Status and challenges of security in distributed compu6ng - - PowerPoint PPT Presentation

status and challenges of security in distributed compu6ng
SMART_READER_LITE
LIVE PREVIEW

Status and challenges of security in distributed compu6ng - - PowerPoint PPT Presentation

Dec 25, 2023 326 likes •570 views

Status and challenges of security in distributed compu6ng Sebas&an Lopienski CERN Deputy Computer Security Officer (with input from S.Lueders and

slide-1
SLIDE 1

Status ¡and ¡challenges ¡of ¡security ¡ in ¡distributed ¡compu6ng ¡

Sebas&an ¡Lopienski ¡

CERN ¡Deputy ¡Computer ¡Security ¡Officer ¡

¡

(with ¡input ¡from ¡S.Lueders ¡and ¡R.Wartel) ¡

¡

ISGC ¡2011, ¡台北 台湾 ¡

slide-2
SLIDE 2

Fancy ¡learning ¡some ¡Chinese? ¡

¡ ¡ ¡woman ¡

¡

¡ ¡security ¡

¡ ¡(woman ¡under ¡a ¡roof) ¡

女 ¡ 安 ¡

slide-3
SLIDE 3

Status ¡and ¡challenges ¡of ¡security ¡ in ¡distributed ¡compu6ng ¡

Sebas&an ¡Lopienski ¡

CERN ¡Deputy ¡Computer ¡Security ¡Officer ¡

¡

(with ¡input ¡from ¡S.Lueders ¡and ¡R.Wartel) ¡

¡

ISGC ¡2011, ¡台北 台湾 ¡

slide-4
SLIDE 4

Outline ¡

  • Why ¡we ¡are ¡aMacked ¡
  • Typical ¡aMacks ¡ ¡
  • … ¡and ¡defense ¡
  • More ¡on ¡virtualiza&on ¡
  • … ¡and ¡cloud ¡compu&ng ¡

4 ¡

slide-5
SLIDE 5

Why ¡we ¡are ¡aMacked? ¡

5 ¡

slide-6
SLIDE 6

Global ¡aMen&on ¡

“I'm ¡contac6ng ¡you ¡due ¡several ¡security ¡flaws ¡in ¡the ¡ structure ¡about ¡the ¡Large ¡Hadron ¡Collider, ¡including ¡the ¡ website ¡wich ¡seems ¡to ¡be ¡connected ¡somehow ¡with ¡the ¡ core ¡of ¡the ¡system ¡and/or ¡the ¡LHC ¡itself. ¡[…] ¡We ¡are ¡ interested ¡in ¡solve ¡this ¡issue, ¡and ¡cover ¡this ¡with ¡the ¡ press ¡if ¡it ¡wouldn't ¡represent ¡an ¡issue ¡for ¡you.” ¡

6 ¡

slide-7
SLIDE 7

How ¡serious ¡are ¡the ¡risks? ¡

Did ¡you ¡no&ce ¡ ¡ electricity ¡cables ¡ inside ¡the ¡pool? ¡

7 ¡

slide-8
SLIDE 8

SSH ¡aMacks… ¡since ¡2008 ¡

Unpatched ¡ machine? ¡ Escalate ¡ ¡ to ¡root ¡ Install ¡ a ¡rootkit ¡ Steal ¡users’ ¡ creden&als ¡ AMack ¡other ¡ hosts/sites ¡

8 ¡

slide-9
SLIDE 9

Patching ¡

Unpatched ¡ machine? ¡ Escalate ¡ ¡ to ¡root ¡ Install ¡ a ¡rootkit ¡ Steal ¡users’ ¡ creden&als ¡ AMack ¡other ¡ hosts/sites ¡

9 ¡

slide-10
SLIDE 10

Vulnerability ¡management ¡

Unpatched ¡ machine? ¡ Escalate ¡ ¡ to ¡root ¡ Install ¡ a ¡rootkit ¡ Steal ¡users’ ¡ creden&als ¡ AMack ¡other ¡ hosts/sites ¡

¡ Cri&cal ¡vulnerabili&es: ¡ CVE-­‑2009-­‑2692 ¡ ¡ CVE-­‑2009-­‑2698 ¡ ¡ CVE-­‑2009-­‑3547 ¡ CVE-­‑2010-­‑3081 ¡ CVS-­‑2011-­‑1017 ¡

  • etc. ¡

… ¡all ¡allow ¡for ¡privilege ¡escala&on ¡ ¡ BTW: ¡is ¡all ¡that ¡sobware ¡needed? ¡ ¡

10 ¡

slide-11
SLIDE 11

Protect ¡and ¡detect ¡

Unpatched ¡ machine? ¡ Escalate ¡ ¡ to ¡root ¡ Install ¡ a ¡rootkit ¡ Steal ¡users’ ¡ creden&als ¡ AMack ¡other ¡ hosts/sites ¡

¡ Increased ¡sophis&ca&on ¡ ¡

  • e.g. ¡debug ¡register ¡(Phalanx ¡2.5f) ¡
  • common ¡checkers ¡(rkhunter, ¡chrootkit) ¡don’t ¡detect ¡them ¡

11 ¡

slide-12
SLIDE 12

BeMer ¡authen&ca&on ¡needed ¡

Unpatched ¡ machine? ¡ Escalate ¡ ¡ to ¡root ¡ Install ¡ a ¡rootkit ¡ Steal ¡users’ ¡ creden&als ¡ AMack ¡other ¡ hosts/sites ¡

Authen&ca&on ¡is ¡hard ¡when ¡users ¡are ¡many ¡and ¡distributed ¡

  • and ¡SSH ¡passwords ¡or ¡keys ¡are ¡not ¡enough! ¡

¡ One-­‑&me ¡passwords ¡(OTP) ¡

  • Yubikeys ¡to ¡be ¡used ¡at ¡CERN? ¡
  • other: ¡SMS, ¡dedicated ¡OTP ¡mobile ¡apps ¡

Mul&factor ¡authN: ¡something ¡you ¡know ¡+ ¡something ¡you ¡have ¡ ¡ In ¡the ¡future: ¡Federated ¡iden&&es ¡across ¡HEP ¡labs ¡ ¡

12 ¡

slide-13
SLIDE 13

Collabora&on ¡is ¡crucial ¡

Unpatched ¡ machine? ¡ Escalate ¡ ¡ to ¡root ¡ Install ¡ a ¡rootkit ¡ Steal ¡users’ ¡ creden&als ¡ AMack ¡other ¡ hosts/sites ¡

¡ Collabora&on ¡between ¡sites ¡-­‑ ¡ sharing: ¡ ¡

  • vulnerability ¡advisories ¡
  • incident ¡informa&on ¡
  • good ¡prac&ces ¡
  • tools ¡
  • policies ¡
  • etc. ¡

13 ¡

slide-14
SLIDE 14

Web ¡applica&on ¡security ¡

  • Vulnerable ¡Web ¡applica&on ¡are ¡oben ¡aMacked ¡
  • What ¡to ¡do? ¡

– patch/update ¡(for ¡external ¡sobware) ¡ – train ¡developers ¡(for ¡in-­‑house ¡sobware) ¡ – limit ¡exposure ¡ – harden ¡servers ¡ – use ¡Web ¡applica&on ¡firewalling ¡ – perform ¡Web ¡applica&on ¡scanning ¡

14 ¡

slide-15
SLIDE 15

Web ¡applica&on ¡scanning ¡

15 ¡

slide-16
SLIDE 16

Virtualiza&on ¡

  • Complexity ¡doesn’t ¡help ¡security… ¡

¡

but ¡from ¡the ¡network ¡point ¡of ¡view, ¡ ¡ a ¡VM ¡is ¡just ¡another ¡host ¡

  • Images ¡trusted ¡or ¡provided ¡by ¡users? ¡ ¡

Image ¡distribu&on? ¡Patching? ¡Traceability? ¡Forensics? ¡

16 ¡

slide-17
SLIDE 17

Cloud ¡Compu&ng ¡

From ¡www.cloudtweaks.com ¡/ ¡David ¡Fletcher ¡ 17 ¡

slide-18
SLIDE 18

Experiences ¡with ¡cloud ¡services ¡

  • AngelsAndDemons.cern.ch ¡

– incident? ¡no ¡access ¡to ¡logs ¡

  • cern.service-­‑now.com ¡

– but ¡behind ¡CERN ¡SSO ¡

  • gmail.com ¡

– some ¡prefer ¡it ¡ ¡

  • ver ¡CERN ¡mailboxes ¡

– … ¡and ¡make ¡us ¡ ¡ par&ally ¡blind ¡

18 ¡

slide-19
SLIDE 19

Clouds ¡and ¡security ¡

From ¡www.cloudtweaks.com ¡/ ¡David ¡Fletcher ¡ 19 ¡

slide-20
SLIDE 20

20 ¡

Loss of

  • wnership

Loss of availability Loss of guarantees Still 100% responsible for security

(Commercial) ¡clouds ¡and ¡security ¡

slide-21
SLIDE 21

Can ¡we ¡use ¡security ¡tools ¡in ¡the ¡cloud? ¡

21 ¡

slide-22
SLIDE 22

IaaS, ¡PaaS, ¡SaaS… ¡Crime ¡aaS? ¡

22 ¡

slide-23
SLIDE 23

23 ¡

Conclusions ¡

  • Grid ¡and ¡cloud ¡compu&ng ¡
  • ffer ¡increased ¡produc&vity ¡
  • … ¡but ¡security ¡risks ¡ ¡

must ¡not ¡be ¡neglected ¡ ¡

  • A ¡lot ¡of ¡challenges ¡ahead ¡

– increased ¡sophis&ca&on ¡

  • f ¡vulnerabili&es ¡& ¡aMacks ¡

– OTP, ¡mul&factor ¡authN, ¡ federated ¡iden&&es ¡ – virtualiza&on/image ¡security ¡ – cloud ¡security ¡

slide-24
SLIDE 24

Thank ¡you ¡/ ¡谢谢 ¡

¡ ¡ ¡ ¡ ¡ ¡

¡

¡

¡ ¡ ¡ ¡Any ¡ques&ons? ¡

hMp://www.flickr.com/photos/calavera/65098350 ¡

24 ¡