sichere webarchitekturen in der cloud

SichereArchitektur

CloudDonnerstag, 18. Oktober 12

Cloud-SecurityDonnerstag, 18. Oktober 12

Mal gucken ...

Donnerstag, 18. Oktober 12

Oops, das sind ja 2 Millionen Paymentdaten

und10 Millionen Nu2erdaten

Wer nu2t

Paypal?

Wer zahlt im Internet mit seiner

Kreditkarte?

Pa3al-Account:

8$Donnerstag, 18. Oktober 12

Kreditkarte mit CVC2:

25$Donnerstag, 18. Oktober 12

aller We4ites haben Security-Probleme

90%Donnerstag, 18. Oktober 12

aller So5wareentwicklung passiert im Web

70%Donnerstag, 18. Oktober 12

17 MillionenSo5ware-Developer

102.000.000.000

Lines of Code/Year

1000 LOCDonnerstag, 18. Oktober 12

1%6ploitable

100.000

neue Security-Issues pro Jahr

100.000

neue Security-Issues pro Jahr

96% aller Angriffe waren nicht sehr kompl8iert

85%aller Hacks wurden erst nach mehr als einer Woche entdeckt

92%wurden von einer

dritten Partei entdecktDonnerstag, 18. Oktober 12

194$Schaden pro Record im Mittel.

1.920.000.000$

FUD: check

Tro2dem gibts zu 90% auch bei Euch Security-Probleme.Donnerstag, 18. Oktober 12

Sichere WebarchitekturenWebTechCon 2012

Cloud included!

Hi, ich bin Johann.

Ich bin Gründer und CTO von Mayflower.

Wir machen kompl8ierte We4ites.

Ein neuer Spieler:

die CloudDonnerstag, 18. Oktober 12

CloudJemand anderes trägt die Wartungsk:ten!

CloudKeine Systeme mehr installieren, einfach ein

Image aufse2en!

CloudMal eben 12 zusä2liche Maschinen hochfahren

Cloud... auf Basis eines Default-

Images mit $distri

Cloud... geklickt &

durchgestartet!

AdminsGO

AWAYDonnerstag, 18. Oktober 12

CloudKeine

UpdatesDonnerstag, 18. Oktober 12

CloudKein

DeinstallierenDonnerstag, 18. Oktober 12

CloudKeine

FirewallDonnerstag, 18. Oktober 12

Das geht ok ...

weil sich das AMI drum kümmert!

aller Windows-AMIs sind 6ploitable

Cloud58%

aller Lin;-AMIs sind 6ploitableDonnerstag, 18. Oktober 12

Stimmt das denn auch?

Probieren

>Studieren

Hipster-ScanDonnerstag, 18. Oktober 12

nmap -P0 -priak, memcache, mongodb, redis,1337, membase, cassandra, neo4j ... amazon-cloud

Hipster-ScanDonnerstag, 18. Oktober 12

20 Sekunden ... offene MongoDB, wenig Daten40 Sekunden ... offener Admin BitNami-Image70 Sekunden ... offener MemCache

Hipster-Scan

Woohooo!

offener MemCache

Ein Social Media Startup aus den USA, eine PHP-Applikation mit Memcache als Cache für Business-Logik-Entitäten.

offener MemCache

Facebook-Profile:- E-Mail- Freunde- Fanseiten ...

offener MemCache

Kein SchutzPHP-Serialized DataModifizierbar(!)

offener MemCache

Logins mit Klartext-PasswortenPersonenbezogene DatenMySQL-Datenbank-Login

MySQL-Pr<y als ManInTheMiddle

offener MemCache

Ein Social Media Startup aus den USA, eine PHP-Applikation mit Memcache als Cache für Business-Logik-Entitäten vor der MySQL-DB.

10.000.000 Nutzerdaten

1.000.000 Payment-Transaktionen

spart Wartungsk:ten

... aber nicht bei Security

CloudSecurity

1Eigenes Image

2Updateseinspielen

3Unsinndeinstallieren

4Firewallkonfigurieren

Cluster-Setups

VLAN hinter Amazon-LB

Cluster-Setups

Eigenes VPNSSL-verschlüsselt

Cluster-Setups

Firewallingfür IPs

sexyDonnerstag, 18. Oktober 12

Puppet & Chef benutzen,

und die Cloud wird wieder sexy.

DevOpsDonnerstag, 18. Oktober 12

OS Strip it

Binaries DiensteDonnerstag, 18. Oktober 12

Firewall:

Ports und IPs!

(Ich mag das was je2t kommt.)

(irgendwie niemand anderes)

(da=q, es ist tro2dem geil)

Kernelbasierte

Sicherheit

Mandantory Access Control: nur das erlauben, was

tatsächlich gebraucht wirdDonnerstag, 18. Oktober 12

Look! It‘s easy!/var/log/myapp/app.log w

No more LFI!AppArmorDonnerstag, 18. Oktober 12

AppArmor

1 Applikation im Testlauf profilen

2 erwünschte Aktionen erlauben

3 im Betrieb auf diese limitieren

mod_apparmor

Profile nach ApplikationProfile nach Url

root@precise64:/etc/apparmor.d# /etc/init.d/apache2 stop root@precise64:/etc/apparmor.d# aa-genprof /usr/sbin/apache2Profiling: /usr/lib/apache2/mpm-prefork/apache2...[(S)can system log for AppArmor events] / (F)inish

8<------------------------/etc/init.d/apache2 start8<------------------------

Profile: /usr/lib/apache2/mpm-prefork/apache2Capability: net_bind_serviceSeverity: 8

[1 - #include <abstractions/nis>] 2 - capability net_bind_service

[(A)llow] / (D)eny / Audi(t) / Abo(r)t / (F)inish*A*

Profile: /usr/lib/apache2/mpm-prefork/apache2Capability: setgidSeverity: 9

[(A)llow] / (D)eny / Audi(t) / Abo(r)t / (F)inish*A*

Profile: /usr/lib/apache2/mpm-prefork/apache2Path: /etc/apache2/conf.d/charsetMode: rSeverity: 3

1 - /etc/apache2/conf.d/charset [2 - /etc/apache2/conf.d/*]

[(A)llow] / (D)eny / (G)lob / Glob w/(E)xt / (N)ew / Abo(r)t / (F)inish / (O)pts*G*

# vi /etc/apparmor.d/usr.lib.apache2.mpm-prefork.apache2

/usr/lib/apache2/mpm-prefork/apache2 { #include <abstractions/apache2-common> #include <abstractions/base> #include <abstractions/nameservice> #include <abstractions/nis> #include <abstractions/php5>

capability net_bind_service, capability setgid,...

SELin;Sorry, i am not smart enough.Go ask someone else.

mysql_secure_installation

Config-Files: skip-networking set-variable=local-infile=0

MySQl-Konfiguration:RENAME USER root TO new_user;GRANT ALL PRIVILEGES ON *.*

Web Application Firewalls

If you are ... You should use ...

Old School mod_security

New School Varnish Firewall

Mitt Romney Kommerzielle Firewall

Varnish >rewall und mod_security sind cool, weil ...

★ sie nutzen die gleichen Rulesets

★ es gibt sehr viele davon

★ Quellen: zB OWASPhttps://github.com/SpiderLabs/owasp-modsecurity-crs

In PHP implementiertes

Intrusion Detection Systemanalog zu mod_security

In der Applikation reagierenDonnerstag, 18. Oktober 12

5 Steps to Cloud Age Security

1 Infrastruktur automatisieren

2 System strippen

3 Firewall konfigurieren

4 Applikation mit AppArmor profilen

5 Varnish Firewall vor der Applikation nutzen

Just do it.

Einfach machen!Donnerstag, 18. Oktober 12

Just do it.

Oder uns machen lassenhartmann@mayflower.de

Danke!

Quellen:

http://de.slideshare.net/saumilshah/2012-the-end-of-the-world

http://www.verizonbusiness.com/resources/reports/rp_data-breach-investigations-report-2012_en_xg.pdf

http://securityevaluators.com/files/papers/0daymarket.pdf

https://www.owasp.org/images/1/1c/ASDC12-State_of_Web_Security.pdf

http://de.slideshare.net/guesta84549/hack-in-the-box-dubai-04172008

https://conference.hitb.org/hitbsecconf2009kl/materials/D2T2%20-%20The%20Grugq%20and%20Fyodor%20Yarochkin%20-%20From%20Russia%20with%20Love%20dot%20EXE.pdf

https://conference.hitb.org/hitbsecconf2012ams/materials/D2T1%20-%20Marco%20Balduzzi%20-%20SatanCloud.pdf

sichere webarchitekturen in der cloud

pr

ami

amp

amp

donnerstag

donnerstag

usa

donnerstag

Technology

sichere baustellen-beispiele aus der praxis · 2015. 4....

sichere telefonanlage aus der cloud. „deutschlandlan...

die sichere aufbewahrung von waffen und munition · die...

victor martinez, kampagnenleiter «sichere lehrzeit»...

1330 aws-sichere netzwerke in der cloud · aws direct...

innovativ, sicher und leistungsstark – hybride cloud...

sichere elektrizitätsanwendung - vde der …...

sichere mobilitätsichere mobilität sturzprävention im ......

der sichere weg zu devops mit kanban - … · der sichere...

die sichere workload-transition in die cloud -...

sichere telefonanlage aus der cloud. „deutschlandlan...

sichere cloud-collaboration für unternehmen nach...

swiss cloud conference 2014: govcloud - der weg in die...

virtual fort knox – die sichere manufacturing cloud

modulhandbuch für den masterstudiengang sensor- … ·...

neueste technik fÜr sichere zugfahrten kontakt ›...

cloud security der sichere weg in die cloud · andreas...

gesunde und sichere mobilität · gesunde und sichere...

der schlüssel für sichere geschäfts-e-mails · 3...

cloud4health – sichere textanalyse medizinischer...