Bezpečný cloud šifrování a silná autentizace Ing. Petr Slaba ASKON International s.r.o.
Agenda 1. Možné pohledy na bezpečnost virtualizované infrastruktury a prostředí cloudu 2. Kryptografická ochrana virtuálních serverů 3. Správa a ochrana identit uživatelů v cloudu
BEZPEČNOST CLOUDU??? Zkuste se zástupců několika firem zeptat jak rozumí pojmu BEZPEČNOST CLOUDU...... a uvidíte jak odlišné odpovědi dostanete.
BEZPEČNOST CLOUDU je klíčová priorita zákazníků Zdroj: Gartner
BEZPEČNOST CLOUDU může znamenat například Zabezpečení před ztrátou dat Garantovanou dostupnost systému (99,xxx %) Odolnost proti DDoS útokům Geografickou redundanci pro případ úplné ztráty lokality (živelná katastrofa, sabotáž, teroristický útok...) Business continuity strategii, Disaster recovery... Zabezpečení před neoprávněným přístupem k systému, zcizení nebo pozměnění dat
Proč uvažovat o dodatečném zabezpečení virtualizační platformy, resp. cloudu Virtualizační platformy a prostředí cloudu disponují velmi sofistikovanými bezpečnostními mechanismy ALE Každá virtualizační platforma je jen software a jako taková může obsahovat (a obsahuje) chyby a zranitelnosti Je velice obtížné ochránit data před útokem zevnitř např. před administrátory. Problém zejména ve veřejném cloudu Je velice obtížné uhlídat všechny instance dat (viz dále) Kromě chyb ve vlastním kódu virtualizační platformy (které výrobce zpravidla dříve či později opraví bezpečnostní záplatou) často dochází k chybám konfigurace virtualizační platformy
Agenda 1. Možné pohledy na bezpečnost virtualizované infrastruktury a prostředí cloudu 2. Kryptografická ochrana virtuálních serverů 3. Správa a ochrana identit uživatelů v cloudu
Rizika virtualizace Jak jsou zabezpečena moje data před zneužitím? APP APP APP APP OS OS OS OS Hypervisor Compute Layer Storage Virtuální počítače (VM) a storage se snadno kopírují (a také kradou) VM se také často přesouvají bez vědomí jejich vlastníka Virtualizace zavádí nové kategorie vysoce privilegovaných administrátorů - server, storage, backup, aplikace... Snapshots Snapshots VM mají několik instancí, snapshotů, záložních kopií... Backup... a další repliky v záložní lokalitě (Disaster recovery site)
Citlivá data ve firemním IS v hybridním cloudu Elektronický obchod Platební transakce Webserver Osobní údaje Mailový server Důvěrné firemní e-maily Partnerský portál Zákaznická data Fileserver Obchodní tajemství Duševní vlastnictví Mám plnou kontrolu nad svými daty? Vím s jistotou kdo k nim přistupuje? Vím kde se nacházejí? A jsem schopen to doložit auditorům? Řešení: Online šifrování vybraných dat zpracovávaných v cloudu v reálném čase Řízení přístupu prostřednictvím zpřístupnění šifrovacích klíčů v bezpečném HW prostředí
Příklady systémů pro kryptografickou ochranu virtuálních serverů SafeNet ProtectV Umí šifrovat virtuální storage i samotné virtuální servery Klíče ukládá v zabezpečeném (FIPS 140-2 Level 3) HW prostředí KeySecure Trend Micro SecureCloud Šifruje pouze virtuální storage Klíče ukládá u bezpečnostní autority provozované výrobcem v režimu SaaS (Software as a Service) Filosofii systémů pro kryptografickou ochranu virtuálních serverů si podrobněji ukážeme na produktu ProtectV
Zabezpečení virtuálního datového centra 1 ProtectV klient ProtectV klient je nainstalován na ESX serverech Storage 2 ProtectV Manager ProtectV Manager slouží ke správě ProtectV klientů a běží na virtuálním stroji v prostředí VMware Zabezpečené virtuální disky VMware ESX Server Virtuální počítače 3 KeySecure KeySecure je HW appliance pro správu šifrovacích klíčů v bezpečném HW prostředí
5 Kryptografická ochrana virtuálních počítačů Delete Power On 1 ProtectV chrání virtuální počítače (VM) v celém jejich životním cyklu Zrušení klíče má za následek "digitální skartaci" všech jím šifrovaných dat a VM včetně všech kopií 4 Snapshot Všechny kopie, repliky, zálohy vybraných dat a VM jsou šifrovány Spuštění Pro spuštění VM lze vyžadovat autentizaci oprávněného administrátora Provoz a správa 2 3 Všechna vybraná data a VM jsou šifrovány
Agenda 1. Možné pohledy na bezpečnost virtualizované infrastruktury a prostředí cloudu 2. Kryptografická ochrana virtuálních serverů 3. Správa a ochrana identit uživatelů v cloudu
Autentizace v cloudu Aplikace provozované ve veřejném cloudu jsou často přístupné z veřejného internetu. Z toho důvodu je třeba zabývat se ochranou těchto systémů před neoprávněným přístupem. Autentizace = proces ověření proklamované identity Silná vícefaktorová autentizace kromě jména a hesla využívá nějaký další faktor, např: vlastnictví identifikačního předmětu (tokenu nebo čipové karty) jednorázový autentizační kód (SMS zpráva, tabulka jednorázových hesel) ID transakce: Wf9a3e Autentizacni kod: 78649765
Silná autentizace formou služby Protože cloud je založen na outsourcingu infrastruktury, nabízí se logicky možnost provozovat autentizační řešení jako službu rovněž v prostředí cloudu Výhody autentizace formou služby Nulové nebo zanedbatelné investiční náklady (pouze nastavení služby) Zákazník nepotřebuje vlastní servery (HW ani licence) Velmi krátká doba implementace (hodiny až dny) 18
Příklady systémů silné autentizace formou služby SafeNet Authentication Service (SAS) Umožňuje zachovat stávající investici do autentizace např. převzít pool tokenů konkurenčních řešení bez jakéhokoli dopadu na uživatele Úspora pracnosti administrace díky pokročilé automatizaci a samoobslužným funkcím pro koncové uživatele SLA na dostupnost: 99,999 % = 5,25 minut/rok downtime Symantec Validation and ID Protection Service (VIP) Behavioral Engine autentizace s využitím vzorců chování uživatele Adaptive Risk Score síla autentizace podle aktuálního rizika SLA na dostupnost: 99,5 % (služba jako celek) = 43,8 hodin/rok downtime SLA na dostupnost: 99,95 % (pouze proces autentizace uživatelů) Filosofii systémů autentizace formou služby si podrobněji ukážeme na produktu SafeNet Authentication Service
Silná autentizace nejen pro cloudové služby Široká škála podporovaných tokenů a dalších autentizačních metod, aplikací a technologií VPN Firewall Citrix USB Tokens JAVA Tokens BlackBerry Tokens SMS Tokens SSL VPN Citrix CAG, WI, AAC RADIUS Agents / API s Outlook Remote Web Workplace Terminal Services Smartphone Tokens IIS NPS/IAS Agents Web Apps Unix Logon Software Tokens Key Chain Tokens Grid Tokens Credit Card Tokens Apache Linux/Unix SAML LDAP Synchronisation Agent Migration Agent 20
Architektura SAS SafeNet Authentication Service SafeNet Authentication Service User Repository Portals Service Provider Subscriber North America DataCenter EMEA DataCenter Token Repository Engines Agents Security Policy LDAP Synch Authentication SMS via HTTP(S) Email via SMTP Internet SMS Service Provider (Subscriber or SP selected) User Self-Service Migration Provisioning Self-Enrolment Solutions Reporting/Alerts SMS message Virtual Server Management & Admin Reports & Alerts User service requests User information Authentication Request Radius Authentication Request SAML Authentication Request Agent Administrator Tokens Users User Repository Agents Access Devices 21
Postup nasazení SAS Zákazník Administrator Applications Active Directory 3 2 Access Device 4 5 Krok Krok 1 2 Výběr poskytovatele služby (implementátora) Vytvoření zákaznického účtu Krok 3 Vytvoření administrátora Krok 4 Konfigurace konektivity Krok 5 Připojení Active Directory Krok 6 Poskytnutí tokenů uživatelům 6 Krok 7 Samoobslužná aktivace 7 Poskytovatel služby tokenu uživatelem Uživatelé a tokeny 1 22
Děkuji za pozornost pslaba@askon.cz