securely moving your business into the cloud
play

Securely Moving Your Business Into the Cloud Alex Stamos - PowerPoint PPT Presentation

Jun 01, 2023 •416 likes •793 views

Securely Moving Your Business Into the Cloud Alex Stamos Partner Takeaways Current conventional wisdom on cloud computing is missing the point You cannot

  1. Securely Moving Your Business Into the Cloud ¡ Alex ¡Stamos ¡ Partner ¡ ¡ ¡

  2. Takeaways ’ Current ¡conventional ¡wisdom ¡on ¡cloud ¡computing ¡is ¡ missing ¡the ¡point ¡ ’ You ¡cannot ¡securely ¡move ¡into ¡the ¡cloud ¡without ¡re-­‑ writing ¡your ¡software ¡ ’ Secure ¡cloud ¡applications ¡“collapse ¡the ¡perimeter” ¡ ’ Properly ¡going ¡through ¡this ¡process ¡should ¡leave ¡you ¡ more ¡secure ¡than ¡before ¡ 2 ¡

  3. Convention Wisdom ’ Best ¡reflected ¡in ¡work ¡of: ¡ ’ Cloud ¡Security ¡Alliance ¡ ’ ENISA ¡Cloud ¡Computing ¡Report ¡ ’ Lots ¡of ¡focus ¡on ¡multi-­‑tenant ¡risk, ¡little ¡focus ¡on ¡ operational ¡changes ¡ ’ Still ¡worth ¡reading, ¡but ¡somewhat ¡reflect ¡application ¡ of ¡2003 ¡compliance ¡standards ¡to ¡new ¡paradigm ¡ 3 ¡

  4. Keeping It Real ’ What ¡are ¡the ¡realistic ¡threats ¡to ¡cloud ¡computing? ¡ Loss ¡of ¡credentials ¡via ¡attacks ¡against ¡individuals ¡ 1. Spear-­‑Phishing, ¡malware, ¡rubber ¡hose ¡ ’ Gain ¡access ¡to ¡(under ¡EC2): ¡ ’ List ¡of ¡machines ¡ ’ Persistent ¡Storage ¡(EBS, ¡SDB ¡and ¡S3) ¡ ’ Consoles ¡ ’ Don’t ¡automatically ¡get ¡access ¡to: ¡ ’ Running ¡machine ¡state/memory ¡ ’ Login ¡credentials ¡ ’ Non-­‑persistent ¡storage ¡ ’ 4 ¡

  5. Keeping It Real 2. Operational ¡security ¡breakdown ¡ Going ¡from ¡50 ¡machines/sysadmin ¡to ¡500 ¡is ¡life-­‑ ’ changing ¡ Need ¡to ¡plan ¡from ¡the ¡start ¡your ¡security ¡process ¡ ’ Patching ¡ ’ Hardening ¡ ’ Identity ¡management ¡ ’ Logging ¡ ’ Application ¡identification ¡ ’ Distribution ¡of ¡secure ¡files ¡ ’ Forensics ¡and ¡IR ¡ ’ This ¡is ¡where ¡a ¡direct ¡port ¡to ¡the ¡cloud ¡kills ¡you ¡ ’ 5 ¡

  6. Keeping It Real 3. ¡ ¡ ¡Misuse ¡of ¡new ¡cloud ¡technologies ¡ Security ¡promises ¡of ¡new ¡technologies ¡aren’t ¡well ¡ ’ understood ¡ i.e. ¡Access ¡control ¡in ¡Hadoop ¡ ’ Easy ¡to ¡poorly ¡architect ¡system ¡ ’ Easy ¡to ¡downgrade ¡security ¡via ¡change ¡ ’ Security ¡zones ¡in ¡AWS ¡ ’ vShield ¡zones ¡in ¡VMW ¡based ¡cloud ¡ ’ 6 ¡

  7. Silly Concerns ’ Physical ¡datacenter ¡security ¡ ¡ ’ Side-­‑channel ¡attacks ¡ ¡ 7 ¡

  8. Efficiency is Unbeatable ’ Cloud ¡and ¡virtualization ¡technologies ¡are ¡ unstoppable ¡from ¡a ¡power/cost ¡efficiency ¡standpoint ¡ http://www.google.com/corporate/green/datacenters/summit.html 8 ¡

  9. Custom Hardware… 9 ¡

  10. …is becoming commoditized 10 ¡

  11. You too can own a box o’ servers! 11 ¡

  12. The future datacenter will have less: ’ Centralized ¡fault-­‑tolerant ¡storage ¡ ’ Clarions ¡are ¡the ¡least ¡cost ¡effective ¡devices ¡ever ¡ purchased ¡by ¡IT ¡ ’ Dedicated, ¡specialized ¡servers ¡ ’ 64 ¡core ¡DB ¡server ¡ ’ Dedicated, ¡specialized ¡network ¡equipment ¡ ’ Lots ¡of ¡cheap ¡boxes ¡in ¡my ¡critical ¡path ¡ ’ Create ¡physical ¡networking ¡complexity, ¡reduce ¡ flexibility ¡ ’ Generic ¡abstraction ¡layer ¡between ¡DC ¡and ¡hardware ¡ ’ Standard ¡square ¡hole ¡rack, ¡110v, ¡cold/hot ¡aisles ¡ 12 ¡

  13. Before You Move, Ask… ’ Why ¡are ¡you ¡moving ¡into ¡the ¡cloud? ¡ ’ Performance ¡ ’ Cost ¡ ’ Security ¡ ’ What ¡security ¡promises ¡are ¡you ¡making? ¡ “Users ¡will ¡not ¡be ¡able ¡to ¡access ¡the ¡medical ¡records ¡of ¡ patients ¡belonging ¡to ¡other ¡medical ¡institutions.” ¡ ’ Access ¡controls ¡in ¡web ¡logic ¡ ’ Encryption ¡of ¡PII ¡with ¡per-­‑doctor ¡key ¡ ’ Secure ¡coding ¡ ¡ 13 ¡

  14. Traditional 3-Tier Architecture Internet Load ¡Balancers LBs Corp Web ¡VLAN Web ¡Servers Backup S Logging B App ¡Server ¡VLAN App ¡Servers DB ¡VLAN 14 ¡

  15. Physical configuration 1G ¡DB Power Supply 1 Power Supply 2 Catalyst 6500 SERIES 15 ¡

  16. What are we getting from this design? ’ Network ¡segmentation ¡ ’ Control ¡traffic ¡ ’ SSH ¡ ’ SNMP ¡ ’ RDP ¡ ’ File ¡services ¡ ’ Production ¡traffic ¡ ’ Internal ¡app ¡server ¡ports ¡ ’ DB ¡connections ¡ ’ Network ¡configuration ¡simplicity ¡ ’ Slicing ¡up ¡internal ¡VLANs ¡ ¡ ’ No ¡on-­‑machine ¡firewall, ¡just ¡IP ¡config ¡ 16 ¡

  17. What is enforcing our segmentation? ’ Custom ¡OS ¡on ¡Routers ¡ ’ ACLs ¡ ’ Routes ¡ ’ Custom ¡OS ¡no ¡Switches ¡ ’ VLANs ¡ ’ Port ¡Security ¡ ’ L3 ¡ACLs? ¡ ’ Custom ¡OS ¡on ¡Firewalls ¡ ’ Stateful ¡rules ¡ ’ VPN ¡ ’ IDP? ¡ 17 ¡

  18. Does this still make sense? Internet Tradi&onal ¡Exploit ¡ Load ¡Balancers LBs Web ¡Exploit ¡ Corp Web ¡VLAN Web ¡Servers Backup S Logging B App ¡Server ¡VLAN App ¡Servers DB ¡VLAN 18 ¡

  19. “Traditional Cloud Architecture” Web ¡Security ¡Group DB ¡Security ¡Group Web ¡Servers Backup SNMP Support ¡Group App ¡Security ¡Group App ¡Servers Logging Bastion 19 ¡

  20. Problems with the “Traditional Cloud” ’ Classical ¡network ¡segmentation ¡now ¡harder ¡ ’ Per-­‑tier ¡scalability ¡is ¡problematic ¡ ’ Relies ¡on ¡manual ¡creation ¡of ¡relationships ¡ ’ How ¡does ¡the ¡proxy ¡server ¡find ¡the ¡app ¡server? ¡ ’ How ¡does ¡the ¡app ¡server ¡authenticate ¡to ¡the ¡DB? ¡ ’ DB ¡performance ¡will ¡be ¡pretty ¡bad ¡ 20 ¡

  21. What is the alternative? ’ Go ¡Flat ¡ ’ Collapse ¡the ¡Perimeter ¡ ’ Use ¡cloud ¡glue ¡services ¡ ’ Enforce ¡access ¡control ¡via ¡cryptography ¡ 21 ¡

  22. Go Flat 10G ¡Uplink 22 ¡

  23. Why Go Flat? 23 ¡

  24. Why Go Flat? http://www.nyquistcapital.com/2007/11/16/googles-secret-10gbe-switch/ 24 ¡

  25. Collapse the Perimeter ’ Per-­‑OS ¡or ¡Per-­‑Hypervisor ¡ ¡Software ¡Firewall ¡ ’ Software ¡load ¡balancer ¡with ¡TLS ¡termination ¡ ’ Use ¡secure ¡control ¡protocols ¡for ¡top-­‑down ¡ management ¡ ’ Per-­‑device ¡PKI ¡ ¡ 25 ¡

  26. Can I Trust a Software Firewall? ’ Worried ¡about ¡outside ¡access, ¡use ¡routing ¡to ¡segment ¡ internal ¡and ¡external ¡systems ¡ ¡ ’ Can ¡use ¡separate ¡broadcast ¡domain/physical ¡network ¡for ¡public ¡ IPs ¡ ’ Cannot ¡trust ¡for ¡egress ¡filtering. ¡ ¡Use ¡static ¡routes ¡to ¡limit ¡ access ¡for ¡private ¡IPs ¡to ¡proxy ¡servers ¡ ’ Can ¡still ¡have ¡non-­‑blocking ¡IDS, ¡although ¡speed ¡is ¡a ¡ problem ¡ ’ Need ¡to ¡treat ¡every ¡machine ¡as ¡a ¡secure ¡individual ¡unit ¡ 26 ¡

  27. Overlay Networks ’ Another ¡option ¡if ¡you ¡don’t ¡trust ¡your ¡network: ¡ overlay ¡IPsec ¡ ’ Easy ¡with ¡OpenBSD, ¡KAME ¡tools ¡on ¡Linux ¡ ’ Need ¡per-­‑host ¡certificate ¡ ’ No ¡easy ¡open-­‑source ¡option ¡right ¡now ¡ 27 ¡

  28. Use Cloud Glue Services ’ Variable ¡scalability ¡means ¡loosely ¡coupled ¡ applications ¡ ’ Can ¡use: ¡ ’ Asynchronous ¡web ¡service ¡calls ¡ ’ Message ¡bus ¡ ’ Cloud ¡provided ¡Queuing ¡Service ¡(like ¡SQS) ¡ 28 ¡

  29. Loosely Coupled h3p://media.amazonwebservices.com/AWS_Cloud_Best_Prac&ces.pdf ¡ 29 ¡

  30. Database Replacement ’ Running ¡single-­‑instance ¡MySQL ¡is ¡bound ¡to ¡ disappoint ¡ ¡ ’ What ¡are ¡your ¡real ¡data ¡consistency ¡requirements? ¡ ’ If ¡you ¡use ¡memcached ¡already, ¡then ¡answer ¡is ¡“none” ¡ ’ Lots ¡of ¡great ¡work ¡on ¡NoSQL ¡DBs ¡ ’ Document ¡Store ¡ ’ Name/Value ¡ ¡ BigTable SimpleDB ¡ 30 ¡ ¡

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

Connecting IoT appliances securely to the cloud (eap-noob) Tuomas Aura, Aalto University,

Connecting IoT appliances securely to the cloud (eap-noob) Tuomas Aura, Aalto University,

Connecting IoT appliances securely to the cloud (eap-noob) Tuomas Aura, Aalto University, Finland joint work with Mohit Sethi, Ericsson, and others Connecting devices to cloud Cloud IoT appliances Internet User Authenticated key

528 views • 17 slides
Embark: Securely Outsourcing Middleboxes to the Cloud Chang Lan, Justine Sherry, Raluca Ada

Embark: Securely Outsourcing Middleboxes to the Cloud Chang Lan, Justine Sherry, Raluca Ada

Embark: Securely Outsourcing Middleboxes to the Cloud Chang Lan, Justine Sherry, Raluca Ada Popa, Sylvia Ratnasamy, Zhi Liu UC Berkeley Tsinghua University 1 Background Middleboxes are prevalent and problematic Number of Middleboxes

1.31k views • 44 slides
Embark: Securely Outsourcing Middleboxes to the Cloud Chang Lan, Justine Sherry, Raluca Ada

Embark: Securely Outsourcing Middleboxes to the Cloud Chang Lan, Justine Sherry, Raluca Ada

Embark: Securely Outsourcing Middleboxes to the Cloud Chang Lan, Justine Sherry, Raluca Ada Popa, Sylvia Ratnasamy, Zhi Liu UC Berkeley Tsinghua University 1 Background Middleboxes are prevalent and problematic Number of Middleboxes

572 views • 40 slides
Whats The Next Big Thing in Telecom & IT? Cloud DaaS Desktop as a Service

Whats The Next Big Thing in Telecom & IT? Cloud DaaS Desktop as a Service

Whats The Next Big Thing in Telecom & IT? Cloud DaaS Desktop as a Service Supercharge Your Desktop! Cloud IaaS Infrastructure as a Service Cloud Computing Work Smarter in the Cloud Cloud Single Sign-On Securely Access Many

627 views • 19 slides
Moving Large Workloads from a Public Cloud to an OpenStack Private Cloud: Is It Really Worth It?

Moving Large Workloads from a Public Cloud to an OpenStack Private Cloud: Is It Really Worth It?

Moving Large Workloads from a Public Cloud to an OpenStack Private Cloud: Is It Really Worth It? April 7th, 2016 Nicolas Brousse | Sr. Director Of Operations Engineering | nicolas@tubemogul.com Who are we? An enterprise software company for

372 views • 24 slides
Cloud based systems that can help you grow your business Some of the cloud based tools we use at

Cloud based systems that can help you grow your business Some of the cloud based tools we use at

Cloud based systems that can help you grow your business Some of the cloud based tools we use at Business Connected Dashlane Crunchboards Trello icloud Adobe Creative Cloud Proposify Receipt Bank Maxmail Dropbox Go to Meeting Mailchimp

328 views • 21 slides
Moving SNE to the Cloud RP1i3 Sudesh Jethoe http://www.openstack.org/assets/openstack-logo/

Moving SNE to the Cloud RP1i3 Sudesh Jethoe http://www.openstack.org/assets/openstack-logo/

Moving SNE to the Cloud RP1i3 Sudesh Jethoe http://www.openstack.org/assets/openstack-logo/ Overview 1. Research Question 2. What's a cloud? 3. Cloud frameworks 4. OpenStack 5. Method 6. Problems 7. Conclusion 8. Discussion 9. Questions

432 views • 25 slides
AAMVA Region I Conference E-ID, DLDV, and Privacy Conducting Business Securely July 15, 2013

AAMVA Region I Conference E-ID, DLDV, and Privacy Conducting Business Securely July 15, 2013

The Imperative for High Assurance Credentials: State Identity Credential and Access Management (SICAM) Guidance and Roadmap AAMVA Region I Conference E-ID, DLDV, and Privacy Conducting Business Securely July 15, 2013 Chad Grant, Senior

659 views • 18 slides
Moving ERP Systems to the Cloud Trends, Risks and Strategies for Successful Deals Marina G.

Moving ERP Systems to the Cloud Trends, Risks and Strategies for Successful Deals Marina G.

Moving ERP Systems to the Cloud Trends, Risks and Strategies for Successful Deals Marina G. Aronchik Agenda 1. TRENDS in ERP 2. CLOUD ERP contracts 2 1 Part I TRENDS IN ERP Key Terms ERP (Enterprise Resource Planning) software is

237 views • 9 slides
Nico Uys Cloud Business Line Manager 1 Recent SAP on cloud projects Lessons learned

Nico Uys Cloud Business Line Manager 1 Recent SAP on cloud projects Lessons learned

SAP in the cloud, do it right. Nico Uys Cloud Business Line Manager 1 Recent SAP on cloud projects Lessons learned Agenda Automation of the cloud Zag and our services Summary Q & A 2 Interesting Cloud Facts 1.

271 views • 23 slides
The Cloud for Modern Business Marius Filipas Cloud + Enterprise Business Group Lead Enterprise

The Cloud for Modern Business Marius Filipas Cloud + Enterprise Business Group Lead Enterprise

The Cloud for Modern Business Marius Filipas Cloud + Enterprise Business Group Lead Enterprise leaders are reimagining their businesses 7 in 10 enterprises are 54 % Outperforming CxOs believe 70 of % social/digital interaction is the more

534 views • 49 slides
CS5412: THE CLOUD VALUE PROPOSITION Lecture XXII Ken Birman Cloud Hype 2 The cloud is

CS5412: THE CLOUD VALUE PROPOSITION Lecture XXII Ken Birman Cloud Hype 2 The cloud is

Cornell CS5412 Cloud Computing (Spring 2015) 1 CS5412: THE CLOUD VALUE PROPOSITION Lecture XXII Ken Birman Cloud Hype 2 The cloud is cheaper! The cloud business model is growing at an unparalleled pace without any limit in sight

632 views • 45 slides
CS5412: THE CLOUD VALUE PROPOSITION Lecture XXII Ken Birman Cloud Hype 2 The cloud is

CS5412: THE CLOUD VALUE PROPOSITION Lecture XXII Ken Birman Cloud Hype 2 The cloud is

1 CS5412: THE CLOUD VALUE PROPOSITION Lecture XXII Ken Birman Cloud Hype 2 The cloud is cheaper The cloud business model is growing at an unparalleled pace without any limit in sight In the future everything will be on the cloud

945 views • 65 slides
Introduction to Web Development with R moving to the cloud... Jeroen Ooms

Introduction to Web Development with R moving to the cloud... Jeroen Ooms

What is a Web Application Web Application Design Phoenix Server Extra slides Introduction to Web Development with R moving to the cloud... Jeroen Ooms http://www.stat.ucla.edu/~jeroen UCLA Dept. of Statistics Revolution Analytics useR

1.01k views • 34 slides
IBM Softlayer Chris Martin Cloud Channel Manager Cloud computing can help business and IT create

IBM Softlayer Chris Martin Cloud Channel Manager Cloud computing can help business and IT create

IBM Softlayer Chris Martin Cloud Channel Manager Cloud computing can help business and IT create and deliver value in fundamentally new ways. Business value Enable new business models Deliver IT without and client relationships boundaries

168 views • 12 slides
cloud platform for sap business one Cloudiax is the fully managed cloud platform From 35 per

cloud platform for sap business one Cloudiax is the fully managed cloud platform From 35 per

cloud platform for sap business one Cloudiax is the fully managed cloud platform From 35 per user per month* no setup costs for SAP Business One MS SQL and SAP HANA. SQL and SAP HANA the same price Both RDP and HTML5 web client

411 views • 11 slides
SIIT-DC: IPv4 Service Contjnuity for IPv6 Data Centres Tore Anderson Redpill Linpro AS UKNOF36,

SIIT-DC: IPv4 Service Contjnuity for IPv6 Data Centres Tore Anderson Redpill Linpro AS UKNOF36,

SIIT-DC: IPv4 Service Contjnuity for IPv6 Data Centres Tore Anderson Redpill Linpro AS UKNOF36, London, January 2017 Incremental IPv6 deployment in DC IPv4-only IPv4-only + IPv6 via NAT/proxy/etc Dual-stacked public frontend, IPv4 BE Full

550 views • 15 slides
Challenges in Mining Whole Software Universe Katsuro Inoue Osaka University Software

Challenges in Mining Whole Software Universe Katsuro Inoue Osaka University Software

Challenges in Mining Whole Software Universe Katsuro Inoue Osaka University Software Engineering Laboratory, Department of Computer Science, Graduate School of Information Science and Technology, Osaka University Analyzing Evolution of

450 views • 19 slides
TMS Bobcats want to say... Ron Melton Anna Palumbos Grandpa Jeanie Melton Anna Palumbos

TMS Bobcats want to say... Ron Melton Anna Palumbos Grandpa Jeanie Melton Anna Palumbos

TMS Bobcats want to say... Ron Melton Anna Palumbos Grandpa Jeanie Melton Anna Palumbos Grandma Chad Solomon Anthony Solomons Family Ronald Palumbo Anna Palumbos Grandpa Adam Labotka Allison Labotkas Father Bradley Baker Family

537 views • 17 slides
National Leadership Area National Leadership Area Reading and Language Mastery The Forums

National Leadership Area National Leadership Area Reading and Language Mastery The Forums

National Leadership Area National Leadership Area Reading and Language Mastery The Forums Advisory Advisory Panel Panel Dr. Elfrieda H. Hiebert, University of California at Berkeley, Dr. M. Susan Burns, George Mason University.

414 views • 9 slides
IPv6 Protocol IPv6 Protocol Does it solve all the security problems of IPv4? Franjo Majstor

IPv6 Protocol IPv6 Protocol Does it solve all the security problems of IPv4? Franjo Majstor

IPv6 Protocol IPv6 Protocol Does it solve all the security problems of IPv4? Franjo Majstor EMEA Consulting Engineer fmajstor@cisco.com Cisco Systems, Inc. 1 fmajstor@cisco.com, IPv6 Security Agenda IPv6 Primer IPv6 Protocol

241 views • 21 slides
The adventures of a Suricate in eBPF land . Leblond Stamus Networks Oct. 6, 2016 . Leblond

The adventures of a Suricate in eBPF land . Leblond Stamus Networks Oct. 6, 2016 . Leblond

The adventures of a Suricate in eBPF land . Leblond Stamus Networks Oct. 6, 2016 . Leblond (Stamus Networks) The adventures of a Suricate in eBPF land Oct. 6, 2016 1 / 41 Introduction to Suricata 1 Whats this ? A few words on

848 views • 56 slides
Centralized user management and Single Sign On for the WeNMR gateway through the WeNMR Virtual

Centralized user management and Single Sign On for the WeNMR gateway through the WeNMR Virtual

Centralized user management and Single Sign On for the WeNMR gateway through the WeNMR Virtual Research Community Marc van Dijk , Andrea Giachetti, Marco Verlato, Antonio Rosato, Alexandre Bonvin EGI Technical Forum 2012 zondag 16 september 12

413 views • 13 slides
Embracing Diversity: OS Support for Integra9ng High- Performance

Embracing Diversity: OS Support for Integra9ng High- Performance

Embracing Diversity: OS Support for Integra9ng High- Performance Compu9ng and Data Analy9cs Ron Brightwell Scalable System SoEware Department Workshop

411 views • 16 slides

More recommend