SlideShare a Scribd company logo

Ustawa o Krajowym Systemie Cyberbezpieczeństwa, konteneryzacja, chmura i (nie)bezpieczna przyszłość

A
Aleksander Czarnowski

Na zewnątrz trwa (cyber)wojna: wygraj lub polegnij po stronie przegranych. Czyli jak można bezpiecznie wykorzystać konteneryzację w zgodzie z KSC.

Software
1 of 21
Na zewnątrz trwa wojna: wygraj lub polegnij po stronie przegranych czyli Ustawa KSC, konteneryzacja, chmura i (nie)bezpieczna przyszłość Aleksander P. Czarnowski AVET Information and Network Security Sp. z o.o.
O mnie • Ponad 22 lat doświadczenie zawodowego w cybersecurity • Doradca w MC / Lider podgrupy Cyberbezpieczeństwo i certyfikacja w Grupie Roboczej ds. IoT • Doradca w Komisji Europejskiej • Doradca w EuroCloud StarAudit • Programista assemblerowy ;) • I współautor kilku książek i raportów…
Agenda • Wprowadzenie • Dlaczego konteneryzacja • Praktyczne wykorzystanie z perspektywy KSC • Q&A
Wprowadzenie: ewolucja prowadzi do konteneryzacji
Maszyna wirtualna a kontener Infrastruktura / hardware Hypervisor OS Zależności App1 App2 App3 OS Zależności App1 App2 App3 Infrastruktura / hardware OS Warstwa konteneryzacyjna K: App1 K: App2 K: App3 K: App3 Maszyn wirtualna Konteneryzacja
Dlaczego konteneryzacja? • Lekkość • Możliwość tworzenia własnych kontenerów w zasadzie bez ograniczeń • Akceptacja przez wszystkich wiodących dostawców chmury: AWS, Azure, GCP, Bluemix • Akceptacja przez wiele platform do zarządzania chmurą: Kubernetes, OpenShift • Wsparcie przez rozwiązania do zarządzania infrastrukturą: Ansible • Naturalne małżeństwo z mikroserwisami • Efemeryczność
DevOps i DevSecOps • DevOps: jak szybko dostarczać, wydawać, udostępniać i utrzymywać aplikacje dla biznesu w środowisku, które jest zgodne pomiędzy dostawcą a zamawiającym? • DevSecOps zatem to…?
DevOps i DevSecOps • DevOps: jak szybko dostarczać, wydawać, udostępniać i utrzymywać aplikacje dla biznesu w środowisku, które jest zgodne pomiędzy dostawcą a zamawiającym? • DevSecOps: jak szybko dostarczać, wydawać, udostępniać i utrzymywać bezpieczne i zgodne aplikacje dla biznesu w środowisku, które jest zgodne pomiędzy dostawcą a zamawiającym?
CI/CD Build Test Release Deploy
Dlaczego jednak nie konteneryzacja? • Problem z właściwym zabezpieczeniem • Czy wiesz co tak naprawdę jest w kontenerach, których używasz? • Czy wiesz kiedy ostatni raz kontener był patchowany? • Czy zarządzasz integralnością kontenera? • … • A co ze zgodnością? • RODO • KSC • PCI-DSS • Rekomendacja D KNF • …
Uproszczona powierzchnia ataku (Linux) Przestrzeń użytkownika Jądro (kernel) LXC Cgroup Namespace • Sieć • IPC • PID • … • CPU • RAM • Urządzenia • … SYSCALL mov rax, 1 ; write mov rdi, 1 ; STDOUT_FILENO, mov rsi, msg ; msg mov rdx, msglen ; sizeof(msg) syscall
Powierzchnia ataku Infrastruktura / hardware OS Warstwa konteneryzacyjna K: App1 K: App2 K: App3 K: App3 root?
Konteneryzacja a RODO • Art. 5 Zasady dotyczące przetwarzania danych. • ust 1. lit c) „minimalizacja danych” • ust 1. lit e) „ograniczenie przechowywania” • ust 1. lit f) „integralności i poufność” • ust 2 „rozliczalność”. • Art. 25 Uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych. • Art. 32 Bezpieczeństwo przetwarzania: • Ciągłość działania • Poufność, integralność i odporność systemów • Testowanie, mierzenie i ocenia skuteczności zabezpieczeń • Art. 33 i 34 zgłaszanie naruszeń ochrony danych osobowych • Art. 35 Ocena skutków dla ochrony danych: PIA/DPIA • Analiza ryzyka.
Konteneryzacja a KSC • Analiza ryzyka • Patche • Ciągłość działania • Reagowanie na incydenty • Integralność • Dostępność • Przechowywanie dokumentacji SZBI
Chmura, kontenery i sektor finansowy Rekomendacja D KNF • Definicja pojęcia „cloud computing” • Outsourcing • Kontrola i monitorowanie • Strategia wyjścia • Ciągłość działania • Zarządzanie pojemnością „Komunikat chmurowy” KNF • Lokalizacja podmiotu i miejsce faktycznej realizacja umowy • Dokumentacja usługi • Zwrot danych i strategia wyjścia • Wymagania bezpieczeństwa • Analiza ryzyka dla usługi wraz z planem • Polityka bezpieczeństwa dostawcy • Wskazanie przykładowych certyfikatów dostawcy: np. ISO 27001, ISO 27017, ISO 27018, ISAE 3000, ISAE 3400, ISAE 3402, SSAE 16 • Ciągłość działania
Chmura: ISO 27017 i 27018 (wybrane przykłady) ISO 27017 • 9.1.2 Zarządzanie dostępem do sieci i usług sieciowych • 9.2.2 Zapewnienie dostępu użytkownikom klienta • 9.2.3 Zarządzanie uprzywilejowanymi prawami dostępu • 9.2.4 Zarządzanie informacjami uwierzytelnienia i sekretami • 9.4.1 Ograniczenie dostępu do informacji • 12.2 Ochrona przed złośliwym oprogramowaniem • 12.4.1 Logowanie zdarzeń i 12.4.2 Ochrona dzienników zdarzeń • 12.6.1 Udostępnianie klientowi danych o podatnościach i zabezpieczeniach • 13.1.3 Separacja sieci (segmentacja) • 14.2.5 Bezpieczne środowisko rozwojowe • 16.1.2 Raportowanie incydentów • 18.2.1 Niezależny audyt • CLD 9.5.1 Separacja i ochrona zasobów klienta • CLD.9.5.2 Hardening maszyn wirtualnych • CLD.12.4.5 Monitorowanie usług w chmurze ISO 27018 • A.4.1 Bezpieczne usuwania plików tymczasowych • A.9.1 Notyfikacja o naruszenia bezpieczeństwa PII • A.9.2 Okres retencji dla polityk bezpieczeństwa i dokumentacji SZBI (min 5 lat) • A.10.4 Ochrona danych w spoczynku opuszczających obszar chroniony • A.10.6 Szyfrowanie PII w transmisji • A.10.8 Unikalne ID użytkowników • A.10.13 Dostęp do wcześniej alokowanej przestrzeni danych
Docker workflow
Demo: czyli praktyka
Podsumowanie 1. Konteneryzacja zostaje z nami na dobre. 2. Właściwie wykorzystana konteneryzacja pozwala spełnić wymogi prawne i regulacyjne. 3. Konteneryzacja ułatwia zarządzania procesami DevOps i DevSecOps.
Konteneryzacja to jest właściwy krok, ale jak każda technologia wymaga właściwego zabezpieczenia Zwłaszcza, gdy do kontekstu dodamy wymogi zgodności
Q&A Dziękuję za uwagę :) aleksander.czarnowski@avetins.com

Recommended

Own cloud (2)
Own cloud (2)Own cloud (2)
Own cloud (2)marthinpl
 
PLNOG 13: Gaweł Mikołajczyk: Data Center Security in 2014
PLNOG 13: Gaweł Mikołajczyk: Data Center Security in 2014PLNOG 13: Gaweł Mikołajczyk: Data Center Security in 2014
PLNOG 13: Gaweł Mikołajczyk: Data Center Security in 2014PROIDEA
 
802.11. Bezpieczeństwo
802.11. Bezpieczeństwo802.11. Bezpieczeństwo
802.11. BezpieczeństwoWydawnictwo Helion
 
Wirtualizacja sieci na przykładzie OpenContrail vRouter.
Wirtualizacja sieci na przykładzie OpenContrail vRouter.Wirtualizacja sieci na przykładzie OpenContrail vRouter.
Wirtualizacja sieci na przykładzie OpenContrail vRouter.Semihalf
 
Linux. Serwery. Bezpieczeństwo
Linux. Serwery. BezpieczeństwoLinux. Serwery. Bezpieczeństwo
Linux. Serwery. BezpieczeństwoWydawnictwo Helion
 
Hyper converged - atlantis usx
Hyper converged - atlantis usxHyper converged - atlantis usx
Hyper converged - atlantis usxPawel Serwan
 
Bezpieczeństwo WordPress okiem administratora - WordCamp Warszawa 2014
Bezpieczeństwo WordPress okiem administratora - WordCamp Warszawa 2014Bezpieczeństwo WordPress okiem administratora - WordCamp Warszawa 2014
Bezpieczeństwo WordPress okiem administratora - WordCamp Warszawa 2014Michał Smereczyński
 
Security B-Sides Warsaw 2014 - Network Security Treasures - Gawel Mikolajczyk
Security B-Sides Warsaw 2014 - Network Security Treasures - Gawel MikolajczykSecurity B-Sides Warsaw 2014 - Network Security Treasures - Gawel Mikolajczyk
Security B-Sides Warsaw 2014 - Network Security Treasures - Gawel MikolajczykGawel Mikolajczyk
 

Recommended

Own cloud (2)
Own cloud (2)Own cloud (2)
Own cloud (2)marthinpl
 
PLNOG 13: Gaweł Mikołajczyk: Data Center Security in 2014
PLNOG 13: Gaweł Mikołajczyk: Data Center Security in 2014PLNOG 13: Gaweł Mikołajczyk: Data Center Security in 2014
PLNOG 13: Gaweł Mikołajczyk: Data Center Security in 2014PROIDEA
 
802.11. Bezpieczeństwo
802.11. Bezpieczeństwo802.11. Bezpieczeństwo
802.11. BezpieczeństwoWydawnictwo Helion
 
Wirtualizacja sieci na przykładzie OpenContrail vRouter.
Wirtualizacja sieci na przykładzie OpenContrail vRouter.Wirtualizacja sieci na przykładzie OpenContrail vRouter.
Wirtualizacja sieci na przykładzie OpenContrail vRouter.Semihalf
 
Linux. Serwery. Bezpieczeństwo
Linux. Serwery. BezpieczeństwoLinux. Serwery. Bezpieczeństwo
Linux. Serwery. BezpieczeństwoWydawnictwo Helion
 
Hyper converged - atlantis usx
Hyper converged - atlantis usxHyper converged - atlantis usx
Hyper converged - atlantis usxPawel Serwan
 
Bezpieczeństwo WordPress okiem administratora - WordCamp Warszawa 2014
Bezpieczeństwo WordPress okiem administratora - WordCamp Warszawa 2014Bezpieczeństwo WordPress okiem administratora - WordCamp Warszawa 2014
Bezpieczeństwo WordPress okiem administratora - WordCamp Warszawa 2014Michał Smereczyński
 
Security B-Sides Warsaw 2014 - Network Security Treasures - Gawel Mikolajczyk
Security B-Sides Warsaw 2014 - Network Security Treasures - Gawel MikolajczykSecurity B-Sides Warsaw 2014 - Network Security Treasures - Gawel Mikolajczyk
Security B-Sides Warsaw 2014 - Network Security Treasures - Gawel MikolajczykGawel Mikolajczyk
 
PLNOG19 - Emil Gągała - Przewodnik nowoczesnego sieciowca po pasjonującym, No...
PLNOG19 - Emil Gągała - Przewodnik nowoczesnego sieciowca po pasjonującym, No...PLNOG19 - Emil Gągała - Przewodnik nowoczesnego sieciowca po pasjonującym, No...
PLNOG19 - Emil Gągała - Przewodnik nowoczesnego sieciowca po pasjonującym, No...PROIDEA
 
Linux. Bezpieczeństwo. Receptury
Linux. Bezpieczeństwo. RecepturyLinux. Bezpieczeństwo. Receptury
Linux. Bezpieczeństwo. RecepturyWydawnictwo Helion
 
Prezentacja witruallizacja dc 1.3
Prezentacja witruallizacja dc 1.3Prezentacja witruallizacja dc 1.3
Prezentacja witruallizacja dc 1.3Marta Pacyga
 
PLNOG15: Virtualization and automation of network and security services in Da...
PLNOG15: Virtualization and automation of network and security services in Da...PLNOG15: Virtualization and automation of network and security services in Da...
PLNOG15: Virtualization and automation of network and security services in Da...PROIDEA
 
Bezpieczeństwo w Linuksie. Podręcznik administratora
Bezpieczeństwo w Linuksie. Podręcznik administratoraBezpieczeństwo w Linuksie. Podręcznik administratora
Bezpieczeństwo w Linuksie. Podręcznik administratoraWydawnictwo Helion
 
PLNOG 18 - Jarosław Ulczok - Podsłuchać światłowód? Przezentacja LIVE + zasto...
PLNOG 18 - Jarosław Ulczok - Podsłuchać światłowód? Przezentacja LIVE + zasto...PLNOG 18 - Jarosław Ulczok - Podsłuchać światłowód? Przezentacja LIVE + zasto...
PLNOG 18 - Jarosław Ulczok - Podsłuchać światłowód? Przezentacja LIVE + zasto...PROIDEA
 
Hack Proofing Linux. Edycja polska
Hack Proofing Linux. Edycja polskaHack Proofing Linux. Edycja polska
Hack Proofing Linux. Edycja polskaWydawnictwo Helion
 
PLNOG19 - Robert Ślaski - Przełączniki w wydaniu otwartym - po co Open Networ...
PLNOG19 - Robert Ślaski - Przełączniki w wydaniu otwartym - po co Open Networ...PLNOG19 - Robert Ślaski - Przełączniki w wydaniu otwartym - po co Open Networ...
PLNOG19 - Robert Ślaski - Przełączniki w wydaniu otwartym - po co Open Networ...PROIDEA
 
[PL] Chmura hybrydowa - w poszukiwaniu zewnętrznych zasobów IT
[PL] Chmura hybrydowa - w poszukiwaniu zewnętrznych zasobów IT[PL] Chmura hybrydowa - w poszukiwaniu zewnętrznych zasobów IT
[PL] Chmura hybrydowa - w poszukiwaniu zewnętrznych zasobów ITPiotr Pietrzak
 
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...Gawel Mikolajczyk
 
Firewalle i bezpieczeństwo w sieci. Vademecum profesjonalisty
Firewalle i bezpieczeństwo w sieci. Vademecum profesjonalistyFirewalle i bezpieczeństwo w sieci. Vademecum profesjonalisty
Firewalle i bezpieczeństwo w sieci. Vademecum profesjonalistyWydawnictwo Helion
 
[CareerCon] Wirtualizacja (PL)
[CareerCon] Wirtualizacja (PL)[CareerCon] Wirtualizacja (PL)
[CareerCon] Wirtualizacja (PL)Jaroslaw Sobel
 
101 zabezpieczeń przed atakami w sieci komputerowej
101 zabezpieczeń przed atakami w sieci komputerowej101 zabezpieczeń przed atakami w sieci komputerowej
101 zabezpieczeń przed atakami w sieci komputerowejWydawnictwo Helion
 
Internet rzeczy w przemyśle 4.0
Internet rzeczy w przemyśle 4.0Internet rzeczy w przemyśle 4.0
Internet rzeczy w przemyśle 4.0Aleksander Czarnowski
 
Wielka księga firewalli
Wielka księga firewalliWielka księga firewalli
Wielka księga firewalliWydawnictwo Helion
 
infraxstructure: Piotr Jabłoński "SDN w praktyce. Znacząca poprawa bezpieczeń...
infraxstructure: Piotr Jabłoński "SDN w praktyce. Znacząca poprawa bezpieczeń...infraxstructure: Piotr Jabłoński "SDN w praktyce. Znacząca poprawa bezpieczeń...
infraxstructure: Piotr Jabłoński "SDN w praktyce. Znacząca poprawa bezpieczeń...PROIDEA
 
PLNOG19 - Krzysztof Banel - Nowe modele bezpieczeństwa w sieciach SDN
PLNOG19 - Krzysztof Banel - Nowe modele bezpieczeństwa w sieciach SDNPLNOG19 - Krzysztof Banel - Nowe modele bezpieczeństwa w sieciach SDN
PLNOG19 - Krzysztof Banel - Nowe modele bezpieczeństwa w sieciach SDNPROIDEA
 
PLNOg16: SDN dla entuzjastów i sceptyków. Co zaskoczyło mnie w rozwiązaniu wi...
PLNOg16: SDN dla entuzjastów i sceptyków. Co zaskoczyło mnie w rozwiązaniu wi...PLNOg16: SDN dla entuzjastów i sceptyków. Co zaskoczyło mnie w rozwiązaniu wi...
PLNOg16: SDN dla entuzjastów i sceptyków. Co zaskoczyło mnie w rozwiązaniu wi...PROIDEA
 
Bezpieczeństwo w sieciach Windows
Bezpieczeństwo w sieciach WindowsBezpieczeństwo w sieciach Windows
Bezpieczeństwo w sieciach WindowsWydawnictwo Helion
 
PLNOG 13: Artur Gmaj: Architecture of Modern Data Center
PLNOG 13: Artur Gmaj: Architecture of Modern Data CenterPLNOG 13: Artur Gmaj: Architecture of Modern Data Center
PLNOG 13: Artur Gmaj: Architecture of Modern Data CenterPROIDEA
 

More Related Content

Similar to Ustawa o Krajowym Systemie Cyberbezpieczeństwa, konteneryzacja, chmura i (nie)bezpieczna przyszłość

PLNOG19 - Emil Gągała - Przewodnik nowoczesnego sieciowca po pasjonującym, No...
PLNOG19 - Emil Gągała - Przewodnik nowoczesnego sieciowca po pasjonującym, No...PLNOG19 - Emil Gągała - Przewodnik nowoczesnego sieciowca po pasjonującym, No...
PLNOG19 - Emil Gągała - Przewodnik nowoczesnego sieciowca po pasjonującym, No...PROIDEA
 
Linux. Bezpieczeństwo. Receptury
Linux. Bezpieczeństwo. RecepturyLinux. Bezpieczeństwo. Receptury
Linux. Bezpieczeństwo. RecepturyWydawnictwo Helion
 
Prezentacja witruallizacja dc 1.3
Prezentacja witruallizacja dc 1.3Prezentacja witruallizacja dc 1.3
Prezentacja witruallizacja dc 1.3Marta Pacyga
 
PLNOG15: Virtualization and automation of network and security services in Da...
PLNOG15: Virtualization and automation of network and security services in Da...PLNOG15: Virtualization and automation of network and security services in Da...
PLNOG15: Virtualization and automation of network and security services in Da...PROIDEA
 
Bezpieczeństwo w Linuksie. Podręcznik administratora
Bezpieczeństwo w Linuksie. Podręcznik administratoraBezpieczeństwo w Linuksie. Podręcznik administratora
Bezpieczeństwo w Linuksie. Podręcznik administratoraWydawnictwo Helion
 
PLNOG 18 - Jarosław Ulczok - Podsłuchać światłowód? Przezentacja LIVE + zasto...
PLNOG 18 - Jarosław Ulczok - Podsłuchać światłowód? Przezentacja LIVE + zasto...PLNOG 18 - Jarosław Ulczok - Podsłuchać światłowód? Przezentacja LIVE + zasto...
PLNOG 18 - Jarosław Ulczok - Podsłuchać światłowód? Przezentacja LIVE + zasto...PROIDEA
 
Hack Proofing Linux. Edycja polska
Hack Proofing Linux. Edycja polskaHack Proofing Linux. Edycja polska
Hack Proofing Linux. Edycja polskaWydawnictwo Helion
 
PLNOG19 - Robert Ślaski - Przełączniki w wydaniu otwartym - po co Open Networ...
PLNOG19 - Robert Ślaski - Przełączniki w wydaniu otwartym - po co Open Networ...PLNOG19 - Robert Ślaski - Przełączniki w wydaniu otwartym - po co Open Networ...
PLNOG19 - Robert Ślaski - Przełączniki w wydaniu otwartym - po co Open Networ...PROIDEA
 
[PL] Chmura hybrydowa - w poszukiwaniu zewnętrznych zasobów IT
[PL] Chmura hybrydowa - w poszukiwaniu zewnętrznych zasobów IT[PL] Chmura hybrydowa - w poszukiwaniu zewnętrznych zasobów IT
[PL] Chmura hybrydowa - w poszukiwaniu zewnętrznych zasobów ITPiotr Pietrzak
 
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...Gawel Mikolajczyk
 
Firewalle i bezpieczeństwo w sieci. Vademecum profesjonalisty
Firewalle i bezpieczeństwo w sieci. Vademecum profesjonalistyFirewalle i bezpieczeństwo w sieci. Vademecum profesjonalisty
Firewalle i bezpieczeństwo w sieci. Vademecum profesjonalistyWydawnictwo Helion
 
[CareerCon] Wirtualizacja (PL)
[CareerCon] Wirtualizacja (PL)[CareerCon] Wirtualizacja (PL)
[CareerCon] Wirtualizacja (PL)Jaroslaw Sobel
 
101 zabezpieczeń przed atakami w sieci komputerowej
101 zabezpieczeń przed atakami w sieci komputerowej101 zabezpieczeń przed atakami w sieci komputerowej
101 zabezpieczeń przed atakami w sieci komputerowejWydawnictwo Helion
 
infraxstructure: Piotr Jabłoński "SDN w praktyce. Znacząca poprawa bezpieczeń...
infraxstructure: Piotr Jabłoński "SDN w praktyce. Znacząca poprawa bezpieczeń...infraxstructure: Piotr Jabłoński "SDN w praktyce. Znacząca poprawa bezpieczeń...
infraxstructure: Piotr Jabłoński "SDN w praktyce. Znacząca poprawa bezpieczeń...PROIDEA
 
PLNOG19 - Krzysztof Banel - Nowe modele bezpieczeństwa w sieciach SDN
PLNOG19 - Krzysztof Banel - Nowe modele bezpieczeństwa w sieciach SDNPLNOG19 - Krzysztof Banel - Nowe modele bezpieczeństwa w sieciach SDN
PLNOG19 - Krzysztof Banel - Nowe modele bezpieczeństwa w sieciach SDNPROIDEA
 
PLNOg16: SDN dla entuzjastów i sceptyków. Co zaskoczyło mnie w rozwiązaniu wi...
PLNOg16: SDN dla entuzjastów i sceptyków. Co zaskoczyło mnie w rozwiązaniu wi...PLNOg16: SDN dla entuzjastów i sceptyków. Co zaskoczyło mnie w rozwiązaniu wi...
PLNOg16: SDN dla entuzjastów i sceptyków. Co zaskoczyło mnie w rozwiązaniu wi...PROIDEA
 
Bezpieczeństwo w sieciach Windows
Bezpieczeństwo w sieciach WindowsBezpieczeństwo w sieciach Windows
Bezpieczeństwo w sieciach WindowsWydawnictwo Helion
 
PLNOG 13: Artur Gmaj: Architecture of Modern Data Center
PLNOG 13: Artur Gmaj: Architecture of Modern Data CenterPLNOG 13: Artur Gmaj: Architecture of Modern Data Center
PLNOG 13: Artur Gmaj: Architecture of Modern Data CenterPROIDEA
 

Similar to Ustawa o Krajowym Systemie Cyberbezpieczeństwa, konteneryzacja, chmura i (nie)bezpieczna przyszłość (20)

PLNOG19 - Emil Gągała - Przewodnik nowoczesnego sieciowca po pasjonującym, No...
PLNOG19 - Emil Gągała - Przewodnik nowoczesnego sieciowca po pasjonującym, No...PLNOG19 - Emil Gągała - Przewodnik nowoczesnego sieciowca po pasjonującym, No...
PLNOG19 - Emil Gągała - Przewodnik nowoczesnego sieciowca po pasjonującym, No...
 
Linux. Bezpieczeństwo. Receptury
Linux. Bezpieczeństwo. RecepturyLinux. Bezpieczeństwo. Receptury
Linux. Bezpieczeństwo. Receptury
 
Prezentacja witruallizacja dc 1.3
Prezentacja witruallizacja dc 1.3Prezentacja witruallizacja dc 1.3
Prezentacja witruallizacja dc 1.3
 
PLNOG15: Virtualization and automation of network and security services in Da...
PLNOG15: Virtualization and automation of network and security services in Da...PLNOG15: Virtualization and automation of network and security services in Da...
PLNOG15: Virtualization and automation of network and security services in Da...
 
Bezpieczeństwo w Linuksie. Podręcznik administratora
Bezpieczeństwo w Linuksie. Podręcznik administratoraBezpieczeństwo w Linuksie. Podręcznik administratora
Bezpieczeństwo w Linuksie. Podręcznik administratora
 
PLNOG 18 - Jarosław Ulczok - Podsłuchać światłowód? Przezentacja LIVE + zasto...
PLNOG 18 - Jarosław Ulczok - Podsłuchać światłowód? Przezentacja LIVE + zasto...PLNOG 18 - Jarosław Ulczok - Podsłuchać światłowód? Przezentacja LIVE + zasto...
PLNOG 18 - Jarosław Ulczok - Podsłuchać światłowód? Przezentacja LIVE + zasto...
 
Hack Proofing Linux. Edycja polska
Hack Proofing Linux. Edycja polskaHack Proofing Linux. Edycja polska
Hack Proofing Linux. Edycja polska
 
PLNOG19 - Robert Ślaski - Przełączniki w wydaniu otwartym - po co Open Networ...
PLNOG19 - Robert Ślaski - Przełączniki w wydaniu otwartym - po co Open Networ...PLNOG19 - Robert Ślaski - Przełączniki w wydaniu otwartym - po co Open Networ...
PLNOG19 - Robert Ślaski - Przełączniki w wydaniu otwartym - po co Open Networ...
 
[PL] Chmura hybrydowa - w poszukiwaniu zewnętrznych zasobów IT
[PL] Chmura hybrydowa - w poszukiwaniu zewnętrznych zasobów IT[PL] Chmura hybrydowa - w poszukiwaniu zewnętrznych zasobów IT
[PL] Chmura hybrydowa - w poszukiwaniu zewnętrznych zasobów IT
 
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...
 
Firewalle i bezpieczeństwo w sieci. Vademecum profesjonalisty
Firewalle i bezpieczeństwo w sieci. Vademecum profesjonalistyFirewalle i bezpieczeństwo w sieci. Vademecum profesjonalisty
Firewalle i bezpieczeństwo w sieci. Vademecum profesjonalisty
 
[CareerCon] Wirtualizacja (PL)
[CareerCon] Wirtualizacja (PL)[CareerCon] Wirtualizacja (PL)
[CareerCon] Wirtualizacja (PL)
 
101 zabezpieczeń przed atakami w sieci komputerowej
101 zabezpieczeń przed atakami w sieci komputerowej101 zabezpieczeń przed atakami w sieci komputerowej
101 zabezpieczeń przed atakami w sieci komputerowej
 
Internet rzeczy w przemyśle 4.0
Internet rzeczy w przemyśle 4.0Internet rzeczy w przemyśle 4.0
Internet rzeczy w przemyśle 4.0
 
Wielka księga firewalli
Wielka księga firewalliWielka księga firewalli
Wielka księga firewalli
 
infraxstructure: Piotr Jabłoński "SDN w praktyce. Znacząca poprawa bezpieczeń...
infraxstructure: Piotr Jabłoński "SDN w praktyce. Znacząca poprawa bezpieczeń...infraxstructure: Piotr Jabłoński "SDN w praktyce. Znacząca poprawa bezpieczeń...
infraxstructure: Piotr Jabłoński "SDN w praktyce. Znacząca poprawa bezpieczeń...
 
PLNOG19 - Krzysztof Banel - Nowe modele bezpieczeństwa w sieciach SDN
PLNOG19 - Krzysztof Banel - Nowe modele bezpieczeństwa w sieciach SDNPLNOG19 - Krzysztof Banel - Nowe modele bezpieczeństwa w sieciach SDN
PLNOG19 - Krzysztof Banel - Nowe modele bezpieczeństwa w sieciach SDN
 
PLNOg16: SDN dla entuzjastów i sceptyków. Co zaskoczyło mnie w rozwiązaniu wi...
PLNOg16: SDN dla entuzjastów i sceptyków. Co zaskoczyło mnie w rozwiązaniu wi...PLNOg16: SDN dla entuzjastów i sceptyków. Co zaskoczyło mnie w rozwiązaniu wi...
PLNOg16: SDN dla entuzjastów i sceptyków. Co zaskoczyło mnie w rozwiązaniu wi...
 
Bezpieczeństwo w sieciach Windows
Bezpieczeństwo w sieciach WindowsBezpieczeństwo w sieciach Windows
Bezpieczeństwo w sieciach Windows
 
PLNOG 13: Artur Gmaj: Architecture of Modern Data Center
PLNOG 13: Artur Gmaj: Architecture of Modern Data CenterPLNOG 13: Artur Gmaj: Architecture of Modern Data Center
PLNOG 13: Artur Gmaj: Architecture of Modern Data Center
 

Ustawa o Krajowym Systemie Cyberbezpieczeństwa, konteneryzacja, chmura i (nie)bezpieczna przyszłość

  • 1. Na zewnątrz trwa wojna: wygraj lub polegnij po stronie przegranych czyli Ustawa KSC, konteneryzacja, chmura i (nie)bezpieczna przyszłość Aleksander P. Czarnowski AVET Information and Network Security Sp. z o.o.
  • 2. O mnie • Ponad 22 lat doświadczenie zawodowego w cybersecurity • Doradca w MC / Lider podgrupy Cyberbezpieczeństwo i certyfikacja w Grupie Roboczej ds. IoT • Doradca w Komisji Europejskiej • Doradca w EuroCloud StarAudit • Programista assemblerowy ;) • I współautor kilku książek i raportów…
  • 3. Agenda • Wprowadzenie • Dlaczego konteneryzacja • Praktyczne wykorzystanie z perspektywy KSC • Q&A
  • 5. Maszyna wirtualna a kontener Infrastruktura / hardware Hypervisor OS Zależności App1 App2 App3 OS Zależności App1 App2 App3 Infrastruktura / hardware OS Warstwa konteneryzacyjna K: App1 K: App2 K: App3 K: App3 Maszyn wirtualna Konteneryzacja
  • 6. Dlaczego konteneryzacja? • Lekkość • Możliwość tworzenia własnych kontenerów w zasadzie bez ograniczeń • Akceptacja przez wszystkich wiodących dostawców chmury: AWS, Azure, GCP, Bluemix • Akceptacja przez wiele platform do zarządzania chmurą: Kubernetes, OpenShift • Wsparcie przez rozwiązania do zarządzania infrastrukturą: Ansible • Naturalne małżeństwo z mikroserwisami • Efemeryczność
  • 7. DevOps i DevSecOps • DevOps: jak szybko dostarczać, wydawać, udostępniać i utrzymywać aplikacje dla biznesu w środowisku, które jest zgodne pomiędzy dostawcą a zamawiającym? • DevSecOps zatem to…?
  • 8. DevOps i DevSecOps • DevOps: jak szybko dostarczać, wydawać, udostępniać i utrzymywać aplikacje dla biznesu w środowisku, które jest zgodne pomiędzy dostawcą a zamawiającym? • DevSecOps: jak szybko dostarczać, wydawać, udostępniać i utrzymywać bezpieczne i zgodne aplikacje dla biznesu w środowisku, które jest zgodne pomiędzy dostawcą a zamawiającym?
  • 10. Dlaczego jednak nie konteneryzacja? • Problem z właściwym zabezpieczeniem • Czy wiesz co tak naprawdę jest w kontenerach, których używasz? • Czy wiesz kiedy ostatni raz kontener był patchowany? • Czy zarządzasz integralnością kontenera? • … • A co ze zgodnością? • RODO • KSC • PCI-DSS • Rekomendacja D KNF • …
  • 11. Uproszczona powierzchnia ataku (Linux) Przestrzeń użytkownika Jądro (kernel) LXC Cgroup Namespace • Sieć • IPC • PID • … • CPU • RAM • Urządzenia • … SYSCALL mov rax, 1 ; write mov rdi, 1 ; STDOUT_FILENO, mov rsi, msg ; msg mov rdx, msglen ; sizeof(msg) syscall
  • 12. Powierzchnia ataku Infrastruktura / hardware OS Warstwa konteneryzacyjna K: App1 K: App2 K: App3 K: App3 root?
  • 13. Konteneryzacja a RODO • Art. 5 Zasady dotyczące przetwarzania danych. • ust 1. lit c) „minimalizacja danych” • ust 1. lit e) „ograniczenie przechowywania” • ust 1. lit f) „integralności i poufność” • ust 2 „rozliczalność”. • Art. 25 Uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych. • Art. 32 Bezpieczeństwo przetwarzania: • Ciągłość działania • Poufność, integralność i odporność systemów • Testowanie, mierzenie i ocenia skuteczności zabezpieczeń • Art. 33 i 34 zgłaszanie naruszeń ochrony danych osobowych • Art. 35 Ocena skutków dla ochrony danych: PIA/DPIA • Analiza ryzyka.
  • 14. Konteneryzacja a KSC • Analiza ryzyka • Patche • Ciągłość działania • Reagowanie na incydenty • Integralność • Dostępność • Przechowywanie dokumentacji SZBI
  • 15. Chmura, kontenery i sektor finansowy Rekomendacja D KNF • Definicja pojęcia „cloud computing” • Outsourcing • Kontrola i monitorowanie • Strategia wyjścia • Ciągłość działania • Zarządzanie pojemnością „Komunikat chmurowy” KNF • Lokalizacja podmiotu i miejsce faktycznej realizacja umowy • Dokumentacja usługi • Zwrot danych i strategia wyjścia • Wymagania bezpieczeństwa • Analiza ryzyka dla usługi wraz z planem • Polityka bezpieczeństwa dostawcy • Wskazanie przykładowych certyfikatów dostawcy: np. ISO 27001, ISO 27017, ISO 27018, ISAE 3000, ISAE 3400, ISAE 3402, SSAE 16 • Ciągłość działania
  • 16. Chmura: ISO 27017 i 27018 (wybrane przykłady) ISO 27017 • 9.1.2 Zarządzanie dostępem do sieci i usług sieciowych • 9.2.2 Zapewnienie dostępu użytkownikom klienta • 9.2.3 Zarządzanie uprzywilejowanymi prawami dostępu • 9.2.4 Zarządzanie informacjami uwierzytelnienia i sekretami • 9.4.1 Ograniczenie dostępu do informacji • 12.2 Ochrona przed złośliwym oprogramowaniem • 12.4.1 Logowanie zdarzeń i 12.4.2 Ochrona dzienników zdarzeń • 12.6.1 Udostępnianie klientowi danych o podatnościach i zabezpieczeniach • 13.1.3 Separacja sieci (segmentacja) • 14.2.5 Bezpieczne środowisko rozwojowe • 16.1.2 Raportowanie incydentów • 18.2.1 Niezależny audyt • CLD 9.5.1 Separacja i ochrona zasobów klienta • CLD.9.5.2 Hardening maszyn wirtualnych • CLD.12.4.5 Monitorowanie usług w chmurze ISO 27018 • A.4.1 Bezpieczne usuwania plików tymczasowych • A.9.1 Notyfikacja o naruszenia bezpieczeństwa PII • A.9.2 Okres retencji dla polityk bezpieczeństwa i dokumentacji SZBI (min 5 lat) • A.10.4 Ochrona danych w spoczynku opuszczających obszar chroniony • A.10.6 Szyfrowanie PII w transmisji • A.10.8 Unikalne ID użytkowników • A.10.13 Dostęp do wcześniej alokowanej przestrzeni danych
  • 19. Podsumowanie 1. Konteneryzacja zostaje z nami na dobre. 2. Właściwie wykorzystana konteneryzacja pozwala spełnić wymogi prawne i regulacyjne. 3. Konteneryzacja ułatwia zarządzania procesami DevOps i DevSecOps.
  • 20. Konteneryzacja to jest właściwy krok, ale jak każda technologia wymaga właściwego zabezpieczenia Zwłaszcza, gdy do kontekstu dodamy wymogi zgodności
  • 21. Q&A Dziękuję za uwagę :) aleksander.czarnowski@avetins.com