Status ¡and ¡challenges ¡of ¡security ¡ in ¡distributed ¡compu6ng ¡ Sebas&an ¡Lopienski ¡ CERN ¡Deputy ¡Computer ¡Security ¡Officer ¡ ¡ (with ¡input ¡from ¡S.Lueders ¡and ¡R.Wartel) ¡ ¡ ISGC ¡2011, ¡ 台北 台湾 ¡
Fancy ¡learning ¡some ¡Chinese? ¡ ¡ ¡ 女 ¡ ¡ woman ¡ ¡ ¡ ¡ security ¡ 安 ¡ ¡(woman ¡under ¡a ¡roof) ¡ ¡
Status ¡and ¡challenges ¡of ¡security ¡ in ¡distributed ¡compu6ng ¡ Sebas&an ¡Lopienski ¡ CERN ¡Deputy ¡Computer ¡Security ¡Officer ¡ ¡ (with ¡input ¡from ¡S.Lueders ¡and ¡R.Wartel) ¡ ¡ ISGC ¡2011, ¡ 台北 台湾 ¡
Outline ¡ • Why ¡we ¡are ¡aMacked ¡ • Typical ¡aMacks ¡ ¡ • … ¡and ¡defense ¡ • More ¡on ¡virtualiza&on ¡ • … ¡and ¡cloud ¡compu&ng ¡ 4 ¡
Why ¡we ¡are ¡aMacked? ¡ 5 ¡
Global ¡aMen&on ¡ “I'm ¡contac6ng ¡you ¡due ¡several ¡security ¡flaws ¡in ¡the ¡ structure ¡about ¡the ¡Large ¡Hadron ¡Collider, ¡including ¡the ¡ website ¡wich ¡seems ¡to ¡be ¡connected ¡somehow ¡with ¡the ¡ core ¡of ¡the ¡system ¡and/or ¡the ¡LHC ¡itself. ¡[…] ¡We ¡are ¡ interested ¡in ¡solve ¡this ¡issue, ¡and ¡cover ¡this ¡with ¡the ¡ press ¡if ¡it ¡wouldn't ¡represent ¡an ¡issue ¡for ¡you.” ¡ 6 ¡
How ¡serious ¡are ¡the ¡risks? ¡ Did ¡you ¡no&ce ¡ ¡ electricity ¡cables ¡ inside ¡the ¡pool? ¡ 7 ¡
SSH ¡aMacks… ¡since ¡2008 ¡ Unpatched ¡ machine? ¡ AMack ¡other ¡ Escalate ¡ ¡ hosts/sites ¡ to ¡root ¡ Steal ¡users’ ¡ Install ¡ creden&als ¡ a ¡rootkit ¡ 8 ¡
Patching ¡ Unpatched ¡ machine? ¡ AMack ¡other ¡ Escalate ¡ ¡ hosts/sites ¡ to ¡root ¡ Steal ¡users’ ¡ Install ¡ creden&als ¡ a ¡rootkit ¡ 9 ¡
Vulnerability ¡management ¡ ¡ Unpatched ¡ Cri&cal ¡vulnerabili&es: ¡ machine? ¡ CVE-‑2009-‑2692 ¡ ¡ CVE-‑2009-‑2698 ¡ ¡ CVE-‑2009-‑3547 ¡ AMack ¡other ¡ Escalate ¡ ¡ hosts/sites ¡ to ¡root ¡ CVE-‑2010-‑3081 ¡ CVS-‑2011-‑1017 ¡ etc. ¡ … ¡all ¡allow ¡for ¡privilege ¡escala&on ¡ ¡ Steal ¡users’ ¡ Install ¡ BTW: ¡is ¡all ¡that ¡sobware ¡needed? ¡ creden&als ¡ a ¡rootkit ¡ ¡ 10 ¡
Protect ¡ and ¡ detect ¡ ¡ Unpatched ¡ machine? ¡ Increased ¡sophis&ca&on ¡ ¡ • e.g. ¡debug ¡register ¡(Phalanx ¡2.5f) ¡ • common ¡checkers ¡(rkhunter, ¡chrootkit) ¡don’t ¡detect ¡them ¡ AMack ¡other ¡ Escalate ¡ ¡ hosts/sites ¡ to ¡root ¡ Steal ¡users’ ¡ Install ¡ creden&als ¡ a ¡rootkit ¡ 11 ¡
BeMer ¡authen&ca&on ¡needed ¡ Authen&ca&on ¡is ¡hard ¡when ¡users ¡are ¡many ¡and ¡distributed ¡ Unpatched ¡ • and ¡SSH ¡passwords ¡or ¡keys ¡are ¡not ¡enough! ¡ machine? ¡ ¡ One-‑&me ¡passwords ¡(OTP) ¡ • Yubikeys ¡to ¡be ¡used ¡at ¡CERN? ¡ AMack ¡other ¡ Escalate ¡ ¡ • other: ¡SMS, ¡dedicated ¡OTP ¡mobile ¡apps ¡ hosts/sites ¡ to ¡root ¡ Mul&factor ¡authN: ¡something ¡you ¡know ¡+ ¡something ¡you ¡have ¡ ¡ In ¡the ¡future: ¡Federated ¡iden&&es ¡across ¡HEP ¡labs ¡ ¡ Steal ¡users’ ¡ Install ¡ creden&als ¡ a ¡rootkit ¡ 12 ¡
Collabora&on ¡is ¡crucial ¡ ¡ Unpatched ¡ Collabora&on ¡between ¡sites ¡-‑ ¡ machine? ¡ sharing: ¡ ¡ • vulnerability ¡advisories ¡ AMack ¡other ¡ Escalate ¡ ¡ • incident ¡informa&on ¡ hosts/sites ¡ to ¡root ¡ • good ¡prac&ces ¡ • tools ¡ • policies ¡ • etc. ¡ Steal ¡users’ ¡ Install ¡ creden&als ¡ a ¡rootkit ¡ 13 ¡
Web ¡applica&on ¡security ¡ • Vulnerable ¡Web ¡applica&on ¡are ¡oben ¡aMacked ¡ • What ¡to ¡do? ¡ – patch/update ¡(for ¡external ¡sobware) ¡ – train ¡developers ¡(for ¡in-‑house ¡sobware) ¡ – limit ¡exposure ¡ – harden ¡servers ¡ – use ¡Web ¡applica&on ¡firewalling ¡ – perform ¡Web ¡applica&on ¡scanning ¡ 14 ¡
Web ¡applica&on ¡scanning ¡ 15 ¡
Virtualiza&on ¡ • Complexity ¡doesn’t ¡help ¡security… ¡ ¡ but ¡from ¡the ¡network ¡point ¡of ¡view, ¡ ¡ a ¡VM ¡is ¡just ¡another ¡host ¡ • Images ¡trusted ¡or ¡provided ¡by ¡users? ¡ ¡ Image ¡distribu&on? ¡Patching? ¡Traceability? ¡Forensics? ¡ 16 ¡
Cloud ¡Compu&ng ¡ From ¡www.cloudtweaks.com ¡/ ¡David ¡Fletcher ¡ 17 ¡
Experiences ¡with ¡cloud ¡services ¡ • AngelsAndDemons.cern.ch ¡ – incident? ¡no ¡access ¡to ¡logs ¡ • cern.service-‑now.com ¡ – but ¡behind ¡CERN ¡SSO ¡ • gmail.com ¡ – some ¡prefer ¡it ¡ ¡ over ¡CERN ¡mailboxes ¡ – … ¡and ¡make ¡us ¡ ¡ par&ally ¡blind ¡ 18 ¡
Clouds ¡and ¡security ¡ From ¡www.cloudtweaks.com ¡/ ¡David ¡Fletcher ¡ 19 ¡
(Commercial) ¡clouds ¡and ¡security ¡ Loss of ownership Loss of availability Still 100% responsible for security Loss of guarantees 20 ¡
Can ¡we ¡use ¡security ¡tools ¡in ¡the ¡cloud? ¡ 21 ¡
IaaS, ¡PaaS, ¡SaaS… ¡Crime ¡aaS? ¡ 22 ¡
Conclusions ¡ • Grid ¡and ¡cloud ¡compu&ng ¡ offer ¡increased ¡produc&vity ¡ • … ¡but ¡security ¡risks ¡ ¡ must ¡not ¡be ¡neglected ¡ ¡ • A ¡lot ¡of ¡challenges ¡ahead ¡ – increased ¡sophis&ca&on ¡ of ¡vulnerabili&es ¡& ¡aMacks ¡ – OTP, ¡mul&factor ¡authN, ¡ federated ¡iden&&es ¡ – virtualiza&on/image ¡security ¡ – cloud ¡security ¡ 23 ¡
Thank ¡you ¡/ ¡ 谢谢 ¡ hMp://www.flickr.com/photos/calavera/65098350 ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡Any ¡ques&ons? ¡ 24 ¡
Recommend
More recommend