Cloud Computing And Security

Cloud Computingoch SäkerhetLogica – Has 2010 – 11 Mar
Jens Riboe
jens.riboe@ribomation.com
11 Mars 2010

Jens RiboeRibomation
För diverse kunder
KTH
Ribomation
ERA
London
Goyada
Wily (San Francisco)
VzB
OW
RM
SICS
1990
1995
2000
2005
2010

Problem/Prestanda analys

Agenda
Varför
Vad
Hur
Vart
Vem
Vilka
Bakgrundochterminologi
Användningsområden
Molntyper
Tjänsterförutvecklare
AWS
Juridikensfallgropar
Säkerheteni AWS
Spara frågorna tills efter presentationen

ElasticComputing
Cloud Computing
Software as a Service
Bakgrund och Terminologi

Mellan försäljningstopparna
”Vad använder man sina servrar till när det inte är toppbelastning
såsom Xmas, Valentine’s Day?”— undrade en av världens största detaljhandelskedjor

Detkorta och oglamorösa svaret
Cloud Computing är en ny paradigm fördriftsättningavapplikationer
Användervirtualiseringimassivskala

Cloud Computing = V + C + A + P
Virtualization (Xen)
+ DataCenter (Amazon)
+ PublicAccess (SSH/X.509)
+ PricingModel ($0.08/h)

Software-as-a-Service (SaaS)
Webbaserad tjänst
Snabbt växande affärsområde
Har ingen direkt koppling till Cloud Computing
Man kan driva en SaaS tjänst från en skrivbordsdator
Prestanda blir förvisso lidande
Många stora SaaS tjänster drivs från egna servrar
Ordet myntades av SalesForce

Relationen SaaS vs. CC
Consumer
Provider
SaaS
Cloud Computing

XaaS
Det finns många varianter av Something-aaS
Component-as-a-Service
Specialiserade tjänster för webb-applikationer
Platform-as-a-Service
Applikations-exekverings-miljö
Infrastructure-as-a-Service
Virtuella resurser såsom, servrar, hårddiskar, köhanterare, datalagring, IP-adresser

Extra datakraft
Enkel driftsättning
Skalbara applikationer
Stora databehandlingar
Användningsområden

(1) Extra datakraft
Projekt servrar
Test servrar
Last generatorer
. . .
Slit & släng åldern för servrar

(2) Enkel driftsättning
Vad behöver man en driftsättningsavdelning till, när man kan sköta jobbet självt med några klick?
5 min

(3) Skalbara applikationer
Exempel: animoto.com
1
Från 10 till 3500 servrar på en vecka
2
3
Users:
Monday: 25K Users
Tuesday: 50K Users
Wednesday: 100K Users
Thursday: 250K Users
Platform:
EC2
SQS
S3
RightScale
Ruby on Rails

(4) Stora data behandlingar
Batch körningar
Analys av transaktionsloggar
Stora konverteringsarbeten
Används av
Google
Yahoo
LastFM
Facebook
. . .
Källor: http://www.slideshare.net/acarlos1000/hadoop-basics-presentation/28
http://open.blogs.nytimes.com/2007/11/01/self-service-prorated-super-computing-fun/

Infrastruktursmoln
Applikationsmoln
Databehandlingsmoln
Molntyper

Infrastruktursmoln
Som hosting, men i massiv skala
Pay-as-you-go
Hyra av server per timme
Fokus på servrar och datalagring
Elasticcomputing – virtuella servrar
Elasticstorage – virtuella hårddiskar
Lagringstjänster – SAN
Kö-tjänster – job/taskqueue
Statiska IP adresser

Några aktörer
Amazon Web Services (AWS)
Först, störst och bäst
Hosting företag
myCityCloud
Rackspace
GoGrid
…

Eget privat moln
Eucaluptus
Open source version av AWS
API kompatibelt med ECS/EBS/S3
Standard iUbuntu Server 9.x
Enomaly
Det system som AWS själva kör

Applikationsmoln
Distribuerad plattform för applikationer
Google App Engine (GAE)
Java/Python, BigTable
SalesforceForce.com
Eget scriptspråk, Oracle, enterprisegrade
Windows Azure
.NET

Databehandlingsmoln
Storskalig extraktion/aggregering av information
Apache/Yahoo Hadoop
Exekvering över 100-tals noder
Yahoo har ett Hadoop kluster på 20000+ noder
Java open-sourceimplementation
HDFS (idé från Google FileSystem GFS)
MapReduce (idé från Google map-reduce)
Hive (idé från Google BigTable)

Exempel på utvecklartjänster

Versionshantering++
Hantering av källkod
Versionshantering
Tickets
Milestones
Wiki
Blog
RSS
. . .

Component-as-a-Service
Specialiserade SaaS tjänster för webb applikations utveckling

Test @ EC2
Driftsätt målsystemet temporärt i molnet
Använd en lastgenereringstjänst
Används en prestanda-monitorerings-tjänst
Terminera servrarna och iterera
Nästa konfigureringsuppsättning
Kan köra godtyckligt många testsviter parallellt

Lasttestningstjänster
Generering av massiv trafik
Geografiskt spridd

AWS – Amazon Web Services

EC2 / EBS / S3 / AMI / EIA / SQS
DNS
EC2
SQS
put
get
EBS
SAN
static IP
SDB
HTTP
80
EIA
AMI
S3
HTTP
RDB
MySQL
Security Group
SSH & RDP
22 & 3389
Inget är åtkomligt om man inte först öppnar en port i brandväggen.

EC2 Instance Types
One EC2 Compute Unit (ECU) provides the equivalent CPU capacity
of a 1.0-1.2 GHz 2007 Opteron or 2007 Xeon processor.

Operativ System
Utan kostnad och utan support
Med kostnad och med support
Egen byggnation
Det går att med lite Linux händighet bygga en AMI från en tom diskblock fil
Många färdiga konfigurationer

Global driftsättning
En region består av en eller flera zoner
US-East (North Virginia)
US-West (North California)
EU (Ireland)
ASIA (Singapore) - planned
En zone utgör ett logiskt data center
Ett logiskt data center är resursmässigt helt fristående
EU
Regions
US

Priser

AWS Ekonomi
As you go
USD 0,085/h (EC2 Small)
ReservedInstance
USD 0,03/h + 227/yr
USD 0,03/h + 350/3yr
Spot
Bidding
Betalar för
per påbörjad timme

Juridikens fallgropar

Person- och betalnings information
Vissa former av persondata och betalningsdata får inte lagras utanför Sverige och/eller EU
Reglerna talar om ”lagring”, men adresserar inte databehandling och datakommunikation
Data passera ett internationellt ’moln’ via efemära enheter
EBS
SQS
AMI
S3
CloudFront

Datalagringslagarna (FRA m.fl.)
Data som skickas utanför landets gränser skall lagras för senare analys av FRA
Detta innebär att även kreditkortsdata och annan känslig information kommer att lagras för analys

Autentisering
Brandvägg
Lagring
Kryptering
VPN
Applikation
Säkerhet i AWS molnet

Autentisering
AWS Management Console
Hantering av AWS resurser
Server logon
Hantering av enskild server
API operations
Script baserad hantering av AWS resurser
Automatisering av server boot & configuration, etc

API Operations
Operationer via REST/Query eller SOAP
Transport via HTTP eller HTTPS
SHA1 HMAC digestof requestparams
Pub&Privkeypair (X.509)
Signaturen giltig i 15 min
Det finns högvis med bibliotek i olika program språk

Server logon
Linux/Unix
SSH via X.509 certifikat
Ej samma som AWS cert
Vanligtvis inloggad som user ´root´
CanonicalUbuntu
Inloggad som user ´ubuntu´ med sudo
Windows
RDP till Windows
Måste hämta genererat admpwd först

Management logon
AWS Management Console
HTTPS och User/Pwd logon
Extra: dosa för engångslösenord
Elastic Fox
API authentication
JavaScript
Ylastic, RightScale, CloudFoundry, …
API authentication
Java, Ruby, …

Brandvägg (SG - Security Group)
SG sätts innan EC2 server boot
Kan inte ändra SG tillhörighet efter boot
Kan ändra SG regler
SG utan regler
Publika IP portar
Alla stängda
EC2 servrar (egna eller andras)
Ingen åtkomst
Mer info
http://awsmedia.s3.amazonaws.com/pdf/AWS_Security_Whitepaper.pdf
http://awsmedia.s3.amazonaws.com/pdf/AWS_Security_Whitepaper.pdf

Lagring
EC2 server
Efemärt filsystem, som försvinner efter shutdown
AMI – 10GB för OS, lagras i S3
EBS
Virtuell hårddisk
Snapshots till S3
S3
Distribuerat replikerande filsystem
Access via HTTP/HTTPS (AWS API)
Åtkomst regleras med ACL

EBS – Disk kryptering
File
GnuPGP
File System
encfs
Block Device
Filsystemet ovanpå krypterad block device
cryptsetup/LUKS
Mer info
http://alestic.com/2009/10/ec2-disk-encryption
Rekommenderas

AWS Virtual Private Cloud
VPN från eget nät till reserverat AWS subnet
Egna privata IP adresser
IPsec
IKE-PSK, AES-128, HMAC-SHA-1, PFS
http://media.amazonwebservices.com/VPC_Diagram.gif

Applikation
Normal vaksamhet
Samma grad av security som för egna servrar
Brukarens eget ansvar

AWS EC2

Sammanfattning

Fördelar
Tekniska fördelar
Capacity on demand
Scale Up & Scale Down
Fault Tolerant
Simple Architecture
Ekonomiska fördelar
No Up-Front Capital Investment
Pay as you go
Start Small & Pay as You Grow

Påverkar
Design avnyaapplikationer
Skalbaraochfeltoleranta från början
Val av open-source
Löser licensfrågan
Testningavdessaapplikationer
Meromfattandetestningpåkortaretid
Driftsättningavdessaapplikationer
Enklareochlättareattprova sig framochförändra

Förändrar
Drift avdelningen
Kan rullautnykonfigpå en timme
Programmeringsavdelningen
Kan skapa en mashuppå en timme
Test avdelningen
Kan körahelatestsvitenpå en timme
Affärsdrivandeavdelningar
Kan draigångegetprojektpå en timme

Frågor
Jens Riboe
+46 (0)730-314040
jens.riboe@ribomation.com
www.ribomation.com
blog.ribomation.com

Cloud Computing And Security

by Ribomation on Mar 12, 2010

Accessibility

Categories

Tags

Upload Details

Usage Rights

2 Embeds 34

Statistics

Cloud Computing And Security — Presentation Transcript

http://blog.ribomation.com	24
http://www.slideshare.net	10