14
Sicherheit in der Cloud: Chancen und Herausforderungen Bezpečnost v cloudu: příležitosti a výzvy 2. Sdböhmisch-Niederbayerischer Transferkongress „Transfer hoch 2 – Im Dialog zur Innovation“ 20. September 2018 Prof Andreas Mauthe ([email protected])

Sicherheit in der Cloud: Chancen und Herausforderungen ... · Technische Möglichkeiten & Gegebenheiten Technické možnosti& vlastnosti • Clouds ermöglichen dynamische Kapazitätserweiterung

Embed Size (px)

Citation preview

Page 1: Sicherheit in der Cloud: Chancen und Herausforderungen ... · Technische Möglichkeiten & Gegebenheiten Technické možnosti& vlastnosti • Clouds ermöglichen dynamische Kapazitätserweiterung

Sicherheit in der Cloud: Chancen und HerausforderungenBezpečnost v cloudu: příležitosti a výzvy

2. Sudböhmisch-Niederbayerischer Transferkongress„Transfer hoch 2 – Im Dialog zur Innovation“20. September 2018Prof Andreas Mauthe ([email protected])

Page 2: Sicherheit in der Cloud: Chancen und Herausforderungen ... · Technische Möglichkeiten & Gegebenheiten Technické možnosti& vlastnosti • Clouds ermöglichen dynamische Kapazitätserweiterung

Technische Möglichkeiten & GegebenheitenTechnické možnosti & vlastnosti

• Clouds ermöglichen dynamische Kapazitätserweiterung – Softwarepakete und-Services Software as a Service (SaaS)

• Administration und Wartung können ge-outsourced werden

– Rechner- und Speicherkapazitätserweiterung Infrastructure as a Service (IaaS) & Platform as a Service (PaaS)• Ausführung und Wartung der Software liegt beim Kunden

• Charakteristiken– Ressourcen sind verteilt

• Häufig kann weder die physikalische noch geographische Lokation bestimmt werden

– Ressourcenzugriff benötigt hervorragende Kommunikationsinfrastruktur• Stabile und hochbandbreite Netzwerke sind kritisch

• Cloudy umožňují dynamické rozšiřování kapacity– Softwarové pakety a služby Software as a Service (SaaS)

• Administrativa a technická část mohou být outsourcovány

– Rozšíření počítačového a paměťového úložiště Infrastructure as a Service (IaaS) & Platform as a Service (PaaS)• Provedení a technická část u zákazníků

• Vlastnosti– Zdroje jsou rozložené

• Často není možné určit fyzické ani zeměpisné umístění

– Přístup ke zdrojům vyžaduje vynikající komunikační infrastrukturu• Kritické jsou stabilní a vysokorychlostní sítě

Page 3: Sicherheit in der Cloud: Chancen und Herausforderungen ... · Technische Möglichkeiten & Gegebenheiten Technické možnosti& vlastnosti • Clouds ermöglichen dynamische Kapazitätserweiterung

Bedeutung für Service-NehmerVýznam pro uživatele

• Ressourcenverfügbarkeit ist abhängig von; – Cloud-Infrastruktur– Rechnernetzten und Kommunikationsinfrastruktur Anfällig gegenüber lokalen und überregionalen Störungen

• z. B. Netzausfällen

• Datenlagerung und -verfügbarkeit– (in der Regel) transparent gespeichert: Ortstransparenz, Kopientransparenz, Verteilungstransparenz,

Speichertransparenz, usw. Vollständige Kontrolle über Daten nicht immer gegeben

• Service Co-Location – Ressourcen werden von Benutzter geteilt – Daten Co-Location

• Dostupnost zdrojů závisí na; – Infrastruktuře cloudu– Počítačové síti a komunikační infrastruktuře Náchylné na místní a nadregionální poruchy

• Např. Poruchy sítě

• Uchování a dostupnost dat– (zpravidla) transparentně uložené: transparentnost místní, kopií, distribuce, úložiště, atd. Úplná kontrola dat není vždy daná

• Služba kolokace– Zdroje jsou mezi uživateli sdílené– Datové kolokace

Page 4: Sicherheit in der Cloud: Chancen und Herausforderungen ... · Technische Möglichkeiten & Gegebenheiten Technické možnosti& vlastnosti • Clouds ermöglichen dynamische Kapazitätserweiterung

Clouds als InfrastrukturbestandteilCloudy jako součást infrastruktury

• Clouds übernehmen mehr und mehr kritische Aufgaben und bekommen Bestandteil kritischer Infrastrukturkomponenten – Untermauern Geschäftsprozesse, Produktionskontrollsysteme, IoT-

Infrastrukturen öffentliche Verwaltung, Sicherheitssysteme und kritische Infrastrukturen (z. B. Wasser- und Elektrizitätsversorger), usw.

– Wird auch zunehmend zentral im privaten Bereich, z. B. Soziale Medien, iCLouds, usw.

Eine Unterbrechung von Cloud-Services kann daher gesellschaftliche und ökonomische Auswirkungen haben

Resilienz muss daher ein Schlüsselmerkmal von Cloud Infrastrukturen werden

• Cloudy přebírají více a více kritických úkolů a stávají se důležitou součástí kritických komponentů infrastruktury– Podpora obchodních procesů, systémy kontroly produkce, IoT infrastruktury

veřejné správy, bezpečnostní systémy a kritické infrastruktury (např. dodavatelů vody a elektřiny), atd.

– Roste i v soukromém sektoru, např. sociální média, iCloudy, atd. Přerušení cloudových služeb tak může mít společenské a ekonomické důsledky Odolnost musí být klíčovou vlastností infrastruktury cloudu

Page 5: Sicherheit in der Cloud: Chancen und Herausforderungen ... · Technische Möglichkeiten & Gegebenheiten Technické možnosti& vlastnosti • Clouds ermöglichen dynamische Kapazitätserweiterung

Was ist Resilienz?Co je odolnost?

• Resilienz ist die Fähigkeit eines Systems den Service selbst im Angesicht von Herausforderung aufrechtzuerhalten:– Cyber-Attacken– Betriebliche Überlast– Fehlkonfiguration– Anlagen- und Computerausfälle

Resilienz-Management beinhaltet daher die traditionellen FCAPS (fault, configuration, accounting, performance, and security) Funktionalitäten.

• Odolnost je schopnost systému udržet funkční službu tváří v tvář výzvě:– Kyber útoky– Podnikové přetížení– Chybná konfigurace– Porucha zařízení a počítače

Odolnostní management proto zahrnuje tradiční funkce FCAPS (fault, configuration, accounting, performance, and security).

Page 6: Sicherheit in der Cloud: Chancen und Herausforderungen ... · Technische Möglichkeiten & Gegebenheiten Technické možnosti& vlastnosti • Clouds ermöglichen dynamische Kapazitätserweiterung

Cloud-ResilienzOdolnost cloudu

• Cloud-Infrastrukturen haben durch ihre inhärente Charakteristiken einige einzigartige Sicherheitsprobleme, z. B. – Virtualisierung und Elastizität– Dynamik und Verteilung

• Kritische Aspekte:– Entdeckung (Detection) und Identifizierung (Attribution) von Anomlien– Entwicklung angemessener Gegenmaßnahmen

• Infrastruktury cloudu mají díky svým vlastním charakteristikám některé jedinečné bezpečnostní problémy, např.– Virtualizace a elasticita– Dynamika und rozšíření

• Kritické aspekty:– Odhalení (Detection) a identifikace (Attribution) anomálií– Vývoj adekvátních protiopatření

Page 7: Sicherheit in der Cloud: Chancen und Herausforderungen ... · Technische Möglichkeiten & Gegebenheiten Technické možnosti& vlastnosti • Clouds ermöglichen dynamische Kapazitätserweiterung

Malware – SchadprogrammeMalware

• Malware (Schadprogramme) ist in der Mehrzahl der Gefährdungen der erste Punkt der Initiation von Resilienz-Problemen– Ausnutzungen von System-Vulnerabilität

• z.B. Virus, Worms, Spyware, Trojans,

– Übernahme von Systemen (z.B. Botnet) und Ausführung von koordinierten, verteilten Angriffen (z.B. DDoS);

Sofortige Identifizierung ist essenziell

• Malware (škodlivý program) je na prvním místě v seznamu možných ohrožení, které iniciují problémy s odolností– Využití zranitelnosti systému

• např. Virus, Worms, Spyware, Trojský kůň

– Přebírání systémů (např. Botnet) a vedení koordinovaných, rozmístěných útoků (např. DDoS);

základem je okamžitá identifikace

Page 8: Sicherheit in der Cloud: Chancen und Herausforderungen ... · Technische Möglichkeiten & Gegebenheiten Technické možnosti& vlastnosti • Clouds ermöglichen dynamische Kapazitätserweiterung

Problembeschreibung (i)Popis problémů (i)

• Relevante Cloud-Services: IaaS & PaaS– Werden durch Virtual Machine (VM) zur Verfügung gestellt

• Mit Malware infizierte VMs, die unentdeckt bleiben, können unterschiedliche Cloud Services negativ beeinflussen– Entdeckung von Malware durch Systembeobachtung

• z. B. als Teil des Hypervisor-Management

• Relevantní cloudové služby : IaaS & PaaS– Jsou k dispozici prostřednictvím Virtual Machine (VM)

• S VM infikovanými malwary, které zůstavají neodhalené, mohou být negativně ovlivněny různé služby cloudu– Odhalení malwaru díky monitorovacímu systému

• Např. jako část Hypervisor-Managementu

Page 9: Sicherheit in der Cloud: Chancen und Herausforderungen ... · Technische Möglichkeiten & Gegebenheiten Technické možnosti& vlastnosti • Clouds ermöglichen dynamische Kapazitätserweiterung

Problembeschreibung (ii)Popis problémů (ii)

• Spezifisches Probleme:1. VM-Templates können zur leichten Verteilung von Malware

benutzt werden führt zu neuen VMs die schon bei der Instanziierung infiziert sind

2. Intra und Inter-Cloud VM/Service Migration Malware wird weiterverbreitet und neu-initiiert

• Specifické problémy:1. VM-templáty mohou být použity k lehkému rozšíření

malwaru vede k novým VM, které jsou již infikovány

2. Intra a Inter-Cloud VM/Service Migration Malware je rozšířen a znovu iniciován

Page 10: Sicherheit in der Cloud: Chancen und Herausforderungen ... · Technische Möglichkeiten & Gegebenheiten Technické možnosti& vlastnosti • Clouds ermöglichen dynamische Kapazitätserweiterung

Schutzmaßnahmen: Anomaly Detection & RemediationOchranná opatření: Anomaly Detection & Remediation

• Ziel– Zeitige Entdeckung abnormaler Ereignisse– Ursachendiagnose und Attribuierung (root cause analysis and attribution)– Unterstützung der Sicherungs- und Abwehrmaßnahmen

• Beispiel– Malware-Detection in Clouds

• Malware detection in migrated virtual machines. Inventors: El-Moussa, Fadi; Mauthe, Andreas Ulrich; Marnerides, Angelos; Watson, Michael. Patent No.: 20170351861.

• Cíl– Včasné odhalení abnormální události, diagnóza příčiny a přiřazení (root cause

analysis and attribution)– Podpora bezpečnostních a obranných opatření

• Příklad– Malware-Detection in Clouds

• Malware detection in migrated virtual machines. Inventors: El-Moussa, Fadi; Mauthe, Andreas Ulrich; Marnerides, Angelos; Watson, Michael. Patent No.: 20170351861.

Page 11: Sicherheit in der Cloud: Chancen und Herausforderungen ... · Technische Möglichkeiten & Gegebenheiten Technické možnosti& vlastnosti • Clouds ermöglichen dynamische Kapazitätserweiterung

Entdeckung von Malware VariantenOdhalení malwaru

• Im Gegensatz von Signature-basedAnsätzen können wir Malware Varianten Erkennen ohne zuvor Kenntnis von ihnen zu haben

• Na rozdíl od Signature-based náznaků můžeme varianty malwaru rozpoznat aniž bychom o nich před tím něco věděli

Page 12: Sicherheit in der Cloud: Chancen und Herausforderungen ... · Technische Möglichkeiten & Gegebenheiten Technické možnosti& vlastnosti • Clouds ermöglichen dynamische Kapazitätserweiterung

Erkennung von Malware im MigrationsszenarioRozpoznání malwaru v migračním scénáři

0 119 10

20 21

Migration Occurs

Malware Injected

Monitoring begins on Host A

Monitoring begins on Host B

Page 13: Sicherheit in der Cloud: Chancen und Herausforderungen ... · Technische Möglichkeiten & Gegebenheiten Technické možnosti& vlastnosti • Clouds ermöglichen dynamische Kapazitätserweiterung

ZusammenfassungShrnutí

• Cloud Technologie hat einen gewissen technischen Reifegrad erreicht– Gute Verfügbarkeit und Sicherheit

• Verteilung und Virtualisierung stellen Herausforderungen dar bzgl.– Datentransparenz & Datenverfügbarkeit– Ressourcensicherheit und -Verfügbarkeit

• Sicherungsmaßnahmen werden erforscht aber sind nicht immer umgesetzt

• Cloudové technologie dosáhly určité technické vyspělosti– Dobrá dostupnost a bezpečnost

• Sdílení a virtualizace představují výzvy ohledně– Transparenstnosti dat & dostupnosti dat– Bezpečnosti a dostupnosti zdrojů

• Bezpečnostní opatření jsou zkoumána, ale ne vždy zavedena do praxe

Page 14: Sicherheit in der Cloud: Chancen und Herausforderungen ... · Technische Möglichkeiten & Gegebenheiten Technické možnosti& vlastnosti • Clouds ermöglichen dynamische Kapazitätserweiterung

Fragen?Otázky?