Secure Development Lifecycle w chmurze w modelu public i. Aleksander P. Czarnowski AVET Information and Network Security Sp z o.o.

Transkrypt

1 Secure Development Lifecycle w chmurze w modelu public i private PaaS Aleksander P. Czarnowski AVET Information and Network Security Sp z o.o.

2 Cele prezentacji Problem(y) Obecne procesy SDL (Secure Development Lifecycle) nie w pełni adresują problemy związane z bezpieczeostwem aplikacji uruchamianych w chmurze Wiele procesów SDL nie jest implementowanych ze względu na złożonośd i koszt Cel prezentacji Architektura chmur typu PaaS i konsekwencja dla modelu bezpieczeostwa Jakie problemy napotkamy dostosowując proces SDL do chmur typu public / private PaaS Nowe koncepcja i projekty w zakresie SDL

3 Ważne aspekty Chmury typu Platform-as-a-Service (PaaS) mają własny katalog zagrożeo, różny w zależności od modelu (private / public) Katalog zagrożeo ma wpływ na proces Secure Development Lifecycle (SDL) Jak efektywne zarządzad ryzykiem dla rozwiązao typu PaaS

4 Popularne mity Chmura jest bezpieczniejsza dla aplikacji od tradycyjnych modeli przetwarzania Chmura jest niebezpieczna Setki wariantów powyższych teorii

5 Architektura PaaS: co to jest?

6 Nowy inicjatywa w odpowiedzi na potrzeby chmur typu PaaS LIGHTWEIGHT SECURE DEVELOPMENT LIFECYCLE

7 Dlaczego nowy proces SDL? Perspektywa biznesowa Kryzys = cięcie kosztów, poszukiwanie oszczędności, szybkie wytwarzanie oprogramowania w celu szybkiego wprowadzenia nowych produktów na rynek Dotychczasowe modele SDL są zbyt skomplikowane w wielu przypadkach aby je stosowad Dotychczasowe modele nie brały pod uwagę chmury jako środowiska wykonania aplikacji Nadal niski poziom kultury bezpieczeostwa informacji Perspektywa technologiczna Budowanie nowego, dedykowanego rozwiązania pod kątem potrzeb bezpieczeostwa w środowiskach PaaS Dogłębne zrozumienie nowych zagrożeo i podatności = lepsze zarządzania podatnościami i ryzykiem Brak gotowych dobrych praktyk w formie pozwalającej na natychmiastowe użycie Inne problemy ze zgodnością dla modeli public i private

8 Software Security Touchpoints Źródło:

9 Popularne metodyki i ich elementy BSIMM3 (The Building Security In Maturity Model) CLASP (Comperhensive, Lightweight, Applicaton Security Process) CMMI-DEV Microsoft SDL

10 BSIMM3

11 CLASP (1/5)

12 CLASP (2/5)

13 CLASP (3/5)

14 CLASP (4/5)

15 CLASP (5/5)

16 CMMI-DEV

17 MS SDL

18 Dlaczego (prawie) nikt nie robi tego dobrze dla chmury PROBLEMY Z MODELOWANIEM ZAGROŻEŃ

19 Modelowanie zagrożeo Tradycyjne podejście Przykład metodyki Microsoft Problemy Trudno dokonad dekompozycji chmury, zwłaszcza typu PaaS Wiele komponentów z różnych źródeł Nie wiemy jak zostały zintegrowane Nie wiemy jak zostały zmodyfikowane Eliminacja problemów w komponentach nie eliminuje problemów w całej chmurze Klasyfikacja STRIDE / DREAD może byd trudna do zastosowania Źródło:

20 STRIDE/DREAD STRIDE: kategoryzacja zagrożeo Spoofing identity Tampering with data Repudiation Information disclouser Denial of service Elevation of privileges DREAD: określenie ryzyka Damage potential jak duże mogą byd straty? Reproducibility jak łatwo jest przeprowadzid dany atak tak aby zakooczył się sukcesem? Exploitability ile nakładów oraz wiedzy potrzeba do przeprowadzenia ataku? Affected users w przypadku udanego ataku ilu użytkowników zostanie dotkniętych? Discoverability jak łatwo wykryd podatnośd. MS domyślnie zawsze stosuje wartośd 10.

21 Istotne obszary wymagające zaadresowania Platforma VM Klient chmury PaaS API VM Stos

22 Każdy typ wirtualizacji ma swoje dedykowane zagrożenia PLATFORMA WIRTUALIZACYJNA

23 Hosted vs Bare-metal Źródło:

24 Rodzaje wirtualizacji Parawirtualizacja VMWare ESX KVM Xen System-level virtualization chroot / jail / sysjail LXC Linux-VServer OpenVZ OpenSolaris Zones Emulatory QEMU

25 API wirtualizacyjne Pełna kontrola nad hypervisorem Kontrola nad zwirtualizowanym sprzętem i przydzielonymi zasobami Kontrola nad oprogramowaniem uruchamiany w zwirtualizowanym środowisku Czy z system typu guest można uciec? Przykład: VMWare VMI /pdf/vmi_specs.pdf

26 Stos Zasoby platformy wirtualizacyjnej Zasoby maszyn wirtualnych System operacyjny i jego usługi oraz serwisy Aplikacje Połączenia sieciowe

27 Klient chmury Bezpieczeostwo klienta Protokół komunikacyjny Autoryzacja i uwierzytelnienie Uprawnienia użytkowników w chmurze Uprawnienia aplikacji w chmurze Uprawnienia serwisów i usług w chmurze Ścieżki zaufania pomiędzy komponentami 1. Jak jest dostarczany klient i jak aktualizowany? 2. Czy uruchomienie chmury wymaga dostępu do internetu i rejestracji na portalu? 3. Czy klient wymaga DNS? 4. Kto zarządza DNS? 5. Czy klient może byd rozszerzany (pluginy itp.)?

28 Typowe miejsca ataku Klient Aplikacje Protokół komunikacyjny Routing komunikatów Protokół Uprawnienia i dostępnośd Uprawnienia i dostępnośd Klient Uprawnienia i dostępnośd Podatności aplikacji i usług stosu Protokół komunikacyjny Podatności stosu Protokoły administracyjne Nadużycia API Podatności hypervisora Podatności platformy hypervisora

29 Co składad się będzie na projekt lsdl? lightweight SDL Wiki Opis procesu Wektory ataku Najlepsze praktyki Przykładowy projekt aplikacji Repozytorium w formacie mercurial System śledzenia błędów Środowisko continuous integration Wspierane metodyki i modele tworzenia oprogramowania Agile XP Continuous integration

30 Jak wykorzystad środowisko PaaS do wdrożenia procesu SDL? SDL W CHMURZE PAAS

31 SDL a Private PaaS Gotowa platforma wspierająca cały proces SDL Zapewnienie ciągłości i dostępności Skalowalnośd i wzrost razem z Projektami Organizacją Ściślejsza integracja procesu SDL z procesami zarządzaniem konfiguracją kodu źródłowego Szansa dla mniejszych organizacji / projektów których do tej pory nie było stad na kompleksowy projekt SDL

32 Przykład MS SDL Gotowe wiki Gotowe środowisko programistyczne Gotowe środowisko narzędziowe Bezpieczne środowisko testowe Bezpieczne środowisko produkcyjne

33 Podsumowanie Jesteśmy na początku a nie na koocu drogi Ewolucja zagrożeo i metod ataku będzie przebiegad tak jak dla klasycznych rozwiązao Adekwatne rozwiązania w zakresie tworzenia bezpiecznego oprogramowania dla chmur trzeba dopiero tworzyd

34 Dziękujemy za uwagę! PYTANIA?

35 Osoby kontaktowe AVET INS: Aleksander Czarnowski Prezes Zarządu, tel. (022) ;