PLNOG 13: Artur Gmaj: Architecture of Modern Data Center
Ustawa o Krajowym Systemie Cyberbezpieczeństwa, konteneryzacja, chmura i (nie)bezpieczna przyszłość
1. Na zewnątrz trwa wojna: wygraj lub
polegnij po stronie przegranych
czyli
Ustawa KSC, konteneryzacja, chmura i (nie)bezpieczna przyszłość
Aleksander P. Czarnowski
AVET Information and Network Security Sp. z o.o.
2. O mnie
• Ponad 22 lat doświadczenie zawodowego w cybersecurity
• Doradca w MC / Lider podgrupy Cyberbezpieczeństwo i
certyfikacja w Grupie Roboczej ds. IoT
• Doradca w Komisji Europejskiej
• Doradca w EuroCloud StarAudit
• Programista assemblerowy ;)
• I współautor kilku książek i raportów…
5. Maszyna wirtualna a kontener
Infrastruktura / hardware
Hypervisor
OS
Zależności
App1 App2 App3
OS
Zależności
App1 App2 App3
Infrastruktura / hardware
OS
Warstwa konteneryzacyjna
K:
App1
K:
App2
K:
App3
K:
App3
Maszyn wirtualna Konteneryzacja
6. Dlaczego konteneryzacja?
• Lekkość
• Możliwość tworzenia własnych kontenerów w zasadzie bez ograniczeń
• Akceptacja przez wszystkich wiodących dostawców chmury: AWS,
Azure, GCP, Bluemix
• Akceptacja przez wiele platform do zarządzania chmurą: Kubernetes,
OpenShift
• Wsparcie przez rozwiązania do zarządzania infrastrukturą: Ansible
• Naturalne małżeństwo z mikroserwisami
• Efemeryczność
7. DevOps i DevSecOps
• DevOps: jak szybko dostarczać, wydawać, udostępniać i utrzymywać
aplikacje dla biznesu w środowisku, które jest zgodne pomiędzy
dostawcą a zamawiającym?
• DevSecOps zatem to…?
8. DevOps i DevSecOps
• DevOps: jak szybko dostarczać, wydawać, udostępniać i utrzymywać
aplikacje dla biznesu w środowisku, które jest zgodne pomiędzy
dostawcą a zamawiającym?
• DevSecOps: jak szybko dostarczać, wydawać, udostępniać i
utrzymywać bezpieczne i zgodne aplikacje dla biznesu w środowisku,
które jest zgodne pomiędzy dostawcą a zamawiającym?
10. Dlaczego jednak nie konteneryzacja?
• Problem z właściwym zabezpieczeniem
• Czy wiesz co tak naprawdę jest w kontenerach, których używasz?
• Czy wiesz kiedy ostatni raz kontener był patchowany?
• Czy zarządzasz integralnością kontenera?
• …
• A co ze zgodnością?
• RODO
• KSC
• PCI-DSS
• Rekomendacja D KNF
• …
11. Uproszczona powierzchnia ataku (Linux)
Przestrzeń użytkownika
Jądro (kernel)
LXC
Cgroup Namespace
• Sieć
• IPC
• PID
• …
• CPU
• RAM
• Urządzenia
• …
SYSCALL
mov rax, 1 ; write
mov rdi, 1 ; STDOUT_FILENO,
mov rsi, msg ; msg
mov rdx, msglen ; sizeof(msg)
syscall
13. Konteneryzacja a RODO
• Art. 5 Zasady dotyczące przetwarzania danych.
• ust 1. lit c) „minimalizacja danych”
• ust 1. lit e) „ograniczenie przechowywania”
• ust 1. lit f) „integralności i poufność”
• ust 2 „rozliczalność”.
• Art. 25 Uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona
danych.
• Art. 32 Bezpieczeństwo przetwarzania:
• Ciągłość działania
• Poufność, integralność i odporność systemów
• Testowanie, mierzenie i ocenia skuteczności zabezpieczeń
• Art. 33 i 34 zgłaszanie naruszeń ochrony danych osobowych
• Art. 35 Ocena skutków dla ochrony danych: PIA/DPIA
• Analiza ryzyka.
14. Konteneryzacja a KSC
• Analiza ryzyka
• Patche
• Ciągłość działania
• Reagowanie na incydenty
• Integralność
• Dostępność
• Przechowywanie dokumentacji SZBI
15. Chmura, kontenery i sektor finansowy
Rekomendacja D KNF
• Definicja pojęcia „cloud computing”
• Outsourcing
• Kontrola i monitorowanie
• Strategia wyjścia
• Ciągłość działania
• Zarządzanie pojemnością
„Komunikat chmurowy” KNF
• Lokalizacja podmiotu i miejsce faktycznej
realizacja umowy
• Dokumentacja usługi
• Zwrot danych i strategia wyjścia
• Wymagania bezpieczeństwa
• Analiza ryzyka dla usługi wraz z planem
• Polityka bezpieczeństwa dostawcy
• Wskazanie przykładowych certyfikatów
dostawcy: np. ISO 27001, ISO 27017, ISO 27018,
ISAE 3000, ISAE 3400, ISAE 3402, SSAE 16
• Ciągłość działania
16. Chmura: ISO 27017 i 27018 (wybrane przykłady)
ISO 27017
• 9.1.2 Zarządzanie dostępem do sieci i usług sieciowych
• 9.2.2 Zapewnienie dostępu użytkownikom klienta
• 9.2.3 Zarządzanie uprzywilejowanymi prawami dostępu
• 9.2.4 Zarządzanie informacjami uwierzytelnienia i sekretami
• 9.4.1 Ograniczenie dostępu do informacji
• 12.2 Ochrona przed złośliwym oprogramowaniem
• 12.4.1 Logowanie zdarzeń i 12.4.2 Ochrona dzienników zdarzeń
• 12.6.1 Udostępnianie klientowi danych o podatnościach i zabezpieczeniach
• 13.1.3 Separacja sieci (segmentacja)
• 14.2.5 Bezpieczne środowisko rozwojowe
• 16.1.2 Raportowanie incydentów
• 18.2.1 Niezależny audyt
• CLD 9.5.1 Separacja i ochrona zasobów klienta
• CLD.9.5.2 Hardening maszyn wirtualnych
• CLD.12.4.5 Monitorowanie usług w chmurze
ISO 27018
• A.4.1 Bezpieczne usuwania plików tymczasowych
• A.9.1 Notyfikacja o naruszenia bezpieczeństwa PII
• A.9.2 Okres retencji dla polityk bezpieczeństwa i dokumentacji SZBI (min 5 lat)
• A.10.4 Ochrona danych w spoczynku opuszczających obszar chroniony
• A.10.6 Szyfrowanie PII w transmisji
• A.10.8 Unikalne ID użytkowników
• A.10.13 Dostęp do wcześniej alokowanej przestrzeni danych
19. Podsumowanie
1. Konteneryzacja zostaje z nami na dobre.
2. Właściwie wykorzystana konteneryzacja pozwala spełnić wymogi
prawne i regulacyjne.
3. Konteneryzacja ułatwia zarządzania procesami DevOps i DevSecOps.
20. Konteneryzacja to jest właściwy
krok, ale jak każda technologia
wymaga właściwego
zabezpieczenia
Zwłaszcza, gdy do kontekstu dodamy wymogi zgodności