Embed Size (px)
Citation preview
AWS, Azure, Google & Co.
IT-Sicherheit bei Multi-Cloud-
Infrastrukturen
06.06. 2019 | Tag der IT Sicherheit
Braintower ist ein IT Dienstleister mit 23 Mitarbeitern. Sitz des Unternehmens ist das Saarland.
Fokus des Geschäfts liegt auf der Beratung in komplexen IT Projekten für Enterprise Kunden
sowie der Implementierung und dem Betrieb dieser Lösungen.
WO NOCH NIE EIN IT'LER ZUVOR GEWESEN IST
Macht Innovationen verlässlich
WAS MACHT EINE BANK IN DER CLOUD?
WAS MACHT EINE BANK IN DER CLOUD?
RUN IT BUILD IT USE IT
IaaS PaaS SaaS
Infrastructure-as-a-Service Platform-as-a-Service Software-as-a-Service
WAS MACHT EINE BANK IN DER CLOUD?
Lift & Shift nicht optimal !
daher auch:
Aufbau einer agilen
Entwicklungsumgebung
für die nächste Generation
von Anwendungen
• Agilität
• Abbau von Abhängigkeiten (Vendor-Lock-In)
• Optimale Nutzung von Ressourcen
• Kostenersparnis
WARUM GEHT EINE BANK ÜBERHAUPT IN DIE CLOUD?
SPEZIALFALL BANKEN?
• besondere Vorgaben (Bafin)• Sicherheit, Verfügbarkeit, Georedundanz, etc.
• Datenschutz
• Sicherstellung von Kernprozessen
• Compliance
• interne Vorgaben
Kein Cloud Provider liefert fertige
Lösungen für alle diese Anforderungen
NETZWERK & SECURITY
NETZWERK & SECURITY
• Firewalls
• Azure: Network Security Groups
• AWS: Security Groups
• Google: Google Compute Firewall
• besondere Vorgaben (Bafin)
• Stateful Packet Inspection
NETZWERK & SECURITY
• besondere Vorgaben (Bafin)• Firewalls
• Stateful Packet Inspection
• zweistufiges Firewall Konzept
NETZWERK & SECURITY
• besondere Vorgaben (Bafin)• Firewalls
• Stateful Packet Inspection
• zweistufiges Firewall Konzept
• weitere Features:• VPN
• dynamisches Routing
• Webfilter
• Anti Virus
• Anti Spam
• Intrusion Detection
• usw.
NETZWERK & SECURITY
• besondere Vorgaben (Bafin)• Firewalls
• Stateful Packet Inspection
• zweistufiges Firewall Konzept
• weitere Features
• Hub & Spoke Architektur
Hub virtual network
Gateway subnet
VPNGateway
vnet peering
NSG
Web
Frontend subnet
Spoke 1 virtual network
Spoke 2 virtual network
vnet peering
Firewall subnet
Firewall
NSG
NSG
App
Backend subnet
NSG
Web
Frontend subnet
NSG
App
Backend subnet
NETZWERK & SECURITY
• besondere Vorgaben (Bafin)• Firewalls
• Vereinheitlichung
• Vereinfachung
• Fehlerreduktion
• Stateful Packet Inspection
• zweistufiges Firewall Konzept
• weitere Features
• Hub & Spoke Architektur
• Management Tools / Reports
VERFÜGBARKEIT
UND SKALIERBARKEIT
VERFÜGBARKEIT UND SKALIERBARKEIT
• Hochverfügbarkeit
• Clusterbildung möglich
• Unterstützt keine Layer 2 Kommunikation
• Längere Umschaltzeiten beachten
• automatische Skalierung
• zusätzliche Schutzmechanismen
~ 15s
~ 10s
~ 5s
enormeInnovationsrate
Lernen durch Schmerzen
steile Lernkurve
>18.000 Änderungen bei Azure, AWS und Google
SICHERE VERBINDUNG DER
UMGEBUNGEN UNTEREINANDER
• VPN Implementierung
• Troubleshooting
• komplexes Routing
SICHERE VERBINDUNG
DER UMGEBUNGEN UNTEREINANDER
Vereinfachung durch einheitliche
Firewall Appliances• Dynamisches Routing
• Express Route
• bessere Service Levels
• aber Achtung: Preis!
Azure 10.100.0.0/16
BGP ASN 65900
GCP 10.102.0.0/16
BGP ASN 65902
AWS 10.101.0.0/16
BGP ASN 65901
On-Premise
10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16
BGP ASN 65000
Public
Internet
Public
Internet
• Hunderte Ressourcen mit dutzenden
Einstel lungen
• schlecht reproduzierbar und fehleranfäl l ig
• schwere Auditierbarkeit
• unautoris ierte Änderungen
Hohe Komplexität
Automatisierungals Lösung
MULTICLOUD IaC
MULTICLOUD IaC• Terraform
• mehr als 150 Adapter
• Modularisierbarkeit
• Einheitlichkeit
• automatisierte Konfiguration
• reproduzierbar, skalierbar und inkrementell
• Versionskontrolle, IDEs
• Agilität
• Auditierbarkeit
• Ansible, Chef, Puppet für OS und Apps
• CI/CD Pipelines
• enorme Geschwindigkeit
• hohe Qualität
• Immutable Infrastructure
• Testumgebung = einfaches Troubleshooting
Zusammenfassung• Multi Cloud = hohe Komplexität
• Wissen aus der alten Welt nutzt nur bedingt
• Änsätze der Software Entwicklung schaffen neue
Möglichkeiten
• Viele Wege führen nach Rom
• (Noch) nichts für kleine Unternehmen
• Konzept notwendig
• Support kaufen
Zusammenfassung
Wo noch nie ein Mensch zuvor gewesen ist
Vielen Dank für Ihre
Aufmerksamkeit.
Noch Fragen?
