securely moving your business into the cloud
play

Securely Moving Your Business Into the Cloud Alex Stamos - PowerPoint PPT Presentation

Jun 01, 2023 •416 likes •793 views

Securely Moving Your Business Into the Cloud Alex Stamos Partner Takeaways Current conventional wisdom on cloud computing is missing the point You cannot

  1. Securely Moving Your Business Into the Cloud ¡ Alex ¡Stamos ¡ Partner ¡ ¡ ¡

  2. Takeaways ’ Current ¡conventional ¡wisdom ¡on ¡cloud ¡computing ¡is ¡ missing ¡the ¡point ¡ ’ You ¡cannot ¡securely ¡move ¡into ¡the ¡cloud ¡without ¡re-­‑ writing ¡your ¡software ¡ ’ Secure ¡cloud ¡applications ¡“collapse ¡the ¡perimeter” ¡ ’ Properly ¡going ¡through ¡this ¡process ¡should ¡leave ¡you ¡ more ¡secure ¡than ¡before ¡ 2 ¡

  3. Convention Wisdom ’ Best ¡reflected ¡in ¡work ¡of: ¡ ’ Cloud ¡Security ¡Alliance ¡ ’ ENISA ¡Cloud ¡Computing ¡Report ¡ ’ Lots ¡of ¡focus ¡on ¡multi-­‑tenant ¡risk, ¡little ¡focus ¡on ¡ operational ¡changes ¡ ’ Still ¡worth ¡reading, ¡but ¡somewhat ¡reflect ¡application ¡ of ¡2003 ¡compliance ¡standards ¡to ¡new ¡paradigm ¡ 3 ¡

  4. Keeping It Real ’ What ¡are ¡the ¡realistic ¡threats ¡to ¡cloud ¡computing? ¡ Loss ¡of ¡credentials ¡via ¡attacks ¡against ¡individuals ¡ 1. Spear-­‑Phishing, ¡malware, ¡rubber ¡hose ¡ ’ Gain ¡access ¡to ¡(under ¡EC2): ¡ ’ List ¡of ¡machines ¡ ’ Persistent ¡Storage ¡(EBS, ¡SDB ¡and ¡S3) ¡ ’ Consoles ¡ ’ Don’t ¡automatically ¡get ¡access ¡to: ¡ ’ Running ¡machine ¡state/memory ¡ ’ Login ¡credentials ¡ ’ Non-­‑persistent ¡storage ¡ ’ 4 ¡

  5. Keeping It Real 2. Operational ¡security ¡breakdown ¡ Going ¡from ¡50 ¡machines/sysadmin ¡to ¡500 ¡is ¡life-­‑ ’ changing ¡ Need ¡to ¡plan ¡from ¡the ¡start ¡your ¡security ¡process ¡ ’ Patching ¡ ’ Hardening ¡ ’ Identity ¡management ¡ ’ Logging ¡ ’ Application ¡identification ¡ ’ Distribution ¡of ¡secure ¡files ¡ ’ Forensics ¡and ¡IR ¡ ’ This ¡is ¡where ¡a ¡direct ¡port ¡to ¡the ¡cloud ¡kills ¡you ¡ ’ 5 ¡

  6. Keeping It Real 3. ¡ ¡ ¡Misuse ¡of ¡new ¡cloud ¡technologies ¡ Security ¡promises ¡of ¡new ¡technologies ¡aren’t ¡well ¡ ’ understood ¡ i.e. ¡Access ¡control ¡in ¡Hadoop ¡ ’ Easy ¡to ¡poorly ¡architect ¡system ¡ ’ Easy ¡to ¡downgrade ¡security ¡via ¡change ¡ ’ Security ¡zones ¡in ¡AWS ¡ ’ vShield ¡zones ¡in ¡VMW ¡based ¡cloud ¡ ’ 6 ¡

  7. Silly Concerns ’ Physical ¡datacenter ¡security ¡ ¡ ’ Side-­‑channel ¡attacks ¡ ¡ 7 ¡

  8. Efficiency is Unbeatable ’ Cloud ¡and ¡virtualization ¡technologies ¡are ¡ unstoppable ¡from ¡a ¡power/cost ¡efficiency ¡standpoint ¡ http://www.google.com/corporate/green/datacenters/summit.html 8 ¡

  9. Custom Hardware… 9 ¡

  10. …is becoming commoditized 10 ¡

  11. You too can own a box o’ servers! 11 ¡

  12. The future datacenter will have less: ’ Centralized ¡fault-­‑tolerant ¡storage ¡ ’ Clarions ¡are ¡the ¡least ¡cost ¡effective ¡devices ¡ever ¡ purchased ¡by ¡IT ¡ ’ Dedicated, ¡specialized ¡servers ¡ ’ 64 ¡core ¡DB ¡server ¡ ’ Dedicated, ¡specialized ¡network ¡equipment ¡ ’ Lots ¡of ¡cheap ¡boxes ¡in ¡my ¡critical ¡path ¡ ’ Create ¡physical ¡networking ¡complexity, ¡reduce ¡ flexibility ¡ ’ Generic ¡abstraction ¡layer ¡between ¡DC ¡and ¡hardware ¡ ’ Standard ¡square ¡hole ¡rack, ¡110v, ¡cold/hot ¡aisles ¡ 12 ¡

  13. Before You Move, Ask… ’ Why ¡are ¡you ¡moving ¡into ¡the ¡cloud? ¡ ’ Performance ¡ ’ Cost ¡ ’ Security ¡ ’ What ¡security ¡promises ¡are ¡you ¡making? ¡ “Users ¡will ¡not ¡be ¡able ¡to ¡access ¡the ¡medical ¡records ¡of ¡ patients ¡belonging ¡to ¡other ¡medical ¡institutions.” ¡ ’ Access ¡controls ¡in ¡web ¡logic ¡ ’ Encryption ¡of ¡PII ¡with ¡per-­‑doctor ¡key ¡ ’ Secure ¡coding ¡ ¡ 13 ¡

  14. Traditional 3-Tier Architecture Internet Load ¡Balancers LBs Corp Web ¡VLAN Web ¡Servers Backup S Logging B App ¡Server ¡VLAN App ¡Servers DB ¡VLAN 14 ¡

  15. Physical configuration 1G ¡DB Power Supply 1 Power Supply 2 Catalyst 6500 SERIES 15 ¡

  16. What are we getting from this design? ’ Network ¡segmentation ¡ ’ Control ¡traffic ¡ ’ SSH ¡ ’ SNMP ¡ ’ RDP ¡ ’ File ¡services ¡ ’ Production ¡traffic ¡ ’ Internal ¡app ¡server ¡ports ¡ ’ DB ¡connections ¡ ’ Network ¡configuration ¡simplicity ¡ ’ Slicing ¡up ¡internal ¡VLANs ¡ ¡ ’ No ¡on-­‑machine ¡firewall, ¡just ¡IP ¡config ¡ 16 ¡

  17. What is enforcing our segmentation? ’ Custom ¡OS ¡on ¡Routers ¡ ’ ACLs ¡ ’ Routes ¡ ’ Custom ¡OS ¡no ¡Switches ¡ ’ VLANs ¡ ’ Port ¡Security ¡ ’ L3 ¡ACLs? ¡ ’ Custom ¡OS ¡on ¡Firewalls ¡ ’ Stateful ¡rules ¡ ’ VPN ¡ ’ IDP? ¡ 17 ¡

  18. Does this still make sense? Internet Tradi&onal ¡Exploit ¡ Load ¡Balancers LBs Web ¡Exploit ¡ Corp Web ¡VLAN Web ¡Servers Backup S Logging B App ¡Server ¡VLAN App ¡Servers DB ¡VLAN 18 ¡

  19. “Traditional Cloud Architecture” Web ¡Security ¡Group DB ¡Security ¡Group Web ¡Servers Backup SNMP Support ¡Group App ¡Security ¡Group App ¡Servers Logging Bastion 19 ¡

  20. Problems with the “Traditional Cloud” ’ Classical ¡network ¡segmentation ¡now ¡harder ¡ ’ Per-­‑tier ¡scalability ¡is ¡problematic ¡ ’ Relies ¡on ¡manual ¡creation ¡of ¡relationships ¡ ’ How ¡does ¡the ¡proxy ¡server ¡find ¡the ¡app ¡server? ¡ ’ How ¡does ¡the ¡app ¡server ¡authenticate ¡to ¡the ¡DB? ¡ ’ DB ¡performance ¡will ¡be ¡pretty ¡bad ¡ 20 ¡

  21. What is the alternative? ’ Go ¡Flat ¡ ’ Collapse ¡the ¡Perimeter ¡ ’ Use ¡cloud ¡glue ¡services ¡ ’ Enforce ¡access ¡control ¡via ¡cryptography ¡ 21 ¡

  22. Go Flat 10G ¡Uplink 22 ¡

  23. Why Go Flat? 23 ¡

  24. Why Go Flat? http://www.nyquistcapital.com/2007/11/16/googles-secret-10gbe-switch/ 24 ¡

  25. Collapse the Perimeter ’ Per-­‑OS ¡or ¡Per-­‑Hypervisor ¡ ¡Software ¡Firewall ¡ ’ Software ¡load ¡balancer ¡with ¡TLS ¡termination ¡ ’ Use ¡secure ¡control ¡protocols ¡for ¡top-­‑down ¡ management ¡ ’ Per-­‑device ¡PKI ¡ ¡ 25 ¡

  26. Can I Trust a Software Firewall? ’ Worried ¡about ¡outside ¡access, ¡use ¡routing ¡to ¡segment ¡ internal ¡and ¡external ¡systems ¡ ¡ ’ Can ¡use ¡separate ¡broadcast ¡domain/physical ¡network ¡for ¡public ¡ IPs ¡ ’ Cannot ¡trust ¡for ¡egress ¡filtering. ¡ ¡Use ¡static ¡routes ¡to ¡limit ¡ access ¡for ¡private ¡IPs ¡to ¡proxy ¡servers ¡ ’ Can ¡still ¡have ¡non-­‑blocking ¡IDS, ¡although ¡speed ¡is ¡a ¡ problem ¡ ’ Need ¡to ¡treat ¡every ¡machine ¡as ¡a ¡secure ¡individual ¡unit ¡ 26 ¡

  27. Overlay Networks ’ Another ¡option ¡if ¡you ¡don’t ¡trust ¡your ¡network: ¡ overlay ¡IPsec ¡ ’ Easy ¡with ¡OpenBSD, ¡KAME ¡tools ¡on ¡Linux ¡ ’ Need ¡per-­‑host ¡certificate ¡ ’ No ¡easy ¡open-­‑source ¡option ¡right ¡now ¡ 27 ¡

  28. Use Cloud Glue Services ’ Variable ¡scalability ¡means ¡loosely ¡coupled ¡ applications ¡ ’ Can ¡use: ¡ ’ Asynchronous ¡web ¡service ¡calls ¡ ’ Message ¡bus ¡ ’ Cloud ¡provided ¡Queuing ¡Service ¡(like ¡SQS) ¡ 28 ¡

  29. Loosely Coupled h3p://media.amazonwebservices.com/AWS_Cloud_Best_Prac&ces.pdf ¡ 29 ¡

  30. Database Replacement ’ Running ¡single-­‑instance ¡MySQL ¡is ¡bound ¡to ¡ disappoint ¡ ¡ ’ What ¡are ¡your ¡real ¡data ¡consistency ¡requirements? ¡ ’ If ¡you ¡use ¡memcached ¡already, ¡then ¡answer ¡is ¡“none” ¡ ’ Lots ¡of ¡great ¡work ¡on ¡NoSQL ¡DBs ¡ ’ Document ¡Store ¡ ’ Name/Value ¡ ¡ BigTable SimpleDB ¡ 30 ¡ ¡

Recommend

Connecting IoT appliances securely to the cloud (eap-noob) Tuomas Aura, Aalto University,

Connecting IoT appliances securely to the cloud (eap-noob) Tuomas Aura, Aalto University,

Connecting IoT appliances securely to the cloud (eap-noob) Tuomas Aura, Aalto University, Finland joint work with Mohit Sethi, Ericsson, and others Connecting devices to cloud Cloud IoT appliances Internet User Authenticated key

528 views • 17 slides
Embark: Securely Outsourcing Middleboxes to the Cloud Chang Lan, Justine Sherry, Raluca Ada

Embark: Securely Outsourcing Middleboxes to the Cloud Chang Lan, Justine Sherry, Raluca Ada

Embark: Securely Outsourcing Middleboxes to the Cloud Chang Lan, Justine Sherry, Raluca Ada Popa, Sylvia Ratnasamy, Zhi Liu UC Berkeley Tsinghua University 1 Background Middleboxes are prevalent and problematic Number of Middleboxes

1.31k views • 44 slides
Embark: Securely Outsourcing Middleboxes to the Cloud Chang Lan, Justine Sherry, Raluca Ada

Embark: Securely Outsourcing Middleboxes to the Cloud Chang Lan, Justine Sherry, Raluca Ada

Embark: Securely Outsourcing Middleboxes to the Cloud Chang Lan, Justine Sherry, Raluca Ada Popa, Sylvia Ratnasamy, Zhi Liu UC Berkeley Tsinghua University 1 Background Middleboxes are prevalent and problematic Number of Middleboxes

572 views • 40 slides
Whats The Next Big Thing in Telecom & IT? Cloud DaaS Desktop as a Service

Whats The Next Big Thing in Telecom & IT? Cloud DaaS Desktop as a Service

Whats The Next Big Thing in Telecom & IT? Cloud DaaS Desktop as a Service Supercharge Your Desktop! Cloud IaaS Infrastructure as a Service Cloud Computing Work Smarter in the Cloud Cloud Single Sign-On Securely Access Many

627 views • 19 slides
Moving Large Workloads from a Public Cloud to an OpenStack Private Cloud: Is It Really Worth It?

Moving Large Workloads from a Public Cloud to an OpenStack Private Cloud: Is It Really Worth It?

Moving Large Workloads from a Public Cloud to an OpenStack Private Cloud: Is It Really Worth It? April 7th, 2016 Nicolas Brousse | Sr. Director Of Operations Engineering | nicolas@tubemogul.com Who are we? An enterprise software company for

372 views • 24 slides
Cloud based systems that can help you grow your business Some of the cloud based tools we use at

Cloud based systems that can help you grow your business Some of the cloud based tools we use at

Cloud based systems that can help you grow your business Some of the cloud based tools we use at Business Connected Dashlane Crunchboards Trello icloud Adobe Creative Cloud Proposify Receipt Bank Maxmail Dropbox Go to Meeting Mailchimp

328 views • 21 slides
Moving SNE to the Cloud RP1i3 Sudesh Jethoe http://www.openstack.org/assets/openstack-logo/

Moving SNE to the Cloud RP1i3 Sudesh Jethoe http://www.openstack.org/assets/openstack-logo/

Moving SNE to the Cloud RP1i3 Sudesh Jethoe http://www.openstack.org/assets/openstack-logo/ Overview 1. Research Question 2. What's a cloud? 3. Cloud frameworks 4. OpenStack 5. Method 6. Problems 7. Conclusion 8. Discussion 9. Questions

432 views • 25 slides
AAMVA Region I Conference E-ID, DLDV, and Privacy Conducting Business Securely July 15, 2013

AAMVA Region I Conference E-ID, DLDV, and Privacy Conducting Business Securely July 15, 2013

The Imperative for High Assurance Credentials: State Identity Credential and Access Management (SICAM) Guidance and Roadmap AAMVA Region I Conference E-ID, DLDV, and Privacy Conducting Business Securely July 15, 2013 Chad Grant, Senior

659 views • 18 slides
Moving ERP Systems to the Cloud Trends, Risks and Strategies for Successful Deals Marina G.

Moving ERP Systems to the Cloud Trends, Risks and Strategies for Successful Deals Marina G.

Moving ERP Systems to the Cloud Trends, Risks and Strategies for Successful Deals Marina G. Aronchik Agenda 1. TRENDS in ERP 2. CLOUD ERP contracts 2 1 Part I TRENDS IN ERP Key Terms ERP (Enterprise Resource Planning) software is

237 views • 9 slides
Nico Uys Cloud Business Line Manager 1 Recent SAP on cloud projects Lessons learned

Nico Uys Cloud Business Line Manager 1 Recent SAP on cloud projects Lessons learned

SAP in the cloud, do it right. Nico Uys Cloud Business Line Manager 1 Recent SAP on cloud projects Lessons learned Agenda Automation of the cloud Zag and our services Summary Q & A 2 Interesting Cloud Facts 1.

271 views • 23 slides
The Cloud for Modern Business Marius Filipas Cloud + Enterprise Business Group Lead Enterprise

The Cloud for Modern Business Marius Filipas Cloud + Enterprise Business Group Lead Enterprise

The Cloud for Modern Business Marius Filipas Cloud + Enterprise Business Group Lead Enterprise leaders are reimagining their businesses 7 in 10 enterprises are 54 % Outperforming CxOs believe 70 of % social/digital interaction is the more

534 views • 49 slides
CS5412: THE CLOUD VALUE PROPOSITION Lecture XXII Ken Birman Cloud Hype 2 The cloud is

CS5412: THE CLOUD VALUE PROPOSITION Lecture XXII Ken Birman Cloud Hype 2 The cloud is

Cornell CS5412 Cloud Computing (Spring 2015) 1 CS5412: THE CLOUD VALUE PROPOSITION Lecture XXII Ken Birman Cloud Hype 2 The cloud is cheaper! The cloud business model is growing at an unparalleled pace without any limit in sight

632 views • 45 slides
CS5412: THE CLOUD VALUE PROPOSITION Lecture XXII Ken Birman Cloud Hype 2 The cloud is

CS5412: THE CLOUD VALUE PROPOSITION Lecture XXII Ken Birman Cloud Hype 2 The cloud is

1 CS5412: THE CLOUD VALUE PROPOSITION Lecture XXII Ken Birman Cloud Hype 2 The cloud is cheaper The cloud business model is growing at an unparalleled pace without any limit in sight In the future everything will be on the cloud

945 views • 65 slides
Introduction to Web Development with R moving to the cloud... Jeroen Ooms

Introduction to Web Development with R moving to the cloud... Jeroen Ooms

What is a Web Application Web Application Design Phoenix Server Extra slides Introduction to Web Development with R moving to the cloud... Jeroen Ooms http://www.stat.ucla.edu/~jeroen UCLA Dept. of Statistics Revolution Analytics useR

1.01k views • 34 slides
IBM Softlayer Chris Martin Cloud Channel Manager Cloud computing can help business and IT create

IBM Softlayer Chris Martin Cloud Channel Manager Cloud computing can help business and IT create

IBM Softlayer Chris Martin Cloud Channel Manager Cloud computing can help business and IT create and deliver value in fundamentally new ways. Business value Enable new business models Deliver IT without and client relationships boundaries

168 views • 12 slides
cloud platform for sap business one Cloudiax is the fully managed cloud platform From 35 per

cloud platform for sap business one Cloudiax is the fully managed cloud platform From 35 per

cloud platform for sap business one Cloudiax is the fully managed cloud platform From 35 per user per month* no setup costs for SAP Business One MS SQL and SAP HANA. SQL and SAP HANA the same price Both RDP and HTML5 web client

411 views • 11 slides
Procurement and Business Aspects of the Cloud Belnet Mario Vandaele Brussels 19th

Procurement and Business Aspects of the Cloud Belnet Mario Vandaele Brussels 19th

Procurement and Business Aspects of the Cloud Belnet Mario Vandaele Brussels 19th September 2013 Cloud Storage Cost Breakdown What we wanted A Cloud Storage service, including: A cloud orchestration layer providing

371 views • 21 slides
Security in the Age of Cloud Kaushik Narayan CTO, Cloud Business Unit CASB Connect MVISION

Security in the Age of Cloud Kaushik Narayan CTO, Cloud Business Unit CASB Connect MVISION

Security in the Age of Cloud Kaushik Narayan CTO, Cloud Business Unit CASB Connect MVISION Cloud Innovation Pre- and Post-Acquisition Acquisition announced Expansion to IaaS Skyhigh API control: Sanctioned Apps Networks Custom Apps

565 views • 30 slides
Can University Administration Systems be shared via the Cloud? BUSINESS SCHOOL Jenny Leonard

Can University Administration Systems be shared via the Cloud? BUSINESS SCHOOL Jenny Leonard

Can University Administration Systems be shared via the Cloud? BUSINESS SCHOOL Jenny Leonard Sharing and the cloud is critical to Universities Two key issues: the cloud and sharing Academe heads for the cloud, with collaboration firmly

327 views • 22 slides
WE TAKE YOUR BUSINESS ABOVE THE CLOUDS INVESTOR MEETINGS Create the european cloud provider for

WE TAKE YOUR BUSINESS ABOVE THE CLOUDS INVESTOR MEETINGS Create the european cloud provider for

WE TAKE YOUR BUSINESS ABOVE THE CLOUDS INVESTOR MEETINGS Create the european cloud provider for non-stop business and be a leader in the future of cloud transformation. Intermonte Tech Day, 29 Nov 2018 1 Disclaimer This document has been

379 views • 33 slides
TT08: PhUSE is Moving Cloud Adoption Forward in Life Sciences Presenta(on at PhUSE Annual

TT08: PhUSE is Moving Cloud Adoption Forward in Life Sciences Presenta(on at PhUSE Annual

TT08: PhUSE is Moving Cloud Adoption Forward in Life Sciences Presenta(on at PhUSE Annual Conference, Edinburgh Tony Hewer Medidata Solu(ons Inc, UK Evi Cohen Appian Corpora(on, USA October 2017 Agenda Eroom + 6 Trends FDA

403 views • 18 slides
Moving Target Defense for the Placement of Intrusion Detection Systems in the Cloud Sailik

Moving Target Defense for the Placement of Intrusion Detection Systems in the Cloud Sailik

Moving Target Defense for the Placement of Intrusion Detection Systems in the Cloud Sailik Sengupta, Ankur Chowdhary, Subbarao Kambhampati Dijiang Huang SNAC Secure Networking and Yochan AI Lab Computing Lab Intrusion Detection Systems?

681 views • 38 slides
Generic Architecture Architecture Generic for Securely Securely Managing Managing for

Generic Architecture Architecture Generic for Securely Securely Managing Managing for

Trusted Architecture for Trusted Architecture for Securely Shared Services Securely Shared Services Generic Architecture Architecture Generic for Securely Securely Managing Managing for Employability & Healthcare Employability &

161 views • 14 slides
A 1 Moving-target Defense Strategy for Cloud-based Services with Heterogeneous and Dynamic Attack

A 1 Moving-target Defense Strategy for Cloud-based Services with Heterogeneous and Dynamic Attack

A 1 Moving-target Defense Strategy for Cloud-based Services with Heterogeneous and Dynamic Attack Surfaces Wei Peng 1 Feng Li 1 Chin-Tser Huang 2 Xukai Zou 1 1 Indiana University-Purdue University Indianapolis (IUPUI.edu) 2 University of South

857 views • 22 slides

More recommend