Professioneller Umgang mit Datensicherheit in der Cloud
Upcoming SlideShare
Loading in...5
×
 

Professioneller Umgang mit Datensicherheit in der Cloud

on

  • 41 views

Wibu-Systems CodeMeter bietet Ihnen ein flexibles System, um Lizenzen in einer Schutzhardware, einer sicheren Datei oder in der Cloud zu speichern. Aber alle Vorteile von SaaS, IaaS und PaaS sind ...

Wibu-Systems CodeMeter bietet Ihnen ein flexibles System, um Lizenzen in einer Schutzhardware, einer sicheren Datei oder in der Cloud zu speichern. Aber alle Vorteile von SaaS, IaaS und PaaS sind hinfällig, wenn Sie nicht wissen, wie Datensicherheit für Ihre Software implementiert und überwacht wird.

Daten lügen nicht. Der Einsatz und die Akzeptanz von Cloud-Lösungen steigern sich täglich. Verschiedene Faktoren bestimmen den Erfolg von SaaS, IaaS und PaaS in Unternehmen:

- Plattformunabhängigkeit
- Preisliche Wettbewerbsfähigkeit, was besonders hinsichtlich Kostenoptimierung wichtig ist
- Technologische Innovation
- Größere Agilität bei der Implementierung des kompletten Lizenzierungszyklus

Wenn Sie bereits auf dem Weg sind, die Cloud zu nutzen, oder bereits Cloud-Lösungen anbieten, könnten Hacker versuchen, Ihren Lösungen anzugreifen. Haben Sie das Wissen, dies rechtzeitig zu erkennen und Präventionen in die Wege zu leiten, um Ihre und die Daten Ihrer Kunden zu schützen?

Die Präsentation spannt den Bogen von der Theorie zur Praxis und spricht über:

- die häufigsten Gründe von Hacks
- die architektonische Schwächen eines Cloud-Systems
- welche Sicherheitsmaßnahmen dagegen helfen
- welche Art an Professional Service wir Ihnen bieten, um Ihre Cloud-Lösung sicher zu machen

Statistics

Views

Total Views
41
Views on SlideShare
41
Embed Views
0

Actions

Likes
0
Downloads
0
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Professioneller Umgang mit Datensicherheit in der Cloud Professioneller Umgang mit Datensicherheit in der Cloud Presentation Transcript

  • Rüdiger Kügler | WIBU-SYSTEMS AG Rüdiger Kügler Sicherheitsexperte rk@wibu.com Sicheres Betreiben einer Cloud Lösung 30.01.2014 Sicheres Betreiben einer Cloud Lösung 1
  • Was ist die Cloud? 30.01.2014 Sicheres Betreiben einer Cloud Lösung 2 ???
  • Die Theorie  Software as a Service (SaaS)  Infrastructure as a Service (IaaS)  Platform as a Service (PaaS)  Webspace 30.01.2014 Sicheres Betreiben einer Cloud Lösung 3 View slide
  • CLOUD LÖSUNGEN IN DER PRAXIS 30.01.2014 Sicheres Betreiben einer Cloud Lösung 4 View slide
  • Salesforce 30.01.2014 Sicheres Betreiben einer Cloud Lösung 5 No Software v
  • Amazon Cloud Drive 30.01.2014 Sicheres Betreiben einer Cloud Lösung 6 v Webspace Für Fotos
  • Blue Ray Ripper / MMOs 30.01.2014 Sicheres Betreiben einer Cloud Lösung 7 v
  • ArchiCAD 30.01.2014 Sicheres Betreiben einer Cloud Lösung 8 v Private Cloud (ähnlich zu Terminal Server)
  • ANFORDERUNGEN AUS SICHT DES SOFTWARE HERSTELLERS 30.01.2014 Sicheres Betreiben einer Cloud Lösung 9
  • Hersteller bietet SaaS  Hersteller installiert und betreibt Lösung  (Meist) Browser-basierter Zugang  Spezielle Lösung für die Cloud  Herausforderungen:  Abrechnungsmodelle (Miete, InApp Purchase, Pay-Per-Use, …)  Identifizierung des Users  Sicherheit der Lösung 30.01.2014 Sicheres Betreiben einer Cloud Lösung 10
  • Mischlösung  Nativer Client + Rechenpower in der Cloud beim Hersteller  Für den User „Unter der Haube“  Internetverbindung erforderlich  Herausforderungen:  Was berechnet man in der Cloud  Abrechnungsmodelle (Kaufpreis = einmalig, Cloud = laufende Kosten) 30.01.2014 Sicheres Betreiben einer Cloud Lösung 11
  • User betreibt Private Cloud  Originale Software des Herstellers  User installiert diese selbständig in der Cloud (Private Cloud)  Herausforderungen  Lizenzierung (PC hat mehr Power = weniger PCs = weniger Lizenzen)  Kopierschutz (Dongle? Rechnerbindung?) 30.01.2014 Sicheres Betreiben einer Cloud Lösung 12
  • WIE REALISIERT MAN EINE SAAS LÖSUNG AUF DEM SERVER? 30.01.2014 Sicheres Betreiben einer Cloud Lösung 13
  • PHP / Skriptsprachen 30.01.2014 Sicheres Betreiben einer Cloud Lösung 14 Apache Httpd v PHP
  • Java 30.01.2014 Sicheres Betreiben einer Cloud Lösung 15 Application Server (Tomcat) v Java VM
  • .NET 30.01.2014 Sicheres Betreiben einer Cloud Lösung 16 IIS v ASP.NET (DLL)
  • WARUM HACKT MAN EINE CLOUD LÖSUNG? 30.01.2014 Sicheres Betreiben einer Cloud Lösung 17
  • Just for Fun 30.01.2014 Sicheres Betreiben einer Cloud Lösung 18 You have been hacked!
  • Kreditkartendaten 30.01.2014 Sicheres Betreiben einer Cloud Lösung 19 2013-041113-10045 ESC Euro Slave Card Uranium Version 12/2099
  • Passwörter 30.01.2014 Sicheres Betreiben einer Cloud Lösung 20 v E-Mail Banking Facebook HotelsSony PSN
  • Daten und Formeln 30.01.2014 Sicheres Betreiben einer Cloud Lösung 21 Kranken Akten Kunden DatenUmsatz Daten Cola Rezept: • 100 g Zucker • 100 ml Wasser ???
  • Sabotage 30.01.2014 Sicheres Betreiben einer Cloud Lösung 22 v SPS + OPC UA
  • WIE HACKT MAN EINE CLOUD LÖSUNG? 30.01.2014 Sicheres Betreiben einer Cloud Lösung 23
  • Exploit 30.01.2014 Sicheres Betreiben einer Cloud Lösung 24 Programmierfehler
  • Exploit  Ausnutzen einer Schwachstelle  Meist ein Pufferüberlauf  Startet Code mit den Rechten der Anwendung (Webserver !?)  Payload (Nutzlast) kann modifiziert werden („Bundestrojaner“, Java Exploit)  Zero-Day-Exploit 30.01.2014 Sicheres Betreiben einer Cloud Lösung 25
  • SQL Injection $query = "SELECT user, password FROM users WHERE user = '".$user."' AND password = '".$password."'"; $count = mysql_num_rows($result); if ($count > 0) { print ("Erfolgreich eingeloggt"); } 30.01.2014 Sicheres Betreiben einer Cloud Lösung 26
  • SQL Injection Aufruf: test.php?user=rk@wibu.de&password=geheim = > Erfolgreich eingeloggt Aufruf: test.php?user=rk@wibu.de&password=falsch => Fehler 30.01.2014 Sicheres Betreiben einer Cloud Lösung 27
  • 30.01.2014 Sicheres Betreiben einer Cloud Lösung 28
  • 30.01.2014 Sicheres Betreiben einer Cloud Lösung 29
  • 30.01.2014 Sicheres Betreiben einer Cloud Lösung 30
  • 30.01.2014 Sicheres Betreiben einer Cloud Lösung 31
  • SQL Injection Injection: test.php?user=rk@wibu.de&password=falsch' OR 'a'='a = > Erfolgreich eingeloggt, obwohl das Passwort falsch ist 30.01.2014 Sicheres Betreiben einer Cloud Lösung 32
  • SQL Injection  Manipulieren von WHERE Abfragen  Anhängen von weiteren Befehlen („;“)  INSERT  DROP  Daten ausspähen („UNION“)  … 30.01.2014 Sicheres Betreiben einer Cloud Lösung 33
  • Cross Side Scripting  Code auf einer anderen Seite einschleusen  Texte als Parameter  JavaScript Files als Parameter 30.01.2014 Sicheres Betreiben einer Cloud Lösung 34
  • 30.01.2014 Sicheres Betreiben einer Cloud Lösung 35
  • 30.01.2014 Sicheres Betreiben einer Cloud Lösung 36
  • WIE MACHT MAN ES SICHER? 30.01.2014 Sicheres Betreiben einer Cloud Lösung 37
  • Escape SQL  PHP  mysql_real_escape_string  Von Hand überprüfen  Bound Parameters  Schutz gegen SQL Injection 30.01.2014 Sicheres Betreiben einer Cloud Lösung 38
  • Passwörter  Nie im Klartext speichern  „Verschlüsselt“ (HashWert)  Zufälliger Salt Wert  Hash (Salt + Passwort)  Hash und Salt speichern  Hash = Mitarbieter kann Passwort nicht lesen  Salt = Sicherheit gegen Rainbow Tables und gleiche Passwörter 30.01.2014 Sicheres Betreiben einer Cloud Lösung 39
  • Updates  Betriebssystem immer unverzüglich updaten  Server (Apache, IIS, Tomcat, …) immer unverzüglich updaten  Schützt vor bekannten Exploits 30.01.2014 Sicheres Betreiben einer Cloud Lösung 40
  • Name und Version 30.01.2014 Sicheres Betreiben einer Cloud Lösung 41 ServerTokens Full ServerSignature On
  • Name und Version 30.01.2014 Sicheres Betreiben einer Cloud Lösung 42 ServerTokens Prod ServerSignature Off
  • No phpinfo() 30.01.2014 Sicheres Betreiben einer Cloud Lösung 43
  • System Error Messages Warning: mysql_num_rows() expects parameter 1 to be resource, boolean given in C:wwwrootdmzekonentest.php on line 54 Call Stack: 0.9981 349568 1. {main}() C:wwwrootdmzekonentest.php:0 1.0081 537128 2. mysql_num_rows() 30.01.2014 Sicheres Betreiben einer Cloud Lösung 44 display_errors = On
  • System Error Messages 30.01.2014 Sicheres Betreiben einer Cloud Lösung 45 display_errors = On
  • Dateiendungen  Index.php  Index.html  Index.asp  Index.jsp  Soll man die Endungen verschleiern? 30.01.2014 Sicheres Betreiben einer Cloud Lösung 46
  • Konfigurationsdateien 30.01.2014 Sicheres Betreiben einer Cloud Lösung 47
  • Konfigurationsdaten  Sollten nie unterhalb von Web-Root gespeichert werden  Vorsicht mit Dateieindungen !!! 30.01.2014 Sicheres Betreiben einer Cloud Lösung 48
  • GET vermeiden 127.0.0.1 - - [04/Nov/2013:08:30:19 +0100] "GET /demo/en/test.php?user=rk@wibu.de&password=geheim HTTP/1.1" 200 1371 127.0.0.1 - - [04/Nov/2013:08:34:50 +0100] "GET /demo/en/test.php?user=rk@wibu.de&password=geheim HTTP/1.1" 200 - 127.0.0.1 - - [04/Nov/2013:08:35:26 +0100] "GET /demo/en/test.php?user=rk@wibu.de&password=geheim HTTP/1.1" 200 1381 30.01.2014 Sicheres Betreiben einer Cloud Lösung 49
  • Benutzerrechte  Welche Rechte hat der Webserver (IIS, Apache, eigener Server, …)?  Ein Angreifer erhält im Falle eines Exploits die gleichen Rechte!  Rechte in der Datenbank  Web User = genereller User  Braucht kein Create / Drop / Alter / … 30.01.2014 Sicheres Betreiben einer Cloud Lösung 50
  • Eingaben überprüfen  Blacklist  Was ist nicht erlaubt  Besser: Whitelist  Auf gültige Eingaben prüfen  Verhindert: SQL Injection / Cross Side Scripting 30.01.2014 Sicheres Betreiben einer Cloud Lösung 51
  • ERWEITERTE MÖGLICHKEITEN 30.01.2014 Sicheres Betreiben einer Cloud Lösung 52
  • Diversität 30.01.2014 Sicheres Betreiben einer Cloud Lösung 53 Apache Tomcat (Java) Geschützter Bereich Webserver in DMZ DB Apache Httpd (Php) v
  • Zertifikate  Server Zertifikat 30.01.2014 Sicheres Betreiben einer Cloud Lösung 54 Apache Httpd (Php) v Schlüssel + Zertifikat
  • Zertifikate  Client Zertifikat 30.01.2014 Sicheres Betreiben einer Cloud Lösung 55 Apache Httpd (Php) v Schlüssel + Zertifikat Schlüssel + Zertifikat Zertifikat
  • Client Zertifikat für lc-admin.codemeter.com 30.01.2014 Sicheres Betreiben einer Cloud Lösung 56
  • Zugriff nur mit Zertifikat 30.01.2014 Sicheres Betreiben einer Cloud Lösung 57
  • Überwachung  Verfügbarkeitsüberwachung  Sicherheitsüberwachung 30.01.2014 Sicheres Betreiben einer Cloud Lösung 58
  • ZUSAMMENFASSUNG 30.01.2014 Sicheres Betreiben einer Cloud Lösung 59
  • Kurz und bündig  Passwörter verschlüsselt speichern  Eingaben überprüfen  Updates unverzüglich einspielen  Keine Fehlermeldungen anzeigen (nur loggen)  Nichts über das System verraten  Rechte so wenig wie möglich geben  Im Web-Root liegt nur das Web-Root 30.01.2014 Sicheres Betreiben einer Cloud Lösung 60
  • WAS WIBU FÜR SIE TUN KANN 30.01.2014 Sicheres Betreiben einer Cloud Lösung 61
  • License Central  Sicheres Betreiben der CodeMeter License Central für Sie  Lizenzen erstellen, verwalten und verteilen  Sichere Architektur  Permanente Überwachung  Erfahrenes Personal  Updates vom Betriebssystem und der Anwendung 30.01.2014 Sicheres Betreiben einer Cloud Lösung 62
  • CodeMeter als Token  Speichern von privaten Schlüsseln und Zertifikaten im CmDongle  PKCS#11 konform  CSSI Middleware  Speichern von privaten Schlüsseln im CmDongle  Schlanke, proprietäre Lösung  RSA und ECC: Verwendung von anerkannten Standards 30.01.2014 Sicheres Betreiben einer Cloud Lösung 63
  • Schutz gegen Reverse Engineering 30.01.2014 Sicheres Betreiben einer Cloud Lösung 64  AxProtector for .NET  AxProtector for Java  CmActLicense  Gebunden an IP Addresse  Ungebunden
  • Einheitliche Lösung: CodeMeter 30.01.2014 Sicheres Betreiben einer Cloud Lösung 65  Licensing, Protection und Security  Authentifizierung für SaaS  Zertifikats-basiert, Schlanke Lösung  Licensen für alle Anwendungsfälle  Benutzungsbasiert, Feature-basiert, Zeitlich limitiert, Gleichzeitige Benutzer, Einzelplatz, …  Verschlüsslung von Daten  Einheitliche Verwaltung von Lizenzen und Services
  • Professional Service  Spezifikationen  Implementierungen  Sicherheitsüberprüfungen 30.01.2014 Sicheres Betreiben einer Cloud Lösung 66
  • Germany  +49-721-931720 USA  +1-425-7756900 China  +86-21-55661790 Worldwide  http://www.wibu.com  info@wibu.com Danke für Ihre Aufmerksamkeit 30.01.2014 Sicheres Betreiben einer Cloud Lösung 67