User-supplied VMs op BiG Grid hardware

Vergelijkbare documenten
Scope Of Work: Sourcefire Proof Of Concept

De Enterprise Security Architectuur

Filr. Sebastiaan Veld Anthony Priestman. 10 april Overview en business case

BootCamp. Template Powerpoint Datum

Targets. Wie zou er iets tegen ons hebben? We zijn toch geen bank? Wat kunnen ze doen met onze gegevens?

The bad guys. Motivatie. Info. Overtuiging. Winst

Wat te doen tegen ransomware

Digitale Veiligheid 3.0

RESILIENCE. Hoe geeft mijn organisatie concreet invulling aan weerbaarheid? SECURITY CONGRES ir. Gerard Klop

E X P O N E N T I A L T I M E S L E A D TO E X P O N E N T I A L

+32 (491)

SLA level Iron Bronze Silver Gold Platinum

Generieke gemeentelijke Infrastructuur modellen. Naar de Cloud

Welkom. De fysieke beveiliging van uw industriële netwerk. Sjoerd Hakstege van Eekhout Network & Security Specialist Phoenix Contact B.V.

Informatiebeveiliging & Privacy - by Design

Continuous testing in DevOps met Test Automation

Cyber Security: hoe verder?

Cloud dienstverlening en Informatiebeveiliging. ISACA Round Table Assen - Maart 2017

Shenandoa a Forensic Challenge DIGITAL INVESTIGATION B.V.

Ubuntu Release Party XTG 11/23/12 1

VMware View 4.5 een overview. Eline Klooster Technical Trainer

Je hebt de wet- en regelgeving gelezen, cybercriminaliteit aan de orde van de dag, en teveel op je bordje. Wat ga je doen

mpix VPN Dienstbeschrijving Copyright The Voip Company 2011 Pagina 1 van 8

Asset 1 van 17. Mobile Application Management en security. Gepubliceerd op 18 april 2015

Gebruikersdag Vialis Digitale Veiligheid

IAAS - QUICK START GUIDE

MANAGED FIREWALL. Bescherming van netwerken en systemen. SOPHOS-UTM Next generation firewall. SOPHOS VS S-BOX Vergelijking Sophos-UTM en S-Box

VMWORLD 2011 US WRAP

Bijlage 1 behorend bij de Algemene Voorwaarden Caresharing: Acceptable use policy

(Big) Data in het sociaal domein

Onderzoek naar de veiligheid c.q. beveiliging van de SURFnet IDS dienst. Lourens Bordewijk & Jimmy Macé

IAAS HANDLEIDING - SOPHOS FIREWALL

SELinux (project 073)

8 nov InAudit 1. Cybersecurity: moet ROBBERT KRAMER

CONTAINERIZATION OF APPLICATIONS WITH MICROSOFT AZURE PAAS SERVICES

Security Les 1 Leerling: Marno Brink Klas: 41B Docent: Meneer Vagevuur

Cloudsourcing onder Architectuur. Martin van den Berg Serviceline Manager Architectuur Sogeti Nederland 13 oktober 2011

Security bij de European Registry for Internet Domain Names

SECURITY UITDAGINGEN 2015

Documentnaam: Technisch Ontwerp Datum: Samenstelling: Bas, Chris & Teun Team Bas / Teun / Chris Versie: 1.4. Overzicht Tekening...

Citrix XenApp and XenDesktop Fast Track

Beveiliging in Industriële netwerken. Waarom monitoring een goed idee is

Proof of Concept SIEM

Agenda. 1. Introductie CIBER. 2. Visie Cloud Services. 4. Hoe kan CIBER hepen. 2 Titel van de presentatie

Next Generation Firewall. Jordy Bax Technology Lead

Security by Design. Security Event AMIS. 4 december 2014

Handleiding Inloggen met SSL VPN

Brokopondo Communities: Potential Socio-Cultural Impacts

Risk & Requirements Based Testing

De Security System Integrator Het wapen tegen onbekende dreigingen

Uitnodiging Security Intelligence 2014 Dertiende editie: Corporate IAM

Identity & Access Management & Cloud Computing

KAS-Web Handleiding Self Service Portal / Version 2 KAS BANK N.V. 1

My Benefits My Choice applicatie. Registratie & inlogprocedure

Security- en Compliance-monitoring. Remco van der Lans Senior Solutions Consultant KPN Security Services

Bijlage 2 behorend bij de Algemene Voorwaarden Caresharing B.V.: Security Statement

operating system beveiliging

ESET Anti-Ransomware Setup

Solution Dag refresh-it. Printing. Frits de Boer Frenk Tames

De Digitale Transformatie en de impact op IT. Capgemini Edwin Leinse

WHITEPAPER DEEPBLUE HONEYPOT

Cloud en cybersecurity

Tilburg University. Huishoudelijk gedrag en stookgasverbruik van Raaij, Fred; Verhallen, T.M.M. Published in: Economisch Statistische Berichten

1 Copyright 2016 Deloitte Risk Services B.V. All rights reserved.

Unified Access One Network One Policy One Management

Resultaten van de scan. Open poorten. High vulnerabilities. Medium vulnerabilites. Low vulnerabilities

Hoe overleven in een wereld van cyberspionage, hackers en internetoplichters? Jan Verhulst

Joop Cornelissen BMC Klantendag Professionaliseren dienstverlening CMS

Veilig samenwerken. November 2010

DevSecOps Een buzzword of toch een noodzakelijke stap richting Secure DevOps?

Introductie AVG

Introductie Veiligheidseisen Exploiten Conclusie. Browser security. Wouter van Dongen. RP1 Project OS3 System and Network Engineering

Building the next economy met Blockchain en real estate. Lelystad Airport, 2 november 2017 BT Event

Cloud Computing: de juridische aspecten. wie zijn wij? Alan Steele Nicholson. Jeroen van der Lee. Cloud en Grid Computing Symposium

Business as (un)usual

KAS-Web Handleiding Self Service Portal / Versie 0.2 KAS BANK N.V. 1

Architecten-debat 21 juni 2006 PI GvIB Themamiddag. Renato Kuiper. Principal Consultant Information Security

Preserva'on metadata voor cer'ficering van Trusted Digital Repositories

Certified Ethical Hacker v9 (CEH v9)

"Baselines: eigenwijsheid of wijsheid?"

Technische QuickScan. JOMA secundair Merksem Pagina 1 van 28

Automate Security. Get proactive.

Activant Prophet 21. Prophet 21 Version 12.0 Upgrade Information

Van Virtualisatie naar Cloud Computing De roadmap voor de toekomst?

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV

Optimale ICT-beveiliging. Van advies en ontwikkeling tot implementatie en beheer

Citrix NetScaler 11 Advanced Implementation

ISSX, Experts in IT Security. Wat is een penetratietest?

Cloud werkplek anno Cloud werkplek anno 2014

Research Data Zone. Joyce Nijkamp, UvA Peter Hinrich, SURFnet

Tilburg University. Energiebesparing door gedragsverandering van Raaij, Fred; Verhallen, T.M.M. Published in: Psychologie. Publication date: 1982

Factsheet SECURITY CONSULTANCY Managed Services

DDoS en netwerkbeschikbaarheid. Xander Jansen Niels den Otter

Onder de motorkap van Microsoft Azure Web Sites. Eelco Koster Software architect ORDINA

Revisie geschiedenis. [XXTER & KNX via IP]

Les 2, do : Inleiding Server 2012 ii.2 VMware installeren en gereedmaken

BRING YOUR OWN DEVICE

Procrustes analyse (1) Steenkamp, J.E.B.M.; van Trijp, J.C.M.; Verhallen, T.M.M.

CTI SUITE TSP DETAILS

Transcriptie:

User-supplied VMs op BiG Grid hardware Policies, User Requirements en Risico Analyse Pieter van Beek <pieterb sara nl> 3 september 2009

Begrippen CERN classificatie (class 1, 2, 3) In deze presentatie: User VM: VM die door de gebruiker wordt aangeleverd en/of volledig kan worden aangepast. Gebruiker heeft root-access. VM wordt uitgevoerd in beveiligde omgeving (blackbox security) Trusted VM: VM is beperkt configureerbaar alleen user-land en/of uit vertrouwde repository Gebruiker heeft geen root-access VM wordt vertrouwd laag security level

Policies I: relevante policies Grid Security Policy, versie 5.7a VO Portal Policy, versie 1.0 (draft) BiG Grid Security Policy, versie 2009-025 Grid Acceptable Use Policy, versie 3.1 Grid Site Operations Policy, versie 1.4a LCG/EGEE Incident Handling and Response Guide, versie 2.1 Grid Security Traceability and Logging Policy, versie 2.0 VO-Box Security Recommendations and Questionnaire, versie 0.6 (draft, niet geratificeerd)

Policies II: passages Users may be held responsible for all actions taken using their credentials [ ] All the requirements for the networking security of resources are expected to be adequately covered by each site's local security policies and practices. the VO Box is part of the trusted network fabric of the Site. [ ] therefore privileged (root) access to the system MUST be limited to the Resource Administrators. Provisioning of resources to the Grid is at your own risk. In order to satisfy the traceability requirements, software deployed in the Grid MUST include the ability to produce sufficient and relevant logging, and to collect logs centrally at a Site.

Policies III: conclusies User VMs zijn niet in strijd met enige policy, in letter noch geest Trusted VMs wel! We mogen en moeten het dus zelf bepalen. Afweging tussen risico, als functie van dreiging (threat) kwetsbaarheid (vulnerability) portée (impact) baten (benefits, gains) BSC: proces, klant, innovatie risks en benefits!

Attack Surface Attack surface is groter bij Trusted VMs dan bij User VMs Kernel vulnerability van vorige week heeft geen effect bij User-KVM

Risico analyse: Breach levels 1. VM compromised in user space 2. VM compromised in kernel space 3. Host compromised in user space 4. Host compromised in kernel space 5. 1 is al voldoende om schade aan te richten Pas vanaf 3 is vulnerability reduction mogelijk Dus nadruk op threat/impact reduction en gebruikers-educatie

Risico analyse: Threat 1. Kwaadaardige gebruiker 2. VM is compromised via onveilige service op open poort processing van maligne data kwaadaardige executables off-site Maatregelen Blokkeren inkomend verkeer Gebruikers-educatie: uitwisselen van VMs, executables, data WatchGuard

Risico analyse: Vulnerability Vulnerabilities: Binnen de VM: services, applications kernel... Buiten de VM Hypervisor/VMM Host OS... Maatregelen: Geen black-box VMs: image inspection run-time inspection Beperken VMM (KVM) unprivileged chrooted SELinux-ed Gebruikers-educatie Gebruikers en VOs aansprakelijk maken Goede templates

Risico analyse: Impact DDoS attacks Warez-hosting Spam Proxying... TLD blocking reputatieschade? mail-blocks route-blocks Maatregelen: Detectie Tripwire Honeypots (host & guest) WatchGuard Catalyst FWSM... Hosts in DMZ 24x7 incident response Whitelisting outbound traffic Public IP's in aparte range met eigen reverse DNS TLD Dienst onderbrengen in aparte rechtspersoon

Kosten en Baten Kosten: Eenmalige extra ontwikkelkosten voor beveiliging Evt. extra hardware......maar outbound whitelisting beperkt hardware- en setup-kosten Incident-response 24x7 monitoring? Opslag end-states & ontwikkeling daarvan? Baten: Heel veel nieuwe gebruikers! consumerization Voortzetting BiG Grid Stap richting DutchCloud VM-building wordt een community efford......dus besparing op ontwikkelkosten

Losse opmerkingen Veel geldt ook voor Class 2 of Trusted VMs! Kan/wil je aansprakelijkheid neerleggen bij VOs? Zijn VO-certified black-box VM's acceptabel voor sites? Niet compatible met DutchCloud! Bouwt voort op achterhaald business-model Veel risico's zijn moeilijk kwantificeerbaar (dus eigenlijk onzekerheden ) Niet alleen Amazon is een voorbeeld: gasten LAN ISPs

ど う も 有 難 う 御 座 い ま し た

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback