Bezpieczeństwo IT z Open Source na nowo

Transkrypt

1 Bezpieczeństwo IT z Open Source na nowo Nowy wspaniały (i pełen wyzwań) świat hybrydyzacji, konteneryzacji, definiowania software owego i data science Marek Najmajer Dyrektor Sprzedaży Linux Polska

2

3 Trendy 2017 hybrid cloud kontenery ataki sponsorowane przez państwa software-defined BOTNET-AS-A-SERVICE everything everything-as-a-service (XaaS)

4 Nowy wspaniały świat IT Wirtualizacja Konteneryzacja Everything-as-a-Service (XaaS): IaaS, PaaS, SaaS, SecaaS, IdaaS, Container-as-a-Service Software-Defined Everything, sieć (NFV), storage Złożoność, zmienność i enkapsulacja struktur Przyspieszony rozwój oprogramowania i zmienność: platform (OpenStack - 2 realeasy rocznie), środowisk (przeciętna wieku instalacji OpenStack 1,68 roku) aplikacji (jeszcze krótszy Time2Market, personalizacja, samoobsługa) ról użytkowników Złożoność systemów zastąpiona złożonością deploymentu i orkiestracji mikroserwisów Trudne do śledzenia zależności

5 App 1 System operacyjny Serwer fizyczny Serwery fizyczne

6 App 1 App 2 App3 Biblioteki 2 Biblioteki 3 App 1 System operacyjny OS 1 OS 2 OS 3 Wirtualizator System operacyjny hosta Serwer fizyczny Serwer fizyczny Serwery fizyczne Wirtualizacja

7 App 1 App 2 App3 Biblioteki 2 Biblioteki 3 App 1 OS 1 OS 2 OS 3 App 1 App 2 App3 App 2 Biblioteki 2 Biblioteki 3 Biblioteki 2 Wirtualizator Container Engine System operacyjny System operacyjny hosta System operacyjny Serwer fizyczny Serwer fizyczny Infrastruktura Serwery fizyczne Wirtualizacja Konteneryzacja

8 + efektywniejsze i bardziej elastyczne wykorzystanie zasobów + obniżenie kosztów administracji i eksploatacji ale nic za darmo: - większa złożoność infrastruktury - przepływów i procesów App 1 App 2 App3 - większa zmienność Biblioteki 2 Biblioteki 3 App 1 OS 1 OS 2 OS 3 App 1 App 2 App3 App 2 Biblioteki 2 Biblioteki 3 Biblioteki 2 Wirtualizator Container Engine System operacyjny System operacyjny hosta System operacyjny Serwer fizyczny Serwer fizyczny Infrastruktura Serwery fizyczne Wirtualizacja Konteneryzacja

9 Kontenery mają krótszy czas życia niż maszyny wirtualne

10 nowe kontenery są dodawane i uruchamiane

11 pracują

12 i są usuwane

13 Co to oznacza dla ochrony przed atakiem? Tradycyjna ochrona na perymetrze i ochrona wgłąb (zoning) Zdalny pracownik VPN Gateway Usługa prywatna Serwer PCI Niezaufany klient LB Serwer Aplikacyjny

14 Co to oznacza dla ochrony przed atakiem? Tradycyjna ochrona na perymetrze i ochrona wgłąb (zoning) Zdalny pracownik VPN Gateway Usługa prywatna Serwer PCI Ap 1 Ap 3 Niezaufany klient Ap L LB Ap L Serwer Aplikacyjny Ap 2

15 Co to oznacza dla ochrony przed atakiem? z wolna uzupełniana/zastępowana podejściem Zero Trust Płaszczyzna kontrolna Secure Gateway Usł. legacy Usł. dostawcy Zdalny pracownik Niezaufany klient LB Usługa prywatna Serwer Aplik. Serwer PCI

16 Co to oznacza dla ochrony przed atakiem? Jest z wolna uzupełniana/zastępowana podejściem Zero Trust Płaszczyzna kontrolna Secure Gateway Usł. legacy Usł. dostawcy Zdalny pracownik Niezaufany klient Ap L LB Ap L Usługa prywatna Ap 1 Serwer Aplik. Ap 2 Ap 3 Serwer PCI

17 Co to oznacza dla ochrony przed atakiem? Trudność ochrony Niemożliwość zastosowania statycznych wzorców i reguł - za duża zmienność Skala złożoności analiza logów rzędu TB/dzień standardowe metody analizy stają się niewydajne potrzeba machine learning, dynamicznego profilowania (inaczej zespół SOC nie nadąży) i anomalii, oraz ogniw kill-chain Podsumowanie: z ochrony perymetru przejście na ochronę wgłąb i security-by-design (nie tanio i nie prosto); big-data, machine learning

18 Możliwości ataku też rosną wielkie moce obliczeniowe: stacji hakera, zniewolonej do działań sieci usługi botnet-as-a-service nowe oprogramowanie machine learning w służbie hakerów większa możliwość zachowania anonimowości możliwość ukrycia wrogiego działania w złożoności logów użytkownicy nie nadążają za zmianami i nie potrafią prawidłowo rozpoznać niebezpiecznych sytuacji i niebezpiecznych zachowań

19 Open Source budzi już nasze zaufanie

20

21 Open Source oferuje wiele narzędzi Nowe platformy infrastrukturalne i platformowe dostarczają już solidnych narzędzi do izolacji i zabezpieczania aplikacji i przepływów: OpenStack (keystone, anchor ) Kubernetes/OpenShift/Docker Swarm CAS, keycloak modsecurity httpd/mod_proxy, squid, nginx FreeRADIUS, Nitrokey suricata OSSEC nmap, bro ELK, EFK, Apache Spot Moloch OSSIM Cuckoo Sandbox Metasploit fsense, Kali Linux, Security Onion

22 Z których można skomponować solidne rozwiązanie pasujące do potrzeb bezpieczeństwa IT organizacji Red Hat Satellite Bezpieczny provisioning Bezpieczne OS CoCoA Platforma analizy logów uwierzytelnienie Bezpieczna konfiguracja IPA Puppet Server Continuous Command Auditor (CoCoA) - cegiełka w architekturze bezpieczeństwa wczesne rozpoznanie, nadużycia uprawnień, akcji równoległych na wielu systemach, zmian w konfiguracjach systemy: satellite, puppet, ipa, auditd, elk, (ml?) kontenery: openshift, log aggregate, elk, (ml?) agregacja i analiza zdarzeń: ELK z możliwością integracji z platformą Splunk

23 Dziękuję! Konteneryzacja (Red Hat OpenShift, Docker Swarm) będzie szerzej i na żywo prezentowana w trakcie warsztatów po przerwie. Zapraszamy na stoisko Linux Polska Marek.Najmajer@linuxpolska.pl