Bárányfelhő vagy viharfelhő? A felhő alapú megoldások biztonsági kérdései Császár Rudolf Műszaki fejlesztési vezető Digital Kft.
Tartalom Cloud computing definíció Cloud computing adatbiztonsági szemüveggel Előnyök, hátrányok, veszélyek, kételyek Ajánlások Kliens oldali védelem, szerver oldali védelem
A felhő alapú megoldások definíciója 5 ismérv 3 szolgáltatási modell 4 megvalósítási lehetőség NIST modell a felhő alapú számítástechnika definíciójához
A felhő alapú megoldások szolgáltatási modelljei Infrastructure as a Service (IaaS) / Datacenter as a Service (DaaS) Példák: Hosting és kolokációs szolgáltatások, virtuális szerver szolgáltatás Platform as a Service (PaaS) Microsoft Azure, Amazon Web Services Software as a Service (SaaS) Microsoft Office 365, Virtualoso e-mail, GFI Max RemoteManagement
A felhő alapú megoldások megvalósítási lehetőségei
Előnyök: Specializálódott személyzet Egységes platform Erőforrás allokálás Mentés, visszaállítás Adatkoncentráció Biztonsági előnyök, hátrányok Hátrányok: Komplexitás Osztott, sok előfizetős környezet Internetről elérhető szolgáltatások A közvetlen felügyelet elvesztése
Megbízhatok a szolgáltatóban? Felmerülő kérdések Milyen szintű adatbiztonsági intézkedésekkel rendelkezik a szolgáltató? Ki miért felelős? Mi történik incidens esetén, kinek mi a teendője, hogyan működünk együtt? Mennyire szegmentáltak az egyes előfizetők rendszerei, adatai? Hova kerülnek az adataim? > Jogszabályi probléma 1992. évi LXIII. törvény a személyes adatok védelméről és a közérdekűadatok nyilvánosságáról: 9. (1) Személyes adat (beleértve a különleges adatot is) az országból - az adathordozótól vagy az adatátvitel módjától függetlenül - harmadik országban lévő adatkezelő vagy adatfeldolgozó részére akkor továbbítható, ha a) ahhoz az érintett kifejezetten hozzájárult, vagy b) azt törvény lehetővé teszi, és a harmadik országban az átadott adatok kezelése, illetőleg feldolgozása során biztosított a személyes adatok megfelelő szintű védelme. (4) Az EGT-államokba irányuló adattovábbítást úgy kell tekinteni, mintha a Magyar Köztársaság területén belüli adattovábbításra kerülne sor.
Jelentősebb fenyegetések A rossz fiúk már a felhőben vannak Nem biztonságos interfészek és API-k Rosszhiszemű alkalmazottak Megosztott erőforrás használat>virtualizáció Felhasználói fiók és szolgáltatás eltérítés Nem ismert kockázati profil
Virtualizáció Virtual Rootkits http://www.blackhat.com/presentations/bh-usa-09/kortchinsky/bhusa09-kortchinsky- Cloudburst-PAPER.pdf http://theinvisiblethings.blogspot.com/2008/07/0wning-xen-invegas.html http://www.microsoft.com/technet/security/bulletin/ms10-010.mspx http://blogs.vmware.com/security/2010/01/announcingvsphere-40-hardening-guide-public-draftrelease.html
Ajánlások NIST Draft Special Publication 800-144 Guidelines on Security and Privacy in Public Cloud Computing A szolgáltató alapos felmérése adatbiztonsági szempontból (szabványok, architektúra, kockázatelemzés, izoláció), szerződéses garanciák, incidenskezelés, disaster recovery Erős azonosítás Tesztelés, monitorozás, auditálás Megfelelő kliens oldali és szerver oldali védelem http://www.cloudsecurityalliance.org/ Consensus Assessments Initiative Questionnaire CloudAudit CloudTrust Protocol
Megfelelő kliens oldali védelem Split tunnel or not split tunnel that is the question Sávszélesség kezelés felértékelődik Ki mit használ, az mennyi sávszélességet visz el Nem elég port szinten, alkalmazás szinten kell tudni kezelni a kérdést>application control>sonicwall UTM-ek
SonicWall alkalmazás kontroll
SonicWall dashboard
SonicWall szabály közvetlenül a dashboard-ról
Megfelelő szerver oldali védelem SonicWall SSLVPN Web application firewall Erős azonosítás One-Time-Password>SMS kód
Kérdések???