Javan Cloud Security 950526 (oCCc63)
-
Upload
morteza-javan -
Category
Technology
-
view
1.199 -
download
4
Transcript of Javan Cloud Security 950526 (oCCc63)
رایانش ابریمقدمه ای بر امنیت در مرتضی جوانwww.msjavan.ir
1
به نام خدا
http://crc.aut.ac.ir
سناریوهای ساده
• VM Delete / App Remove / Service Stop
• Server / VM Dump Memory
• Clone / Copy / Mount Disk
• Traffic Capture
• Change DNS
• Traffic Manipulation
2
مروری بر رویدادهای اخیر
3
4
...صنعت همگانی پنجم : رایانش ابری F
UL
L S
TA
CK
SE
CU
RIT
Y
Application
Data
Runtime / API
Middleware
OS
Virtualization
Hypervisor
Networking
Storage
Server
Business / Process
5
(فني و غيرفني)مالحظات
کاهش مدیریت و نظارت کاهش کنترل بر روي منابع
کاهش کنترل بر روي داده ها افزایش وابستگي
...و
:شمایی از انواع روش های نفوذ
6
X
Data Center5
Data Center4
Data Center2
Data Center7
Data Center1
Data Center3
Data Center6
7
VM اجرای آسیب پذیری در
های VMنفوذ به مجاور
نفوذ به شبکه میزبان فیزیکی و VMدسترسی به
های دیگر
افزایش گرایش به مجازی سازی افزایش یافته استامنیتی، با پذیری های آسیب
8
http://cve.occc.ir
9
DEMO
10
(DARPA)مثال موردی
11
• MRC (Mission-Oriented Resilient Clouds)
• PROCEED (Computation on Encrypted Data)
• CRASH (Adaptive Secure Hosts)
• CBMEN (Content-Based Mobile Edge Networking)
• CORONET (Cloud-to-Cloud Connectivity)
استانداردها و محک های امنیتی
12
13
Please Notice Some of The Current Cloud Security Standards Limitations !
Cloud service partner (CSN)
CSN: Cloud
Auditor
CSN: Cloud
service developer
CSN: Cloud
service broker
Cloud service customer (CSC)
CSC: Service Administer
and Security
CSC: Cloud service user
CSC: Cloud service
business manager
CSC: Cloud service
integrator
Cloud service provider (CSP)
CSP: Cloud service
deployment manager
CSP: Cloud service
operations manager
CSP: Cloud service
manager
CSP: Cloud service
business manager
CSP: Inter-cloud
provider
CSP: Customer support and
care representative
CSP: Service security and
risk manager
CSP: Network provider
ISO/IEC 17789: 2014 Cloud computing — Reference architecture
14
CSN: Cloud
Auditor
CSP: Service Security and
Risk Manager
CSC: Service Administer
and Security
FU
LL
ST
AC
K S
EC
UR
ITY
S
a
a
S
P
a
a
S
I
a
a
S
Application
Data
Runtime / API
Middleware
OS
Virtualization
Hypervisor
Networking
Storage
Server
Business / Process
CSN: Cloud
Auditor
CSP: Service Security and
Risk Manager
CSC: Service Administer
and Security
16
Compliance Control
Regulatory Control
Privacy Impact
Encryption
Data at rest
/ in motion Integrity Backup & Recovery
Policies
Change Management Align Policies
& SLA
Risk Management Hardening
Compliance Compatibility
Business Continuity
Monitoring & Analysis
Vulnerabilities
Tenant Isolation Personal & Physical
Security
Integration Privacy & PII
Authorization & Access Control
Network & Communication
S
a
a
S
P
a
a
S
I
a
a
S
FU
LL
ST
AC
K S
EC
UR
ITY
Audit Interfaces
Assets and Inventory Path & Update Management
Authentication & Identity Management
Application
Data
Runtime / API
Middleware
OS
Virtualization
Hypervisor
Networking
Storage
Server
Business / Process
CSC: Cloud Service
Customer
CSN: Cloud
Auditor
CSP: Cloud Service
Provider
17
مالحظات مانیتورینگ
FU
LL
ST
AC
K S
EC
UR
ITY
Application
Data
Runtime / API
Middleware
OS
Virtualization
Hypervisor
Networking
Storage
Server
Business / Process
(عدم کارآیی سیستم های مانیتورینگ سنتی)
رمزنگاری داده و محاسبات در ابر
18
> Secure Storage > Trusted Computing
نظارت و تنظیم مقررات
19
PaaS SaaS Visibility &
Control
FU
LL
ST
AC
K S
EC
UR
ITY
Application
Data
Runtime / API
Middleware
OS
Virtualization
Hypervisor
Networking
Storage
Server
Business / Process
HIPPA Compliant
پذیری امنیتیرعایت استانداردها و انطباق
ISMS ISO 27001
PCI DSS
SOC
FIPS
FedRAMP
...
20
Cloud Infrastructure
PCI Compliant
FU
LL
ST
AC
K S
EC
UR
ITY
Application
Data
Runtime / API
Middleware
OS
Virtualization
Hypervisor
Networking
Storage
Server
Business / Process
(Hardening)مالحظات محکم کاری
و الگوها( MI)ماشین مجازی تصاویر •
استقرار سرویسدخالت کاربر در حذف •
و محک های امنیتیاستانداردها •
پیکربندی های امن در الیه های مختلف•
بستن درگاه های مختلف•
گزارش گیری و ثبت رویداد در الیه های مختلف•
بکارگیری دیوارهای آتش در سطح میزبان•
•...
21
FU
LL
ST
AC
K S
EC
UR
ITY
Application
Data
Runtime / API
Middleware
OS
Virtualization
Hypervisor
Networking
Storage
Server
Business / Process
مدیریت وصله ها و به روز رسانی
به روزرسانی میان افزار•
(فوق ناظر)به روزرسانی سیستم عامل میزبان •
(ناهمگن)میهمان سیستم عامل به روزرسانی •
به روزرسانی الگوها و تصاویر ماشین مجازی•
خاموش( مجازی)ماشین های •
اجزای اصلی سیستم ابری•
پشته نرم افزاری سرویس نهایی•
نیازمندی های سفارشی مستاجرها•
22
FU
LL
ST
AC
K S
EC
UR
ITY
Application
Data
Runtime / API
Middleware
OS
Virtualization
Hypervisor
Networking
Storage
Server
Business / Process
Hypervisor
مالحظات صحت داده
23
در نظر گرفتن معماري سيستم•
مدل هاي بررسي صحت • (دوره اي/ آنالین )
سيستمکارآیي •
نوع داده•
Hypervisor
Hardware
سیستم نظارت بر جامعیت فایل
سیاست های پایگاه داده تشخیص نفوذ
File
system
سیستم نظارت بر جامعیت فایل
سیاست های پایگاه داده تشخیص نفوذ
File
system
سیستم نظارت بر فایلجامعیت
سیاست های پایگاه داده تشخیص نفوذ
report
Dom0 VM1 VM2 نام سیستم ماشین تحت عدم تغییر در
نظارت بررسی بالدرنگ بررسی دوره ای
Tripwire
XenFIT
VRFPS
RFIM
DFIM
NOPFIT
XenRIM
تداوم کسب و کار/ صحت سرویس / سناریوهایی از صحت داده
24
صحت الگو
پیکربندی/ صحت فرآیند
صحت استقرار (سرویس)
صحت داده
صحت اجزا
CSN: Service Developer CSP: Service Manager CSP: Operations Manager CSP: Deployment Manager
Scale Out
2009مدیریت ریسک
25
Vendor Lock-in
Loss of Governance
Compliance Compatibility
Service Failure Isolation Failure
Malicious Insider
تحلیل دارایی ها• تحلیل ریسک ها• ارایه راهکار•
2012مدیریت ریسک
26
Data protection
Loss of Governance
Malicious Insider / root access !
Risk from changes of jurisdiction
Management Interface Compromise
Isolation Failure
Insecure deletion of data
Subpoena
Compromise of Service Engine
Lock-in
27
• Risk Analysis Case Study: Fax.ir • Lock in
• Loss of Governance
• Supply chain failure
• Isolation Failure
• Malicious Insider
• Data leakage
• Insecure deletion of data
• DOS
Simple Example (Fax.ir)
28
Critical Research !
29
• Visit http://cvedetails.com/
• Visit http://cve.occc.ir/
• Find the vulnerabilities related to cloud and virtualization tools (KVM / Openstack / …)
• Select one of vulnerabilities and describe it in the class
TOP 10 Strategic Technology Trends
30
The Device Mesh
3D Printing Materials
Ambient User Experience
Autonomous Agents and Things
Information of Everything
Advanced Machine Learning
Adaptive Security Architecture
IoT Architecture and Platforms
Advanced System Architecture
Mesh App and Service Architecture
2016
Gartner, Oct 2015
ابر و باران
31
http://crc.aut.ac.ir