Post on 31-Aug-2019
Sicherheit (in) der OpenstackCloudDeutsche OpenStack Tage 21 - 22.06.2016
2© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. The name KPMG and the logo are registered trademarks of KPMG International.
Deutsche OpenStack Tage 21 - 22.06.2016
Agenda – Sicherheit von OpenStack
Gegenstand dieses VortragsI
Input und ThemenIII
Sicherheit von Openstack (Methodik und Maßnahmen) IV
Advanced Persistent Cyber Defence (APCD)V
Vorstellung KPMG Cyber SecurityII
Ausblick und Empfehlungen an die CommunityVI
3© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. The name KPMG and the logo are registered trademarks of KPMG International.
Gegenstand dieses Vortrags
Volkswagen Gruppe
Security & Compliance
Mirantis im Release 7 und 8
Private Cloud (IaaS)
Plattform Services (PaaS)
Sicherheit der Tenants Out
ofS
cope
Kon
text
Wir zeigen Ihnen eine Methodik, wie Sie ein individuelles Sicherheitskonzept für Openstack entwickelnkönnen.Dies umfasst eine Analyse und Bewertung der Bedrohungslage einer private Cloud als auch Vorschläge fürMaßnahmen zur Sicherstellung eines sicheren Betrieb.
Why KPMG?
5© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. The name KPMG and the logo are registered trademarks of KPMG International.
Unsere angebotenen Beraterhaben im Hintergrund Zugriff auf
ein internationales Netzwerkvon Fach-, IT- und Security-
Spezialisten
IHR VORTEIL
KPMG hat Fachkenntnisse und Projekterfahrung im Bereich
(IT-)Compliance (z.B. IT-Sicherheitsgesetz. BDSG, Steuer- und Handelsrechtliche
Vorschriften)
Wir können zahlreiche Zertifizierungen und
Referenzen führender Unternehmen aus aller
Welt vorweisen
Netzwerk
DAX 30
Vertrauen
Da KPMG zahlreiche DAX 30-Unternehmen zu Sicherheits-themenstellungen berät, sind
wir mit den Anforderungenvon Großunternehmen
bestens vertraut
Compliance
Wir sind an keinen Technologie-anbieter gebunden – unsere
Empfehlungen basieren darauf, was für Sie am
besten geeignet ist
KPMG ist ein zugelassenerISO 27001 und ISO 22301
Zertifizierer
Unabhängig
AnerkannteZertifizierungsstelle
KPMG Cyber Security
WARUM KPMG?
Mehr als 20 Jahre Erfahrung im Bereich
IT-Sicherheit
Wir können zahlreiche Zertifizierungen und
Referenzen führender Unternehmen aus aller
Welt vorweisen.
Über 1000 Projekte im Umfeld der Cyber-Sicherheit in allen
Kritischen Sektoren
Vertrauen
>1000
Über 120 Kollegen für Cyber-Sicherheit, allein in
Deutschland
>120
>20
GLOBAL LEADER
Wir sind an keinen Technologie-anbieter gebunden – unsere
Empfehlungen basieren darauf, was für Sie am
besten geeignet ist
Forrester Research hat KPMG weltweit zum Global Leader bei der Beratung von Cyber
Security ernannt
#1
Unabhängig
Quelle: The Forrester Wave™: Information Security Consulting Services, 29. Januar 2016
Challengers Contenders LeadersStrong Performers
StrategyWeak Strong
Current offering
Strong
EY KPMGPwC
Accenture Deloitte Protiviti
IBMVerizon
Dell SecureWorks BAESystems
Atos WiproHPE
6© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. The name KPMG and the logo are registered trademarks of KPMG International.
KPMG Cyber Security
WARUM KPMG?
Mehr als 20 Jahre Erfahrung im Bereich
IT-Sicherheit
Wir können zahlreiche Zertifizierungen und
Referenzen führender Unternehmen aus aller
Welt vorweisen.
Über 1000 Projekte im Umfeld der Cyber-Sicherheit in allen
Kritischen Sektoren
Vertrauen
>1000
GLOBAL LEADER
Wir sind an keinen Technologie-anbieter gebunden – unsere
Empfehlungen basieren darauf, was für Sie am
besten geeignet ist
Forrester Research hat KPMG weltweit zum Global Leader bei der Beratung von Cyber
Security ernannt
#1
Unabhängig
Über 120 Kollegen für Cyber-Sicherheit, allein in
Deutschland
>120
>20
Unsere angebotenen Beraterhaben im Hintergrund Zugriff auf
ein internationales Netzwerkvon Fach-, IT- und Security-
Spezialisten
IHR VORTEIL
KPMG hat Fachkenntnisse und Projekterfahrung im Bereich
(IT-)Compliance (z.B. IT-Sicherheitsgesetz. BDSG, Steuer- und Handelsrechtliche
Vorschriften)
Wir können zahlreiche Zertifizierungen und
Referenzen führender Unternehmen aus aller
Welt vorweisen
Netzwerk
DAX 30
Vertrauen
Da KPMG zahlreiche DAX 30-Unternehmen zu Sicherheits-themenstellungen berät, sind
wir mit den Anforderungenvon Großunternehmen
bestens vertraut
Compliance
Wir sind an keinen Technologie-anbieter gebunden – unsere
Empfehlungen basieren darauf, was für Sie am
besten geeignet ist
KPMG ist ein zugelassenerISO 27001 und ISO 22301
Zertifizierer
Unabhängig
AnerkannteZertifizierungsstelle
7© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. The name KPMG and the logo are registered trademarks of KPMG International.
Secure Payment
DatensicherheitSIEM / SOC
KPMG Cyber SecurityÜberblick unserer Services
Tech-nisch
Organi-satorisch
Auswahl und Einführung von
Security-Lösungen
Identity & Access
Management
AdvancedCyber
Defense
ISO 27001 Zertifizierung
Richtlinien & Frameworks
Security Governance & Organisation
Mobile Device & App Security
SAP Security
Entwicklung von Security Strategien
und Roadmaps
Sichere IT-Prozesse
& -kontrollen
Sichere IT-Infrastruktur
Datenschutz Assessment
8© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. The name KPMG and the logo are registered trademarks of KPMG International.
Input und Themen Regulatorische und Gesetzliche Anforderungen
Security Themenfelder
9© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. The name KPMG and the logo are registered trademarks of KPMG International.
Einflussfaktoren auf ein Sicherheitskonzept
ISO 22301ISO 22313
Government Industrie Public and Community
ISO 27001ISO 27002
… …
…
Erfassen Sie möglichst frühzeitig alle regulatorische und sicherheitsrelevante Anforderungen aus ihrem Unternehmens-und Betriebsumfeld. Das bewahrt Sie vor Überraschungen und schützt ihre Investitionen.
10© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. The name KPMG and the logo are registered trademarks of KPMG International.
Sicherheit umfasst viele Themen
Cyber Security Roles
Identity and Access Management
Cyber Security Objectives
Classification of Data
Cyber Security Risk Management
Information Security Incident Management
Compliance
Business & IT Continuity Management, High-Availability,
Disaster Recovery
ForensicAnalysis
Change andVulnerability Management
Security Review, Audit
& Improvement
Netwerk-security
Systemsecurity
Physical Security
Security Monitoring and Logging
Advanced Persistent Threats
11© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. The name KPMG and the logo are registered trademarks of KPMG International.
Sicherheit von Openstack (Methodik und Maßnahmen) Beschreibung des Vorgehensmodels
Gefahren im Detail
Ableitung von Maßnahmen
12© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. The name KPMG and the logo are registered trademarks of KPMG International.
Security Konzept Vorgehensmodell
— Identifizierung der Anforderungen— Intern: Betriebsvorgaben, Risk Management, Recht, Compliance—Extern: Gesetze, Regulierung, Best Practice
Security Requirements
Threat Analyse
Maßnahmenkatalog
Risk Assessment
—Threat Analyse—Technisch, Organisatorisch, Prozesse, Menschlich
—Einstufung der Gefahren: Impact und Probability—Liefert „Heat Map“ mit den prävalenten Gefahren
—Anhand der identifizierten und bewerteten Gefahren werden Maßnahmen abgeleitet
Security Konzept
13© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. The name KPMG and the logo are registered trademarks of KPMG International.
CSA Controls in der Übersicht
14© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. The name KPMG and the logo are registered trademarks of KPMG International.
Ope
nSta
ck C
loud
ISO 27001
NIST
Cloud Security Alliance
IT-Grundschutz BDSG, 95/46/EG
ENISA
KRITIS
STRIDE
Compliance Ope
nSta
ck S
ecur
ity K
onze
pt
Active Directory
Advanced Cyber
Defence
Neutron
NovaOST Ceilometer
Cinder
KeyStone
Horizon
Glance
Swift SIEM
FuelLinux
Host & Guest
Zoning
Network Storage
PAM
AIM ManagementCyber Defence OS
Firewall
DMZ
Confidentiality Integrity Availability
BSI
IT-Sicherheitsgesetz
KVM
Multi Tenant Ceph
Digital Forensic
Change Management
Incident Management
Vulnerability Management
Monitoring & Reporting
Access Management
Risk & Security Management
Configuration Management
HR Management
Architecture & Standards
LMA -Logging
Monitoring Auditing
HTTP/SSL/REST
Internal Requirements
Security Konzept Vorgehensmodell
15© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. The name KPMG and the logo are registered trademarks of KPMG International.
...
HorizonOpenstack
Services
PAM
Ctrl
Ubuntu
Controller
Firewall
Loadbalance
Firewall
Ubuntu Ubuntu
VDI Admin FW
Tenant 1
Internet User
PaaS AdminOST Admin3rd Party
OSD 1-n
Ubuntu
OSD 1-n
Ubuntu
OSD 1-n
Ubuntu
Ubuntu
Ubuntu
FUEL
Mongo Ctrl
UbuntuKVM
Mongo
Ubuntu
Ubuntu Ubuntu
ELK InfluxDBGrafana
Mongo
Ubuntu Ubuntu UbuntuKVM
UbuntuKVM
Ceilometer
IT S
ervi
ces
Datacenter Firew
all
Ubuntu
Tenant 2
Tenant 2
RHELRHELRHELRHELKVM
Storage / Ceph
Compute
App
Ceilo meter
Ceilo meter
LMADash LMA
OST Srv.
OST Srv.
Remote Session / On Premise
RZ Admin
Phyiscal Access
Firewall
Internal User
Secu
rity
Ser
vice
s
Config
Mgm
t(P
uppet)B
ackendN
TP /
DN
SVulnerability
ScannerSIEM
Ctrl
Threat Analyse – OpenStack IaaSRemote Access 3rd Party
Unclear roles and responsibilty
Isolation Failure
Malicious Input
Data Leakage
Malicious Insider
Software error
Insecure data storage
MisconfigurationDependency on other services
16© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. The name KPMG and the logo are registered trademarks of KPMG International.
Threat Analyse Beispiel – OpenStack IaaS
Organisatorisch: Unklare Rollen und Verantwortlichkeiten
— „Dafür bin ich nicht zuständig“— „Ich dachte das macht…?“— „Tut mir leid wenn nach unserem Patch deine
Anwendung nicht mehr funktioniert…“
Beispielmaßnahme: RACI für Prozesse— Wer ist tatsächlich zuständig? (Responsible)— Wer hält den Kopf hin? (Accountable)— Wer wird vor einer Entscheidung mit
einbezogen? (Consulted)— Wer wird informiert weil er abhängig ist
(Informed)
— Hypervisor vulnerabilities— API— Shared Memory— Operating System vulnerabilities
Beispielmaßnahmen:— Systemüberwachung (HIDS)— Patching und Patch Management
Technisch: Fehlerhafte Isolation
Unterschiedlichste Arten von BedrohungenTechnisch, Organisatorisch, Prozesse, Menschlich,…
17© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. The name KPMG and the logo are registered trademarks of KPMG International.
Risk Assessment – Beispiel einer Heat Map
Angelehnt an: ENISA - Cloud Computing Security Risk Assessment
R18: Undertaking malicious probes or scans
R28: Privilege escalation
R9: Isolation Failure
R10: MaliciousInsider -Abuse of high privilegedroles
R11:Management Interface Compromise
R23: Data protection risks
18© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. The name KPMG and the logo are registered trademarks of KPMG International.
Security
Integration in CMDB
Erstellen von Backup und Disaster RecoveryPlänen und Strategien
Härtung der Host Systeme nach
öffentlichen StandardsInstallation einer Web
Application FirewallErstellung eines Rollen
und Rechtekonzepts
Host Intrusion Detection System für
Host SystemeNetwork Security
Monitoring
Definition eines Security Incident Response Plans
Maßnahmenkatalog - Beispiele
Identify Protect
Detect
Response
Recover
19© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. The name KPMG and the logo are registered trademarks of KPMG International.
Threats zu MaßnahmenTop Threats
Maßnahmenkatalog
R9 Isolation failure
R10 Cloud provider malicious insider -
abuse of high privilege roles
R28 Privilege escalation
M1 Host Intrusion Detection System (z.B. OSSEC, Tripwire) auf NodesM2 Network Security Monitoring für AnomalieerkennungM3 Patch- und Configuration Management (z.B. Puppet)M4 Vulnerability Management (z.B. Nessus, OpenVAS, OVAL)M5 Network Zoning innerhalb der Tenants, getrennte L3 Netze für interne und externe Verbindungen
R11 Management interface compromise
(manipulation, availability of infrastructure)
R23 Data protection risks
R18 Undertaking malicious probes or scans
M6 4-Augen Prinzip für kritische Administrierung über PAM und VDIM7 Web Application Firewall zum Schutz von HorizonM8 Penetration testing der UmgebungM9 Security Operations Center IntegrationM10 SIEM Integration für Host und TenantsM11 APCD Maßnahmen gegen APTs
AdvancedPersistentCyber Defense a new approach to cyber security
21© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. The name KPMG and the logo are registered trademarks of KPMG International.
Die Herausforderung – Professionalisierte AngriffeDie Bedrohung durch Cyberangriffe ist allgegenwärtig. Angriffe auf die IT-Systeme und Informationen von Unternehmen sind kein neues Phänomen. Angesichts der zunehmenden Häufigkeit, Aggressivität und technischen Ausgefeiltheit von Cyberattacken gewinnt ein wirksamer Schutz für den Erfolg und den Fortbestand einer Organisation jedoch immer mehr an Bedeutung – hohe Datenqualität und –sicherheit sind heute wesentliche Erfolgsfaktoren. Die Vielzahl an Gefährdungen und die verschiedenen Angreifertypen erfordern gezielte Maßnahmen sowie die richtige Kombination technischer und prozessualer Vorkehrungen.
Aktuelle Angriffe…
… verwenden Insiderwissen um auf möglichst direktem Wege an die sensiblen
Daten zu gelangen
… sind sehr „leise“
….sind vermehr gezielt und höchst individuell
22© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. The name KPMG and the logo are registered trademarks of KPMG International.
Klassische Bedrohung vs. Klassische VerteidigungsmaßnahmenPerimeterschutz (Firewall, Anti-Virus etc).
Signaturbasierte Verteidigung (bspw. IDS)
Wir erkennen den Angreifer ,
spätestens „am Burgwall“ und
halten ihn dort auf !
23© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. The name KPMG and the logo are registered trademarks of KPMG International.
basierend auf
— Anomalien
— Verhalten
— Datenströmen
— …
Advanced Persistent Threats (APT) –vs. Verteidigung 2.0Neue Bedrohungen durch fortgeschrittene Einzelaktionen und gezielte, langanhaltende, professionalisierte Angriffe.
Der Angreifer ist bereits da !
Neue Methoden und Techniken nachrüsten
5 Phasen Attacke von Angreifern
Die Verteidigung muss:!
24© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. The name KPMG and the logo are registered trademarks of KPMG International.
Klassische Verteidigungsmaßnahmen
Die Grundidee: wir erkennen den Angreifer am „Burgwall“ und halten ihn dort auf, durch u.a. …• Perimeterschutz • Signaturbasiert
„Klassische“ Bedrohungen
Der Angreifer „klettert über den Burgwall“
Fortgeschrittene Verteidigung
Die Verteidigung muss mit neuen Techniken und Methoden nachrüsten – basierend auf Anomalien,
Verhalten, Datenströmen, etc.
Advanced Threats
Fortgeschrittene Einzelaktionen, gezielte, langanhaltende, professionalisierte Angriffe. Der
Angreifer „ist schon da“.
Maßnahmenbedarf
Bedrohungs-Entwicklung
Abwehrstrategien müssen modernisiert werden!
25© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. The name KPMG and the logo are registered trademarks of KPMG International.
Aus Daten Informationen machen – Ein 360° Blick
Das „Lagebild“ ergibt sich aus dem Zusammenfassen und Interpretieren der Daten
2626
Das „Lagebild“ ergibt sich aus dem Zusammenfassen und Interpretieren
der Daten
Signaturen zur Geschwindigkeit
Daten zu Zeit und Strecke
Daten
Informationen
Wissen
Weisheit
Aus Daten Informationen machen - Ein360° Blick
27© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. The name KPMG and the logo are registered trademarks of KPMG International.
Auf Informationen unverzüglich reagieren – It’s all aboutpreparation
Für eine gute „Cyber Threat Responsiveness“ müssen aus den Erkenntnissen Taten folgen
28© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. The name KPMG and the logo are registered trademarks of KPMG International.
28
Basis- Architektur einer Advanced Persistent Cyber Defense
■ RequirementIdentification
■ Data Classification
■ Governance
■ Security Organisation
■ Security Management
■ Security Tools
■ General Infrastructure
■ IT Objects
Perimeter DefenseFirewalls, ACL, Anti-Virus, etc.
Cyber Threat ResponsivenessOrganisation, Processes, Trainings, Stresstesting
Cyber Threat DetectionData Analytics, SIEM, Intelligence■ Configuration based■ Signature based■ Anomalie based■ Event based
Eine fortgeschrittene und nachhaltige Abwehrstrategie bezieht ein ganzes Portfolio von spezifischen Informationen, Verfahren und Werkzeugen mit ein.
29© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. The name KPMG and the logo are registered trademarks of KPMG International.
3
2
1
Managing: Wie erhalte ich die Qualität?
0 Identification: Wo stehen wir Problem und Bedarfsseitig?
Reaction: Wie gehe ich damit um?
Detection: Was geht vor?
Aufbau eines Advanced Cyber Defense Centers
31© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. The name KPMG and the logo are registered trademarks of KPMG International.
31
Technische Basis-Architektur einer Advanced
Persistent Cyber Defense (APCD)
Zentrale Datenempfänger
Vorfilter
Datenversand mit Bordmitteln
Datengenerator
FilterEngin
e
Korrelations-Modul
Intelligence Information
Use-Case Teilereignisse
Reaktions-Modul
Korrelierte Use-Case-Ereignisse
Use-Case Direktereignisse
Aufbereitungs-modul
Reporting-modul
SMS
SOC
Adressaten
Überwachungsobjekte
Datenversender
Datengenerator
Eventversender
Datenerzeugung mit Bordmitteln
Vollablage für forensische
Auswertungen
ERP Data
IT Infrastructure-Data Tickets
ZusätzlicheInfo-Quellen
Cockpit
32© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. The name KPMG and the logo are registered trademarks of KPMG International.
Th
reat
Inte
llige
nce
32
Beispiel APCD-Architektur für OpenstackEigenschaften der Referenzlösung
■ Einsatz von möglichst freier Software
■ Flexibilität bei Wachstum und bei der Technologieauswahl (je nach Erfahrungen im eigenen Betrieb)
Web ApplicationFirewall
IDS
NSM
HIDS
SIEM - Logdaten
Schwachstellen / Compliance Scanner
Security
Onion
Elasticsearch / Kibana Security Analytics / Dashboard
Security Operations Center
33© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. The name KPMG and the logo are registered trademarks of KPMG International.
33
APCD Technologie ÜbersichtBeispielinhalte einer APCD Architektur
Technologie Auswahl ist exemplarisch und kann durch adäquate Alternativen ersetzt werden
HIDS-Einsatz der freien Lösung OSSEC
-Alternativ auch Tripwire
Threat Intelligence- Integration globaler/kommerzireller APT
Feeds möglich
Compliance - Validierung von Openstack Services
gegen den CIS Standard
Anomalieerkennung- Bro IDS, PRADS- Sandboxing mittels Cuckoo
SIEM – Logging-Monitoring-Auditing - Nutzung der LMA Komponenten auf
Basis des ELK Stacks
Vulnerability Assessment- Regelmäßige Auditierung aller
Openstack Services
Web Application Firewall- Schutz von Horizon
- Nutzung der OWASP Top 10 Regeln
IDS-Nutzung von Snort oder Suricata IDS
-Integration kommerzieller Feeds möglich
Security Analytics Software- Security Onion( Squert,Elsa)
-Kibana- Nessus
34© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. The name KPMG and the logo are registered trademarks of KPMG International.
...
HorizonOpenstack
Services
PAM
Ctrl
Ubuntu
Controller
Firewall
Loadbalance
Firewall
Ubuntu Ubuntu
VDI Admin FW
Tenant 1
Internet User
PaaS AdminOST Admin3rd Party
OSD 1-n
Ubuntu
OSD 1-n
Ubuntu
OSD 1-n
Ubuntu
Ubuntu
Ubuntu
FUEL
Mongo Ctrl
UbuntuKVM
Mongo
Ubuntu
Ubuntu Ubuntu
ELK InfluxDBGrafana
Mongo
Ubuntu Ubuntu UbuntuKVM
UbuntuKVM
Ceilometer
IT S
ervi
ces
Datacenter Firew
all
Ubuntu
Tenant 2
Tenant 2
RHELRHELRHELRHELKVM
Storage / Ceph
Compute
App
Ceilo meter
Ceilo meter
LMADash LMA
OST Srv.
OST Srv.
Remote Session / On Premise
RZ Admin
Phyiscal Access
Firewall
Internal User
Secu
rity
Ser
vice
s
Config
Mgm
t(P
uppet)B
ackendN
TP /
DN
SVulnerability
ScannerSIEM
Ctrl
APCD Architektur– OpenStack IaaS
OSSEC OSSEC OSSEC OSSEC
OSSECOSSEC
OSSEC
WAF
SIEM
Nessus
SanboxSecurity Onion
External Threat
Intelligence
35© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. The name KPMG and the logo are registered trademarks of KPMG International.
Angriff Erkennung&
…geht nicht? Hier zum Backup…
36© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. The name KPMG and the logo are registered trademarks of KPMG International.
Lessons learned – Verbesserungen APCD Lösung
Verbesserung der Analytics Fähigkeiten (z.B. Splunk, Jasper)1
Integration von selbstlernenden Mechanismen2
Orchestrierung der Sicherheitskomponenten3
Optimierung der Filterregeln4
Incident Handling/ Alerting ermöglichen bzw. verbessern5
Schnittstellen für kommerzielle Lösungen (Bsp. RSA Archer)6
Integration der Überwachung von Tenants7
37© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. The name KPMG and the logo are registered trademarks of KPMG International.
Lessons learned – Sicherheits Maßnahmen
Frontend von der Umgebung trennen (Horizon auf einen anderen Host)1
Web Application Firewall im Blocking mode2
Keine Klartextpasswörter in Dateien (Integration HSM)3
Rechte der Service User (mysql, www, etc.) maximal einschränken4
APCD – Lösung Anomalie Erkennung5
Regelmäßige (automatisierte) Überprüfung auf Schwachstellen6
Manuelle Zugriffe auf die Systeme auf Notfalluser beschränken 7
Konfigurationen orchestrieren (Configuration Management) durch Tools wie Puppet oder Chef8
38© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. The name KPMG and the logo are registered trademarks of KPMG International.
Zusammenfassung
Erstellen Sie ein auf ihren Betrieb zugeschnittenes Sicherheitskonzept
Schützen Sie ihre Openstack Umgebung mit einer APCD Architektur
Schaffen Sie Lösungen fürbekannte OpenstackSchwächen
Wenden Sie existierendeBest Practice Regelungenfür den sicheren Betriebvon Openstack an
Schulen Sie ihr SOC Teamim Umgang mit (APT)Angriffen
Maßnahmen in der Übersicht! Welche Empfehlungen haben wir an die
Community1
2
3
4
5
www.kpmg.de/socialmedia
Die enthaltenen Informationen sind allgemeiner Natur und nicht auf die spezielle Situation einer Einzelperson oder einer juristischen Person ausgerichtet. Obwohl wir uns bemühen, zuverlässige und aktuelle Informationen zu liefern, können wir nicht garantieren, dass diese Informationen so zutreffend sind wie zum Zeitpunkt ihres Eingangs oder dass sie auch in Zukunft so zutreffend sein werden. Niemand sollte aufgrund dieser Informationen handeln ohne geeigneten fachlichen Rat und ohne gründliche Analyse der betreffenden Situation.
© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative („KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten.
www.kpmg.de
Vielen Dank für ihre Aufmerksamkeit
Vojislav Kosanovic
Senior Manager, Cyber Security
T +49 174 344 6646
vkosanovic@kpmg.com
KPMG AG Wirtschaftsprüfungsgesellschaft
Alfredstr. 27745133 Essen
Christian Nordlohne
Assistant Manager, Cyber Security
T +49 151 2158 2333
cnordlohne@kpmg.com
KPMG AG Wirtschaftsprüfungsgesellschaft
Alfredstr. 277
45133 Essen