PLNOG 17 - Emil Gągała - DMZ po nowemu - krok po kroku - jak uruchomić SDN w ...PROIDEA
Nie zawsze mamy komfort wdrożenia nowego rozwiązania od podstaw w całkowicie izolowanym środowisku. Jak zatem bezboleśnie zaimplementować SDN w działającej sieci? Jak zapewnić ciągłość działania aplikacji w trakcie migracji, szczególnie w tak krytycznym obszarze jak DMZ? W trakcie sesji przedstawię krok po kroku możliwe scenariusze wdrożenia.
4Developers 2015: Agile Software Engineering Practices that Helps Deliver Bus...PROIDEA
Speaker: Matt Harasymczuk
Language: Polish
Agile to nie tylko Scrum, Kanban i Lean. To również praktyki takie jak Continuous Integration, Delivery i Deployment, TDD, BDD, Code Review i Pair Programming. To techniki, które wspierają dowożenie wartości biznesowych i wytwarzanie oprogramowania szytego na miarę. Jak dobrać odpowiednie narzędzia aby zwiększyć efektywność naszego developmentu?
- Jak obniżyć "time to market"?
- Jak zwiększyć "value to market"?
- Jak zwiększyć "quality to market"?
- Jak zwiększyć elastyczność rozwiązania?
- Jak zwiększyć zasięg widoczności oprogramowania?
- Jak obiżyć koszt?
- Jak zwiększyć czas żywotności software?
To są tematy, o których chciałbym opowiedzieć na wykładzie.
4Developers: http://4developers.org.pl/pl/
PLNOG 17 - Emil Gągała - DMZ po nowemu - krok po kroku - jak uruchomić SDN w ...PROIDEA
Nie zawsze mamy komfort wdrożenia nowego rozwiązania od podstaw w całkowicie izolowanym środowisku. Jak zatem bezboleśnie zaimplementować SDN w działającej sieci? Jak zapewnić ciągłość działania aplikacji w trakcie migracji, szczególnie w tak krytycznym obszarze jak DMZ? W trakcie sesji przedstawię krok po kroku możliwe scenariusze wdrożenia.
4Developers 2015: Agile Software Engineering Practices that Helps Deliver Bus...PROIDEA
Speaker: Matt Harasymczuk
Language: Polish
Agile to nie tylko Scrum, Kanban i Lean. To również praktyki takie jak Continuous Integration, Delivery i Deployment, TDD, BDD, Code Review i Pair Programming. To techniki, które wspierają dowożenie wartości biznesowych i wytwarzanie oprogramowania szytego na miarę. Jak dobrać odpowiednie narzędzia aby zwiększyć efektywność naszego developmentu?
- Jak obniżyć "time to market"?
- Jak zwiększyć "value to market"?
- Jak zwiększyć "quality to market"?
- Jak zwiększyć elastyczność rozwiązania?
- Jak zwiększyć zasięg widoczności oprogramowania?
- Jak obiżyć koszt?
- Jak zwiększyć czas żywotności software?
To są tematy, o których chciałbym opowiedzieć na wykładzie.
4Developers: http://4developers.org.pl/pl/
CONFidence 2015: Abusing apns for profit - Karol WiesekPROIDEA
Speaker: Karol Wiesek
Language: Polish
Podczas prezentacji przedstawione zostaną podatności wynikające z implementacji lub konfiguracji urządzeń zapewniających po stronie operatora dostęp do Internetu w technologii 3G (GGSN). Przedstawione obserwacje wynikają z przeprowadzonego przez PwC audytu sieci mobilnej jednego z klientów, a także z późniejszych, prywatnych badań autora.
CONFidence: http://confidence.org.pl/pl/
4Developers 2015: Frameworki jee vs cross-site scripting (xss) - Piotr BuckiPROIDEA
Speaker: Piotr Bucki
Language: Polish
Celem wykład jest pokazanie na czym polega atak XSS i jakie są jego rodzaje oraz dostępne zabezpieczenia w popularnych frameworkach Java. Wykład jest przeznaczony dla osób tworzących aplikacje korzystając z WEBowych frameworków Java.
XSS (Cross-site scripting) jest rodzajem ataku na użytkownika serwis WWW, który polega na wykonaniu kodu przygotowanego przez atakującego (zazwyczaj JavaScript, ale także AciveX, Flash czy Silverlight) w przeglądarce ofiary.
4Developers: http://4developers.org.pl/pl/
Atmosphere 2014: Scalable and under control - open cloud architecture conside...PROIDEA
The central server farm, called reverse proxy shall be the internet exchange point of every extensive cloud infrastructure. However it seems that configuration of such critical systems in a correct and safe way is strongly complex. It is time-consuming and requires great experience and focus to setup the following aspects: proxy/load balancing/clustering, HTTPS, access control, event logging mechanisms, WAF or platform hardening. We cannot deny that every single detail of such configuration is crucial and meaningful. Moreover, maintenance and development of Web Gateway type scalable infrastructure, composed of dozen/few dozen nods, is a big challenge for us.
In this presentation, containing live demonstration, I will present you the concept of reverse proxy automated management, especially in terms of safety, with a use of Puppet open source supported platform and modsecurity as an open source Web Application Firewall. The main goal of my presentation is to show the idea of open, scalable cloud infrastructure, including general safety standards, as well as compliance with aspects described in the OWASP documents: Top Ten, Testing Guide, ASVS. And above all, I will show you how to eliminate those threats, before they are detected as a web application attack.
Leszek Miś - IT Security Architect at Linux Polska sp. z o.o. WALLF Web Gateway Project Leader. Linux/Network Security Expert with an offensive approach to web application security. For over 10 years professionally engaged and privately fascinated with open source solutions, with special focus on IT (in) security. Red Hat skilled trainer and examiner, holder of RHCA/RHCSS/RHCE. Experienced author of several IT Security courses (Hardening, SELinux, ModSecurity).
Atmosphere 2014: Lockless programming - Tomasz BarańskiPROIDEA
In the world of multi-core programming, traditional parallel programming techniques with locks (mutexes and similar mechanisms) create performance bottlenecks. Lockless programming is a set of techniques employing atomic operations to synchronize data exchange between threads. The talk introduces the audience to the lockless programming, presents its benefits and pitfalls. The presenter will talk about support for atomic operations in different CPU families as well as support for them in lower- and higher-level languages. He will also cover reordering and memory barriers. He will end the talk with tips on designing lockless algorithms and practical examples of lockless data structures.
Tomasz Barański - Tomasz Barański is a software developer working in Kraków for IBM T.J. Watson Research on projects related to High-Performance computing. He has got over 12 years experience in enterprise world, taking roles of a developer, tester, interaction designer and a go-to guy.
CONFidence 2015: CaaS (Crime-as-a-Service) – czy każdy może zostać cyberprzes...PROIDEA
Speaker: Jarosław Sordyl
Language: Polish
Przez ostatnie dekady tzw. „podziemie cyberprzestępcze” zmieniło się zasadniczo. Od pojedynczych grup hakerów dokonujących ataków dla prestiżu do obecnego kształtu dobrze zorganizowanych „korporacji” zarabiających na różnych działaniach biliony dolarów rocznie.
Czy w dalszym ciągu zagrożeniem są „hakerzy”, crakerzy, skryp kiddies? To jedno z pytań, które musimy postawić sobie w przypadku wykorzystywania sieci Internet. Kto faktycznie i jak bardzo nam zagraża?
Obecne trendy rozwoju cyberprzestępczości wskazują na bardzo intensywny rozwój tzw. „podziemia cybernetycznego” oferującego całkowicie kompletne środowiska i zarazem narzędzia do samodzielnego przeprowadzenia ataku, ukrycia działalności, uniemożliwienia wykrycia śladów ataku oraz sprzedaży danych czy też uzyskanych informacji. Rozwiązania takie stanowią swoistego rodzaju platformę cyberprzestepczą zwaną „Crime-as-a-Service” (przestępstwo jako serwis - CaaS).
Jak ten system jest zorganizowany oraz jakie są jego elementy, jakie wykorzystywane są narzędzia i dlaczego jest to bardzo duży problem dla organizacji, firm oraz osób zajmujących się bezpieczeństwem IT? Gdzie są dostępne oraz co oferują usługi CaaS? Ta wiedza jest niezbędna do zabezpieczenia/przygotowania organizacji na potencjalny atak.
Nie ulega wątpliwości że dostęp do „profesjonalnych” narzędzi ułatwiających czy też pozwalających na przeprowadzenie bardzo wyrafinowanego ataku
z wykorzystaniem np. exploita 0-day jest poważnym problemem, na który należy zwrócić uwagę i odpowiednio wcześniej przygotować się na takie scenariusze ataku. Tym bardziej, że do przeprowadzenia takiego ataku nie potrzeba dzisiaj bardzo zaawansowanej wiedzy informatycznej – wystarczy karta kredytowa.
CONFidence: http://confidence.org.pl/pl/
80 engineers, 150 deploys every week, sometimes several hundreds of AWS instances. In a startup environment maintaining a high level of security is a challenging task. Concepts, codebase and infrastructure are changing rapidly. We trust our fellow engineers, the languages they choose and the machines they fire up at their will. Fear of making mistakes can squash innovation and creativity. With that in mind we are continuously developing automated tools which detect risky changes without blocking anyone but make it possible to react quickly. We will go into details describing our methods and tools to detect changes which might lead to security issues. Be this change in our AWS infrastructure, in our codebase or at the OS level.
Apart from the automated tools, we try to find other scalable ways of detecting issues. This is one of the main reasons we have launched our bug bounty program six months ago. The 100 submissions we got every month in average is a great indicator where we should improve the most. Besides fixing the issue itself we can use them as vulnerability patterns for our tools. This way we try to make sure that we are learning from our mistakes and we catch similar issues in the future as soon as possible. We would like to share our learnings – both personal and professional – which can be useful for other companies thinking about starting a bug bounty program.
All in all we believe we are not the only ones facing similar challenges, so we would like to share our experience.
CONFidence 2014: Jakub Kałużny: Shameful secrets of proprietary protocolsPROIDEA
There is a big bunch of tools offering HTTP/SSL traffic interception. However, when it comes to penetration tests of specialized embedded software or thick clients, we often encounter proprietary protocols with no documentation at all. Binary TCP connections, unlike anything, impossible to be adapted by a well-known local proxy. Without disassembling the protocol, pentesting the server backend is very limited. Though, based on our experience, it very often hides a shameful secret - completely unsecured mechanisms breaking all secure coding practices.
To demonstrate, we will show a few case-studies - most interesting examples from real-life industry software, which in our opinion are a quintessence of "security by obscurity". We will challenge the security of proprietary protocols in pull printing solutions, FOREX trading software, remote desktops and home automation technologies.
Atmosphere Conference 2015: Building And Releasing A Massively Multiplayer On...PROIDEA
Speaker: Jamie Winsor
Language: English
When a small startup of experienced game developers in Seattle finished their first game, an open-world single player zombie survival game, to rave reviews they continuously received the same feedback - "No multiplayer?". Building the necessary software infrastructure for a massively multiplayer online game historically requires large engineering teams, even larger operational support organizations, and can take years to finish. With a big success under their belts the organization had a choice to make: Go through a massive growth period, potentially ruining the culture they worked so hard to cultivate or hire smart, work even smarter, and use the right tools for the job.
In this talk you will experience this story from to back. Come hear how Undead Labs grew from a small 20 person game development shop creating a single player Xbox 360 Live Arcade Game, State of Decay, to a multi-game studio bringing State of Decay and more to the online space. You will hear how Undead Lab's leveraged Chef, Elixir, and fully embraced the DevOps development pattern to create the foundations of their new online platform while simultaneously developing multiple titles while cultivating the personnel required to lock in a bright future of the studio.
Visit our website: http://atmosphere-conference.com/
PLNOG14: Zmiany w prawie konsumenckim i ochronie prywatności w 2015 r. - Artu...PROIDEA
Artur Piechocki
Language: Polish
Agendą wystąpienia Artura Piechockiego były zmiany w prawie konsumenckim i ochronie prywatności w 2015 roku.
1. Zmiany w ochronie konsumentów: a. umowy zawierane na odległość, b. nowe terminy, c. dodatkowe koszty, obowiązki, d. warunki odstąpienia od umowy, e. uprawnienia z tytułu wady rzeczy sprzedanej.
2. Zmiany w ochronie prywatności: a. nowe funkcje i obowiązki ABI, b. zgłoszenie do GIODO, b. liberalizacja obowiązków w zakresie zgód GIODO, c. przekazywanie danych osobowych do państwa trzeciego.
Zarejestruj się na kolejną edycję PLNOG już dziś: http://plnog.pl
CONFidence 2015: Abusing apns for profit - Karol WiesekPROIDEA
Speaker: Karol Wiesek
Language: Polish
Podczas prezentacji przedstawione zostaną podatności wynikające z implementacji lub konfiguracji urządzeń zapewniających po stronie operatora dostęp do Internetu w technologii 3G (GGSN). Przedstawione obserwacje wynikają z przeprowadzonego przez PwC audytu sieci mobilnej jednego z klientów, a także z późniejszych, prywatnych badań autora.
CONFidence: http://confidence.org.pl/pl/
4Developers 2015: Frameworki jee vs cross-site scripting (xss) - Piotr BuckiPROIDEA
Speaker: Piotr Bucki
Language: Polish
Celem wykład jest pokazanie na czym polega atak XSS i jakie są jego rodzaje oraz dostępne zabezpieczenia w popularnych frameworkach Java. Wykład jest przeznaczony dla osób tworzących aplikacje korzystając z WEBowych frameworków Java.
XSS (Cross-site scripting) jest rodzajem ataku na użytkownika serwis WWW, który polega na wykonaniu kodu przygotowanego przez atakującego (zazwyczaj JavaScript, ale także AciveX, Flash czy Silverlight) w przeglądarce ofiary.
4Developers: http://4developers.org.pl/pl/
Atmosphere 2014: Scalable and under control - open cloud architecture conside...PROIDEA
The central server farm, called reverse proxy shall be the internet exchange point of every extensive cloud infrastructure. However it seems that configuration of such critical systems in a correct and safe way is strongly complex. It is time-consuming and requires great experience and focus to setup the following aspects: proxy/load balancing/clustering, HTTPS, access control, event logging mechanisms, WAF or platform hardening. We cannot deny that every single detail of such configuration is crucial and meaningful. Moreover, maintenance and development of Web Gateway type scalable infrastructure, composed of dozen/few dozen nods, is a big challenge for us.
In this presentation, containing live demonstration, I will present you the concept of reverse proxy automated management, especially in terms of safety, with a use of Puppet open source supported platform and modsecurity as an open source Web Application Firewall. The main goal of my presentation is to show the idea of open, scalable cloud infrastructure, including general safety standards, as well as compliance with aspects described in the OWASP documents: Top Ten, Testing Guide, ASVS. And above all, I will show you how to eliminate those threats, before they are detected as a web application attack.
Leszek Miś - IT Security Architect at Linux Polska sp. z o.o. WALLF Web Gateway Project Leader. Linux/Network Security Expert with an offensive approach to web application security. For over 10 years professionally engaged and privately fascinated with open source solutions, with special focus on IT (in) security. Red Hat skilled trainer and examiner, holder of RHCA/RHCSS/RHCE. Experienced author of several IT Security courses (Hardening, SELinux, ModSecurity).
Atmosphere 2014: Lockless programming - Tomasz BarańskiPROIDEA
In the world of multi-core programming, traditional parallel programming techniques with locks (mutexes and similar mechanisms) create performance bottlenecks. Lockless programming is a set of techniques employing atomic operations to synchronize data exchange between threads. The talk introduces the audience to the lockless programming, presents its benefits and pitfalls. The presenter will talk about support for atomic operations in different CPU families as well as support for them in lower- and higher-level languages. He will also cover reordering and memory barriers. He will end the talk with tips on designing lockless algorithms and practical examples of lockless data structures.
Tomasz Barański - Tomasz Barański is a software developer working in Kraków for IBM T.J. Watson Research on projects related to High-Performance computing. He has got over 12 years experience in enterprise world, taking roles of a developer, tester, interaction designer and a go-to guy.
CONFidence 2015: CaaS (Crime-as-a-Service) – czy każdy może zostać cyberprzes...PROIDEA
Speaker: Jarosław Sordyl
Language: Polish
Przez ostatnie dekady tzw. „podziemie cyberprzestępcze” zmieniło się zasadniczo. Od pojedynczych grup hakerów dokonujących ataków dla prestiżu do obecnego kształtu dobrze zorganizowanych „korporacji” zarabiających na różnych działaniach biliony dolarów rocznie.
Czy w dalszym ciągu zagrożeniem są „hakerzy”, crakerzy, skryp kiddies? To jedno z pytań, które musimy postawić sobie w przypadku wykorzystywania sieci Internet. Kto faktycznie i jak bardzo nam zagraża?
Obecne trendy rozwoju cyberprzestępczości wskazują na bardzo intensywny rozwój tzw. „podziemia cybernetycznego” oferującego całkowicie kompletne środowiska i zarazem narzędzia do samodzielnego przeprowadzenia ataku, ukrycia działalności, uniemożliwienia wykrycia śladów ataku oraz sprzedaży danych czy też uzyskanych informacji. Rozwiązania takie stanowią swoistego rodzaju platformę cyberprzestepczą zwaną „Crime-as-a-Service” (przestępstwo jako serwis - CaaS).
Jak ten system jest zorganizowany oraz jakie są jego elementy, jakie wykorzystywane są narzędzia i dlaczego jest to bardzo duży problem dla organizacji, firm oraz osób zajmujących się bezpieczeństwem IT? Gdzie są dostępne oraz co oferują usługi CaaS? Ta wiedza jest niezbędna do zabezpieczenia/przygotowania organizacji na potencjalny atak.
Nie ulega wątpliwości że dostęp do „profesjonalnych” narzędzi ułatwiających czy też pozwalających na przeprowadzenie bardzo wyrafinowanego ataku
z wykorzystaniem np. exploita 0-day jest poważnym problemem, na który należy zwrócić uwagę i odpowiednio wcześniej przygotować się na takie scenariusze ataku. Tym bardziej, że do przeprowadzenia takiego ataku nie potrzeba dzisiaj bardzo zaawansowanej wiedzy informatycznej – wystarczy karta kredytowa.
CONFidence: http://confidence.org.pl/pl/
80 engineers, 150 deploys every week, sometimes several hundreds of AWS instances. In a startup environment maintaining a high level of security is a challenging task. Concepts, codebase and infrastructure are changing rapidly. We trust our fellow engineers, the languages they choose and the machines they fire up at their will. Fear of making mistakes can squash innovation and creativity. With that in mind we are continuously developing automated tools which detect risky changes without blocking anyone but make it possible to react quickly. We will go into details describing our methods and tools to detect changes which might lead to security issues. Be this change in our AWS infrastructure, in our codebase or at the OS level.
Apart from the automated tools, we try to find other scalable ways of detecting issues. This is one of the main reasons we have launched our bug bounty program six months ago. The 100 submissions we got every month in average is a great indicator where we should improve the most. Besides fixing the issue itself we can use them as vulnerability patterns for our tools. This way we try to make sure that we are learning from our mistakes and we catch similar issues in the future as soon as possible. We would like to share our learnings – both personal and professional – which can be useful for other companies thinking about starting a bug bounty program.
All in all we believe we are not the only ones facing similar challenges, so we would like to share our experience.
CONFidence 2014: Jakub Kałużny: Shameful secrets of proprietary protocolsPROIDEA
There is a big bunch of tools offering HTTP/SSL traffic interception. However, when it comes to penetration tests of specialized embedded software or thick clients, we often encounter proprietary protocols with no documentation at all. Binary TCP connections, unlike anything, impossible to be adapted by a well-known local proxy. Without disassembling the protocol, pentesting the server backend is very limited. Though, based on our experience, it very often hides a shameful secret - completely unsecured mechanisms breaking all secure coding practices.
To demonstrate, we will show a few case-studies - most interesting examples from real-life industry software, which in our opinion are a quintessence of "security by obscurity". We will challenge the security of proprietary protocols in pull printing solutions, FOREX trading software, remote desktops and home automation technologies.
Atmosphere Conference 2015: Building And Releasing A Massively Multiplayer On...PROIDEA
Speaker: Jamie Winsor
Language: English
When a small startup of experienced game developers in Seattle finished their first game, an open-world single player zombie survival game, to rave reviews they continuously received the same feedback - "No multiplayer?". Building the necessary software infrastructure for a massively multiplayer online game historically requires large engineering teams, even larger operational support organizations, and can take years to finish. With a big success under their belts the organization had a choice to make: Go through a massive growth period, potentially ruining the culture they worked so hard to cultivate or hire smart, work even smarter, and use the right tools for the job.
In this talk you will experience this story from to back. Come hear how Undead Labs grew from a small 20 person game development shop creating a single player Xbox 360 Live Arcade Game, State of Decay, to a multi-game studio bringing State of Decay and more to the online space. You will hear how Undead Lab's leveraged Chef, Elixir, and fully embraced the DevOps development pattern to create the foundations of their new online platform while simultaneously developing multiple titles while cultivating the personnel required to lock in a bright future of the studio.
Visit our website: http://atmosphere-conference.com/
PLNOG14: Zmiany w prawie konsumenckim i ochronie prywatności w 2015 r. - Artu...PROIDEA
Artur Piechocki
Language: Polish
Agendą wystąpienia Artura Piechockiego były zmiany w prawie konsumenckim i ochronie prywatności w 2015 roku.
1. Zmiany w ochronie konsumentów: a. umowy zawierane na odległość, b. nowe terminy, c. dodatkowe koszty, obowiązki, d. warunki odstąpienia od umowy, e. uprawnienia z tytułu wady rzeczy sprzedanej.
2. Zmiany w ochronie prywatności: a. nowe funkcje i obowiązki ABI, b. zgłoszenie do GIODO, b. liberalizacja obowiązków w zakresie zgód GIODO, c. przekazywanie danych osobowych do państwa trzeciego.
Zarejestruj się na kolejną edycję PLNOG już dziś: http://plnog.pl
PLNOG19 - Krzysztof Banel - Nowe modele bezpieczeństwa w sieciach SDNPROIDEA
Co modelowanie sieci z poziomu kontrolera SDN oznacza dla bezpieczeństwa? Kompatybilność bezpieczeństwa systemów dedykowanych, zwirtualizowanych i skonteneryzowanych. Segmentowanie mikrousług jako kolejny etap migracji ze środowisk monolitycznych. Ujednolicanie usług bezpieczeństwa w redundantnych i rozproszonych modelach przetwarzania. Konwergencja bezpieczeństwa infrastruktury kampusowej i centrum przetwarzania.
GET.NET - Osiołkowi w żłobie dano, czyli o tym jak hostować aplikacje na Mic...Michal Furmankiewicz
Azure oferuje wiele platform na których możesz uruchomić swoją aplikację. Każda ma swoje zalety i wady. Zrobiłem przegląd tych platform dla Ciebie. W prezentacji wyrażam swoją prywatną opinię.
PLNOG 17 - Maciej Flak - Cisco Cloud Networking - czyli kompletna infrastrukt...PROIDEA
W trakcie sesji zostanie omówiony nowy zyskujący coraz większe uznanie model zarządzania i provisioningu sieci LAN, WAN, WIFI z chmury. Pokazane zostanie w jaki sposób operatorzy telekomunikacyjni przy pomocy platformy Cisco Cloud Networking mogą budować i dostarczać własne usługi zarządzane Klientom (manager LAN, WAN i WIFI).
Cometari Dedicated Solutions jest firmą technologiczną zlokalizowaną w Krakowie. Posiadamy wiedzę i kompetencje w zakresie projektowania, produkcji i utrzymania
złożonych systemów informatycznych. Nasi inżynierowie posiadają wieloletnie doświadczenie branżowe dzięki czemu do każdego tematu podchodzimy indywidualnie. Kładziemy nacisk na szybkość komunikacji z klientem oraz jakość wytwarzanych rozwiązań. Specjalizujemy się w produkcji zaawansowanych systemów serwerowych jak również lekkich rozwiązań webowych oraz mobilnych. Jeśli potrzebujesz rzetelnego partnera technologicznego jesteśmy do dyspozycji.
This presentation is mainly about the system we've designed and developed for our internal purposes at work. Its name is: Data Center Physical Infrastructure Manager, DCPIM. This system is a mix of DMS (Document Management System), CMMS (Computerized Maintenance Management System), asset management, monitoring (via SNMP) and some basic DCIM (Data Center Infrastructure Management) features. It’s main purpose is to support our team in the daily tasks related to data center and physical infrastructure management, operations and maintenance. Currently, this system is in use not only by my team, in Poland, but also by our colleagues from the area of Baltic Countries (Lithuania, Latvia, Estonia).
Presented on DatacenterDynamics Converged Warsaw 2012:
http://www.datacenterdynamics.com/pl/conferences/2012/warsaw-2012
Presentation language: Polish
English title (translated): Data center ‘under control’: Data center infrastructure and physical infrastructure management, tools and processes facilitating the data center monitoring function
2. Z dedykacją dla wszystkich wystawców i uczestników tegorocznej konferencji #PLNOG
Oby Wasze serwerownie były bezpieczne!
CC Otwarte Systemy Komputerowe Sp. z o.o.
3. Agenda
Ewolucja Centrum Danych oraz do czego potrzebny jest
VMware NSX?
Kilka słów na temat Palo Alto Networks
Wyzwania i problemy w dzisiejszych Centrach Danych
Jak działa wspólne rozwiązanie?
Przykładowe scenariusze
5. Ewolucja architektoniczna w centrach danych
DB WebApp
Tradycyjne Centra Danych Obecne Centra Danych
DB WebApp
Centra Danych w Przyszłości
Dynamiczne, Zautomatyzowane, “Zorientowane na Usługi”
6. Wirtualizacja sieci za pomocą VMware NSX
Fizyczne zasoby sprzętowe i pamięć
(Dell, HP, IBM, Quanta,…)
Server Hypervisor
Wymaganie: x86
Virtual
Machine
Virtual
Machine
Virtual
Machine
Aplikacja Aplikacja Aplikacja
x86 Environment
Fizyczna sieć
(Arista, Cisco, HP, Juniper, Cumulus,…)
Platforma Wirtualizacji Sieci
Wymaganie: Transport IP
Virtual
Network
Virtual
Network
Virtual
Network
Workload Workload Workload
L2, L3, L4-7 Network Services
Rozdzielenie
7. VM1
VM2
Server 1
VM3
VM4
VM5
Server 2
VM6
VM7 VM8
Server 3
VM9
VXLAN VM IP VM MAC VTEP
5001 IP1 MAC1 10.20.10.10
5001 IP9 MAC9 10.20.10.11
Virtual networks:
VXLAN Transport network:
NSX Control Plane - inteligentna nakładka na sieć
8. Przeniesienie decyzji routingowych bliżej VM
Ochrona firewall wschód – zachód
Mniej przeskoków, bardziej wydajny i precyzyjny VM networking
6 wire hops 0 wire hop 6 wire hops 2 wire hops
12. 344 KB
file-sharing
kategoria URL
PDF
rodzaj pliku
kontrakt.pdf
nazwa pliku
mjacobsen
użytkownik
Finanse
grupa w AD
Korea Północna
państwo docelowe
172.16.1.10
źródłowy adres IP
64.81.2.23
docelowy adres IP
TCP/443
port docelowy
SSL
protokół
HTTP
protokół
slideshare
aplikacja
slideshare-uploading
funkcja w aplikacji
Głęboka analiza przesyłanych treści w HD
win7-finanse1
nazwa maszyny VM
13. Statystyki cd – aplikacje w DC celem ataków
Source: Palo Alto Networks, Security Lifecycle Report. Jan. 2015.
14. Cloud
ZREDUKOWAĆ I KONTROLOWAĆ
RYZYKO
UŁATWIAĆ DOSTĘP
Usunięcie zagrożeń z dozwolonego ruchu
Udostępnienie wymaganych aplikacji
per użytkownik, ograniczenie niebezpiecznych funkcji
Zapewnienie wglądu we wszystkie
aplikacje i wszystkich użytkowników w sieci
Bezpieczne Udostępnianie Aplikacji
16. Problem #1: Bezpieczeństwo wewnątrz DC
Zabezpieczenia brzegu sieci nie zdają egzaminu, a mikro-segmentacja
przy użyciu fizycznych urządzeń jest niewykonalna z operacyjnego punktu
widzenia
Brak lub ograniczona
kontrola wewnątrz DC
Internet Internet
Niewystarczające Operacyjnie praktycznie
niemożliwe do wykonania
17. Problem #2: Wgląd w ruch wschód - zachód
Fizyczne firewalle mogą nie widzieć ruchu wschód - zachód
Umiejscowienie fizycznych firewalli w
DC ma na celu zapewnienie
segmentacji na poziomie warstwy 3
Zmiany sieciowe wymagane przy
ochronie ruchu wschód – zachód
wykonywane są ręcznie, zabierają
czas i mogą być skomplikowane
Możliwość przezroczystego
wstrzyknięcia funkcji bezpieczeństwa
w ruch wschód – zachód jest
wymagana
Hypervisor
MS-SQL SharePoint Web Front End
VM VM VM
18. Problem #3: Zaawansowane funkcje bezpieczeństwa
Aplikacje o różnym poziomie zaufania korzystają z tych samych serwerów
Ruch VM-VM (wschód - zachód) musi być poddawany inspekcji
Zabezpieczenia bazujące na portach i protokołach są niewystarczające
Wirtualne rozwiązania NGFW są potrzebne aby zapewnić:
Bezpieczne udostępnianie ruchu aplikacyjnego pomiędzy maszynami wirtualnymi
Ochronę przed atakami cybernetycznymi
Niekompletne funkcje ochrony w dostępnych rozwiązaniach VM
MS-SQL SharePoint Web Front End
Hypervisor
VM VM VM
24. Statyczne polityki bezpieczeństwa nie nadążają za zmianami
środowiska wirtualnego
Przygotowanie nowych aplikacji zajmuje
minuty, tak samo jak dokonanie zmian w
istniejących
Pozwolenia i zmiany konfiguracji
zabierają dni/tygodnie/miesiące
Potrzebne są dynamiczne polityki
bezpieczeństwa które rozumieją
środowisko wirtualne
Problem #4: Statyczne polityki w dynamicznym
środowisku
34. Transformacja bezpieczeństwa sieciowego w DC
Wyzwanie Rozwiązanie
FW nie widzi ruchu wschód - zachód Automatyczna konfiguracja i tworzenie elementów ochronnych
Niepełne funkcje bezpieczeństwa Wirtualna wersja NGFW bazująca na PAN-OSTM
Statyczne polityki bezpieczeństwa Dynamiczna aktualizacja polityk bezpieczeństwa zintegrowana ze środowiskiem
wirtualnym
48. “Scale In / Scale Out” dla aplikacji dynamicznych – schemat
fizyczny
49. “Scale In / Scale Out” dla aplikacji dynamicznych – schemat
logiczny
50. “Scale In / Scale Out” dla aplikacji dynamicznych –
konfiguracja
Zmiana konfiguracji nie jest konieczna jeżeli nowe maszyny VM posiadają
nazwy zgodne z przyjętym standardem
52. Materiały dodatkowe
VMware NSX Primer
Palo Alto Networks Virtual Firewall Primer
VMware NSX and Palo Alto Networks Solution Brief
VMware NSX and Palo Alto Networks Technical White Paper
VMware HOL-PRT-1462 – Integrated Solution Hands-On Lab
Columbia Customer Video
Virtualization has become an integral part of the modern data center
In the traditional data center, everything has its place and purpose but with that dedication comes inefficient utilization of resources. The first wave was and still is virtualizing the application environment to get better efficiencies and utilization. This means that traffic is now flowing within virtualized environments and the traditional network and security controls like routers, switches, and firewalls might never even see the traffic. So you get a benefit, but it comes at a potential cost.
The challenge is magnified even more in the cloud model where IT is fully viewed as a service and networks as well as applications are rapidly provisioned and re-provisioned on the fly. One of the biggest inhibitors we hear to actually adopting this model is that the traditional network and security solutions cannot keep up with the dynamically changing environment. “I can redeploy my applications in a few minutes but it then takes me 2 weeks to get the routers and firewalls changed.” This is why you are starting to see large R&D commercial and open source investments in automation and orchestration technologies.
Data compiled from identity theft center for 2015
http://www.idtheftcenter.org/images/breach/DataBreachReports_2015.pdf
Attacks have evolved where they are targeted, stealthy, using sophisticated techniques. And of course, their final objective is to get to the heart of the enterprise – the data center, where all your important data and IP reside.
The frequency of these breaches have raised questions in many businesses as to whether or not there has been too much security focus on the perimeter and not enough internally.
IRS, and Anthem are just a few examples. But clearly company data is the target.
For comparison, 783 breaches occurred in 2014, 85M records. So this year looks to be similar in activity
Tried and true perimeter defense architectures leverage North-South control points at the perimeter, but provide little or no lateral control inside the perimeter, making it insufficient for addressing the explosion of East-West traffic.
Nirvana to most security teams is “micro-segmentation” or a “zero-trust” approach. However, even if your company can afford the capital expense for enough firewalls to deliver the throughput capacity required to achieve high availability micro-segmentation for East-West traffic in your data center, the operational complexity of managing changes, VM movement, policy granularity, unsustainable policy table changes across all of these firewalls quickly becomes operationally infeasible.
Automated deployment and dynamic policies without having to change existing infrastructure
Visibility into VM-VM traffic
Applications may behave differently – port hop, encryption, non-standard ports
Application aware security needed, port/protocol based security is not sufficient
The only traffic between SharePoint and SQL should be:
MSSQL-MON
MSSQL-DB
MS-DS-SMB
Talk track: Without NSX, traffic flows from the VM directly to the vSwitch
Talk track: When NSX Firewall is deployed, a Filter is also deployed on each Guest VM. This filter can be used to perform basic port/protocol-based firewalling, it is also used to redirect select traffic to the VM-Series
Talk track: the VM-Series deployed as an advanced service to perform micro segmentation based on NSX application re-direct policies .
Talk track: we configure rules in NSX to re-direct a segment of traffic to the VM-Series for added inspection. Note that the other portion of traffic continues to flow through the vSwitch – we are not scanning all traffic, just what the admin team dictates through the redirect policies.
Talk track: traffic is inspected by the VM-Series based on policy, if it passes policy it is forwarded to the vSwitch.
Automated deployment and dynamic policies without having to change existing infrastructure
One of the challenges with datacenter security is the lag that occurs between compute resource provisioning and security policy creation or update. You all have a pool of compute resources that may virtualized, physical or a mix thereof. Each of those servers has an IP address but they also have a wide range of attributes…
….things like the OS, the location, and the application running on them that are known by the resource mgmt. tools in use [ESXi, NSX, OpenStack, SDX, API]. Wouldn’t it be great if you could tie the context generated by the compute resource attributes to the security policy so that when your compute resources change, the security policy is updated, in an automated manner.
Using dynamic address groups and VM-monitoring, we can enable this automation. First, VM-monitoring collects the compute resource attributes from vCenter, ESXi and AWS-VPC or via the XML-API and converts them into PAN-OS Tags. Those tags can then be used within a Dynamic Address Group – such as New York web servers – to automate security policy updates.
Within the NY web server address group, we can now select a series of Tags (attributes) to determine group membership. Here we are using Linux, Web front end, and NY as the location.
The address group will then “learn” the specific IP addresses for all of the compute resources that fall into the group membership. In this case, 2 specific servers.
The address group will then deliver an update to the security policy. Automatically. [pause] Now when you talk to security teams, one of the things they will begrudgingly admit to is less than stellar policy hygiene. Adding policies is relatively straight forward, changing or removing them is more difficult – you’ve got change control challenges, other tasks to manage, a security incident to investigate. In a virtualized environment – these challenges are amplified and they may slow the business. Why else do you here a security guy say “no one knows what that rule is, but we do not want to remove it – it may break something.” Automation is of significant value not only because it helps improve policy hygiene, but it also eliminates the need for manual oversight associated with a policy commit. Lets say a new workload is introduced that falls into the New York web servers group.
Lets say a new workload is introduced that falls into the New York web servers group.
The address group membership will show a new IP address and the policy is then updated. And when a workload is removed or changes…
And when a workload is removed, and no longer fits within the group membership, it is automatically removed from the group membership and the policy is updated. [pause] Now the really cool thing here is that this functionality is not only supported in the virtualized editions, it is also supported in all of our physical form factor appliances.
The joint integration includes:
VMware NSX – The NSX network virtualization platform automates the delivery of the VM-Series and transparently inserts it in the traffic flows without requiring manual network configuration changes.
Palo Alto Networks VM-Series – The virtualized next-generation firewall offers the same consistent visibility, safe enablement and threat protection capabilities as hardware platforms. The VM-Series for VMware NSX (VM-1000-HV) was specifically designed for the VMware NSX integration.
Palo Alto Networks Panorama – The centralized management platform for next-generation security manages a distributed network of virtualized and physical firewalls from a centralized location. VMware NSX dynamically shares VM context changes with Panorama to ensure security policies are aware of the latest application status and location.
Once NSX, Panorama and the VM-Series are initially configured, Panorama will register as a service with NSX
NSX will then deploy a VM-Series to the host as a guest.
Note, VM-Series is running in SW, as opposed to the native FW running on the kernel.
The VM-Series will then pull down the subscriptions and policies.
Once the VM-Series is deployed, NSX will begin steering traffic to the VM-Series for inspection
As workloads change, those changes are communicated to panorama for any policy updates. This enables your security policies to keep pace with your workload changes. here are some more details….[click]