

22

FU

LL

ST

AC

K S

EC

UR

ITY

Application

Data

Runtime / API

Middleware

OS

Virtualization

Hypervisor

Networking

Storage

Server

Business / Process

Hypervisor

مالحظات صحت داده

23

در نظر گرفتن معماري سيستم•

مدل هاي بررسي صحت • (دوره اي/ آنالین )

سيستمکارآیي •

نوع داده•

Hypervisor

Hardware

سیستم نظارت بر جامعیت فایل

سیاست های پایگاه داده تشخیص نفوذ

File

system

سیستم نظارت بر جامعیت فایل

سیاست های پایگاه داده تشخیص نفوذ

File

system

سیستم نظارت بر فایلجامعیت

سیاست های پایگاه داده تشخیص نفوذ

report

Dom0 VM1 VM2 نام سیستم ماشین تحت عدم تغییر در

نظارت بررسی بالدرنگ بررسی دوره ای

Tripwire

XenFIT

VRFPS

RFIM

DFIM

NOPFIT

XenRIM

تداوم کسب و کار/ صحت سرویس / سناریوهایی از صحت داده

24

صحت الگو

پیکربندی/ صحت فرآیند

صحت استقرار (سرویس)

صحت داده

صحت اجزا

CSN: Service Developer CSP: Service Manager CSP: Operations Manager CSP: Deployment Manager

Scale Out

2009مدیریت ریسک

25

Vendor Lock-in

Loss of Governance

Compliance Compatibility

Service Failure Isolation Failure

Malicious Insider

تحلیل دارایی ها• تحلیل ریسک ها• ارایه راهکار•

2012مدیریت ریسک

26

Data protection

Loss of Governance

Malicious Insider / root access !

Risk from changes of jurisdiction

Management Interface Compromise

Isolation Failure

Insecure deletion of data

Subpoena

Compromise of Service Engine

Lock-in

27

• Risk Analysis Case Study: Fax.ir • Lock in

• Loss of Governance

• Supply chain failure

• Isolation Failure

• Malicious Insider

• Data leakage

• Insecure deletion of data

• DOS

Simple Example (Fax.ir)

28

Critical Research !

29

• Visit http://cvedetails.com/

• Visit http://cve.occc.ir/

• Find the vulnerabilities related to cloud and virtualization tools (KVM / Openstack / …)

• Select one of vulnerabilities and describe it in the class

TOP 10 Strategic Technology Trends

30

The Device Mesh

3D Printing Materials

Ambient User Experience

Autonomous Agents and Things

Information of Everything

Advanced Machine Learning

Adaptive Security Architecture

IoT Architecture and Platforms

Advanced System Architecture

Mesh App and Service Architecture

2016

Gartner, Oct 2015

ابر و باران

31

http://crc.aut.ac.ir