D O K U M E N T U M A Z O N O S Í T Ó F á j l n é v : rigo_erno_biztonsagtechnikai_megoldasok.jpg F ő c í m : Biztonságtechnikai megoldások az ELKH Cloud SZTAKI ágában B e s o r o l á s i c í m : Biztonságtechnikai megoldások az ELKH Cloud SZTAKI ágában S z e r e p : létrehozó B e s o r o l á s i n é v : Rigó U t ó n é v : Ernő I n v e r t á l a n d ó n é v : N E s e m é n y : felvéve I d ő p o n t : 2021-11-24 E s e m é n y : elérhető I d ő p o n t : 2021-04-08 D á t u m r a v o n a t k o z ó m e g j e g y z é s : Az előadás időpontja. A t í p u s n e v e : prezentáció A t í p u s n e v e : előadás M e g n e v e z é s : Prezentáció M e g n e v e z é s : Könyvtártudomány - prezentáció M e g n e v e z é s : Networkshop 2021 M e g n e v e z é s : Videotorium A j o g t u l a j d o n o s n e v e : Rigó Ernő S z e r z ő i j o g i m e g j e g y z é s e k : Jogvédett T é m a k ö r : Számítástechnika, hálózatok A l t é m a k ö r : Multimédia, virtuális valóság T é m a k ö r : Számítástechnika, hálózatok A l t é m a k ö r : Hálózati információforrások T é m a k ö r : Számítástechnika, hálózatok A l t é m a k ö r : Biztonság T á r g y s z ó : felhő alapú szolgáltatás M i n ő s í t ő : tárgyszó/kulcsszó T á r g y s z ó : biztonságtechnika M i n ő s í t ő : tárgyszó/kulcsszó T á r g y s z ó : hálózati architektúra M i n ő s í t ő : tárgyszó/kulcsszó T á r g y s z ó : szolgáltatás M i n ő s í t ő : tárgyszó/kulcsszó T á r g y s z ó : 2021 M i n ő s í t ő : időszak K é p a l á í r á s : Biztonságtechnikai megoldások az ELKH Cloud SZTAKI ágában N y e r s v a g y O C R - e s s z ö v e g : Biztonságtechnikai megoldások az ELKH Cloud SZTAKI ágában
Rigó Ernő
SZTAKI
Bemutatkozás
Rigó Ernő
SZTAKI Hálózatbiztonsági és Internet Technológiák osztály
osztályvezető
rigo.erno@sztaki.hu
Tartalomjegyzék
Nyílt felhő környezet biztonsági kihívásai
SZTAKI adatközpont biztonsági architektúra
Biztonsági szolgáltatások
Nyílt felhő környezet biztonsági kihívásai
Általános biztonsági kihívások
Jól ismert, elterjedt szoftverek és szolgáltatások
Web és SSH az első két helyen
Előre csomagolt szoftverek
Alapértelmezett jelszavak és kulcsok
Alapértelmezett konfiguráció
Felhasználók IT üzemeltetői fókuszának hiánya
"It just works"
Felesleges funkciók és szolgáltatások
Patch- és security management hiánya
Nem nyílt Internet-kompatibilis megoldások
Windows network share
Windows remote desktop
SZTAKI adatközpont specifikus kihívások
Nyilvános IP címek
Projektenként legalább 1 db
Nagy teljesítményű hálózati környezet
MTA Cloud: redundáns 10Gbps
ELKH Cloud: redundáns 100Gbps
Széles körű nyilvános szolgáltatási portfólió
OpenStack API és Web
glance, cinder, heat, nova, keystone, neutron
EduID/EduGain Service Provider
További tervezett bővítések a közeljövőben:
European Grid Initiative (EGI) / European Open Science Cloud (EOSC) Service Provider
További IaaS és PaaS komponensek, API-k
SZTAKI adatközpont biztonsági architektúra
Biztonsági komponensek
Szabályzati környezet
Hozzáférés-menedzsment
Hálózati határvédelmi megoldások
Nyugvó adatok védelme
Minta- és képfájl-repozitóriumok
Biztonsági monitoring és naplóelemzés
Aktív biztonsági ellenőrzések
Incidens menedzsment
Szabályzati környezet
Információ biztonsági politika és stratégia
Információ biztonsági szabályzat
Üzemeltetési szabályzat és eljárásrend
Felhasználási szabályzat (AUP)
Üzemmenet folytonosság és katasztrófatervezés
Jelenleg: best effort
Adatkezelési szabályzat
Felhasználói biztonsági kézikönyv
Kialakítás / frissítés folyamatban
Hozzáférés-menedzsment
Föderatív identitás menedzsment
EduID Service Provider (SP)
Web single sign on (SSO)
OpenStack keystone authorizációs modell
Felhasználók
Projektek (tenant)
Szerepkörök (role)
Felelősségi körök
Projekt szintű hozzáférés
EduID / SZTAKI
Projekten belüli, illetve IaaS/PaaS jogosultságok
Projekt felelős
SZTAKI DC L2 Architektúra
L2 és L3 hálózati védelmi megoldások
OpenStack Neutron hálózatok
Projektek L2 és L3 hálózati szintű logikai izolációja
Független virtuális Ethernet hálózatok
Független IP alhálózatok,
OpenStack virtuális routerek
Security Groupok
Be- és kimenő UDP/TCP hozzáférési listák (ACL)
IPv4 NAT/PAT lehetősége
Redundáns külső határvédelmi réteg
Cumulus Linux Netfilter szűrési réteg
Kísérleti fejlesztés
Nyugvó adatok védelme
OpenStack cinder / CEPH
Projektenkénti és kötetenkénti logikai izoláció
Nyugvó kriptográfia
OpenStack barbican
Biztonságos kulcskezelési infrastruktúra
Linux Unified Key Setup (LUKS)
Lemeztitkosítási specifikáció
Magas szintű AES-256 titkosítás
Processzor alapú hardver gyorsítás
VM kötetek titkosítása
Barbican + LUKS referencia megoldás
Kialakítás alatt
Minta- és képfájl-repozitóriumok
IaaS
Operációs rendszer képfájlok (VM image)
Projekt szinten támogatott rendszerek
Elsődlegesen: Ubuntu Linux LTS
Folyamatos automatikus frissen tartás (CI/CD)
PaaS
Referencia architektúrák
Projekt szintű git és docker tárolók
Git alapú CI/CD
Felhasználói felelősség: "cloud ready" alkalmazások és architektúrák használata
Biztonsági monitoring és naplóelemzés
Egységesített üzemviteli és biztonsági szempontrendszer
Azonnali átfogó kép
Cél: üzemviteli és biztonsági incidensek gyors és megbízható érzékelése
Infrastruktúra és szolgáltatások folyamatos megfigyelése (monitoring)
Automatizált riasztások, eszkaláció
Központi naplógyűjtés- és elemzés
Automatizált elemzés, napi jelentések
Naplóadatok védelme (független külső infrastruktúra)
Aktív biztonsági ellenőrzések
Célok
Incidensek proaktív megelőzése
Szabályzati megfelelőség ellenőrzése
Felhasználók biztonságtudatosságának fejlesztése
Rendszeres automatizált biztonsági pásztázás (security scan)
Több ezer sérülékenység automatizált felderítése
Fals riasztások szűrése
Trendelemzés
Átfogó és felhasználói projekt szintű jelentések
Biztonság tervezési szolgáltatás
Biztonság tervezési szolgáltatás
Emelt szintű felhasználó támogatást kiegészítő tevékenység
Célok:
Felhasználói projektek átfogó biztonságának javítása
Egyedi megfelelési szükséglet kielégítése
Eszközök:
Nyílt technológia alapú biztonsági megoldások megvalósítása
Eseti penetrációs tesztelés, egyedi biztonsági pásztázások
Segítség a szabályzati környezet kialakításában
Projekt szintű tanácsadás, konzultáció
Köszönöm a figyelmet!
A bemutatott munka az Eötvös Lóránd Kutatási Hálózat Titkárság támogatásával jött létre (szerződés szám: IF-2/2020, cím: "ELKH Cloud projekt támogatása"). D o k u m e n t u m n y e l v e : magyar K a p c s o l ó d ó d o k u m e n t u m n e v e : Kacsuk Péter: Az MTA Cloud kutatási infrastruktúrától az ELKH Cloud projektig A f o r m á t u m n e v e : PowerPoint prezentáció O l d a l a k s z á m a : 20 T e c h n i k a i m e g j e g y z é s : Microsoft Office PowerPoint 2016 M e t a a d a t a d o k u m e n t u m b a n : N A f o r m á t u m n e v e : PDF dokumentum O l d a l a k s z á m a : 20 M e t a a d a t a d o k u m e n t u m b a n : N A f o r m á t u m n e v e : HTML dokumentum T e c h n i k a i m e g j e g y z é s : HTML 5 verzió M e t a a d a t a d o k u m e n t u m b a n : N L e g j o b b f o r m á t u m : JPEG képállomány L e g n a g y o b b k é p m é r e t : 770x433 pixel L e g j o b b f e l b o n t á s : 72 DPI S z í n : színes T ö m ö r í t é s m i n ő s é g e : közepesen tömörített Á l t a l á n o s m e g j e g y z é s : Networkshop 2021 konferencia A z a d a t r e k o r d s t á t u s z a : KÉSZ S z e r e p / m i n ő s é g : katalogizálás A f e l d o l g o z ó n e v e : Nagy Zsuzsanna |