Bezpieczeństwo chmury obliczeniowej dr inż. Piotr Boryło

Podobne dokumenty
<Insert Picture Here> Bezpieczeństwo danych w usługowym modelu funkcjonowania państwa

VPN Virtual Private Network. Użycie certyfikatów niekwalifikowanych w sieciach VPN. wersja 1.1 UNIZETO TECHNOLOGIES SA

Zapewnienie dostępu do Chmury

CSA STAR czy można ufać dostawcy

Przetwarzanie i zabezpieczenie danych w zewnętrznym DATA CENTER

Przetwarzanie danych w chmurze

Zarządzanie dokumentacją techniczną. Wykł. 11 Zarządzania przepływem informacji w przedsiębiorstwie. Zabezpieczenia dokumentacji technicznej.

Instrukcja obsługi programu altbackup

Audyt zasobów sprzętowych i systemowych (za pomocą dostępnych apletów Windows oraz narzędzi specjalnych)

Dane bezpieczne w chmurze

Szczegółowy opis przedmiotu zamówienia:

11. Autoryzacja użytkowników

1 Implementowanie i konfigurowanie infrastruktury wdraŝania systemu Windows... 1

Bezpieczeństwo Systemów Komputerowych. Wirtualne Sieci Prywatne (VPN)

Wirtualizacja sieci - VMware NSX

Warstwa ozonowa bezpieczeństwo ponad chmurami

System Użytkowników Wirtualnych

Jarosław Żeliński analityk biznesowy, projektant systemów

Leonard G. Lobel Eric D. Boyd. Azure SQL Database Krok po kroku. Microsoft. Przekład: Marek Włodarz. APN Promise, Warszawa 2014

ABC systemu Windows 2016 PL / Danuta Mendrala, Marcin Szeliga. Gliwice, cop Spis treści

System Kancelaris. Zdalny dostęp do danych

Zdalne logowanie do serwerów

Zarządzanie cyklem życia bezpieczeństwa danych

Praktyczne wykorzystanie mechanizmów zabezpieczeń w aplikacjach chmurowych na przykładzie MS Azure

GSMONLINE.PL. T-Mobile wprowadza platformę T-Mobile Cloud - aktualizacja Polski T-

RODO a programy Matsol

OCHRONA SIECI DLA KAŻDEJ CHMURY

Szkolenie autoryzowane. MS Administracja i obsługa Windows 7. Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

Sieciowa instalacja Sekafi 3 SQL

Warszawa, 6 lutego Case Study: Chmura prywatna HyperOne dla Platige Image dzięki Microsoft Hyper-V Server. Wyzwanie biznesowe

Uwierzytelnianie użytkowników sieci bezprzewodowej z wykorzystaniem serwera Radius (Windows 2008)

Bringing privacy back

Jak bezpieczne są Twoje dane w Internecie?

Instrukcja instalacji v2.0 Easy Service Manager

VMware View: Desktop Fast Track [v5.1] Dni: 5. Opis: Adresaci szkolenia

Konfigurowanie Windows 8

DHL CAS ORACLE Wymagania oraz instalacja

ZiMSK. Konsola, TELNET, SSH 1

Chmura obliczeniowa. Sieci komputerowe laboratorium A1 (praca grupowa w chmurze)

Xopero Backup Appliance

XXIII Forum Teleinformatyki

Księgarnia PWN: Jan De Clercq, Guido Grillenmeier - Bezpieczeństwo Microsoft Windows. Podstawy praktyczne

Temat: EasyAccess 2.0 Data: 10 Października 2014 Prowadzący: Maciej Sakowicz

24/10/2011 Norma bezpieczeństwa PCI DSS. Korzyści i problemy implementacji. 1

Zmiana sposobu dostarczania aplikacji wspierających funkcje państwa

Implementowanie zaawansowanej infrastruktury serwerowej Windows Server 2012 R2

Mateusz Kurleto NEOTERIC. Analiza projektu B2B Kielce, 18 października 2012

Joanna Baranowska. Chmura obliczeniowa w samorządach korzyści i wyzwania

Serwer SSH. Wprowadzenie do serwera SSH Instalacja i konfiguracja Zarządzanie kluczami

PROFESJONALNE USŁUGI BEZPIECZEŃSTWA

Case Study: Migracja 100 serwerów Warsaw Data Center z platformy wirtualizacji OpenSource na platformę Microsoft Hyper-V

Migracja bazy danych Microsoft Access *.mdb do Microsoft SQL 2008 Server R2 SP1 dla oprogramowania Płatnik

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

Zabezpieczanie platformy Windows Server 2003

ZALECENIA DLA MIGRACJI NS-BSD V8 => V9

Gerard Frankowski, Zespół Bezpieczeństwa PCSS. Nowoczesne technologie bliżej nas Poznań,

Zalecenia standaryzacyjne dotyczące bezpieczeństwa wymiany danych osobowych drogą elektroniczną. Andrzej Kaczmarek Biuro GIODO

Przetwarzanie danych w chmurze

AE/ZP-27-16/14. Oprogramowanie do wykonywania kopii zapasowych oraz zarządzania maszynami wirtualnymi

Przełączanie i Trasowanie w Sieciach Komputerowych

VPN dla CEPIK 2.0. Józef Gawron. (wirtualna sieć prywatna dla CEPIK 2.0) Radom, 2 lipiec 2016 r.

Zabezpieczanie platformy Windows Server 2003

PREMIUM BIZNES zł 110zł za 1 Mb/s Na czas nieokreślony Od 9 14 Mbit/s

CLOUD COMPUTING CHMURA OBLICZENIOWA I PLATFORMA WINDOWS AZURE

Tworzenie połączeń VPN.

POLITYKA CERTYFIKACJI KIR dla ZAUFANYCH CERTYFIKATÓW NIEKWALIFIKOWANYCH

DESlock+ szybki start

BlackHole. Bezpieczne Repozytorium Ważnych Zasobów.

Instrukcja instalacji Control Expert 3.0

2 Projektowanie usług domenowych w usłudze Active Directory Przed rozpoczęciem... 77

CENNIK USŁUG TELEKOMUNIKACYJNYCH

W drodze do chmury hybrydowej stan zaawansowania w polskich przedsiębiorstwach.

Kompleksowe Przygotowanie do Egzaminu CISMP

Xopero Backup Build your private cloud backup environment. Rozpoczęcie pracy

Wykorzystanie wirtualizacji w kluczowych scenariuszach data-center

Egzamin : zabezpieczanie systemu Windows Server 2016 / Timothy Warner, Craig Zacker. Warszawa, Spis treści

conjectmi Dane bezpieczeństwa technicznego

SHAREPOINT SHAREPOINT QM SHAREPOINT DESINGER SHAREPOINT SERWER. Opr. Barbara Gałkowska

Licencjonowanie funkcji zarządzania System Center 2012 Server

Przetwarzanie w chmurze - przykład z Polski 2013, PIIT

Wszystkie parametry pracy serwera konfigurujemy w poszczególnych zakładkach aplikacji, podzielonych wg zakresu funkcjonalnego.

Zadanie1: Odszukaj w serwisie internetowym Wikipedii informacje na temat protokołu http.

Case Study: Migracja 100 serwerów Warsaw Data Center z platformy wirtualizacji OpenSource na platformę Microsoft Hyper-V

1. Zakres modernizacji Active Directory

WorkshopIT Komputer narzędziem w rękach prawnika

Metodologia ochrony informacji w systemach klasy desktop oraz na urządzeniach przenośnych

Szkolenie autoryzowane. STORMSHIELD Network Security Administrator. Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

Zastosowania PKI dla wirtualnych sieci prywatnych

Zabezpieczanie systemu Windows Server 2016

Dni: 5. Opis: Adresaci szkolenia. Kurs jest przeznaczony dla:

Oferta świadczenia pomocy prawnej dla Zdalny dostęp do dokumentów

Serwery LDAP w środowisku produktów w Oracle

Bezpieczny dostęp do usług zarządzania danymi w systemie Laboratorium Wirtualnego

Nowoczesny dział IT w chmurze

Kielce, dnia roku. HB Technology Hubert Szczukiewicz. ul. Kujawska 26 / Kielce

Secure Development Lifecycle w chmurze w modelu public i. Aleksander P. Czarnowski AVET Information and Network Security Sp z o.o.

Wstęp... ix. 1 Omówienie systemu Microsoft Windows Small Business Server

Rozwiązania HP Pull Print

INFRA. System Connector. Opis wdrożenia systemu

Transkrypt:

Bezpieczeństwo chmury obliczeniowej dr inż. Piotr Boryło 24.04.2019

Agenda» Definicja» Kto jest odpowiedzialny za bezpieczeństwo?» Najważniejsze komponenty i mechanizmy» Dobre praktyki i zalecenia» Przykłady usług i aplikacji» Dyskusja

Definicja» Trudno znaleźć pierwsze i wiarygodne źródło podające kompletna definicję» Z syntezy wielu przyjmijmy Bezpieczeństwo zdolność do ochrony informacji, systemów i infrastruktury z równoczesnym dostarczaniem wartości biznesowej

Definicja» Czy to jest definicja w jakiś sposób specyficzna dla chmury? Bezpieczeństwo zdolność do ochrony informacji, systemów i infrastruktury z równoczesnym dostarczaniem wartości biznesowej

Definicja Bezpieczeństwo chmury zdolność do ochrony informacji przechowywanych w chmurze, systemów uruchamianych w chmurze i infrastruktury chmury z równoczesnym dostarczaniem wartości biznesowej za pośrednictwem chmury

Kto jest odpowiedzialny?» Kto może być odpowiedzialny? Operator Klient» Kto jest odpowiedzialny?» Jakie są wymiary bezpieczeństwa Bezpieczeństwo chmury Bezpieczeńtwo w chmurze

Kto jest odpowiedzialny?» Jakie są wymiary bezpieczeństwa Bezpieczeństwo chmury Bezpieczeńtwo w chmurze» Kto jest odpowiedzialny za który wymiar?» Skupimy się przede wszystkim na wymiarze dotyczącym użytkownika» Bepieczeństwo chmury poglądowo teraz

Kto jest odpowiedzialny? https://smartermsp.com/ask-msp-expert-important-secure-public-cloud/

Bezpieczeństwo chmury» Operator jest odpowiedzialny za wszystko co niezbędne by dostarczyć klientowi usługi w sposób bezpieczny Infrastruktura fizyczna Sprzęt Oprogramowanie Sieci

Bezpieczeństwo chmury» Technicznie wszystko co poniżej poziomu nadzorcy wirtualizacji» Dodatkowo i opcjonalnie: Certyfikacja i atesty pozyskiwane od zewnętrznych instytucji i urzędów Poświadczenia dla użytkownika Publikacje informacji na temat bezpieczeństwa

Bezpieczeństwo w chmurze» Główna tematyka tego wykładu» Użytkownik jest odpowiedzialny za swoje zasoby w chmurze, np. Szyfrowanie danych Systemy operacyjne Sieć (zapory sieciowe) Aplikacje Konta użytkowników Publikowane treści

Bezpieczeństwo w chmurze» Poziom wymaganego zaangażowania zależy od model w jakim korzystamy z chmury IaaS PaaS SaaS» W którym modelu użytkownik ponosi największą odpowiedzialność?

https://blogs.msdn.microsoft.com/azuresecurity/2016/04/18/what-does-shared-responsibility-in-the-cloud-mean/

Najważniejsze komponenty i mechanizmy» Ochrona infrastruktury» Uwierzytelnianie i autoryzacja» Bezpieczeństwo danych Komunikacja Przechowywanie» Monitoring

Uwierzytelnianie i autoryzacja» Metody uwierzytelniania w chmurze? GUI: login i hasło Konsola: klucze SDK: klucze» Słabe punkty każdej z metod?» Możliwości dodatkowych zabezpieczeń?» Czy któraś jest jedyną słuszną?

Uwierzytelnianie i autoryzacja» Metody uwierzytelniania w chmurze?» Słabe punkty każdej z metod? GUI: człowiek Klucze: kradzież, dobrowolne ujawnienie» Możliwości dodatkowych zabezpieczeń?» Czy któraś jest jedyną słuszną?

Uwierzytelnianie i autoryzacja» Metody uwierzytelniania w chmurze?» Słabe punkty każdej z metod?» Możliwości dodatkowych zabezpieczeń? MFA Usługi zarządzania kluczami Nadawanie uprawnień aplikacjom» Czy któraś jest jedyną słuszną?

Uwierzytelnianie i autoryzacja» Identity and Access Management Konta Użytkownicy Grupy Role i uprawnienia Zasoby» Drobne różnice w nomenklaturze pomiędzy operatorami + ikonografiki

Uwierzytelnianie i autoryzacja

Uwierzytelnianie i autoryzacja https://scriptcrunch.com/aws-certification-iam-essentials-cheat-sheet/

Uwierzytelnianie i autoryzacja» Dodatkowe ułatwienia w postaci gotowych zestawów uprawnień, np. Dla serwera aplikacji do kontaktów z bazą danych Pobieranie statycznych plików strony www Dla systemu bazodanowego do tworzenia i przechowywania kopii zapasowych bazy

Uwierzytelnianie i autoryzacja» Dodatkowe ułatwienia w zakresie dystrybucji kluczy i uprawnień Nadanie uprawnień maszynie wirtualnej sprawia, że wszystkie aplikacje działają z takimi uprawnieniami (nie trzeba zapisywać kluczy w konfiguracji) Możliwość tymczasowego przekazania uprawnień, np. admina, bez udostępniania hasła

Uwierzytelnianie i autoryzacja» Ułatwienia w zakresie lokalnych katalogów użytkowników Przenieś swój katalog do chmury Używają konto z lokalnego katalogu w chmurze Synchronizuj katalog w chmurze i lokalny» Uprawnienia tymczasowe per logowanie» SSO, zaufane poświadczenie: FB, Google

Uwierzytelnianie i autoryzacja» Dobre praktyki Usunąć klucze dla konta admina Jeden użytkownik jedno konto Korzystanie z grup Nadawanie jak najmniej uprawnień Wymuszenie silnych haseł + MFA Korzystanie z ról i uprawnień Rotowanie danych logowania Sprzątanie (konta i uprawnienia)

Bezpieczeństwo danych» W zakresie komunikacji (wymiany danych) Data in trasit» W zakresie przechowywania danych Data in rest

Bezpieczeństwo danych» W zakresie komunikacji kwestie bezpieczeństwa rozwiązuje się na kilka sposobów Konfiguracja sieci Zapory sieciowe Szyfrowanie transmisji

Bezpieczeństwo danych» Konfiguracja sieci Umieszczanie chronionego zasobu w prywatnej sieci Network Address Translation Virtual Private Network Wysoka skuteczność Szczególnie jeśli maszyna jest całkowicie nieosiągalna Niewielka elastyczność konfiguracji

Bezpieczeństwo danych» Zapory sieciowe Pozwalają filtrować ruch z dokładnością do poszczególnych portów i adresów IP Pewien narzut wydajnościowy i konfiguracyjny Dwa podejścia do realizacji: Klasyczne (DMZ) Zapora dedykowana dla maszyny

Bezpieczeństwo danych» Szyfrowanie transmisji Korzystanie z bezpiecznych punktów końcowych Przede wszystkim HTTPS uniemożliwia przechwytywanie ruchu

Bezpieczeństwo danych» W zakresie przechowywania danych Klucze symetryczne Hierarchiczne klucze symetryczne Jeden wiodący model implementacji czyli czym to się różni w chmurze

Bezpieczeństwo danych» Klucze symetryczne Jak działa klucz symetryczny? Jakie są alternatywy? Dlaczego akurat symetryczny? Dlaczego wady symetrycznego klucza nie są tutaj aż tak istotne?

Bezpieczeństwo danych» Ogólna zasada działania https://cloudarchitectmusings.com/2018/03/09/data-encryption-in-the-cloud-part-4-aws-azure-and-google-cloud/

Bezpieczeństwo danych» Potrzeba istnienia klucza nadrzędnego» Ale klucz nadrzędny też trzeba bezpiecznie przechować» Można tak w nieskończoność» Rotacja kluczy!

Bezpieczeństwo danych» Zwykle tylko dwa poziomy zagnieżdżenia» Klucz danych unikalny dla pojedynczego zasobu» Klucz główny nigdy nie opuszcza systemu zarządzania kluczami zintegrowanego z innymi usługami» Ale co to jest system zarządzania kluczami?!

https://cloud.google.com/security/encryption-at-rest/ Możliwe podejścia

Cloud HSM» Dodatkowy poziom zabezpieczeń» Sprzętowe repozytorium kluczy i prowadzenia operacji szyfrowania» Odporność wynika z izolacji sprzętowej» Pomaga spełnić wymagania i normy» Powszechnie w ofercie dostawców z integracją z systemem zarządzania kluczami

Inne możliwości szyfrowania?» Gdzie w przedstawionym modelu odbywa się szyfrowanie?» Gdzie jeszcze mogłoby się odbywać?» Dwa warianty: Server-Side Encryption Client-Side Encyrption» Dla client-side zwykle też oferowana jest usługa

Inne mechanizmy?» Inne sposoby zabezpieczania przechowywanych danych? Ograniczanie dostępu Logowanie aktywności (uniwersalne dla różnych usług, nie tylko przechowywania danych)

Ograniczanie dostępu» Nic innego jak reguły, podobne do tych w zaporach sprzętowych, ale» Dużo większa szczegółowość: Per pojedynczy zasób/grupa zasobów Per użytkownik/grupa użytkowników W zależności od czasu Tymczasowe uprawnienia I wiele innych

Bezpieczeństwo danych - podsumowanie» W zakresie komunikacji (wymiany danych) Konfiguracja sieci Zapory sieciowe Szyfrowanie transmisji» W zakresie przechowywania danych Szyfrowanie (serwer, klient) Ograniczanie dostępu Logowanie aktywności

Bezpieczeństwo danych - podsumowanie» Wszystko to realizowane jest w podobny sposób: Przez różnych operatorów Dla różnych rodzajów usług przechowywania danych? Obiekty Dyski wirtualne bądź fizyczne Bazy danych

Logowanie aktywności (monitoring)» Z reguły pakiet usług od dostawcy chmury» Monitorowanie wszystkich akcji: Różne kanały dostępu Wielu użytkowników Zasoby o różnej wrażliwości» W efekcie klęska urodzaju

Logowanie aktywności (monitoring)» Zintegrowane usługi: Backup Powiadomienia i alarmy Automatyczne wyzwalanie działań Narzędzia do analizy danych Narzędzia do przygotowywania raportów Dokumentacja na potrzeby audytów

Agenda» Definicja» Kto jest odpowiedzialny za bezpieczeństwo?» Najważniejsze komponenty i mechanizmy» Dobre praktyki i zalecenia» Przykłady usług i aplikacji» Dyskusja

Dobre praktyki i zalecenia» Izolacja zasobów na każdym poziomie» Szyfruj dane (przesyłane i przechowywane)» Nadawaj możliwie najmniej uprawnień» Używaj wieloczynnikowego uwierzytelniania» Wykorzystuj usługi operatora» Loguj aktywność» Automatyzuj akcje bezpieczeństwa

Aktywizacja!!» Na rozgrzewkę: co to jest współdzielona odpowiedzialność?» Nieco trudniej: co to znaczy izolacja na każdym poziomie?» Wymagana kreatywność: Co w zakresie bezpieczeństwa można automatyzować?

Przykłady usług» Przytaczam dla trzech największych operatorów» Ze względu na mnogość usług i potrzebę kompleksowego zapewniania bezpieczeństwa tych usług jest dużo» Szczegółowa dokumentacja

Przykłady usług» Szczegółowa dokumentacja https://aws.amazon.com/products/security/ https://docs.microsoft.com/enus/azure/security/azure-security-servicestechnologies https://cloud.google.com/security/products/

https://conceptdraw.com/a3120c3/preview

Google Cloud» Shielded VMs» Encryption in transit» Application Layer Transport Security» Cloud KMS» Cloud HSM» Cloud IAM» Security Keys» Activity Logs

https://azure.microsoft.com/en-us/overview/security/ Microsoft Azure

https://azure.microsoft.com/en-us/overview/security/ Microsoft Azure

https://azure.microsoft.com/en-us/overview/security/ Microsoft Azure

Dyskusja» Co jest bezpieczniejsze lokalne centrum danych czy chmura obliczeniowa?? i dlaczego papierowy notatnik

Dyskusja» Jakie zagrożenia przynosi chmura?» Jakie możliwości w zakresie bezpieczeństwa daje chmura?» Jakie obowiązki eliminuje chmura?» Jakie ograniczenia niesie chmura?» Czy ufamy operatorowi?» Czy ufamy urządzeniom jakie zainstalował operator?

Q&A Dziękuję za uwagę! borylo@agh.edu.pl 24.04.2019

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres