Cloud Computingoch SäkerhetLogica – Has 2010 – 11 Mar<br />Jens Riboe<br />jens.riboe@ribomation.com <br />11 Mars 2010<br />
Jens RiboeRibomation<br />För diverse kunder<br />KTH<br />Ribomation<br />ERA<br />London<br />Goyada<br />Wily (San Fran...
Problem/Prestanda analys<br />
Agenda<br />Varför<br />Vad<br />Hur<br />Vart<br />Vem<br />Vilka<br />Bakgrundochterminologi<br />Användningsområden<br ...
ElasticComputing<br />Cloud Computing<br />Software as a Service<br />Bakgrund och Terminologi<br />
Mellan försäljningstopparna<br />”Vad använder man sina servrar till när det inte är toppbelastning <br />såsom Xmas, Vale...
Detkorta och oglamorösa svaret<br />Cloud Computing är en ny paradigm fördriftsättningavapplikationer<br />Användervirtual...
Cloud Computing = V + C + A + P<br />Virtualization (Xen) <br />+ DataCenter (Amazon)<br />+ PublicAccess (SSH/X.509)<br /...
Software-as-a-Service (SaaS)<br />Webbaserad tjänst<br />Snabbt växande affärsområde<br />Har ingen direkt koppling till C...
Relationen SaaS vs. CC<br />Consumer<br />Provider<br />SaaS<br />Cloud Computing<br />
XaaS<br />Det finns många varianter av Something-aaS<br />Component-as-a-Service<br />Specialiserade tjänster för webb-app...
Extra datakraft<br />Enkel driftsättning<br />Skalbara applikationer<br />Stora databehandlingar<br />Användningsområden<b...
(1) Extra datakraft<br />Projekt servrar<br />Test servrar<br />Last generatorer<br />. . . <br />Slit & släng åldern för ...
(2) Enkel driftsättning<br />Vad behöver man en driftsättningsavdelning till, när man kan sköta jobbet självt med några kl...
(3) Skalbara applikationer<br />Exempel: animoto.com<br />1<br />Från 10 till 3500 servrar på en vecka<br />2<br />3<br />...
(4) Stora data behandlingar<br />Batch körningar<br />Analys av transaktionsloggar<br />Stora konverteringsarbeten<br />An...
Infrastruktursmoln<br />Applikationsmoln<br />Databehandlingsmoln<br />Molntyper<br />
Infrastruktursmoln<br />Som hosting, men i massiv skala<br />Pay-as-you-go<br />Hyra av server per timme<br />Fokus på ser...
Några aktörer<br />Amazon Web Services (AWS)<br />Först, störst och bäst<br />Hosting företag<br />myCityCloud<br />Racksp...
Eget privat moln<br />Eucaluptus<br />Open source version av AWS<br />API kompatibelt med ECS/EBS/S3<br />Standard iUbuntu...
Applikationsmoln<br />Distribuerad plattform för applikationer<br />Google App Engine (GAE)<br />Java/Python, BigTable<br ...
Databehandlingsmoln<br />Storskalig extraktion/aggregering av information<br />Apache/Yahoo Hadoop<br />Exekvering över 10...
Exempel på utvecklartjänster<br />
Versionshantering++<br />Hantering av källkod<br />Versionshantering<br />Tickets<br />Milestones<br />Wiki<br />Blog<br /...
Component-as-a-Service<br />Specialiserade SaaS tjänster för webb applikations utveckling<br />
Test @ EC2<br />Driftsätt målsystemet temporärt i molnet<br />Använd en lastgenereringstjänst<br />Används en prestanda-mo...
Lasttestningstjänster<br />Generering av massiv trafik<br />Geografiskt spridd<br />
AWS – Amazon Web Services<br />
EC2 / EBS / S3 / AMI / EIA / SQS<br />DNS<br />EC2<br />SQS<br />put<br />get<br />EBS<br />SAN<br />static IP<br />SDB<br...
EC2 Instance Types<br />One EC2 Compute Unit (ECU) provides the equivalent CPU capacity <br />of a 1.0-1.2 GHz 2007 Optero...
Operativ System<br />Utan kostnad och utan support<br />Med kostnad och med support<br />Egen byggnation<br />Det går att ...
Global driftsättning<br />En region består av en eller flera zoner<br />US-East (North Virginia)<br />US-West (North Calif...
Priser<br />
AWS Ekonomi<br />As you go<br />USD 0,085/h	(EC2 Small)<br />ReservedInstance<br />USD 0,03/h + 227/yr<br />USD 0,03/h + 3...
Juridikens fallgropar<br />
Person- och betalnings information<br />Vissa former av persondata och betalningsdata får inte lagras utanför Sverige och/...
Datalagringslagarna (FRA m.fl.)<br />Data som skickas utanför landets gränser skall lagras för senare analys av FRA<br />D...
<ul><li>Autentisering
Brandvägg
Lagring
Kryptering
VPN
Applikation</li></ul>Säkerhet i AWS molnet<br />
Autentisering<br />AWS Management Console<br />Hantering av AWS resurser<br />Server logon<br />Hantering av enskild serve...
API Operations<br />Operationer via REST/Query eller SOAP<br />Transport via HTTP eller HTTPS<br />SHA1 HMAC digestof requ...
Server logon<br />Linux/Unix<br />SSH via X.509 certifikat<br />Ej samma som AWS cert<br />Vanligtvis inloggad som user ´r...
Management logon<br />AWS Management Console<br />HTTPS och User/Pwd logon<br />Extra: dosa för engångslösenord<br />Elast...
Brandvägg (SG - Security Group)<br />SG sätts innan EC2 server boot<br />Kan inte ändra SG tillhörighet efter boot<br />Ka...
Lagring<br />EC2 server<br />Efemärt filsystem, som försvinner efter shutdown<br />AMI – 10GB för OS, lagras i S3<br />EBS...
EBS – Disk kryptering<br />File<br />GnuPGP<br />File System<br />encfs<br />Block Device<br />Filsystemet ovanpå kryptera...
AWS Virtual Private Cloud<br />VPN från eget nät till reserverat AWS subnet<br />Egna privata IP adresser<br />IPsec<br />...
Applikation<br />Normal vaksamhet<br />Samma grad av security som för egna servrar<br />Brukarens eget ansvar<br />
Demo<br />
AWS EC2<br />
Upcoming SlideShare
Loading in …5
×

Cloud computing and security

1,927
-1

Published on

A presentation (in Swedish) about cloud com

Published in: Technology, Business
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,927
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Cloud computing and security

  1. 1. Cloud Computingoch SäkerhetLogica – Has 2010 – 11 Mar<br />Jens Riboe<br />jens.riboe@ribomation.com <br />11 Mars 2010<br />
  2. 2. Jens RiboeRibomation<br />För diverse kunder<br />KTH<br />Ribomation<br />ERA<br />London<br />Goyada<br />Wily (San Francisco)<br />VzB<br />OW<br />RM<br />SICS<br />1990<br />1995<br />2000<br />2005<br />2010<br />
  3. 3. Problem/Prestanda analys<br />
  4. 4. Agenda<br />Varför<br />Vad<br />Hur<br />Vart<br />Vem<br />Vilka<br />Bakgrundochterminologi<br />Användningsområden<br />Molntyper<br />Tjänsterförutvecklare<br />AWS<br />Juridikensfallgropar<br />Säkerheteni AWS<br />Spara frågorna tills efter presentationen<br />
  5. 5. ElasticComputing<br />Cloud Computing<br />Software as a Service<br />Bakgrund och Terminologi<br />
  6. 6. Mellan försäljningstopparna<br />”Vad använder man sina servrar till när det inte är toppbelastning <br />såsom Xmas, Valentine’s Day?”— undrade en av världens största detaljhandelskedjor<br />
  7. 7. Detkorta och oglamorösa svaret<br />Cloud Computing är en ny paradigm fördriftsättningavapplikationer<br />Användervirtualiseringimassivskala<br />
  8. 8. Cloud Computing = V + C + A + P<br />Virtualization (Xen) <br />+ DataCenter (Amazon)<br />+ PublicAccess (SSH/X.509)<br />+ PricingModel ($0.08/h)<br />
  9. 9. Software-as-a-Service (SaaS)<br />Webbaserad tjänst<br />Snabbt växande affärsområde<br />Har ingen direkt koppling till Cloud Computing<br />Man kan driva en SaaS tjänst från en skrivbordsdator<br />Prestanda blir förvisso lidande<br />Många stora SaaS tjänster drivs från egna servrar<br />Ordet myntades av SalesForce<br />
  10. 10. Relationen SaaS vs. CC<br />Consumer<br />Provider<br />SaaS<br />Cloud Computing<br />
  11. 11. XaaS<br />Det finns många varianter av Something-aaS<br />Component-as-a-Service<br />Specialiserade tjänster för webb-applikationer<br />Platform-as-a-Service<br />Applikations-exekverings-miljö<br />Infrastructure-as-a-Service<br />Virtuella resurser såsom, servrar, hårddiskar, köhanterare, datalagring, IP-adresser<br />
  12. 12. Extra datakraft<br />Enkel driftsättning<br />Skalbara applikationer<br />Stora databehandlingar<br />Användningsområden<br />
  13. 13. (1) Extra datakraft<br />Projekt servrar<br />Test servrar<br />Last generatorer<br />. . . <br />Slit & släng åldern för servrar<br />
  14. 14. (2) Enkel driftsättning<br />Vad behöver man en driftsättningsavdelning till, när man kan sköta jobbet självt med några klick?<br />5 min<br />
  15. 15. (3) Skalbara applikationer<br />Exempel: animoto.com<br />1<br />Från 10 till 3500 servrar på en vecka<br />2<br />3<br />Users:<br />Monday: 25K Users<br />Tuesday: 50K Users<br />Wednesday: 100K Users<br />Thursday: 250K Users<br />Platform:<br />EC2<br />SQS<br />S3<br />RightScale<br />Ruby on Rails<br />
  16. 16. (4) Stora data behandlingar<br />Batch körningar<br />Analys av transaktionsloggar<br />Stora konverteringsarbeten<br />Används av<br />Google<br />Yahoo<br />LastFM<br />Facebook<br />. . .<br />Källor: http://www.slideshare.net/acarlos1000/hadoop-basics-presentation/28<br />http://open.blogs.nytimes.com/2007/11/01/self-service-prorated-super-computing-fun/<br />
  17. 17. Infrastruktursmoln<br />Applikationsmoln<br />Databehandlingsmoln<br />Molntyper<br />
  18. 18. Infrastruktursmoln<br />Som hosting, men i massiv skala<br />Pay-as-you-go<br />Hyra av server per timme<br />Fokus på servrar och datalagring<br />Elasticcomputing – virtuella servrar<br />Elasticstorage – virtuella hårddiskar<br />Lagringstjänster – SAN<br />Kö-tjänster – job/taskqueue<br />Statiska IP adresser<br />
  19. 19. Några aktörer<br />Amazon Web Services (AWS)<br />Först, störst och bäst<br />Hosting företag<br />myCityCloud<br />Rackspace<br />GoGrid<br />…<br />
  20. 20. Eget privat moln<br />Eucaluptus<br />Open source version av AWS<br />API kompatibelt med ECS/EBS/S3<br />Standard iUbuntu Server 9.x<br />Enomaly<br />Det system som AWS själva kör<br />
  21. 21. Applikationsmoln<br />Distribuerad plattform för applikationer<br />Google App Engine (GAE)<br />Java/Python, BigTable<br />SalesforceForce.com<br />Eget scriptspråk, Oracle, enterprisegrade<br />Windows Azure<br />.NET<br />
  22. 22. Databehandlingsmoln<br />Storskalig extraktion/aggregering av information<br />Apache/Yahoo Hadoop<br />Exekvering över 100-tals noder<br />Yahoo har ett Hadoop kluster på 20000+ noder<br />Java open-sourceimplementation<br />HDFS (idé från Google FileSystem GFS)<br />MapReduce (idé från Google map-reduce)<br />Hive (idé från Google BigTable)<br />
  23. 23. Exempel på utvecklartjänster<br />
  24. 24. Versionshantering++<br />Hantering av källkod<br />Versionshantering<br />Tickets<br />Milestones<br />Wiki<br />Blog<br />RSS<br />. . .<br />
  25. 25. Component-as-a-Service<br />Specialiserade SaaS tjänster för webb applikations utveckling<br />
  26. 26. Test @ EC2<br />Driftsätt målsystemet temporärt i molnet<br />Använd en lastgenereringstjänst<br />Används en prestanda-monitorerings-tjänst<br />Terminera servrarna och iterera<br />Nästa konfigureringsuppsättning<br />Kan köra godtyckligt många testsviter parallellt<br />
  27. 27. Lasttestningstjänster<br />Generering av massiv trafik<br />Geografiskt spridd<br />
  28. 28. AWS – Amazon Web Services<br />
  29. 29. EC2 / EBS / S3 / AMI / EIA / SQS<br />DNS<br />EC2<br />SQS<br />put<br />get<br />EBS<br />SAN<br />static IP<br />SDB<br />HTTP<br />80<br />EIA<br />AMI<br />S3<br />HTTP<br />RDB<br />MySQL<br />Security Group<br />SSH & RDP<br />22 & 3389<br />Inget är åtkomligt om man inte först öppnar en port i brandväggen.<br />
  30. 30. EC2 Instance Types<br />One EC2 Compute Unit (ECU) provides the equivalent CPU capacity <br />of a 1.0-1.2 GHz 2007 Opteron or 2007 Xeon processor.<br />
  31. 31. Operativ System<br />Utan kostnad och utan support<br />Med kostnad och med support<br />Egen byggnation<br />Det går att med lite Linux händighet bygga en AMI från en tom diskblock fil<br />Många färdiga konfigurationer<br />
  32. 32. Global driftsättning<br />En region består av en eller flera zoner<br />US-East (North Virginia)<br />US-West (North California)<br />EU (Ireland)<br />ASIA (Singapore) - planned<br />En zone utgör ett logiskt data center<br />Ett logiskt data center är resursmässigt helt fristående<br />EU<br />Regions<br />US<br />
  33. 33. Priser<br />
  34. 34. AWS Ekonomi<br />As you go<br />USD 0,085/h (EC2 Small)<br />ReservedInstance<br />USD 0,03/h + 227/yr<br />USD 0,03/h + 350/3yr<br />Spot<br />Bidding<br />Betalar för <br />per påbörjad timme<br />
  35. 35. Juridikens fallgropar<br />
  36. 36. Person- och betalnings information<br />Vissa former av persondata och betalningsdata får inte lagras utanför Sverige och/eller EU<br />Reglerna talar om ”lagring”, men adresserar inte databehandling och datakommunikation<br />Data passera ett internationellt ’moln’ via efemära enheter<br />EBS<br />SQS<br />AMI<br />S3<br />CloudFront<br />
  37. 37. Datalagringslagarna (FRA m.fl.)<br />Data som skickas utanför landets gränser skall lagras för senare analys av FRA<br />Detta innebär att även kreditkortsdata och annan känslig information kommer att lagras för analys<br />
  38. 38. <ul><li>Autentisering
  39. 39. Brandvägg
  40. 40. Lagring
  41. 41. Kryptering
  42. 42. VPN
  43. 43. Applikation</li></ul>Säkerhet i AWS molnet<br />
  44. 44. Autentisering<br />AWS Management Console<br />Hantering av AWS resurser<br />Server logon<br />Hantering av enskild server<br />API operations<br />Script baserad hantering av AWS resurser<br />Automatisering av server boot & configuration, etc<br />
  45. 45. API Operations<br />Operationer via REST/Query eller SOAP<br />Transport via HTTP eller HTTPS<br />SHA1 HMAC digestof requestparams<br />Pub&Privkeypair (X.509)<br />Signaturen giltig i 15 min<br />Det finns högvis med bibliotek i olika program språk<br />
  46. 46. Server logon<br />Linux/Unix<br />SSH via X.509 certifikat<br />Ej samma som AWS cert<br />Vanligtvis inloggad som user ´root´<br />CanonicalUbuntu<br />Inloggad som user ´ubuntu´ med sudo<br />Windows<br />RDP till Windows<br />Måste hämta genererat admpwd först<br />
  47. 47. Management logon<br />AWS Management Console<br />HTTPS och User/Pwd logon<br />Extra: dosa för engångslösenord<br />Elastic Fox<br />API authentication<br />JavaScript<br />Ylastic, RightScale, CloudFoundry, …<br />API authentication<br />Java, Ruby, …<br />
  48. 48. Brandvägg (SG - Security Group)<br />SG sätts innan EC2 server boot<br />Kan inte ändra SG tillhörighet efter boot<br />Kan ändra SG regler<br />SG utan regler<br />Publika IP portar<br />Alla stängda<br />EC2 servrar (egna eller andras)<br />Ingen åtkomst<br />Mer info<br />http://awsmedia.s3.amazonaws.com/pdf/AWS_Security_Whitepaper.pdf<br />http://awsmedia.s3.amazonaws.com/pdf/AWS_Security_Whitepaper.pdf<br />
  49. 49. Lagring<br />EC2 server<br />Efemärt filsystem, som försvinner efter shutdown<br />AMI – 10GB för OS, lagras i S3<br />EBS<br />Virtuell hårddisk<br />Snapshots till S3<br />S3<br />Distribuerat replikerande filsystem<br />Access via HTTP/HTTPS (AWS API)<br />Åtkomst regleras med ACL<br />
  50. 50. EBS – Disk kryptering<br />File<br />GnuPGP<br />File System<br />encfs<br />Block Device<br />Filsystemet ovanpå krypterad block device<br />cryptsetup/LUKS<br />Mer info<br />http://alestic.com/2009/10/ec2-disk-encryption<br />Rekommenderas<br />
  51. 51. AWS Virtual Private Cloud<br />VPN från eget nät till reserverat AWS subnet<br />Egna privata IP adresser<br />IPsec<br />IKE-PSK, AES-128, HMAC-SHA-1, PFS<br />http://media.amazonwebservices.com/VPC_Diagram.gif<br />
  52. 52. Applikation<br />Normal vaksamhet<br />Samma grad av security som för egna servrar<br />Brukarens eget ansvar<br />
  53. 53. Demo<br />
  54. 54. AWS EC2<br />
  55. 55. Sammanfattning<br />
  56. 56. Fördelar<br />Tekniska fördelar<br />Capacity on demand<br />Scale Up & Scale Down<br />Fault Tolerant<br />Simple Architecture<br />Ekonomiska fördelar<br />No Up-Front Capital Investment<br />Pay as you go<br />Start Small & Pay as You Grow<br />
  57. 57. Påverkar<br />Design avnyaapplikationer<br />Skalbaraochfeltoleranta från början<br />Val av open-source<br />Löser licensfrågan<br />Testningavdessaapplikationer<br />Meromfattandetestningpåkortaretid<br />Driftsättningavdessaapplikationer<br />Enklareochlättareattprova sig framochförändra<br />
  58. 58. Förändrar<br />Drift avdelningen<br />Kan rullautnykonfigpå en timme<br />Programmeringsavdelningen<br />Kan skapa en mashuppå en timme<br />Test avdelningen<br />Kan körahelatestsvitenpå en timme<br />Affärsdrivandeavdelningar<br />Kan draigångegetprojektpå en timme<br />
  59. 59. Frågor<br />Jens Riboe<br />+46 (0)730-314040<br />jens.riboe@ribomation.com<br />www.ribomation.com<br />blog.ribomation.com<br />

×