D O K U M E N T U M A Z O N O S Í T Ó   U R L : https://dka.oszk.hu/124900/124985  F á j l n é v : rigo_erno_biztonsagtechnikai_megoldasok.jpg  B é l y e g k é p : https://dka.oszk.hu/124900/124985/rigo_erno_biztonsagtechnikai_megoldasok_kiskep.jpg C Í M  F ő c í m : Biztonságtechnikai megoldások az ELKH Cloud SZTAKI ágában B e s o r o l á s i   c í m : Biztonságtechnikai megoldások az ELKH Cloud SZTAKI ágában A L K O T Ó  S z e r e p : létrehozó B e s o r o l á s i   n é v : Rigó U t ó n é v : Ernő I n v e r t á l a n d ó   n é v : N D Á T U M  E s e m é n y : felvéve I d ő p o n t : 2021-11-24 E s e m é n y : elérhető I d ő p o n t : 2021-04-08 D á t u m r a   v o n a t k o z ó   m e g j e g y z é s : Az előadás időpontja. D O K U M E N T U M T Í P U S  A   t í p u s   n e v e : prezentáció A   t í p u s   n e v e : előadás R É S Z G Y Ű J T E M É N Y  M e g n e v e z é s : Prezentáció M e g n e v e z é s : Könyvtártudomány - prezentáció M e g n e v e z é s : Networkshop 2021 E R E D E T I   K I A D V Á N Y ,   O B J E K T U M  S Z Á R M A Z Á S I   H E L Y  M e g n e v e z é s : Videotorium U R L : https://kifu.videotorium.hu/hu/recordings/42831 J O G K E Z E L É S  A   j o g t u l a j d o n o s   n e v e : Rigó Ernő S z e r z ő i   j o g i   m e g j e g y z é s e k : Jogvédett T É M A  T é m a k ö r : Számítástechnika, hálózatok A l t é m a k ö r : Multimédia, virtuális valóság T é m a k ö r : Számítástechnika, hálózatok A l t é m a k ö r : Hálózati információforrások T é m a k ö r : Számítástechnika, hálózatok A l t é m a k ö r : Biztonság T Á R G Y S Z Ó  T á r g y s z ó : felhő alapú szolgáltatás M i n ő s í t ő : tárgyszó/kulcsszó T á r g y s z ó : biztonságtechnika M i n ő s í t ő : tárgyszó/kulcsszó T á r g y s z ó : hálózati architektúra M i n ő s í t ő : tárgyszó/kulcsszó T á r g y s z ó : szolgáltatás M i n ő s í t ő : tárgyszó/kulcsszó I D Ő - H E L Y   T Á R G Y S Z Ó  T á r g y s z ó : 2021 M i n ő s í t ő : időszak L E Í R Á S  K é p a l á í r á s : Biztonságtechnikai megoldások az ELKH Cloud SZTAKI ágában N y e r s   v a g y   O C R - e s   s z ö v e g : Biztonságtechnikai megoldások az ELKH Cloud SZTAKI ágában Rigó Ernő SZTAKI Bemutatkozás Rigó Ernő SZTAKI Hálózatbiztonsági és Internet Technológiák osztály osztályvezető rigo.erno@sztaki.hu Tartalomjegyzék Nyílt felhő környezet biztonsági kihívásai SZTAKI adatközpont biztonsági architektúra Biztonsági szolgáltatások Nyílt felhő környezet biztonsági kihívásai Általános biztonsági kihívások Jól ismert, elterjedt szoftverek és szolgáltatások Web és SSH az első két helyen Előre csomagolt szoftverek Alapértelmezett jelszavak és kulcsok Alapértelmezett konfiguráció Felhasználók IT üzemeltetői fókuszának hiánya "It just works" Felesleges funkciók és szolgáltatások Patch- és security management hiánya Nem nyílt Internet-kompatibilis megoldások Windows network share Windows remote desktop SZTAKI adatközpont specifikus kihívások Nyilvános IP címek Projektenként legalább 1 db Nagy teljesítményű hálózati környezet MTA Cloud: redundáns 10Gbps ELKH Cloud: redundáns 100Gbps Széles körű nyilvános szolgáltatási portfólió OpenStack API és Web glance, cinder, heat, nova, keystone, neutron EduID/EduGain Service Provider További tervezett bővítések a közeljövőben: European Grid Initiative (EGI) / European Open Science Cloud (EOSC) Service Provider További IaaS és PaaS komponensek, API-k SZTAKI adatközpont biztonsági architektúra Biztonsági komponensek Szabályzati környezet Hozzáférés-menedzsment Hálózati határvédelmi megoldások Nyugvó adatok védelme Minta- és képfájl-repozitóriumok Biztonsági monitoring és naplóelemzés Aktív biztonsági ellenőrzések Incidens menedzsment Szabályzati környezet Információ biztonsági politika és stratégia Információ biztonsági szabályzat Üzemeltetési szabályzat és eljárásrend Felhasználási szabályzat (AUP) Üzemmenet folytonosság és katasztrófatervezés Jelenleg: best effort Adatkezelési szabályzat Felhasználói biztonsági kézikönyv Kialakítás / frissítés folyamatban Hozzáférés-menedzsment Föderatív identitás menedzsment EduID Service Provider (SP) Web single sign on (SSO) OpenStack keystone authorizációs modell Felhasználók Projektek (tenant) Szerepkörök (role) Felelősségi körök Projekt szintű hozzáférés EduID / SZTAKI Projekten belüli, illetve IaaS/PaaS jogosultságok Projekt felelős SZTAKI DC L2 Architektúra L2 és L3 hálózati védelmi megoldások OpenStack Neutron hálózatok Projektek L2 és L3 hálózati szintű logikai izolációja Független virtuális Ethernet hálózatok Független IP alhálózatok, OpenStack virtuális routerek Security Groupok Be- és kimenő UDP/TCP hozzáférési listák (ACL) IPv4 NAT/PAT lehetősége Redundáns külső határvédelmi réteg Cumulus Linux Netfilter szűrési réteg Kísérleti fejlesztés Nyugvó adatok védelme OpenStack cinder / CEPH Projektenkénti és kötetenkénti logikai izoláció Nyugvó kriptográfia OpenStack barbican Biztonságos kulcskezelési infrastruktúra Linux Unified Key Setup (LUKS) Lemeztitkosítási specifikáció Magas szintű AES-256 titkosítás Processzor alapú hardver gyorsítás VM kötetek titkosítása Barbican + LUKS referencia megoldás Kialakítás alatt Minta- és képfájl-repozitóriumok IaaS Operációs rendszer képfájlok (VM image) Projekt szinten támogatott rendszerek Elsődlegesen: Ubuntu Linux LTS Folyamatos automatikus frissen tartás (CI/CD) PaaS Referencia architektúrák Projekt szintű git és docker tárolók Git alapú CI/CD Felhasználói felelősség: "cloud ready" alkalmazások és architektúrák használata Biztonsági monitoring és naplóelemzés Egységesített üzemviteli és biztonsági szempontrendszer Azonnali átfogó kép Cél: üzemviteli és biztonsági incidensek gyors és megbízható érzékelése Infrastruktúra és szolgáltatások folyamatos megfigyelése (monitoring) Automatizált riasztások, eszkaláció Központi naplógyűjtés- és elemzés Automatizált elemzés, napi jelentések Naplóadatok védelme (független külső infrastruktúra) Aktív biztonsági ellenőrzések Célok Incidensek proaktív megelőzése Szabályzati megfelelőség ellenőrzése Felhasználók biztonságtudatosságának fejlesztése Rendszeres automatizált biztonsági pásztázás (security scan) Több ezer sérülékenység automatizált felderítése Fals riasztások szűrése Trendelemzés Átfogó és felhasználói projekt szintű jelentések Biztonság tervezési szolgáltatás Biztonság tervezési szolgáltatás Emelt szintű felhasználó támogatást kiegészítő tevékenység Célok: Felhasználói projektek átfogó biztonságának javítása Egyedi megfelelési szükséglet kielégítése Eszközök: Nyílt technológia alapú biztonsági megoldások megvalósítása Eseti penetrációs tesztelés, egyedi biztonsági pásztázások Segítség a szabályzati környezet kialakításában Projekt szintű tanácsadás, konzultáció Köszönöm a figyelmet! A bemutatott munka az Eötvös Lóránd Kutatási Hálózat Titkárság támogatásával jött létre (szerződés szám: IF-2/2020, cím: "ELKH Cloud projekt támogatása"). D o k u m e n t u m   n y e l v e : magyar K A P C S O L A T O K  K a p c s o l ó d ó   d o k u m e n t u m   n e v e : Kacsuk Péter: Az MTA Cloud kutatási infrastruktúrától az ELKH Cloud projektig U R L : https://dka.oszk.hu/124900/124973 F O R M Á T U M  A   f o r m á t u m   n e v e : PowerPoint prezentáció O l d a l a k   s z á m a : 20 T e c h n i k a i   m e g j e g y z é s : Microsoft Office PowerPoint 2016 M e t a a d a t   a   d o k u m e n t u m b a n : N A   f o r m á t u m   n e v e : PDF dokumentum O l d a l a k   s z á m a : 20 M e t a a d a t   a   d o k u m e n t u m b a n : N A   f o r m á t u m   n e v e : HTML dokumentum T e c h n i k a i   m e g j e g y z é s : HTML 5 verzió M e t a a d a t   a   d o k u m e n t u m b a n : N M I N Ő S É G  L e g j o b b   f o r m á t u m : JPEG képállomány L e g n a g y o b b   k é p m é r e t : 770x433 pixel L e g j o b b   f e l b o n t á s : 72 DPI S z í n : színes T ö m ö r í t é s   m i n ő s é g e : közepesen tömörített M E G J E G Y Z É S  Á l t a l á n o s   m e g j e g y z é s : Networkshop 2021 konferencia S T Á T U S Z  A z   a d a t r e k o r d   s t á t u s z a : KÉSZ F E L D O L G O Z Ó  S z e r e p   /   m i n ő s é g : katalogizálás A   f e l d o l g o z ó   n e v e : Nagy Zsuzsanna