Sicherheit (in) der Openstack Cloud · Deutsche OpenStack Tage 21 - 22.06.2016 Agenda – Sicherheit von OpenStack I Gegenstand dieses Vortrags III Input und Themen IV Sicherheit

Sicherheit (in) der OpenstackCloudDeutsche OpenStack Tage 21 - 22.06.2016

2© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. The name KPMG and the logo are registered trademarks of KPMG International.

Deutsche OpenStack Tage 21 - 22.06.2016

Agenda – Sicherheit von OpenStack

Gegenstand dieses VortragsI

Input und ThemenIII

Sicherheit von Openstack (Methodik und Maßnahmen) IV

Advanced Persistent Cyber Defence (APCD)V

Vorstellung KPMG Cyber SecurityII

Ausblick und Empfehlungen an die CommunityVI


Gegenstand dieses Vortrags

Volkswagen Gruppe

Security & Compliance

Mirantis im Release 7 und 8

Private Cloud (IaaS)

Plattform Services (PaaS)

Sicherheit der Tenants Out

ofS

cope

Kon

text

Wir zeigen Ihnen eine Methodik, wie Sie ein individuelles Sicherheitskonzept für Openstack entwickelnkönnen.Dies umfasst eine Analyse und Bewertung der Bedrohungslage einer private Cloud als auch Vorschläge fürMaßnahmen zur Sicherstellung eines sicheren Betrieb.

Why KPMG?


Unsere angebotenen Beraterhaben im Hintergrund Zugriff auf

ein internationales Netzwerkvon Fach-, IT- und Security-

Spezialisten

IHR VORTEIL

KPMG hat Fachkenntnisse und Projekterfahrung im Bereich

(IT-)Compliance (z.B. IT-Sicherheitsgesetz. BDSG, Steuer- und Handelsrechtliche

Vorschriften)

Wir können zahlreiche Zertifizierungen und

Referenzen führender Unternehmen aus aller

Welt vorweisen

Netzwerk

DAX 30

Vertrauen

Da KPMG zahlreiche DAX 30-Unternehmen zu Sicherheits-themenstellungen berät, sind

wir mit den Anforderungenvon Großunternehmen

bestens vertraut

Compliance

Wir sind an keinen Technologie-anbieter gebunden – unsere

Empfehlungen basieren darauf, was für Sie am

besten geeignet ist

KPMG ist ein zugelassenerISO 27001 und ISO 22301

Zertifizierer

Unabhängig

AnerkannteZertifizierungsstelle

KPMG Cyber Security

WARUM KPMG?

Mehr als 20 Jahre Erfahrung im Bereich

IT-Sicherheit



Welt vorweisen.

Über 1000 Projekte im Umfeld der Cyber-Sicherheit in allen

Kritischen Sektoren

Vertrauen

>1000

Über 120 Kollegen für Cyber-Sicherheit, allein in

Deutschland

>120

>20

GLOBAL LEADER



besten geeignet ist

Forrester Research hat KPMG weltweit zum Global Leader bei der Beratung von Cyber

Security ernannt

#1

Unabhängig

Quelle: The Forrester Wave™: Information Security Consulting Services, 29. Januar 2016

Challengers Contenders LeadersStrong Performers

StrategyWeak Strong

Current offering

Strong

EY KPMGPwC

Accenture Deloitte Protiviti

IBMVerizon

Dell SecureWorks BAESystems

Atos WiproHPE


KPMG Cyber Security

WARUM KPMG?

Mehr als 20 Jahre Erfahrung im Bereich

IT-Sicherheit



Welt vorweisen.

Über 1000 Projekte im Umfeld der Cyber-Sicherheit in allen

Kritischen Sektoren

Vertrauen

>1000

GLOBAL LEADER



besten geeignet ist

Forrester Research hat KPMG weltweit zum Global Leader bei der Beratung von Cyber

Security ernannt

#1

Unabhängig

Über 120 Kollegen für Cyber-Sicherheit, allein in

Deutschland

>120

>20

Unsere angebotenen Beraterhaben im Hintergrund Zugriff auf

ein internationales Netzwerkvon Fach-, IT- und Security-

Spezialisten

IHR VORTEIL

KPMG hat Fachkenntnisse und Projekterfahrung im Bereich

(IT-)Compliance (z.B. IT-Sicherheitsgesetz. BDSG, Steuer- und Handelsrechtliche

Vorschriften)



Welt vorweisen

Netzwerk

DAX 30

Vertrauen

Da KPMG zahlreiche DAX 30-Unternehmen zu Sicherheits-themenstellungen berät, sind

wir mit den Anforderungenvon Großunternehmen

bestens vertraut

Compliance



besten geeignet ist

KPMG ist ein zugelassenerISO 27001 und ISO 22301

Zertifizierer

Unabhängig

AnerkannteZertifizierungsstelle


Secure Payment

DatensicherheitSIEM / SOC

KPMG Cyber SecurityÜberblick unserer Services

Tech-nisch

Organi-satorisch

Auswahl und Einführung von

Security-Lösungen

Identity & Access

Management

AdvancedCyber

Defense

ISO 27001 Zertifizierung

Richtlinien & Frameworks

Security Governance & Organisation

Mobile Device & App Security

SAP Security

Entwicklung von Security Strategien

und Roadmaps

Sichere IT-Prozesse

& -kontrollen

Sichere IT-Infrastruktur

Datenschutz Assessment


Input und Themen Regulatorische und Gesetzliche Anforderungen

Security Themenfelder


Einflussfaktoren auf ein Sicherheitskonzept

ISO 22301ISO 22313

Government Industrie Public and Community

ISO 27001ISO 27002

… …

…

Erfassen Sie möglichst frühzeitig alle regulatorische und sicherheitsrelevante Anforderungen aus ihrem Unternehmens-und Betriebsumfeld. Das bewahrt Sie vor Überraschungen und schützt ihre Investitionen.


Sicherheit umfasst viele Themen

Cyber Security Roles

Identity and Access Management

Cyber Security Objectives

Classification of Data

Cyber Security Risk Management

Information Security Incident Management

Compliance

Business & IT Continuity Management, High-Availability,

Disaster Recovery

ForensicAnalysis

Change andVulnerability Management

Security Review, Audit

& Improvement

Netwerk-security

Systemsecurity

Physical Security

Security Monitoring and Logging

Advanced Persistent Threats


Sicherheit von Openstack (Methodik und Maßnahmen) Beschreibung des Vorgehensmodels

Gefahren im Detail

Ableitung von Maßnahmen


Security Konzept Vorgehensmodell

— Identifizierung der Anforderungen— Intern: Betriebsvorgaben, Risk Management, Recht, Compliance—Extern: Gesetze, Regulierung, Best Practice

Security Requirements

Threat Analyse

Maßnahmenkatalog

Risk Assessment

—Threat Analyse—Technisch, Organisatorisch, Prozesse, Menschlich

—Einstufung der Gefahren: Impact und Probability—Liefert „Heat Map“ mit den prävalenten Gefahren

—Anhand der identifizierten und bewerteten Gefahren werden Maßnahmen abgeleitet

Security Konzept


CSA Controls in der Übersicht


Ope

nSta

ck C

loud

ISO 27001

NIST

Cloud Security Alliance

IT-Grundschutz BDSG, 95/46/EG

ENISA

KRITIS

STRIDE

Compliance Ope

nSta

ck S

ecur

ity K

onze

pt

Active Directory

Advanced Cyber

Defence

Neutron

NovaOST Ceilometer

Cinder

KeyStone

Horizon

Glance

Swift SIEM

FuelLinux

Host & Guest

Zoning

Network Storage

PAM

AIM ManagementCyber Defence OS

Firewall

DMZ

Confidentiality Integrity Availability

BSI

IT-Sicherheitsgesetz

KVM

Multi Tenant Ceph

Digital Forensic

Change Management

Incident Management

Vulnerability Management

Monitoring & Reporting

Access Management

Risk & Security Management

Configuration Management

HR Management

Architecture & Standards

LMA -Logging

Monitoring Auditing

HTTP/SSL/REST

Internal Requirements

Security Konzept Vorgehensmodell


...

HorizonOpenstack

Services

PAM

Ctrl

Ubuntu

Controller

Firewall

Loadbalance

Firewall

Ubuntu Ubuntu

VDI Admin FW

Tenant 1

Internet User

PaaS AdminOST Admin3rd Party

OSD 1-n

Ubuntu

OSD 1-n

Ubuntu

OSD 1-n

Ubuntu

Ubuntu

Ubuntu

FUEL

Mongo Ctrl

UbuntuKVM

Mongo

Ubuntu

Ubuntu Ubuntu

ELK InfluxDBGrafana

Mongo

Ubuntu Ubuntu UbuntuKVM

UbuntuKVM

Ceilometer

IT S

ervi

ces

Datacenter Firew

all

Ubuntu

Tenant 2

Tenant 2

RHELRHELRHELRHELKVM

Storage / Ceph

Compute

App

Ceilo meter

Ceilo meter

LMADash LMA

OST Srv.

OST Srv.

Remote Session / On Premise

RZ Admin

Phyiscal Access

Firewall

Internal User

Secu

rity

Ser

vice

s

Config

Mgm

t(P

uppet)B

ackendN

TP /

DN

SVulnerability

ScannerSIEM

Ctrl

Threat Analyse – OpenStack IaaSRemote Access 3rd Party

Unclear roles and responsibilty

Isolation Failure

Malicious Input

Data Leakage

Malicious Insider

Software error

Insecure data storage

MisconfigurationDependency on other services


Threat Analyse Beispiel – OpenStack IaaS

Organisatorisch: Unklare Rollen und Verantwortlichkeiten

— „Dafür bin ich nicht zuständig“— „Ich dachte das macht…?“— „Tut mir leid wenn nach unserem Patch deine

Anwendung nicht mehr funktioniert…“

Beispielmaßnahme: RACI für Prozesse— Wer ist tatsächlich zuständig? (Responsible)— Wer hält den Kopf hin? (Accountable)— Wer wird vor einer Entscheidung mit

einbezogen? (Consulted)— Wer wird informiert weil er abhängig ist

(Informed)

— Hypervisor vulnerabilities— API— Shared Memory— Operating System vulnerabilities

Beispielmaßnahmen:— Systemüberwachung (HIDS)— Patching und Patch Management

Technisch: Fehlerhafte Isolation

Unterschiedlichste Arten von BedrohungenTechnisch, Organisatorisch, Prozesse, Menschlich,…


Risk Assessment – Beispiel einer Heat Map

Angelehnt an: ENISA - Cloud Computing Security Risk Assessment

R18: Undertaking malicious probes or scans

R28: Privilege escalation

R9: Isolation Failure

R10: MaliciousInsider -Abuse of high privilegedroles

R11:Management Interface Compromise

R23: Data protection risks


Security

Integration in CMDB

Erstellen von Backup und Disaster RecoveryPlänen und Strategien

Härtung der Host Systeme nach

öffentlichen StandardsInstallation einer Web

Application FirewallErstellung eines Rollen

und Rechtekonzepts

Host Intrusion Detection System für

Host SystemeNetwork Security

Monitoring

Definition eines Security Incident Response Plans

Maßnahmenkatalog - Beispiele

Identify Protect

Detect

Response

Recover


Threats zu MaßnahmenTop Threats

Maßnahmenkatalog

R9 Isolation failure

R10 Cloud provider malicious insider -

abuse of high privilege roles

R28 Privilege escalation

M1 Host Intrusion Detection System (z.B. OSSEC, Tripwire) auf NodesM2 Network Security Monitoring für AnomalieerkennungM3 Patch- und Configuration Management (z.B. Puppet)M4 Vulnerability Management (z.B. Nessus, OpenVAS, OVAL)M5 Network Zoning innerhalb der Tenants, getrennte L3 Netze für interne und externe Verbindungen

R11 Management interface compromise

(manipulation, availability of infrastructure)

R23 Data protection risks

R18 Undertaking malicious probes or scans

M6 4-Augen Prinzip für kritische Administrierung über PAM und VDIM7 Web Application Firewall zum Schutz von HorizonM8 Penetration testing der UmgebungM9 Security Operations Center IntegrationM10 SIEM Integration für Host und TenantsM11 APCD Maßnahmen gegen APTs

AdvancedPersistentCyber Defense a new approach to cyber security


Die Herausforderung – Professionalisierte AngriffeDie Bedrohung durch Cyberangriffe ist allgegenwärtig. Angriffe auf die IT-Systeme und Informationen von Unternehmen sind kein neues Phänomen. Angesichts der zunehmenden Häufigkeit, Aggressivität und technischen Ausgefeiltheit von Cyberattacken gewinnt ein wirksamer Schutz für den Erfolg und den Fortbestand einer Organisation jedoch immer mehr an Bedeutung – hohe Datenqualität und –sicherheit sind heute wesentliche Erfolgsfaktoren. Die Vielzahl an Gefährdungen und die verschiedenen Angreifertypen erfordern gezielte Maßnahmen sowie die richtige Kombination technischer und prozessualer Vorkehrungen.

Aktuelle Angriffe…

… verwenden Insiderwissen um auf möglichst direktem Wege an die sensiblen

Daten zu gelangen

… sind sehr „leise“

….sind vermehr gezielt und höchst individuell


Klassische Bedrohung vs. Klassische VerteidigungsmaßnahmenPerimeterschutz (Firewall, Anti-Virus etc).

Signaturbasierte Verteidigung (bspw. IDS)

Wir erkennen den Angreifer ,

spätestens „am Burgwall“ und

halten ihn dort auf !


basierend auf

— Anomalien

— Verhalten

— Datenströmen

— …

Advanced Persistent Threats (APT) –vs. Verteidigung 2.0Neue Bedrohungen durch fortgeschrittene Einzelaktionen und gezielte, langanhaltende, professionalisierte Angriffe.

Der Angreifer ist bereits da !

Neue Methoden und Techniken nachrüsten

5 Phasen Attacke von Angreifern

Die Verteidigung muss:!


Klassische Verteidigungsmaßnahmen

Die Grundidee: wir erkennen den Angreifer am „Burgwall“ und halten ihn dort auf, durch u.a. …• Perimeterschutz • Signaturbasiert

„Klassische“ Bedrohungen

Der Angreifer „klettert über den Burgwall“

Fortgeschrittene Verteidigung

Die Verteidigung muss mit neuen Techniken und Methoden nachrüsten – basierend auf Anomalien,

Verhalten, Datenströmen, etc.

Advanced Threats

Fortgeschrittene Einzelaktionen, gezielte, langanhaltende, professionalisierte Angriffe. Der

Angreifer „ist schon da“.

Maßnahmenbedarf

Bedrohungs-Entwicklung

Abwehrstrategien müssen modernisiert werden!


Aus Daten Informationen machen – Ein 360° Blick

Das „Lagebild“ ergibt sich aus dem Zusammenfassen und Interpretieren der Daten

2626

Das „Lagebild“ ergibt sich aus dem Zusammenfassen und Interpretieren

der Daten

Signaturen zur Geschwindigkeit

Daten zu Zeit und Strecke

Daten

Informationen

Wissen

Weisheit

Aus Daten Informationen machen - Ein360° Blick


Auf Informationen unverzüglich reagieren – It’s all aboutpreparation

Für eine gute „Cyber Threat Responsiveness“ müssen aus den Erkenntnissen Taten folgen


28

Basis- Architektur einer Advanced Persistent Cyber Defense

■ RequirementIdentification

■ Data Classification

■ Governance

■ Security Organisation

■ Security Management

■ Security Tools

■ General Infrastructure

■ IT Objects

Perimeter DefenseFirewalls, ACL, Anti-Virus, etc.

Cyber Threat ResponsivenessOrganisation, Processes, Trainings, Stresstesting

Cyber Threat DetectionData Analytics, SIEM, Intelligence■ Configuration based■ Signature based■ Anomalie based■ Event based

Eine fortgeschrittene und nachhaltige Abwehrstrategie bezieht ein ganzes Portfolio von spezifischen Informationen, Verfahren und Werkzeugen mit ein.


3

2

1

Managing: Wie erhalte ich die Qualität?

0 Identification: Wo stehen wir Problem und Bedarfsseitig?

Reaction: Wie gehe ich damit um?

Detection: Was geht vor?

Aufbau eines Advanced Cyber Defense Centers


31

Technische Basis-Architektur einer Advanced

Persistent Cyber Defense (APCD)

Zentrale Datenempfänger

Vorfilter

Datenversand mit Bordmitteln

Datengenerator

FilterEngin

e

Korrelations-Modul

Intelligence Information

Use-Case Teilereignisse

Reaktions-Modul

Korrelierte Use-Case-Ereignisse

Use-Case Direktereignisse

Aufbereitungs-modul

Reporting-modul

SMS

Mail

SOC

Adressaten

Überwachungsobjekte

Datenversender

Datengenerator

Eventversender

Datenerzeugung mit Bordmitteln

Vollablage für forensische

Auswertungen

ERP Data

IT Infrastructure-Data Tickets

ZusätzlicheInfo-Quellen

Cockpit


Th

reat

Inte

llige

nce

32

Beispiel APCD-Architektur für OpenstackEigenschaften der Referenzlösung

■ Einsatz von möglichst freier Software

■ Flexibilität bei Wachstum und bei der Technologieauswahl (je nach Erfahrungen im eigenen Betrieb)

Web ApplicationFirewall

IDS

NSM

HIDS

SIEM - Logdaten

Schwachstellen / Compliance Scanner

Security

Onion

Elasticsearch / Kibana Security Analytics / Dashboard

Security Operations Center


33

APCD Technologie ÜbersichtBeispielinhalte einer APCD Architektur

Technologie Auswahl ist exemplarisch und kann durch adäquate Alternativen ersetzt werden

HIDS-Einsatz der freien Lösung OSSEC

-Alternativ auch Tripwire

Threat Intelligence- Integration globaler/kommerzireller APT

Feeds möglich

Compliance - Validierung von Openstack Services

gegen den CIS Standard

Anomalieerkennung- Bro IDS, PRADS- Sandboxing mittels Cuckoo

SIEM – Logging-Monitoring-Auditing - Nutzung der LMA Komponenten auf

Basis des ELK Stacks

Vulnerability Assessment- Regelmäßige Auditierung aller

Openstack Services

Web Application Firewall- Schutz von Horizon

- Nutzung der OWASP Top 10 Regeln

IDS-Nutzung von Snort oder Suricata IDS

-Integration kommerzieller Feeds möglich

Security Analytics Software- Security Onion( Squert,Elsa)

-Kibana- Nessus


...

HorizonOpenstack

Services

PAM

Ctrl

Ubuntu

Controller

Firewall

Loadbalance

Firewall

Ubuntu Ubuntu

VDI Admin FW

Tenant 1

Internet User

PaaS AdminOST Admin3rd Party

OSD 1-n

Ubuntu

OSD 1-n

Ubuntu

OSD 1-n

Ubuntu

Ubuntu

Ubuntu

FUEL

Mongo Ctrl

UbuntuKVM

Mongo

Ubuntu

Ubuntu Ubuntu

ELK InfluxDBGrafana

Mongo

Ubuntu Ubuntu UbuntuKVM

UbuntuKVM

Ceilometer

IT S

ervi

ces

Datacenter Firew

all

Ubuntu

Tenant 2

Tenant 2

RHELRHELRHELRHELKVM

Storage / Ceph

Compute

App

Ceilo meter

Ceilo meter

LMADash LMA

OST Srv.

OST Srv.

Remote Session / On Premise

RZ Admin

Phyiscal Access

Firewall

Internal User

Secu

rity

Ser

vice

s

Config

Mgm

t(P

uppet)B

ackendN

TP /

DN

SVulnerability

ScannerSIEM

Ctrl

APCD Architektur– OpenStack IaaS

OSSEC OSSEC OSSEC OSSEC

OSSECOSSEC

OSSEC

WAF

SIEM

Nessus

SanboxSecurity Onion

External Threat

Intelligence


Angriff Erkennung&

…geht nicht? Hier zum Backup…


Lessons learned – Verbesserungen APCD Lösung

Verbesserung der Analytics Fähigkeiten (z.B. Splunk, Jasper)1

Integration von selbstlernenden Mechanismen2

Orchestrierung der Sicherheitskomponenten3

Optimierung der Filterregeln4

Incident Handling/ Alerting ermöglichen bzw. verbessern5

Schnittstellen für kommerzielle Lösungen (Bsp. RSA Archer)6

Integration der Überwachung von Tenants7


Lessons learned – Sicherheits Maßnahmen

Frontend von der Umgebung trennen (Horizon auf einen anderen Host)1

Web Application Firewall im Blocking mode2

Keine Klartextpasswörter in Dateien (Integration HSM)3

Rechte der Service User (mysql, www, etc.) maximal einschränken4

APCD – Lösung Anomalie Erkennung5

Regelmäßige (automatisierte) Überprüfung auf Schwachstellen6

Manuelle Zugriffe auf die Systeme auf Notfalluser beschränken 7

Konfigurationen orchestrieren (Configuration Management) durch Tools wie Puppet oder Chef8


Zusammenfassung

Erstellen Sie ein auf ihren Betrieb zugeschnittenes Sicherheitskonzept

Schützen Sie ihre Openstack Umgebung mit einer APCD Architektur

Schaffen Sie Lösungen fürbekannte OpenstackSchwächen

Wenden Sie existierendeBest Practice Regelungenfür den sicheren Betriebvon Openstack an

Schulen Sie ihr SOC Teamim Umgang mit (APT)Angriffen

Maßnahmen in der Übersicht! Welche Empfehlungen haben wir an die

Community1

2

3

4

5

www.kpmg.de/socialmedia

Die enthaltenen Informationen sind allgemeiner Natur und nicht auf die spezielle Situation einer Einzelperson oder einer juristischen Person ausgerichtet. Obwohl wir uns bemühen, zuverlässige und aktuelle Informationen zu liefern, können wir nicht garantieren, dass diese Informationen so zutreffend sind wie zum Zeitpunkt ihres Eingangs oder dass sie auch in Zukunft so zutreffend sein werden. Niemand sollte aufgrund dieser Informationen handeln ohne geeigneten fachlichen Rat und ohne gründliche Analyse der betreffenden Situation.

© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative („KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten.

www.kpmg.de

Vielen Dank für ihre Aufmerksamkeit

Vojislav Kosanovic

Senior Manager, Cyber Security

T +49 174 344 6646

[email protected]

KPMG AG Wirtschaftsprüfungsgesellschaft

Alfredstr. 27745133 Essen

Christian Nordlohne

Assistant Manager, Cyber Security

T +49 151 2158 2333

[email protected]

KPMG AG Wirtschaftsprüfungsgesellschaft

Alfredstr. 277

45133 Essen

Documents

Sicherheit (in) der Openstack Cloud · Deutsche OpenStack Tage 21 - 22.06.2016 Agenda – Sicherheit von OpenStack I Gegenstand dieses Vortrags III Input und Themen IV Sicherheit