ارایه امنیت در رایانش ابری و کارگاه عملی مدیریت ریسک سرویس های ابری، جلسه 63 جامعه آزاد رایانش ابری ایران

1. ‫در‬ ‫امنیت‬ ‫بر‬ ‫ای‬ ‫مقدمه‬‫ابری‬ ‫رایانش‬
‫جوان‬ ‫مرتضی‬
www.msjavan.ir
1
‫خدا‬ ‫نام‬ ‫به‬
http://crc.aut.ac.ir

2. ‫ساده‬ ‫سناریوهای‬
• VM Delete / App Remove / Service Stop
• Server /VM Dump Memory
• Clone / Copy / Mount Disk
• Traffic Capture
• Change DNS
• Traffic Manipulation
2

3. ‫اخیر‬ ‫رویدادهای‬ ‫بر‬ ‫مروری‬
3

4. 4
‫ابری‬ ‫رایانش‬:‫پنجم‬ ‫همگانی‬ ‫صنعت‬...FULLSTACKSECURITY
Application
Data
Runtime / API
Middleware
OS
Virtualization
Hypervisor
Networking
Storage
Server
Business /
Process

5. 5
‫مالحظات‬(‫غيرفني‬ ‫و‬ ‫فني‬)
‫نظارت‬ ‫و‬ ‫مدیریت‬ ‫کاهش‬
‫منابع‬ ‫روي‬ ‫بر‬ ‫کنترل‬ ‫کاهش‬
‫ها‬ ‫داده‬ ‫روي‬ ‫بر‬ ‫کنترل‬ ‫کاهش‬
‫وابستگي‬ ‫افزایش‬
‫و‬...

6. ‫نفوذ‬ ‫های‬ ‫روش‬ ‫انواع‬ ‫از‬ ‫شمایی‬:
6
X
Data Center5
Data Center4
Data Center2
Data Center7
Data Center1
Data Center3
Data Center6

7. 7
‫در‬ ‫پذیری‬ ‫آسیب‬ ‫اجرای‬VM
‫به‬ ‫نفوذ‬VM‫های‬
‫مجاور‬
‫شبکه‬ ‫به‬ ‫نفوذ‬
‫و‬ ‫فیزیکی‬ ‫میزبان‬
‫به‬ ‫دسترسی‬VM
‫دیگر‬ ‫های‬

8. ‫آسیب‬‫های‬ ‫پذیری‬‫با‬ ،‫امنیتی‬‫است‬ ‫یافته‬ ‫افزایش‬ ‫سازی‬ ‫مجازی‬ ‫به‬ ‫گرایش‬ ‫افزایش‬
8
http://cve.occc.ir

9. 9
DEMO

10. 10

11. ‫موردی‬ ‫مثال‬(DARPA)
11
• MRC
(Mission-Oriented Resilient Clouds)
• PROCEED
(Computation on Encrypted Data)
• CRASH
(Adaptive Secure Hosts)
• CBMEN
(Content-Based Mobile Edge Networking)
• CORONET
(Cloud-to-Cloud Connectivity)

12. ‫امنیتی‬ ‫های‬ ‫محک‬ ‫و‬ ‫استانداردها‬
12

13. 13
Please Notice Some of The Current Cloud Security Standards Limitations !

14. Cloud service
partner (CSN)
CSN:
Cloud
Auditor
CSN:
Cloud
service
developer
CSN:
Cloud
service
broker
Cloud service customer (CSC)
CSC: Service
Administer
and Security
CSC: Cloud
service user
CSC: Cloud
service
business
manager
CSC: Cloud
service
integrator
Cloud service provider (CSP)
CSP: Cloud
service
deployment
manager
CSP: Cloud
service
operations
manager
CSP: Cloud
service
manager
CSP: Cloud
service
business
manager
CSP: Inter-
cloud
provider
CSP: Customer
support and
care
representative
CSP: Service
security and
risk
manager
CSP:
Network
provider
ISO/IEC 17789: 2014
Cloud computing — Reference architecture
14
CSN:
Cloud
Auditor
CSP: Service
Security and
Risk
Manager
CSC: Service
Administer
and Security
FULLSTACKSECURITY
S
a
a
S
P
a
a
S
I
a
a
S
Application
Data
Runtime / API
Middleware
OS
Virtualization
Hypervisor
Networking
Storage
Server
Business /
Process

15. CSN:
Cloud
Auditor
CSP: Service
Security and
Risk
Manager
CSC: Service
Administer
and Security
16
Compliance Control
Regulatory Control
Privacy Impact
Encryption
Data at rest
/ in motion
Integrity Backup & Recovery
Policies
Change Management
Align Policies
& SLA
Risk Management Hardening
Compliance
Compatibility
Business Continuity
Monitoring &
Analysis
Vulnerabilities
Tenant Isolation
Personal & Physical
Security
IntegrationPrivacy & PII
Authorization &
Access Control
Network &
Communication
S
a
a
S
P
a
a
S
I
a
a
S
FULLSTACKSECURITY
Audit Interfaces
Assets and Inventory
Path & Update
Management
Authentication &
Identity Management
Application
Data
Runtime / API
Middleware
OS
Virtualization
Hypervisor
Networking
Storage
Server
Business /
Process
CSC: Cloud
Service
Customer
CSN:
Cloud
Auditor
CSP: Cloud
Service
Provider

16. 17
‫مانیتورینگ‬ ‫مالحظات‬
FULLSTACKSECURITY
Application
Data
Runtime / API
Middleware
OS
Virtualization
Hypervisor
Networking
Storage
Server
Business /
Process
(‫سنتی‬ ‫مانیتورینگ‬ ‫های‬ ‫سیستم‬ ‫کارآیی‬ ‫عدم‬)

17. ‫ابر‬ ‫در‬ ‫محاسبات‬ ‫و‬ ‫داده‬ ‫رمزنگاری‬
18
> Secure Storage
>Trusted Computing

18. ‫مقررات‬ ‫تنظیم‬ ‫و‬ ‫نظارت‬
19
PaaSSaaSVisibility
&
Control
FULLSTACKSECURITY
Application
Data
Runtime / API
Middleware
OS
Virtualization
Hypervisor
Networking
Storage
Server
Business /
Process

19. HIPPA Compliant
‫انطباق‬ ‫و‬ ‫استانداردها‬ ‫رعایت‬‫امنیتی‬ ‫پذیری‬
ISMS ISO 27001
PCI DSS
SOC
FIPS
FedRAMP
...
20
Cloud Infrastructure
PCI Compliant
FULLSTACKSECURITY
Application
Data
Runtime / API
Middleware
OS
Virtualization
Hypervisor
Networking
Storage
Server
Business /
Process

20. ‫کاری‬ ‫محکم‬ ‫مالحظات‬(Hardening)
•‫تصاویر‬‫مجازی‬ ‫ماشین‬(MI)‫الگوها‬ ‫و‬
•‫حذف‬‫در‬ ‫کاربر‬ ‫دخالت‬‫سرویس‬ ‫استقرار‬
•‫استانداردها‬‫امنیتی‬ ‫های‬ ‫محک‬ ‫و‬
•‫مختلف‬ ‫های‬ ‫الیه‬ ‫در‬ ‫امن‬ ‫های‬ ‫پیکربندی‬
•‫مختلف‬ ‫های‬ ‫درگاه‬ ‫بستن‬
•‫مختلف‬ ‫های‬ ‫الیه‬ ‫در‬ ‫رویداد‬ ‫ثبت‬ ‫و‬ ‫گیری‬ ‫گزارش‬
•‫میزبان‬ ‫سطح‬ ‫در‬ ‫آتش‬ ‫دیوارهای‬ ‫بکارگیری‬
•...
21
FULLSTACKSECURITY
Application
Data
Runtime / API
Middleware
OS
Virtualization
Hypervisor
Networking
Storage
Server
Business /
Process

21. ‫رسانی‬ ‫روز‬ ‫به‬ ‫و‬ ‫ها‬ ‫وصله‬ ‫مدیریت‬
•‫افزار‬ ‫میان‬ ‫روزرسانی‬ ‫به‬
•‫میزبان‬ ‫عامل‬ ‫سیستم‬ ‫روزرسانی‬ ‫به‬(‫ناظر‬ ‫فوق‬)
•‫روزرسانی‬ ‫به‬‫عامل‬ ‫سیستم‬‫میهمان‬(‫ناهمگن‬)
•‫مجازی‬ ‫ماشین‬ ‫تصاویر‬ ‫و‬ ‫الگوها‬ ‫روزرسانی‬ ‫به‬
•‫های‬ ‫ماشین‬(‫مجازی‬)‫خاموش‬
•‫ابری‬ ‫سیستم‬ ‫اصلی‬ ‫اجزای‬
•‫نهایی‬ ‫سرویس‬ ‫افزاری‬ ‫نرم‬ ‫پشته‬
•‫مستاجرها‬ ‫سفارشی‬ ‫های‬ ‫نیازمندی‬
22
FULLSTACKSECURITY
Application
Data
Runtime / API
Middleware
OS
Virtualization
Hypervisor
Networking
Storage
Server
Business /
Process
Hypervisor

22. ‫داده‬ ‫صحت‬ ‫مالحظات‬
23
•‫سيستم‬ ‫معماري‬ ‫گرفتن‬ ‫نظر‬ ‫در‬
•‫صحت‬ ‫بررسي‬ ‫هاي‬ ‫مدل‬
(‫آنالین‬/‫اي‬ ‫دوره‬)
•‫کارآیي‬‫سيستم‬
•‫داده‬ ‫نوع‬
Hypervisor
Hardware
‫بر‬ ‫نظارت‬ ‫سیستم‬
‫فایل‬ ‫جامعیت‬
‫های‬‫سیاست‬
‫نفوذ‬ ‫تشخیص‬
‫داده‬ ‫پایگاه‬
File
system
‫بر‬ ‫نظارت‬ ‫سیستم‬
‫فایل‬ ‫جامعیت‬
‫های‬‫سیاست‬
‫نفوذ‬ ‫تشخیص‬
‫داده‬ ‫پایگاه‬
File
system
‫بر‬ ‫نظارت‬ ‫سیستم‬
‫جامعیت‬‫فایل‬
‫داده‬ ‫پایگاه‬
‫های‬‫سیاست‬
‫نفوذ‬ ‫تشخیص‬
report
Dom0 VM1 VM2 ‫سیستم‬ ‫نام‬
‫در‬ ‫تغییر‬ ‫عدم‬‫تحت‬ ‫ماشین‬
‫نظارت‬
‫ای‬‫دوره‬ ‫بررسی‬‫بالدرنگ‬ ‫بررسی‬
Tripwire
XenFIT
VRFPS
RFIM
DFIM
NOPFIT
XenRIM

23. ‫داده‬ ‫صحت‬ ‫از‬ ‫سناریوهایی‬/‫سرویس‬ ‫صحت‬/‫کار‬ ‫و‬ ‫کسب‬ ‫تداوم‬
24
‫الگو‬ ‫صحت‬
‫فرآیند‬ ‫صحت‬/‫پیکربندی‬
‫استقرار‬ ‫صحت‬
(‫سرویس‬)
‫داده‬ ‫صحت‬
‫اجزا‬ ‫صحت‬
CSN: Service Developer CSP: Service Manager CSP: Operations ManagerCSP: Deployment Manager
Scale
Out

24. ‫ریسک‬ ‫مدیریت‬2009
25
Vendor Lock-in
Loss of Governance
Compliance Compatibility
Service Failure
Isolation Failure
Malicious Insider
•‫ها‬ ‫دارایی‬ ‫تحلیل‬
•‫ها‬ ‫ریسک‬ ‫تحلیل‬
•‫راهکار‬ ‫ارایه‬

25. ‫ریسک‬ ‫مدیریت‬2012
26
Data protection
Loss of Governance
Malicious Insider / root access !
Risk from changes of jurisdiction
Management Interface Compromise
Isolation Failure
Insecure deletion of data
Subpoena
Compromise of Service Engine
Lock-in

26. 27
• Risk Analysis Case Study: Fax.ir
• Lock in
• Loss of Governance
• Supply chain failure
• Isolation Failure
• Malicious Insider
• Data leakage
• Insecure deletion of data
• DOS

27. Simple Example (Fax.ir)
28

28. Critical Research !
29
• Visit http://cvedetails.com/
• Visit http://cve.occc.ir/
• Find the vulnerabilities related to cloud and virtualization tools (KVM / Openstack / …)
• Select one of vulnerabilities and describe it in the class

29. TOP 10
StrategicTechnologyTrends
30
The Device Mesh
3D Printing
Materials
Ambient User
Experience
Autonomous Agents
andThings
Information of
Everything
Advanced Machine Learning
AdaptiveSecurity
Architecture
IoT Architecture
and Platforms
Advanced System
Architecture
Mesh App and
ServiceArchitecture
2016
Gartner, Oct 2015

30. ‫باران‬ ‫و‬ ‫ابر‬
31
http://crc.aut.ac.ir