status and challenges of security in distributed compu6ng
play

Status and challenges of security in distributed compu6ng - PowerPoint PPT Presentation

Status and challenges of security in distributed compu6ng Sebas&an Lopienski CERN Deputy Computer Security Officer (with input from S.Lueders and


  1. Status ¡and ¡challenges ¡of ¡security ¡ in ¡distributed ¡compu6ng ¡ Sebas&an ¡Lopienski ¡ CERN ¡Deputy ¡Computer ¡Security ¡Officer ¡ ¡ (with ¡input ¡from ¡S.Lueders ¡and ¡R.Wartel) ¡ ¡ ISGC ¡2011, ¡ 台北 台湾 ¡

  2. Fancy ¡learning ¡some ¡Chinese? ¡ ¡ ¡ 女 ¡ ¡ woman ¡ ¡ ¡ ¡ security ¡ 安 ¡ ¡(woman ¡under ¡a ¡roof) ¡ ¡

  3. Status ¡and ¡challenges ¡of ¡security ¡ in ¡distributed ¡compu6ng ¡ Sebas&an ¡Lopienski ¡ CERN ¡Deputy ¡Computer ¡Security ¡Officer ¡ ¡ (with ¡input ¡from ¡S.Lueders ¡and ¡R.Wartel) ¡ ¡ ISGC ¡2011, ¡ 台北 台湾 ¡

  4. Outline ¡ • Why ¡we ¡are ¡aMacked ¡ • Typical ¡aMacks ¡ ¡ • … ¡and ¡defense ¡ • More ¡on ¡virtualiza&on ¡ • … ¡and ¡cloud ¡compu&ng ¡ 4 ¡

  5. Why ¡we ¡are ¡aMacked? ¡ 5 ¡

  6. Global ¡aMen&on ¡ “I'm ¡contac6ng ¡you ¡due ¡several ¡security ¡flaws ¡in ¡the ¡ structure ¡about ¡the ¡Large ¡Hadron ¡Collider, ¡including ¡the ¡ website ¡wich ¡seems ¡to ¡be ¡connected ¡somehow ¡with ¡the ¡ core ¡of ¡the ¡system ¡and/or ¡the ¡LHC ¡itself. ¡[…] ¡We ¡are ¡ interested ¡in ¡solve ¡this ¡issue, ¡and ¡cover ¡this ¡with ¡the ¡ press ¡if ¡it ¡wouldn't ¡represent ¡an ¡issue ¡for ¡you.” ¡ 6 ¡

  7. How ¡serious ¡are ¡the ¡risks? ¡ Did ¡you ¡no&ce ¡ ¡ electricity ¡cables ¡ inside ¡the ¡pool? ¡ 7 ¡

  8. SSH ¡aMacks… ¡since ¡2008 ¡ Unpatched ¡ machine? ¡ AMack ¡other ¡ Escalate ¡ ¡ hosts/sites ¡ to ¡root ¡ Steal ¡users’ ¡ Install ¡ creden&als ¡ a ¡rootkit ¡ 8 ¡

  9. Patching ¡ Unpatched ¡ machine? ¡ AMack ¡other ¡ Escalate ¡ ¡ hosts/sites ¡ to ¡root ¡ Steal ¡users’ ¡ Install ¡ creden&als ¡ a ¡rootkit ¡ 9 ¡

  10. Vulnerability ¡management ¡ ¡ Unpatched ¡ Cri&cal ¡vulnerabili&es: ¡ machine? ¡ CVE-­‑2009-­‑2692 ¡ ¡ CVE-­‑2009-­‑2698 ¡ ¡ CVE-­‑2009-­‑3547 ¡ AMack ¡other ¡ Escalate ¡ ¡ hosts/sites ¡ to ¡root ¡ CVE-­‑2010-­‑3081 ¡ CVS-­‑2011-­‑1017 ¡ etc. ¡ … ¡all ¡allow ¡for ¡privilege ¡escala&on ¡ ¡ Steal ¡users’ ¡ Install ¡ BTW: ¡is ¡all ¡that ¡sobware ¡needed? ¡ creden&als ¡ a ¡rootkit ¡ ¡ 10 ¡

  11. Protect ¡ and ¡ detect ¡ ¡ Unpatched ¡ machine? ¡ Increased ¡sophis&ca&on ¡ ¡ • e.g. ¡debug ¡register ¡(Phalanx ¡2.5f) ¡ • common ¡checkers ¡(rkhunter, ¡chrootkit) ¡don’t ¡detect ¡them ¡ AMack ¡other ¡ Escalate ¡ ¡ hosts/sites ¡ to ¡root ¡ Steal ¡users’ ¡ Install ¡ creden&als ¡ a ¡rootkit ¡ 11 ¡

  12. BeMer ¡authen&ca&on ¡needed ¡ Authen&ca&on ¡is ¡hard ¡when ¡users ¡are ¡many ¡and ¡distributed ¡ Unpatched ¡ • and ¡SSH ¡passwords ¡or ¡keys ¡are ¡not ¡enough! ¡ machine? ¡ ¡ One-­‑&me ¡passwords ¡(OTP) ¡ • Yubikeys ¡to ¡be ¡used ¡at ¡CERN? ¡ AMack ¡other ¡ Escalate ¡ ¡ • other: ¡SMS, ¡dedicated ¡OTP ¡mobile ¡apps ¡ hosts/sites ¡ to ¡root ¡ Mul&factor ¡authN: ¡something ¡you ¡know ¡+ ¡something ¡you ¡have ¡ ¡ In ¡the ¡future: ¡Federated ¡iden&&es ¡across ¡HEP ¡labs ¡ ¡ Steal ¡users’ ¡ Install ¡ creden&als ¡ a ¡rootkit ¡ 12 ¡

  13. Collabora&on ¡is ¡crucial ¡ ¡ Unpatched ¡ Collabora&on ¡between ¡sites ¡-­‑ ¡ machine? ¡ sharing: ¡ ¡ • vulnerability ¡advisories ¡ AMack ¡other ¡ Escalate ¡ ¡ • incident ¡informa&on ¡ hosts/sites ¡ to ¡root ¡ • good ¡prac&ces ¡ • tools ¡ • policies ¡ • etc. ¡ Steal ¡users’ ¡ Install ¡ creden&als ¡ a ¡rootkit ¡ 13 ¡

  14. Web ¡applica&on ¡security ¡ • Vulnerable ¡Web ¡applica&on ¡are ¡oben ¡aMacked ¡ • What ¡to ¡do? ¡ – patch/update ¡(for ¡external ¡sobware) ¡ – train ¡developers ¡(for ¡in-­‑house ¡sobware) ¡ – limit ¡exposure ¡ – harden ¡servers ¡ – use ¡Web ¡applica&on ¡firewalling ¡ – perform ¡Web ¡applica&on ¡scanning ¡ 14 ¡

  15. Web ¡applica&on ¡scanning ¡ 15 ¡

  16. Virtualiza&on ¡ • Complexity ¡doesn’t ¡help ¡security… ¡ ¡ but ¡from ¡the ¡network ¡point ¡of ¡view, ¡ ¡ a ¡VM ¡is ¡just ¡another ¡host ¡ • Images ¡trusted ¡or ¡provided ¡by ¡users? ¡ ¡ Image ¡distribu&on? ¡Patching? ¡Traceability? ¡Forensics? ¡ 16 ¡

  17. Cloud ¡Compu&ng ¡ From ¡www.cloudtweaks.com ¡/ ¡David ¡Fletcher ¡ 17 ¡

  18. Experiences ¡with ¡cloud ¡services ¡ • AngelsAndDemons.cern.ch ¡ – incident? ¡no ¡access ¡to ¡logs ¡ • cern.service-­‑now.com ¡ – but ¡behind ¡CERN ¡SSO ¡ • gmail.com ¡ – some ¡prefer ¡it ¡ ¡ over ¡CERN ¡mailboxes ¡ – … ¡and ¡make ¡us ¡ ¡ par&ally ¡blind ¡ 18 ¡

  19. Clouds ¡and ¡security ¡ From ¡www.cloudtweaks.com ¡/ ¡David ¡Fletcher ¡ 19 ¡

  20. (Commercial) ¡clouds ¡and ¡security ¡ Loss of ownership Loss of availability Still 100% responsible for security Loss of guarantees 20 ¡

  21. Can ¡we ¡use ¡security ¡tools ¡in ¡the ¡cloud? ¡ 21 ¡

  22. IaaS, ¡PaaS, ¡SaaS… ¡Crime ¡aaS? ¡ 22 ¡

  23. Conclusions ¡ • Grid ¡and ¡cloud ¡compu&ng ¡ offer ¡increased ¡produc&vity ¡ • … ¡but ¡security ¡risks ¡ ¡ must ¡not ¡be ¡neglected ¡ ¡ • A ¡lot ¡of ¡challenges ¡ahead ¡ – increased ¡sophis&ca&on ¡ of ¡vulnerabili&es ¡& ¡aMacks ¡ – OTP, ¡mul&factor ¡authN, ¡ federated ¡iden&&es ¡ – virtualiza&on/image ¡security ¡ – cloud ¡security ¡ 23 ¡

  24. Thank ¡you ¡/ ¡ 谢谢 ¡ hMp://www.flickr.com/photos/calavera/65098350 ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡Any ¡ques&ons? ¡ 24 ¡

Recommend


More recommend