sectxl '11 | frankfurt - chris boos: "standardisierung funktioniert nicht akt iii –...
DESCRIPTION
TRANSCRIPT
![Page 1: SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt III – Sicherheit"](https://reader033.vdokument.com/reader033/viewer/2022051411/547aa96ab379594e2b8b4ac8/html5/thumbnails/1.jpg)
SecTXL 22.11.2011 twitter: @boosc
Standardisierung funktioniert
nicht Akt III – Sicherheit
![Page 2: SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt III – Sicherheit"](https://reader033.vdokument.com/reader033/viewer/2022051411/547aa96ab379594e2b8b4ac8/html5/thumbnails/2.jpg)
Akt III ?
![Page 3: SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt III – Sicherheit"](https://reader033.vdokument.com/reader033/viewer/2022051411/547aa96ab379594e2b8b4ac8/html5/thumbnails/3.jpg)
Akt I
Software / Entwicklung
Akt II
Systembetrieb /
IT Service Management
Akt III ?
![Page 4: SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt III – Sicherheit"](https://reader033.vdokument.com/reader033/viewer/2022051411/547aa96ab379594e2b8b4ac8/html5/thumbnails/4.jpg)
Agenda
Was hat Sicherheit mit
Standardisierung zu tun?
Sicherheit 1.0
Sicherheit für kleine Diktatoren
Willkommen in der echten Welt…
Was hat das mit Cloud zu tun?
Sicherheit 2.0
Ergebnis, nicht Mehrode
Wie setzt man das um?
![Page 5: SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt III – Sicherheit"](https://reader033.vdokument.com/reader033/viewer/2022051411/547aa96ab379594e2b8b4ac8/html5/thumbnails/5.jpg)
Was hat Sicherheit mit
Standardisierung zu tun?
![Page 6: SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt III – Sicherheit"](https://reader033.vdokument.com/reader033/viewer/2022051411/547aa96ab379594e2b8b4ac8/html5/thumbnails/6.jpg)
Kontrolle war alles!
![Page 7: SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt III – Sicherheit"](https://reader033.vdokument.com/reader033/viewer/2022051411/547aa96ab379594e2b8b4ac8/html5/thumbnails/7.jpg)
Fehler machen war verboten!!!
![Page 8: SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt III – Sicherheit"](https://reader033.vdokument.com/reader033/viewer/2022051411/547aa96ab379594e2b8b4ac8/html5/thumbnails/8.jpg)
Prozeduren und andere
Arbeitsvorschriften waren das
Allheilmittel
![Page 9: SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt III – Sicherheit"](https://reader033.vdokument.com/reader033/viewer/2022051411/547aa96ab379594e2b8b4ac8/html5/thumbnails/9.jpg)
Sicherheit 1.0
Sicherheit für kleine Diktatoren
![Page 10: SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt III – Sicherheit"](https://reader033.vdokument.com/reader033/viewer/2022051411/547aa96ab379594e2b8b4ac8/html5/thumbnails/10.jpg)
Perimeter Sicherheit
Physikalisch
Digital
![Page 11: SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt III – Sicherheit"](https://reader033.vdokument.com/reader033/viewer/2022051411/547aa96ab379594e2b8b4ac8/html5/thumbnails/11.jpg)
Software Stack
Standard ist, was ich mir
denke
Eine Grenze, die man nicht
bewachen kann.
![Page 12: SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt III – Sicherheit"](https://reader033.vdokument.com/reader033/viewer/2022051411/547aa96ab379594e2b8b4ac8/html5/thumbnails/12.jpg)
Governance
Niemals ist jemand
verantwortlich
Lange Entscheidungswege
und trotzdem Security
by Obscurity
![Page 13: SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt III – Sicherheit"](https://reader033.vdokument.com/reader033/viewer/2022051411/547aa96ab379594e2b8b4ac8/html5/thumbnails/13.jpg)
Datenschutz
Informationelle
Selbstbestimmung ist, wenn
niemand meine Daten hat,
oder???
![Page 14: SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt III – Sicherheit"](https://reader033.vdokument.com/reader033/viewer/2022051411/547aa96ab379594e2b8b4ac8/html5/thumbnails/14.jpg)
Willkommen in der
echten Welt
![Page 15: SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt III – Sicherheit"](https://reader033.vdokument.com/reader033/viewer/2022051411/547aa96ab379594e2b8b4ac8/html5/thumbnails/15.jpg)
Software Design
Vielfalt ersetzt die Standards
![Page 16: SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt III – Sicherheit"](https://reader033.vdokument.com/reader033/viewer/2022051411/547aa96ab379594e2b8b4ac8/html5/thumbnails/16.jpg)
BASE
Basically Available, Soft State,
Eventually Consistent
![Page 17: SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt III – Sicherheit"](https://reader033.vdokument.com/reader033/viewer/2022051411/547aa96ab379594e2b8b4ac8/html5/thumbnails/17.jpg)
Zero Downtime Deployment
![Page 18: SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt III – Sicherheit"](https://reader033.vdokument.com/reader033/viewer/2022051411/547aa96ab379594e2b8b4ac8/html5/thumbnails/18.jpg)
Technologie ohne
Entscheidungswege aber mit
direktem Feedback
![Page 19: SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt III – Sicherheit"](https://reader033.vdokument.com/reader033/viewer/2022051411/547aa96ab379594e2b8b4ac8/html5/thumbnails/19.jpg)
Netzwerk Sicherheit
oder wie der Leichtsinn die Welt
regiert
![Page 20: SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt III – Sicherheit"](https://reader033.vdokument.com/reader033/viewer/2022051411/547aa96ab379594e2b8b4ac8/html5/thumbnails/20.jpg)
Data Seepage ist gefährlicher
als direkte Angriffe
![Page 21: SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt III – Sicherheit"](https://reader033.vdokument.com/reader033/viewer/2022051411/547aa96ab379594e2b8b4ac8/html5/thumbnails/21.jpg)
Das Risiko liegt in der
Anwendung
![Page 22: SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt III – Sicherheit"](https://reader033.vdokument.com/reader033/viewer/2022051411/547aa96ab379594e2b8b4ac8/html5/thumbnails/22.jpg)
Sind Sie Papst?
Glauben Sie wirklich,
ausgehenden Traffic
dauerhaft kontrollieren zu
können
![Page 23: SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt III – Sicherheit"](https://reader033.vdokument.com/reader033/viewer/2022051411/547aa96ab379594e2b8b4ac8/html5/thumbnails/23.jpg)
Datenschutz
ist eine Illusion
![Page 24: SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt III – Sicherheit"](https://reader033.vdokument.com/reader033/viewer/2022051411/547aa96ab379594e2b8b4ac8/html5/thumbnails/24.jpg)
Facebook ist die drittgrößte
„Nation“ auf unserer Erde
Und keiner hat die
Benutzer gezwungen daran
teilzunehmen
![Page 25: SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt III – Sicherheit"](https://reader033.vdokument.com/reader033/viewer/2022051411/547aa96ab379594e2b8b4ac8/html5/thumbnails/25.jpg)
Datenauswertung
Empfehlungen und virale
Methoden werden als
Mehrwert wahrgenommen
![Page 26: SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt III – Sicherheit"](https://reader033.vdokument.com/reader033/viewer/2022051411/547aa96ab379594e2b8b4ac8/html5/thumbnails/26.jpg)
Überraschung….
Gesetzliche Restriktionen
interessieren die Benutzer
nicht
![Page 27: SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt III – Sicherheit"](https://reader033.vdokument.com/reader033/viewer/2022051411/547aa96ab379594e2b8b4ac8/html5/thumbnails/27.jpg)
Was hat das mit Cloud zu tun?
![Page 28: SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt III – Sicherheit"](https://reader033.vdokument.com/reader033/viewer/2022051411/547aa96ab379594e2b8b4ac8/html5/thumbnails/28.jpg)
Cloud ist BASE
![Page 29: SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt III – Sicherheit"](https://reader033.vdokument.com/reader033/viewer/2022051411/547aa96ab379594e2b8b4ac8/html5/thumbnails/29.jpg)
Private Cloud
Dort, wo man immer noch
alles kontrollieren kann
Das ist nur ein
Zwischenschritt
![Page 30: SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt III – Sicherheit"](https://reader033.vdokument.com/reader033/viewer/2022051411/547aa96ab379594e2b8b4ac8/html5/thumbnails/30.jpg)
Wer redet von Standards?
Wir können uns ja kaum auf
Betriebssysteme einigen…
![Page 31: SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt III – Sicherheit"](https://reader033.vdokument.com/reader033/viewer/2022051411/547aa96ab379594e2b8b4ac8/html5/thumbnails/31.jpg)
Clouds funktionieren mit
Bausteinen und APIs
Das bedeutet
Standardisierung des
absoluten Minimums
![Page 32: SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt III – Sicherheit"](https://reader033.vdokument.com/reader033/viewer/2022051411/547aa96ab379594e2b8b4ac8/html5/thumbnails/32.jpg)
Security 2.0
Wenn man das Ergebnis und nicht die
Methode vorschreibt
![Page 33: SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt III – Sicherheit"](https://reader033.vdokument.com/reader033/viewer/2022051411/547aa96ab379594e2b8b4ac8/html5/thumbnails/33.jpg)
…ändern Sie
nichts an Ihrer
Security Policy
und ersetzen Sie
Ihre alten
Firewalls durch
Technologien
wie vShield
Wenn Sie IaaS als Migrationsprojekt machen…
![Page 34: SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt III – Sicherheit"](https://reader033.vdokument.com/reader033/viewer/2022051411/547aa96ab379594e2b8b4ac8/html5/thumbnails/34.jpg)
…nur wenn
Menschen einen
Mehrwert sehen,
halten sie sich
daran…
Datenschutz ist eine Sache des Bewusstseins
![Page 35: SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt III – Sicherheit"](https://reader033.vdokument.com/reader033/viewer/2022051411/547aa96ab379594e2b8b4ac8/html5/thumbnails/35.jpg)
1995
1996
19981999
20062009
2010
2011
2007
Unternehmen bestehen
übrigens aus Menschen
![Page 36: SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt III – Sicherheit"](https://reader033.vdokument.com/reader033/viewer/2022051411/547aa96ab379594e2b8b4ac8/html5/thumbnails/36.jpg)
Netzwerksicherheit in der Cloud
![Page 37: SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt III – Sicherheit"](https://reader033.vdokument.com/reader033/viewer/2022051411/547aa96ab379594e2b8b4ac8/html5/thumbnails/37.jpg)
Nutzen Sie Cloud und Crowd
Security Services
![Page 38: SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt III – Sicherheit"](https://reader033.vdokument.com/reader033/viewer/2022051411/547aa96ab379594e2b8b4ac8/html5/thumbnails/38.jpg)
Standards beschreiben nicht das
Wie, sondern das Was?
Das ist eine Policy
Sagen Sie nicht wie etwas
implementiert werden soll,
sondern WAS das Ergebnis
sein muss (z.B. Web Server
dürfen nur einen offenen Port
haben)
![Page 39: SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt III – Sicherheit"](https://reader033.vdokument.com/reader033/viewer/2022051411/547aa96ab379594e2b8b4ac8/html5/thumbnails/39.jpg)
Sicherheit in verteilten
Systemen duldet keine
Flaschenhälse
Also verzichten Sie auf
Konzepte wie zentrale
Firewalls, zentrale Scanner
oder Proxy Server
![Page 40: SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt III – Sicherheit"](https://reader033.vdokument.com/reader033/viewer/2022051411/547aa96ab379594e2b8b4ac8/html5/thumbnails/40.jpg)
Sicherheit durch Software Design
![Page 41: SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt III – Sicherheit"](https://reader033.vdokument.com/reader033/viewer/2022051411/547aa96ab379594e2b8b4ac8/html5/thumbnails/41.jpg)
Echte Cloud Applikationen sind
mehr als die Virtualisierung ihrer
Vorgänger
Der Unterschied ist
mehr als Abrechnung
![Page 42: SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt III – Sicherheit"](https://reader033.vdokument.com/reader033/viewer/2022051411/547aa96ab379594e2b8b4ac8/html5/thumbnails/42.jpg)
Sessions gehören NICHT in den
Applikationsserver
Wenn wir schon dabei sind,
vergessen Sie Sessions
einfach…
![Page 43: SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt III – Sicherheit"](https://reader033.vdokument.com/reader033/viewer/2022051411/547aa96ab379594e2b8b4ac8/html5/thumbnails/43.jpg)
Applikationen müssen ihren
Workflow kennen
![Page 44: SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt III – Sicherheit"](https://reader033.vdokument.com/reader033/viewer/2022051411/547aa96ab379594e2b8b4ac8/html5/thumbnails/44.jpg)
Konsistenz und Verfügbarkeit
dürfen zu keiner Zeit einfach
angenommen werden.
![Page 45: SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt III – Sicherheit"](https://reader033.vdokument.com/reader033/viewer/2022051411/547aa96ab379594e2b8b4ac8/html5/thumbnails/45.jpg)
Governance
![Page 46: SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt III – Sicherheit"](https://reader033.vdokument.com/reader033/viewer/2022051411/547aa96ab379594e2b8b4ac8/html5/thumbnails/46.jpg)
Policies vs. Standards
Policies müssen in jeder
Umgebung anwendbar sein
![Page 47: SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt III – Sicherheit"](https://reader033.vdokument.com/reader033/viewer/2022051411/547aa96ab379594e2b8b4ac8/html5/thumbnails/47.jpg)
Vergessen Sie Schuld!
Fehler passieren. Wie in der
Cloud Entwicklung,
planen Sie so, dass Fehler
machen erlaubt ist und dass
Verantwortung übernehmen
nicht schmerzt
![Page 48: SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt III – Sicherheit"](https://reader033.vdokument.com/reader033/viewer/2022051411/547aa96ab379594e2b8b4ac8/html5/thumbnails/48.jpg)
Von „Cover Your Arse“
nach „Solve the Problem“
![Page 49: SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt III – Sicherheit"](https://reader033.vdokument.com/reader033/viewer/2022051411/547aa96ab379594e2b8b4ac8/html5/thumbnails/49.jpg)
Und wie soll man so
etwas umsetzen?
![Page 50: SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt III – Sicherheit"](https://reader033.vdokument.com/reader033/viewer/2022051411/547aa96ab379594e2b8b4ac8/html5/thumbnails/50.jpg)
Policies automatisch
überwachen
Wissensbasiert an Stelle von
skriptbasiert.
Dokumentiert an Stelle von
philosophiert.
![Page 51: SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt III – Sicherheit"](https://reader033.vdokument.com/reader033/viewer/2022051411/547aa96ab379594e2b8b4ac8/html5/thumbnails/51.jpg)
Ablaufschemata von
Applikationen verlangen
Endliche Automaten –
Alles was nicht erlaubt ist,
ist verboten
APIs absichern
![Page 52: SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt III – Sicherheit"](https://reader033.vdokument.com/reader033/viewer/2022051411/547aa96ab379594e2b8b4ac8/html5/thumbnails/52.jpg)
Automatische Datenerhebung
erlaubt neue Aussagen und
Analysen
Was war erfolgreich, was
nicht?
Handelt es sich um eine
Langzeitattacke
Deal with Data Seepage
![Page 53: SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt III – Sicherheit"](https://reader033.vdokument.com/reader033/viewer/2022051411/547aa96ab379594e2b8b4ac8/html5/thumbnails/53.jpg)
Intern modern arbeiten…
![Page 54: SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt III – Sicherheit"](https://reader033.vdokument.com/reader033/viewer/2022051411/547aa96ab379594e2b8b4ac8/html5/thumbnails/54.jpg)
Photo CreditsFolie 6: ltz / stock.xchng
Folie 7: a_b Oli R / flickr
Folie 8: float / stock.xchng
Folie 10: Library of Congress, LC-USW36-180 / flickr
Folie 11: Library of Congress, LC-USW36-840 / flickr
Folie 12: mikkosoft / stock.xchng
Folie 13: jurvetson / flickr
Folie 16: float / stock.xchng
Folie 17: float / stock.xchng
Folie 18: float / stock.xchng
Folie 20: float / stock.xchng
Folie 21: float / stock.xchng
Folie 22: float / stock.xchng
Folie 24: fuzzcat / flickr
Folie 25: WageIndicator - Paulien Osse / flickr
Folie 26: todorov40 / stock.xchng
Folie 28: Dominic's pics / flickr
Folie 29: Dominic's pics / flickr
Folie 31: jaja_1985 / flickr
Folie 37: cleomedes / stock.xchng
Folie 38: mrbill / flickr
Folie 39: mmagallan / stock.xchng
Folie 41: kipcurry / stock.xchng
Folie 42: float / stock.xchng
Folie 43: float / stock.xchng
Folie 44: Dominic's pics / flickr
Folie 47: Milosz1 / flickr
Folie 48: 802 / flickr
Folie 50: Dominic's pics / flickr
Folie 51: createsima / stock.xchng
Folie 52: float / stockxchng
Folie 53: evhead / flickr
![Page 55: SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt III – Sicherheit"](https://reader033.vdokument.com/reader033/viewer/2022051411/547aa96ab379594e2b8b4ac8/html5/thumbnails/55.jpg)
arago AG
Hans-Christian Boos
Eschersheimer Landstr. 526 - 532
60433 Frankfurt am Main
Tel: +49 (0) 69 405 680
Mail: [email protected]
www.arago.de
www.hcboos.net
Vielen Dank für Ihre Zeit