1. SecTXL 22.11.2011 twitter: @boosc
Standardisierung funktioniert
nicht Akt III – Sicherheit

2. Akt III ?

3. Akt III ?
Akt I
Software / Entwicklung
Akt II
Systembetrieb /
IT Service Management

4. Was hat Sicherheit mit
Standardisierung zu tun?
Sicherheit 1.0
Sicherheit für kleine Diktatoren
Agenda Willkommen in der echten Welt…
Was hat das mit Cloud zu tun?
Sicherheit 2.0
Ergebnis, nicht Mehrode
Wie setzt man das um?

5. Was hat Sicherheit mit
Standardisierung zu tun?

6. Kontrolle war alles!

7. Fehler machen war verboten!!!

8. Prozeduren und andere
Arbeitsvorschriften waren das
Allheilmittel

9. Sicherheit 1.0
Sicherheit für kleine Diktatoren

10. Perimeter Sicherheit
Physikalisch
Digital

11. Software Stack
Standard ist, was ich mir
denke
Eine Grenze, die man nicht
bewachen kann.

12. Governance
Niemals ist jemand
verantwortlich
Lange Entscheidungswege
und trotzdem Security
by Obscurity

13. Datenschutz
Informationelle
Selbstbestimmung ist, wenn
niemand meine Daten hat,
oder???

14. Willkommen in der
echten Welt

15. Software Design
Vielfalt ersetzt die Standards

16. BASE
Basically Available, Soft State,
Eventually Consistent

17. Zero Downtime Deployment

18. Technologie ohne
Entscheidungswege aber mit
direktem Feedback

19. Netzwerk Sicherheit
oder wie der Leichtsinn die Welt
regiert

20. Data Seepage ist gefährlicher
als direkte Angriffe

21. Das Risiko liegt in der
Anwendung

22. Sind Sie Papst?
Glauben Sie wirklich,
ausgehenden Traffic
dauerhaft kontrollieren zu
können

23. Datenschutz
ist eine Illusion

24. Facebook ist die drittgrößte
„Nation“ auf unserer Erde
Und keiner hat die
Benutzer gezwungen daran
teilzunehmen

25. Datenauswertung
Empfehlungen und virale
Methoden werden als
Mehrwert wahrgenommen

26. Überraschung….
Gesetzliche Restriktionen
interessieren die Benutzer
nicht

27. Was hat das mit Cloud zu tun?

28. Cloud ist BASE

29. Private Cloud
Dort, wo man immer noch
alles kontrollieren kann
Das ist nur ein
Zwischenschritt

30. Wer redet von Standards?
Wir können uns ja kaum auf
Betriebssysteme einigen…

31. Clouds funktionieren mit
Bausteinen und APIs
Das bedeutet
Standardisierung des
absoluten Minimums

32. Security 2.0
Wenn man das Ergebnis und nicht die
Methode vorschreibt

33. Wenn Sie IaaS als Migrationsprojekt machen…
…ändern Sie
nichts an Ihrer
Security Policy
und ersetzen Sie
Ihre alten
Firewalls durch
Technologien
wie vShield

34. Datenschutz ist eine Sache des Bewusstseins
…nur wenn
Menschen einen
Mehrwert sehen,
halten sie sich
daran…

35. Unternehmen bestehen
übrigens aus Menschen
2011
2010
1999 2009
1998 2006
2007
1996
1995

36. Netzwerksicherheit in der Cloud

37. Nutzen Sie Cloud und Crowd
Security Services

38. Standards beschreiben nicht das
Wie, sondern das Was?
Das ist eine Policy
Sagen Sie nicht wie etwas
implementiert werden soll,
sondern WAS das Ergebnis
sein muss (z.B. Web Server
dürfen nur einen offenen Port
haben)

39. Sicherheit in verteilten
Systemen duldet keine
Flaschenhälse
Also verzichten Sie auf
Konzepte wie zentrale
Firewalls, zentrale Scanner
oder Proxy Server

40. Sicherheit durch Software Design

41. Echte Cloud Applikationen sind
mehr als die Virtualisierung ihrer
Vorgänger
Der Unterschied ist
mehr als Abrechnung

42. Sessions gehören NICHT in den
Applikationsserver
Wenn wir schon dabei sind,
vergessen Sie Sessions
einfach…

43. Applikationen müssen ihren
Workflow kennen

44. Konsistenz und Verfügbarkeit
dürfen zu keiner Zeit einfach
angenommen werden.

45. Governance

46. Policies vs. Standards
Policies müssen in jeder
Umgebung anwendbar sein

47. Vergessen Sie Schuld!
Fehler passieren. Wie in der
Cloud Entwicklung,
planen Sie so, dass Fehler
machen erlaubt ist und dass
Verantwortung übernehmen
nicht schmerzt

48. Von „Cover Your Arse“
nach „Solve the Problem“

49. Und wie soll man so
etwas umsetzen?

50. Policies automatisch
überwachen
Wissensbasiert an Stelle von
skriptbasiert.
Dokumentiert an Stelle von
philosophiert.

51. Ablaufschemata von
Applikationen verlangen
Endliche Automaten –
Alles was nicht erlaubt ist,
ist verboten
APIs absichern

52. Automatische Datenerhebung
erlaubt neue Aussagen und
Analysen
Was war erfolgreich, was
nicht?
Handelt es sich um eine
Langzeitattacke
Deal with Data Seepage

53. Intern modern arbeiten…

54. Photo Credits
Folie 6: ltz / stock.xchng Folie 28: Dominic's pics / flickr
Folie 7: a_b Oli R / flickr Folie 29: Dominic's pics / flickr
Folie 8: float / stock.xchng Folie 31: jaja_1985 / flickr
Folie 10: Library of Congress, LC-USW36-180 / flickr Folie 37: cleomedes / stock.xchng
Folie 11: Library of Congress, LC-USW36-840 / flickr Folie 38: mrbill / flickr
Folie 12: mikkosoft / stock.xchng Folie 39: mmagallan / stock.xchng
Folie 13: jurvetson / flickr Folie 41: kipcurry / stock.xchng
Folie 16: float / stock.xchng Folie 42: float / stock.xchng
Folie 17: float / stock.xchng Folie 43: float / stock.xchng
Folie 18: float / stock.xchng Folie 44: Dominic's pics / flickr
Folie 20: float / stock.xchng Folie 47: Milosz1 / flickr
Folie 21: float / stock.xchng Folie 48: 802 / flickr
Folie 22: float / stock.xchng Folie 50: Dominic's pics / flickr
Folie 24: fuzzcat / flickr Folie 51: createsima / stock.xchng
Folie 25: WageIndicator - Paulien Osse / flickr Folie 52: float / stockxchng
Folie 26: todorov40 / stock.xchng Folie 53: evhead / flickr

55. Vielen Dank für Ihre Zeit
arago AG
Hans-Christian Boos
Eschersheimer Landstr. 526 - 532
60433 Frankfurt am Main
Tel: +49 (0) 69 405 680
Mail: boos@arago.de
www.arago.de
www.hcboos.net