Your SlideShare is downloading. ×
Cloud Computing - Technologie und Missbrauchspotentiale
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Saving this for later?

Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime - even offline.

Text the download link to your phone

Standard text messaging rates apply

Cloud Computing - Technologie und Missbrauchspotentiale

776
views

Published on

Published in: Sports

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
776
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
11
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Cloud Computing –Technologie & MissbrauchspotentialeJens Deponteadesso AG11.07.2011
  • 2. Cloud11.07.2011 2 Cloud Computing - Technologie und Missbrauchspotential
  • 3. Cloud Servicemodelle: IaaS – PaaS – SaaS Infrastructure Platform Software as a Service as a Service as a Service> Virtuelle Server> Analog zu > Application Server in Virtualisierung der Cloud > Software Service in> Nur Betriebssystem, > Automatisches der Cloud Storage etc. Skalieren > EMail, CRM, Office> Erst nach Installation > Basis für Individual- Suites… von Applikationsinfra- Software struktur nutzbar Google AppEngine 11.07.2011 3 VMware CloudFoundry Cloud Computing - Technologie und Missbrauchspotential
  • 4. Gemeinsame Eigenschaften► On-Demand > Nur nutzen (und zahlen), wenn man es gerade braucht► Überall nutzbar über das Netz► Schnelle Elastizität z. B. bei hoher Last > Mehr Ressourcen können schnell zur Verfügung gestellt werden► Self-Service > Selber buchen über eine Portal > Vollautomatisierte Prozesse > Keine Beauftragung des Betriebs oder Dienstleisters > Wesentlich weniger Aufwand und wesentlich schneller► Vision: IT wird wie Strom oder das Telefon > Steht immer und überall ausreichend zur Verfügung11.07.2011 4 Cloud Computing - Technologie und Missbrauchspotential
  • 5. Cloud Liefermodelle► Private Cloud► Public Cloud► Hybrid Cloud► Community Cloud11.07.2011 5 Cloud Computing - Technologie und Missbrauchspotential
  • 6. Cloud-Vorteile: Kostenmodell► Man bezahlt nur, was man nutzt (Pay-as-you-go) (Public Cloud)► Praktisch keine Investitionskosten► Last-Spitzen kostengünstig abdecken► Transparente Kosten► Bessere Ressourcen-Auslastung (Private Cloud)► Kosten können intern weiterberechnet werden► Logischer Schritt nach Virtualisierung11.07.2011 6 Cloud Computing - Technologie und Missbrauchspotential
  • 7. Cloud-Aspekt: DatenschutzVerarbeitung personenbezogener Daten► Ort der Verarbeitung? > USA? China? > Europa! (amazon-Einstellung: Daten nur in Europa verarbeiten und speichern)► Rechts (un) sicherheit > Beschlagnahmeschutz / Insolvenzschutz► Verantwortliche Stelle > Auftragsdatenverarbeitung (§11 BDSG) – Cloud Dienstleistung als klassische ‚Datenverarbeitung im Auftrag?‘ – Überprüfung der technisch-organisatorischen Maßnahmen wird vorausgesetzt > Funktionsübertragung – Erfordert Zustimmung (z.B. in AGBs) oder ‚Erforderlichkeit‘► Ausweg bspw. die GDV-Initiative Trusted German Insurance Cloud11.07.2011 7 Cloud Computing - Technologie und Missbrauchspotential
  • 8. Cloud als Angriffswerkzeug11.07.2011 8 Cloud Computing - Technologie und Missbrauchspotential
  • 9. Cloud als AngriffswerkzeugDirekte Angriffe aus der Cloud► Alternative zu klassischen Botnets► Hosting von C&C Servern► Nutzbar z. B. für (D)DoS oder Brute ForceQuelle: http://www.tecchannel.de/sicherheit/news/2027448/sip_attacken_angriffe_kommen_aus_der_amazon_cloud/index.html?r=557603823902419&lid=7383911.07.2011 9 Cloud Computing - Technologie und Missbrauchspotential
  • 10. Cloud als AngriffswerkzeugCloud als unterstützendes Werkzeug► Nutzung der Rechenleistung & Speicherkapazität► Kostengünstige Berechnungen > z. B. von Rainbowtables► Knacken von Passworten oder kryptographischen Schlüsseln > z. B. zum Brechen der iPhone-Verschlüsselung► Beschleunigung durch GPU-Computing in der Cloud > CUDA, OpenCL etc. erlauben deutlich höhere Durchsatzraten als Standard- Hardware > HPC in der Cloud11.07.2011 10 Cloud Computing - Technologie und Missbrauchspotential
  • 11. Cloud als Angriffsziel11.07.2011 11 Cloud Computing - Technologie und Missbrauchspotential
  • 12. Cloud als AngriffszielDifferenzierung nach Cloud-Liefermodell und ermittelten Risiken► Private Cloud > Analogien zu „klassischer“ Infrastrukur► Public Cloud > Eigene Maßnahmen i.W. auf organisatorischer Ebene möglich (Risikoanalyse) Availability > Cloud Provider muss Sicherheit bereitstellen > Vertrauen zum Provider?! Integrity Confidentiality11.07.2011 12 Cloud Computing - Technologie und Missbrauchspotential
  • 13. Auswirkungen von AngriffenHohes Schadenpotential bei Angriffen gegen Cloud-Services► Große Breitenwirkung möglich durch gezielte Angriffe auf > Basisinfrastruktur (Netzwerk, Storage etc.) > Hypervisor► Schäden durch > Ausfallzeiten > Datendiebstahl > Datenverlust► Großes Schadenpotential durch starke Verdichtung von Services ggf. unterschiedlicher Kunden in einer CloudBeispiel (unabhängig von der Ursache):► Ausfall der Cloud-Services bei amazon ab 21.04.2011: > Ausfallzeiten von bis zu 3 Tagen > unwiederbringliche Datenverluste11.07.2011 13 Cloud Computing - Technologie und Missbrauchspotential
  • 14. Cloud als AngriffszielGegenmaßnahmen in der Public Cloud► Cloud Provider muss Sicherheit bereitstellen► Perimeter Protection funktioniert nur eingeschränkt > Eindämmung von Angriffen aus der Cloud in die Cloud► Security Infrastruktur nur als Software-Lösung > Bspw. keine WAF-Appliance > Neue kryptographische Verfahren in Entwicklung► Monitoring, Intrusion Detection & Prevention > in klassischer DMZ schon aufwändig > Cloud bietet deutlich mehr Flexibilität► Ein Fazit: > Absicherung muss auf der Anwendungsebene erfolgen11.07.2011 14 Cloud Computing - Technologie und Missbrauchspotential
  • 15. Forensik in der CloudUntersuchung von Angriffen in der Public Cloud► Isolierung der angegriffenen Komponenten ist schwierig► Zugriff auf Log-Daten erschwert insb. bei SaaS► Forensik-Werkzeuge müssen auf Cloud-Technologie angepasst werden > Ausnahme: VM Image sehr gut untersuchbar11.07.2011 15 Cloud Computing - Technologie und Missbrauchspotential
  • 16. business.people.technology. adesso AG Stockholmer Allee 24 44269 Dortmund Phone: +49 231 930-9234 Fax: +49 231 930-9331 Jens Deponte Mobil: +49 178 280 8021 jens.deponte@adesso.de Principal Software Engineer www.adesso.de