Comments
Transcript
Quando inizi ad accettare l`impossibile, rischi di
Quando inizi ad accettare l'impossibile, rischi di scoprire la verità (sulla sicurezza delle applicazioni in the cloud) Alessio L.R. Pennasilico - [email protected] 5 Giugno 2013 Security Summit Roma $whois -=mayhem=Security Evangelist @ Committed: AIP Associazione Informatici Professionisti, CLUSIT AIPSI Associazione Italiana Professionisti Sicurezza Informatica Italian Linux Society, Sikurezza.org, AIP/OPSI Hacker’s Profiling Project, CrISTAL ! Quando inizi ad accettare l'impossibile, rischi di scoprire la verità A.L.R. Pennasilico - Security Summit Roma 2013 2 Fabrizio Fiorucci Senior Field Systems Engineer & Subject Matter Expert F5 Networks Italy Quando inizi ad accettare l'impossibile, rischi di scoprire la verità A.L.R. Pennasilico - Security Summit Roma 2013 3 Cloud Un mondo dorato di soffici arcobaleni? Quando inizi ad accettare l'impossibile, rischi di scoprire la verità A.L.R. Pennasilico - Security Summit Roma 2013 4 Cloud “Ci sedemmo dalla parte del torto visto che tutti gli altri posti erano occupati” Bertolt Brecht Quando inizi ad accettare l'impossibile, rischi di scoprire la verità A.L.R. Pennasilico - Security Summit Roma 2013 5 Value proposition? DDOS? High Performance? Scaling resorces? Pay per use? Dynamic adapting? Mobile users? Quando inizi ad accettare l'impossibile, rischi di scoprire la verità A.L.R. Pennasilico - Security Summit Roma 2013 6 Non è tutto oro... Ma forse è ora? Quando inizi ad accettare l'impossibile, rischi di scoprire la verità A.L.R. Pennasilico - Security Summit Roma 2013 7 Problemi secondari PT? Data location? Audit? Quando inizi ad accettare l'impossibile, rischi di scoprire la verità A.L.R. Pennasilico - Security Summit Roma 2013 8 Digital divide Hai abbastanza banda? Una linea di backup? Quando inizi ad accettare l'impossibile, rischi di scoprire la verità A.L.R. Pennasilico - Security Summit Roma 2013 9 What’s in the box? Is “Cloud” all good? Some “Cloud” benefits... • No infrastructures • No rooms, cooling, environment security • No backup • No servers HW maintenance • No personnel, training... • No expensive Internet bandwidth Connect the users to your application Forget everything else... You got a cloud service! What are you going to do with that? What about SECURITY? What about SECURITY? Well... of course we have FIREWALLS!! L3 / L4 Firewalls • Positive policy, everything out, only 80 / 443 in • HTTPS... how do they handle it? • DoS / DDoS: how do they handle them? • Web Application attacks: how do they handle them? Cloud services Quando inizi ad accettare l'impossibile, rischi di scoprire la verità - A.L.R. Pennasilico - Security Summit Roma 2013 Servizi cloud Possono essere declinati in diverse modalità operative Quando inizi ad accettare l'impossibile, rischi di scoprire la verità A.L.R. Pennasilico - Security Summit Roma 2013 19 Cloud Services Quando inizi ad accettare l'impossibile, rischi di scoprire la verità A.L.R. Pennasilico - Security Summit Roma 2013 20 SaaS (Software as a Service) - Consiste nell'utilizzo di programmi installati su un server remoto, cioè fuori del computer fisico o dalla LAN locale, spesso attraverso un server web. Questo acronimo condivide in parte la filosofia di un termine oggi in disuso, ASP (Application service provider). http://it.wikipedia.org/wiki/Cloud_computing Quando inizi ad accettare l'impossibile, rischi di scoprire la verità A.L.R. Pennasilico - Security Summit Roma 2013 21 DaaS (Data as a Service) - Con questo servizio vengono messi a disposizione via web solamente i dati ai quali gli utenti possono accedere tramite qualsiasi applicazione come se fossero residenti su un disco locale. http://it.wikipedia.org/wiki/Cloud_computing Quando inizi ad accettare l'impossibile, rischi di scoprire la verità A.L.R. Pennasilico - Security Summit Roma 2013 22 HaaS (Hardware as a Service) - Con questo servizio l'utente invia dati ad un computer che vengono elaborati da computer messi a disposizione e restituiti all'utente iniziale. http://it.wikipedia.org/wiki/Cloud_computing Quando inizi ad accettare l'impossibile, rischi di scoprire la verità A.L.R. Pennasilico - Security Summit Roma 2013 23 PaaS (Platform as a Service) - Invece che uno o più programmi singoli, viene eseguita in remoto una piattaforma software che può essere costituita da diversi servizi, programmi, librerie, etc. (ad esempio Google's App Engine) http://it.wikipedia.org/wiki/Cloud_computing Quando inizi ad accettare l'impossibile, rischi di scoprire la verità A.L.R. Pennasilico - Security Summit Roma 2013 24 IaaS (Infrastructure as a Service) - Utilizzo di risorse hardware in remoto. Questo tipo di cloud è quasi un sinonimo di Grid Computing, ma con una caratteristica imprescindibile: le risorse vengono utilizzate su richiesta o domanda al momento in cui una piattaforma ne ha bisogno, non vengono assegnate a prescindere dal loro utilizzo effettivo. http://it.wikipedia.org/wiki/Cloud_computing Quando inizi ad accettare l'impossibile, rischi di scoprire la verità A.L.R. Pennasilico - Security Summit Roma 2013 25 Cloud services Quando inizi ad accettare l'impossibile, rischi di scoprire la verità A.L.R. Pennasilico - Security Summit Roma 2013 26 Cloud services Quando inizi ad accettare l'impossibile, rischi di scoprire la verità A.L.R. Pennasilico - Security Summit Roma 2013 27 Cosa proteggere? A seconda del servizio sottoscritto possiamo adottare diverse misure Quando inizi ad accettare l'impossibile, rischi di scoprire la verità A.L.R. Pennasilico - Security Summit Roma 2013 28 SSL Solo perché sono paranoico non significa che non mi stiano seguendo... Quando inizi ad accettare l'impossibile, rischi di scoprire la verità A.L.R. Pennasilico - Security Summit Roma 2013 29 Cosa proteggere? Proteggere una applicazione è impossibile Proteggere una infrastruttura è doveroso Quando inizi ad accettare l'impossibile, rischi di scoprire la verità A.L.R. Pennasilico - Security Summit Roma 2013 30 Ambienti misti Quando inizi ad accettare l'impossibile, rischi di scoprire la verità A.L.R. Pennasilico - Security Summit Roma 2013 31 IaaS Segregation Quando inizi ad accettare l'impossibile, rischi di scoprire la verità A.L.R. Pennasilico - Security Summit Roma 2013 32 Firewall Cosa posso proteggere? Quando inizi ad accettare l'impossibile, rischi di scoprire la verità A.L.R. Pennasilico - Security Summit Roma 2013 33 AF Possiamo proteggere le nostre applicazioni se il deploy ha previsto questa funzionalità Quando inizi ad accettare l'impossibile, rischi di scoprire la verità A.L.R. Pennasilico - Security Summit Roma 2013 34 WAF E’ quasi certamente “roba web”: posso fare security su quel traffico? Quando inizi ad accettare l'impossibile, rischi di scoprire la verità A.L.R. Pennasilico - Security Summit Roma 2013 35 Protocolli del secolo scorso Posso gestire correttamente protocolli complessi? Lo posso fare io? Quando inizi ad accettare l'impossibile, rischi di scoprire la verità A.L.R. Pennasilico - Security Summit Roma 2013 36 VPN E’ necessario aggiungere ulteriori layer di sicurezza? E’ possibile farlo? Quando inizi ad accettare l'impossibile, rischi di scoprire la verità A.L.R. Pennasilico - Security Summit Roma 2013 37 DNS Non sottovalutate l’importanza delle “Pagine Gialle®” Quando inizi ad accettare l'impossibile, rischi di scoprire la verità A.L.R. Pennasilico - Security Summit Roma 2013 38 Chi sei? Cloud provider MSSP Cloud System Integrator Rivenditore Cliente Quando inizi ad accettare l'impossibile, rischi di scoprire la verità A.L.R. Pennasilico - Security Summit Roma 2013 39 Etica... DPI Filtering Quando inizi ad accettare l'impossibile, rischi di scoprire la verità A.L.R. Pennasilico - Security Summit Roma 2013 40 HTTP:// HTTPS:// A day in the life of a packet A day in the life of a packet Application content HTTP:// HTTPS:// port 80 / 443 Network packet DNS Services Users DB Security Challenges 54% of hacking breaches in larger organizations occur at the web application. We still see SQL Injection as a choice point of entry for attacker. A denial of service tool… using SSL/TLS showed the potential for an everyday laptop on an average connection to take down an enterprise web server. Threat detection today… hinges on two elements: identifying suspicious activity among billions of data points, and refining a large set of suspicious incidents down to those that matter. 10010100111001 00111001 The most significant change we saw in 2011 was the rise of “hacktivism” against larger organizations worldwide. SSL/TLS Anonymous proxies… have steadily increased, more than quadrupling in number as compared to three years ago. Security Challenges 54% of hacking breaches in larger organizations occur at the web application. We still see SQL Injection as a choice point of entry for attacker. A denial of service tool… using SSL/TLS showed the potential for an everyday laptop on an average connection to take down an enterprise web server. Threat detection today… hinges on two elements: identifying suspicious activity among billions of data points, and refining a large set of suspicious incidents down to those that matter. 10010100111001 00111001 The most significant change we saw in 2011 was the rise of “hacktivism” against larger organizations worldwide. SSL/TLS Anonymous proxies… have steadily increased, more than quadrupling in number as compared to three years ago. Security Challenges 54% of hacking breaches in larger organizations occur at the web application. We still see SQL Injection as a choice point of entry for attacker. A denial of service tool… using SSL/TLS showed the potential for an everyday laptop on an average connection to take down an enterprise web server. Threat detection today… hinges on two elements: identifying suspicious activity among billions of data points, and refining a large set of suspicious incidents down to those that matter. 10010100111001 00111001 The most significant change we saw in 2011 was the rise of “hacktivism” against larger organizations worldwide. SSL/TLS Anonymous proxies… have steadily increased, more than quadrupling in number as compared to three years ago. Security Challenges 54% of hacking breaches in larger organizations occur at the web application. We still see SQL Injection as a choice point of entry for attacker. A denial of service tool… using SSL/TLS showed the potential for an everyday laptop on an average connection to take down an enterprise web server. Threat detection today… hinges on two elements: identifying suspicious activity among billions of data points, and refining a large set of suspicious incidents down to those that matter. 10010100111001 00111001 The most significant change we saw in 2011 was the rise of “hacktivism” against larger organizations worldwide. SSL/TLS Anonymous proxies… have steadily increased, more than quadrupling in number as compared to three years ago. Web application are at risk Most websites were exposed to at least one serious vulnerability every day of 2010. On the average, 50% of organizations require 116 days or less to remediate their serious vulnerabilities. Only 16% of websites were vulnerable less than 30 days of the year overall. During 2010, the average website had 230 serious* vulnerabilities. - White Hat Website Security Stats Report 64 percent of developers are not confident in their ability to write secure applications. - Microsoft Developer Research A day in the life of a packet Application content HTTP:// HTTPS:// R port 80 / 443 Network packet DNS Services Users DB Compliance Che leggi è necessario rispettare? Che policy è necessario rispettare? Quando inizi ad accettare l'impossibile, rischi di scoprire la verità A.L.R. Pennasilico - Security Summit Roma 2013 49 Strumenti Che caratteristiche devono avere gli strumenti usati? Quando inizi ad accettare l'impossibile, rischi di scoprire la verità A.L.R. Pennasilico - Security Summit Roma 2013 50 Dati sensibili? Cosa carico in the cloud? Quando inizi ad accettare l'impossibile, rischi di scoprire la verità A.L.R. Pennasilico - Security Summit Roma 2013 51 Dati in the cloud Posso criptare le informazioni? Posso fare dei backup? Quando inizi ad accettare l'impossibile, rischi di scoprire la verità A.L.R. Pennasilico - Security Summit Roma 2013 52 Dati in the cloud Posso anonimizzare le informazioni ove necessario? Retention in caso di cancellazione? Quando inizi ad accettare l'impossibile, rischi di scoprire la verità A.L.R. Pennasilico - Security Summit Roma 2013 53 Altri meccanismi Come gestisco servizi basati su certificati? Quando inizi ad accettare l'impossibile, rischi di scoprire la verità A.L.R. Pennasilico - Security Summit Roma 2013 54 Monitoring Posso monitorare i miei servizi? Quali / Come? Quando inizi ad accettare l'impossibile, rischi di scoprire la verità A.L.R. Pennasilico - Security Summit Roma 2013 55 It’s time to rethink security It’s time to rethink security • Traditional firewalls fails under heavy DoS / DDoS Attacks • Most of the attacks are targeted to the application level • DNS Security is becoming a MUST • Are you trusting the Cloud in hosting your users data? It’s time to rethink security CONSOLIDATE NETWORK AND SECURITY FUNCTIONS Use case Network DDoS Before f5 Application DDoS Firewall Load Balancer & SSL Load Balancer DNS Security Web Application Firewall with f5 • Consolidation of • firewall, app security, traffic management Protection for data centers and application servers • High scale for the most common inbound protocols Web Access Management It’s time to rethink security CONSOLIDATE NETWORK AND SECURITY FUNCTIONS Use case Network DDoS Before f5 Application DDoS Firewall Load Balancer & SSL Load Balancer DNS Security Web Application Firewall with f5 • Consolidation of • firewall, app security, traffic management Protection for data centers and application servers • High scale for the most common inbound protocols Web Access Management What about SECURITY? Well... of course we have FIREWALLS!! Application DDoS Network DDoS Web Access Management Load Balancer & SSL DNS Security Web Application Firewall What about SECURITY? You need to be sure to have everything in place to protect your users data! What about SECURITY? F5 Networks has all what you need to protect your application and data in the Cloud What’s in the box? It’s time to rethink security in the Cloud Fabrizio Fiorucci Senior Field Systems Engineer & Subject Matter Expert F5 Networks Italy M: +39.346.7189593 [email protected] Conclusioni Quando inizi ad accettare l'impossibile, rischi di scoprire la verità - A.L.R. Pennasilico - Security Summit Roma 2013 No-Cloud Il Cloud Computing può essere un importante strumento per creare valore per l’azienda tramite l’ottimizzazione di alcuni processi. Tuttavia va valutato con attenzione, sotto ogni aspetto implementativo ed organizzativo. Quando inizi ad accettare l'impossibile, rischi di scoprire la verità A.L.R. Pennasilico - Security Summit Roma 2013 66 Strumenti Non sempre è possibile utilizzare gli strumenti che siamo abituati ad avere a disposizione L’importante è poter utilizzare che avevo deciso essere necessari Quando inizi ad accettare l'impossibile, rischi di scoprire la verità A.L.R. Pennasilico - Security Summit Roma 2013 67 These slides are written by Alessio L.R. Pennasilico aka mayhem. They are subjected to Creative Commons Attribution-ShareAlike-2.5 version; you can copy, modify, or sell them. “Please” cite your source and use the same licence :) Domande? Grazie dell’attenzione! Alessio L.R. Pennasilico - [email protected] facebook:alessio.pennasilico - twitter:mayhemspp linkedin:alessio.pennasilico 5 Giugno 2013 Security Summit Roma