Számítási felhők biztonsági kérdései Kozlovszky Miklós - Óbudai Egyetem

1. Számítási felhők biztonsági kérdései Kozlovszky Miklós - Óbudai Egyetem

2. Informatikai felhőstruktúrák Számítási felhő (Cloud Computing) definíció / Jellemzők Példák felhő infrastruktúrákra Felhő infrastruktúrák biztonsági/sebezhetőségi problémái A kutatási projekt szakmai tartalma Várható eredmények

3. A számítási felhő meghatározása • A felhőszámítás - Cloud Computing meghatározásakor az Institute for Standards and Technology (NIST) Information Technology Laboratory definícióját szokás idézni: • „A felhőszámítás olyan modell, amely lehetővé teszi konfigurálható számítási erőforrások (pl.: hálózatok, kiszolgálók, tárolók, alkalmazások és szolgáltatások) osztott készletének kényelmes, igény szerinti, hálózaton keresztül történő elérését, melyek gyorsan, kevés felügyeleti ráfordítással és szolgáltatói beavatkozással munkába állíthatók és eltávolíthatók” Mell P., Grance T.: The NIST Definition of Cloud Computing, NIST SpecialPublication 800-145, National Institute of Standards and Technology, 2011

4. Példák nagyobb felhő infrastruktúrákra • Felhasználói kör: Magánszemélyek • Háttértárak , alkalmazások/szolgáltatások • Amazon CloudDrive , DropBox, Apple iCloud, Google Drive , GoogleApps, Microsoft SkyDrive, Azure/Windows 8 • Adatokat mentenek és szolgáltatásokat használnak olyan hardver és szoftver infrastruktúrák segítségével, melyek fölött SEMMILYEN kontrolljuk sincs (nem tudják ki látja, hol és hogyan tárolódik az adat). • Felhasználói kör: Vállalati ügyfelek • Adattárházak, alkalmazások • Salesforce/force.com • Amazon EC2/EC3 OpenCrowd: Cloud Taxonomy, 2010, http://www.opencrowd.com/assets/images/views/views_cloud-tax-lrg.png

5. A felhőszámítás grafikus megjelenítése ‒ NIST

6. A számítási felhők jellemzői • Informatika mint szolgáltatás (IT as a Service) • Erőforrások adatközpontokba koncentrálása és konszolidálása • Virtualizáció • Infrastruktúra automatizálás (on-demand) igények alapján tetszőleges helyen és időben • Rugalmasság (Elasticity) tetszőleges mennyiségben • Erőforrás igénybevétele díjfizetés ellenében • Monitorozás, szolgáltatás mérése • Magas rendelkezésre állás • IT biztonság • Partnerek • Morgan Stanley • HP • IBM • VMware, Inc. • Symantec • BalaBit IT • KÜRT

7. Szolgáltatási modellek egymásra épülése • A legelterjedtebb szolgáltatási modellek többnyire egymásra épülnek, azaz mindegyik szolgáltatási modell a hierarchiában alatta lévő modell szolgáltatásait veszi igénybe: • Infrastructure as a service (IaaS) • Platform as a service (PaaS) • Software as a service (SaaS)

8. Infrastruktúra szolgáltatás (Infrastructure as a Service ‒ IaaS) • Virtuális gépek(Pl.: Amazon EC2, Amazon S3, GoGrid) • Tárolókapacitásbérbeadása (Pl.: Amazon S3) • Teljes virtuális adatközpont bérbeadása (virtual data center) (pl.: Amazon VPC, Vmware vCloud, Cisco Virtual Multi-tenant Data Center) • A hálózat és a virtuális gépek tűzfallal védettek lehetnek, terhelésmegosztáslehetséges, redundáns eszközökalkalmazhatók • Hozzáférés interneten keresztül

9. Platform szolgáltatás (Platform as a Service ‒ PaaS) • A platform magában foglalja a felhő alkalmazások fejlesztésének, tesztelésének, üzembe helyezésének és futtatásának teljes életciklusát • A teljes életciklus felhő-alapú • Fejlesztés, tesztelés, üzembe helyezés, futtatás, menedzsment ugyanazon az integrált környezeten zajlik(költségek csökkennek, minőség, üzembiztonság javul) • A felhasználói kényelem, válaszidők, részletgazdagság kompromisszumok nélküli megvalósítása • Beépített méretezhetőség, megbízhatóság, és biztonság. Több bérlő (Multi-tenancy) automatikus biztosítása • Beépített integráció Web-szolgáltatásokkal (Web services) és adatbázisokkal • Fejlesztőkés fejlesztő csoportok együttműködésének támogatása • Az alkalmazásba beépített mélyreható monitorozás

10. Szoftver szolgáltatás (Software as a Service ‒ SaaS) • Alkalmazások az interneten keresztül érhetők el és menedzselhetők • Kizárólag böngészővel érhetők el • Több/sok felhasználó egyidejű kiszolgálása (multi-tenancy) • Uniformizálható alkalmazások • Paraméterezéssel (kód változtatás nélkül) testre szabhatók • Mérő és monitorozó modullal rendelkeznek, az előfizetők csak a tényleges használatért fizetnek • Beépített számlázó szolgáltatás • Publikus csatolófelületettel (interfésszel) rendelkeznek • Az egyes felhasználók adatai és konfigurációi el vannak különítve • A felhasználói adatok integritása biztosított • A kommunikáció biztonságos

11. A felhőszolgáltatás referencia modellje A NIST felhő számítási referencia modellje azonosítja a felhő főbb szereplőit, tevékenységeiket és feladataikat. Liu F., Tong J., Mao J., Bohn R., Messina J., Badger L., Leaf D.: NIST Cloud Computing Reference Architecture, NIST Special Publication 500-292, Recommendations of the National Institute of Standards and Technology, 2011

12. Cloud előnyök vs. problémák • Költséghatékonyság >>korábbi megoldások • Rugalmasság • Biztonsági problémák (Gartner 2008) • Privilegizált, több szintű felhasználói hozzáférés • Adatkezeléssel kapcsolatos jogszabályi megfelelősség • A felhasználóra akkor is kötelezőek, ha cloud-ot használ. • Adatkezelés földrajzi határok alapján • Adat elkülönítés (nem csak titkosítással) • Adatvisszaállítás • Felhasználói ellenőrzési eljárások támogatása • Hosszútávú szolgáltatásmegbízhatóság • Lock-in probléma, stabil vállalati szolgáltatások, stabil szolgáltató.

13. Felhő infrastruktúrák biztonsági problémái • A felhő szolgáltatóknak meg kell védeni az ügyfelet (néha önmagától is). • Az elosztott nagyméretű infrastruktúrák (cloud, grid, stb.) potenciális eszközök bizonyos típusú támadásokhoz • Túlterheléses támadások (elosztott és nagyméretű infrastruktúra) • Authentikációs, titkosítási feladatok költséghatékony, anonim numerikus megoldása • A cloud sajátosságaiból adódóan az infrastruktúra szolgáltatót nehezebb megtörni, de ha sikerül: a homogenizált rendszer méretviszonyai, illetve a felhasználói bázis (több ezer vállalat) értéke hatalmas (v.ö.: bankrablás). • A kereskedelmi cloud-ok használatánál: 1 bankkártya ellopása egyszerűbb mint több ezres zombi gépfarmhoz vírus készítése.

14. Eddigi „hangosabb” incidensek • Magánszemélyek (Mat Honan /2012 augusztus/) • Hatás: Apple iCloud (Social Eng.)-->GMAIL (Google)-->Twitter+…-> távolról reset-elt iPhone, iPad és MacBookAir • Dropbox (incidens: többször) /utolsó bejelentett incidens 2012 július/ • Hatás: Felhasználói email címek eltulajdonítása/értékesítésekéreletlen levelek • Vállalati ügyfelek • Salesforce/force.com (incidens: 2007) • SunTrust és ADP cégek: ~40.000 saját dolgozók + ~900.000 ügyfél rekord • Amazon EC2/S3 (2008) BitTorrent site üzemeltetése • Amazon EC2 (2011 április) • Sikeres támadás a SONY ellen EC2-ről • 70-100 millió PlayStation Network felhasználó adatai.

15. Kutatásaink szakmai tartalma Az infrastruktúra szolgáltatást (IaaS) nyújtó felhők felhasználókat érintő biztonsági kérdései • A felhasználók védelme külső informatikai támadások ellen • Adott virtuális gépek esetén a gépek biztonsági szintjének ellenőrzése, sebezhetőség vizsgálata • Felhasználók adatainak védelme • A virtuális gépek közötti biztonságos kommunikáció megvalósítása a felhasználó szempontjából transzparens módon • A virtuális gépeken és a tároló hálózaton elhelyezett adatok titkosítása a felhasználó szempontjából transzparens módon • Adatok áramlásának földrajzi korlátozása

16. Projekt eredmények • Az IaaS típusú felhőszolgáltatások felhasználóit érintő informatikai veszélyforrások módszeres feldolgozása, dokumentálása • Az informatikai veszélyforrások elhárítását szolgáló automatizmusok kidolgozása és életképességük tesztelése/bizonyítása egy minta-implementációban. • Cloud rendszerek (IaaS) sebezhetőségének automatizált mérése/monitorozása. • Projekt résztvevők (OE) Dr. Kozlovszky Miklós, Dr. Schubert Tamás, Ács Sándor, Prém Dániel, Dr. Póser Valéria, … • Kapcsolódás a kutatási projekthez • Email contact: kozlovszky.miklos@nik.uni-obuda.hu

17. Köszönöm a figyelmet.