Bezpečný cloud šifrování a silná autentizace. Ing. Petr Slaba ASKON International s.r.o

Bezpečný cloud – šifrování a silná autentizace Ing. Petr Slaba ASKON International s.r.o.

Agenda 1. Možné pohledy na bezpečnost virtualizované infrastruktury a prostředí cloudu 2. Kryptografická ochrana virtuálních serverů 3. Správa a ochrana identit uživatelů v cloudu

Bezpečnost informací a udržitelný rozvoj

18. 6. 2013

BEZPEČNOST CLOUDU??? Zkuste se zástupců několika firem zeptat jak rozumí pojmu „BEZPEČNOST CLOUDU“ ...

... a uvidíte jak odlišné odpovědi dostanete. Bezpečnost informací a udržitelný rozvoj

18. 6. 2013

BEZPEČNOST CLOUDU je klíčová priorita zákazníků

Zdroj: Gartner


18. 6. 2013

BEZPEČNOST CLOUDU může znamenat například • • • •

Zabezpečení před ztrátou dat Garantovanou dostupnost systému (99,xxx %) Odolnost proti DDoS útokům Geografickou redundanci pro případ úplné ztráty lokality (živelná katastrofa, sabotáž, teroristický útok ...) • Business continuity strategii, Disaster recovery • ... • Zabezpečení před neoprávněným přístupem k systému, zcizení nebo pozměnění dat Bezpečnost informací a udržitelný rozvoj

18. 6. 2013

Proč uvažovat o dodatečném zabezpečení virtualizační platformy, resp. cloudu • Virtualizační platformy a prostředí cloudu disponují velmi sofistikovanými bezpečnostními mechanismy

ALE • Každá virtualizační platforma je „jen software“ a jako taková může obsahovat (a obsahuje) chyby a zranitelnosti • Je velice obtížné ochránit data před „útokem zevnitř“ – např. před administrátory. Problém zejména ve veřejném cloudu • Je velice obtížné uhlídat všechny instance dat (viz dále) • Kromě chyb ve vlastním kódu virtualizační platformy (které výrobce zpravidla dříve či později opraví bezpečnostní záplatou) často dochází k chybám konfigurace virtualizační platformy


18. 6. 2013



18. 6. 2013


18. 6. 2013


18. 6. 2013

Rizika virtualizace Jak jsou zabezpečena moje data před zneužitím? APP

APP

APP

APP

OS

OS

OS

OS

VM se také často přesouvají bez vědomí jejich vlastníka

Hypervisor Compute Layer

Virtualizace zavádí nové kategorie vysoce privilegovaných administrátorů - server, storage, backup, aplikace ...

Storage Snapshots

Snapshots

Backup

Virtuální počítače (VM) a storage se snadno kopírují (a také kradou)

VM mají několik instancí, snapshotů, záložních kopií ... ... a další repliky v záložní lokalitě (Disaster recovery site)


18. 6. 2013

Citlivá data ve firemním IS v hybridním cloudu •

Mám plnou kontrolu nad svými daty?

•

Vím s jistotou kdo k nim přistupuje?

•

Vím kde se nacházejí?

•

A jsem schopen to doložit auditorům?

Mailový server Elektronický obchod

Partnerský portál Fileserver Webserver

Řešení: Platební transakce

•

Online šifrování vybraných dat zpracovávaných v cloudu v reálném čase

•

Řízení přístupu prostřednictvím zpřístupnění šifrovacích klíčů v bezpečném HW prostředí

Obchodní tajemství Duševní vlastnictví

Osobní údaje Důvěrné firemní e-maily

Zákaznická data


18. 6. 2013

Příklady systémů pro kryptografickou ochranu virtuálních serverů SafeNet ProtectV • Umí šifrovat virtuální storage i samotné virtuální servery • Klíče ukládá v zabezpečeném (FIPS 140-2 Level 3) HW prostředí KeySecure

Trend Micro SecureCloud • Šifruje pouze virtuální storage • Klíče ukládá u bezpečnostní autority provozované výrobcem v režimu SaaS (Software as a Service) Filosofii systémů pro kryptografickou ochranu virtuálních serverů si podrobněji ukážeme na produktu ProtectV Bezpečnost informací a udržitelný rozvoj

18. 6. 2013

Zabezpečení virtuálního datového centra 1

ProtectV klient ProtectV klient je nainstalován na ESX serverech

2

ProtectV Manager ProtectV Manager slouží ke správě ProtectV klientů a běží na virtuálním stroji v prostředí VMware

Storage Zabezpečené virtuální disky VMware ESX Server

3

KeySecure

Virtuální počítače

KeySecure je HW appliance pro správu šifrovacích klíčů v bezpečném HW prostředí


18. 6. 2013

Kryptografická ochrana virtuálních počítačů Power On

1

ProtectV chrání virtuální počítače (VM) v celém jejich životním cyklu

5

Delete

Zrušení klíče má za následek "digitální skartaci" všech jím šifrovaných dat a VM včetně všech kopií

4

Spuštění

2

Pro spuštění VM lze vyžadovat autentizaci oprávněného administrátora

Snapshot

Provoz a správa

Všechny kopie, repliky, zálohy vybraných dat a VM jsou šifrovány

3

Všechna vybraná data a VM jsou šifrovány


18. 6. 2013



18. 6. 2013


18. 6. 2013

Autentizace v cloudu Aplikace provozované ve veřejném cloudu jsou často přístupné z veřejného internetu. Z toho důvodu je třeba zabývat se ochranou těchto systémů před neoprávněným přístupem. Autentizace = proces ověření proklamované identity

Silná vícefaktorová autentizace kromě jména a hesla využívá nějaký další faktor, např: • vlastnictví identifikačního předmětu (tokenu nebo čipové karty) • jednorázový autentizační kód (SMS zpráva, tabulka jednorázových hesel) Bezpečnost informací a udržitelný rozvoj

ID transakce: Wf9a3e Autentizacni kod: 78649765 18. 6. 2013

Silná autentizace formou služby Protože cloud je založen na outsourcingu infrastruktury, nabízí se logicky možnost provozovat autentizační řešení jako službu rovněž v prostředí cloudu Výhody autentizace formou služby – Nulové nebo zanedbatelné investiční náklady (pouze nastavení služby) – Zákazník nepotřebuje vlastní servery (HW ani licence) – Velmi krátká doba implementace (hodiny až dny)


18. 6. 2013 18

Příklady systémů silné autentizace formou služby SafeNet Authentication Service (SAS) • Umožňuje zachovat stávající investici do autentizace – např. převzít pool tokenů konkurenčních řešení bez jakéhokoli dopadu na uživatele • Úspora pracnosti administrace díky pokročilé automatizaci a samoobslužným funkcím pro koncové uživatele • SLA na dostupnost: 99,999 % = 5,25 minut/rok downtime

Symantec Validation and ID Protection Service (VIP) • Behavioral Engine – autentizace s využitím vzorců chování uživatele • Adaptive Risk Score – síla autentizace podle aktuálního rizika • SLA na dostupnost: 99,5 % (služba jako celek) = 43,8 hodin/rok downtime • SLA na dostupnost: 99,95 % (pouze proces autentizace uživatelů) Filosofii systémů autentizace formou služby si podrobněji ukážeme na produktu SafeNet Authentication Service Bezpečnost informací a udržitelný rozvoj

18. 6. 2013

Silná autentizace nejen pro cloudové služby •

Široká škála podporovaných tokenů a dalších autentizačních metod, aplikací a technologií VPN Citrix

Firewall SSL

USB Tokens

JAVA Tokens

BlackBerry Tokens

Outlook

VPN

Remote Web Workplace

RADIUS Agents / API’s

SMS Tokens

Citrix CAG, WI, AAC

Terminal Services

IIS

Smartphone Tokens

Software Tokens

NPS/IAS

Grid Tokens Key Chain Credit Card Tokens Tokens

Web Apps Agents

Unix Logon

Apache

LDAP Synchronisation Agent

SAML Linux/Unix

Migration Agent


18. 6. 2013 20

Architektura SAS SafeNet Authentication Service SafeNet Authentication Service

North America DataCenter SMS via HTTP(S)

EMEA DataCenter

User Repository

Email via SMTP

Engines

Portals

Internet

Service Provider

Agents

Security Policy

Subscriber

LDAP Synch

Authentication

User Self-Service

Migration

Provisioning

Self-Enrolment

Solutions

Reporting/Alerts

Virtual Server Management & Admin

Reports & Alerts

SMS Service Provider

Token Repository

User service requests

User information

Authentication Request

Radius Authentication Request

(Subscriber or SP selected)

SMS message

SAML Authentication Request

Agent

Tokens Administrator

User Repository

Agents

Access Devices

Users


18. 6. 2013 21

Postup nasazení SAS Zákazník Administrator

Applications Active Directory

5

3

Krok Access Device

1

4

(implementátora)

2

6

7

Výběr poskytovatele služby

Krok

2

Vytvoření zákaznického účtu

Krok

3

Vytvoření administrátora

Krok

4

Konfigurace konektivity

Krok

5

Připojení Active Directory

Krok

6

Poskytnutí tokenů uživatelům

Krok

7

Samoobslužná aktivace

Poskytovatel služby

tokenu uživatelem

1 Uživatelé a tokeny


18. 6. 2013 22

Děkuji za pozornost [email protected]

Bezpečný cloud šifrování a silná autentizace. Ing. Petr Slaba ASKON International s.r.o

Recommend Documents