Quando inizi ad accettare l`impossibile, rischi di

Quando inizi ad accettare l'impossibile,
rischi di scoprire la verità
(sulla sicurezza delle applicazioni in the cloud)
Alessio L.R. Pennasilico - [email protected]
5 Giugno 2013
Security Summit Roma
$whois -=mayhem=Security Evangelist @
Committed:
AIP Associazione Informatici Professionisti, CLUSIT
AIPSI Associazione Italiana Professionisti Sicurezza Informatica
Italian Linux Society, Sikurezza.org, AIP/OPSI
Hacker’s Profiling Project, CrISTAL
!
Quando inizi ad accettare l'impossibile, rischi di scoprire la verità
A.L.R. Pennasilico - Security Summit Roma 2013
2
Fabrizio Fiorucci
Senior Field Systems Engineer
& Subject Matter Expert
F5 Networks Italy
Quando inizi ad accettare l'impossibile, rischi di scoprire la verità
A.L.R. Pennasilico - Security Summit Roma 2013
3
Cloud
Un mondo dorato di soffici
arcobaleni?
Quando inizi ad accettare l'impossibile, rischi di scoprire la verità
A.L.R. Pennasilico - Security Summit Roma 2013
4
Cloud
“Ci sedemmo dalla parte
del torto visto che tutti gli
altri posti erano occupati”
Bertolt Brecht
Quando inizi ad accettare l'impossibile, rischi di scoprire la verità
A.L.R. Pennasilico - Security Summit Roma 2013
5
Value proposition?
DDOS?
High Performance?
Scaling resorces?
Pay per use?
Dynamic adapting?
Mobile users?
Quando inizi ad accettare l'impossibile, rischi di scoprire la verità
A.L.R. Pennasilico - Security Summit Roma 2013
6
Non è tutto oro...
Ma forse è ora?
Quando inizi ad accettare l'impossibile, rischi di scoprire la verità
A.L.R. Pennasilico - Security Summit Roma 2013
7
Problemi secondari
PT?
Data location?
Audit?
Quando inizi ad accettare l'impossibile, rischi di scoprire la verità
A.L.R. Pennasilico - Security Summit Roma 2013
8
Digital divide
Hai abbastanza banda?
Una linea di backup?
Quando inizi ad accettare l'impossibile, rischi di scoprire la verità
A.L.R. Pennasilico - Security Summit Roma 2013
9
What’s in the box?
Is “Cloud” all good?
Some “Cloud” benefits...
• No infrastructures
• No rooms, cooling, environment security
• No backup
• No servers HW maintenance
• No personnel, training...
• No expensive Internet bandwidth
Connect the users to
your application
Forget everything else...
You got a cloud service!
What are you going to do with that?
What about SECURITY?
What about SECURITY?
Well... of course we have FIREWALLS!!
L3 / L4 Firewalls
• Positive policy, everything out, only 80 / 443 in
• HTTPS... how do they handle it?
• DoS / DDoS: how do they handle them?
• Web Application attacks: how do they handle
them?
Cloud services
Quando inizi ad accettare l'impossibile, rischi di scoprire la verità - A.L.R. Pennasilico - Security Summit Roma 2013
Servizi cloud
Possono essere declinati in diverse modalità operative
Quando inizi ad accettare l'impossibile, rischi di scoprire la verità
A.L.R. Pennasilico - Security Summit Roma 2013
19
Cloud Services
Quando inizi ad accettare l'impossibile, rischi di scoprire la verità
A.L.R. Pennasilico - Security Summit Roma 2013
20
SaaS (Software as a Service) - Consiste nell'utilizzo di
programmi installati su un server remoto, cioè fuori del
computer fisico o dalla LAN locale, spesso attraverso
un server web. Questo acronimo condivide in parte la
filosofia di un termine oggi in disuso, ASP (Application
service provider).
http://it.wikipedia.org/wiki/Cloud_computing
Quando inizi ad accettare l'impossibile, rischi di scoprire la verità
A.L.R. Pennasilico - Security Summit Roma 2013
21
DaaS (Data as a Service) - Con questo servizio vengono
messi a disposizione via web solamente i dati ai quali gli
utenti possono accedere tramite qualsiasi applicazione
come se fossero residenti su un disco locale.
http://it.wikipedia.org/wiki/Cloud_computing
Quando inizi ad accettare l'impossibile, rischi di scoprire la verità
A.L.R. Pennasilico - Security Summit Roma 2013
22
HaaS (Hardware as a Service) - Con questo servizio
l'utente invia dati ad un computer che vengono
elaborati da computer messi a disposizione e restituiti
all'utente iniziale.
http://it.wikipedia.org/wiki/Cloud_computing
Quando inizi ad accettare l'impossibile, rischi di scoprire la verità
A.L.R. Pennasilico - Security Summit Roma 2013
23
PaaS (Platform as a Service) - Invece che uno o più
programmi singoli, viene eseguita in remoto una
piattaforma software che può essere costituita da
diversi servizi, programmi, librerie, etc. (ad esempio
Google's App Engine)
http://it.wikipedia.org/wiki/Cloud_computing
Quando inizi ad accettare l'impossibile, rischi di scoprire la verità
A.L.R. Pennasilico - Security Summit Roma 2013
24
IaaS (Infrastructure as a Service) - Utilizzo di risorse
hardware in remoto. Questo tipo di cloud è quasi un
sinonimo di Grid Computing, ma con una caratteristica
imprescindibile: le risorse vengono utilizzate su richiesta
o domanda al momento in cui una piattaforma ne ha
bisogno, non vengono assegnate a prescindere dal loro
utilizzo effettivo.
http://it.wikipedia.org/wiki/Cloud_computing
Quando inizi ad accettare l'impossibile, rischi di scoprire la verità
A.L.R. Pennasilico - Security Summit Roma 2013
25
Cloud services
Quando inizi ad accettare l'impossibile, rischi di scoprire la verità
A.L.R. Pennasilico - Security Summit Roma 2013
26
Cloud services
Quando inizi ad accettare l'impossibile, rischi di scoprire la verità
A.L.R. Pennasilico - Security Summit Roma 2013
27
Cosa proteggere?
A seconda del servizio sottoscritto
possiamo adottare diverse misure
Quando inizi ad accettare l'impossibile, rischi di scoprire la verità
A.L.R. Pennasilico - Security Summit Roma 2013
28
SSL
Solo perché sono paranoico
non significa che non mi stiano seguendo...
Quando inizi ad accettare l'impossibile, rischi di scoprire la verità
A.L.R. Pennasilico - Security Summit Roma 2013
29
Cosa proteggere?
Proteggere una applicazione è impossibile
Proteggere una infrastruttura è doveroso
Quando inizi ad accettare l'impossibile, rischi di scoprire la verità
A.L.R. Pennasilico - Security Summit Roma 2013
30
Ambienti misti
Quando inizi ad accettare l'impossibile, rischi di scoprire la verità
A.L.R. Pennasilico - Security Summit Roma 2013
31
IaaS
Segregation
Quando inizi ad accettare l'impossibile, rischi di scoprire la verità
A.L.R. Pennasilico - Security Summit Roma 2013
32
Firewall
Cosa posso proteggere?
Quando inizi ad accettare l'impossibile, rischi di scoprire la verità
A.L.R. Pennasilico - Security Summit Roma 2013
33
AF
Possiamo proteggere le nostre applicazioni
se il deploy ha previsto questa funzionalità
Quando inizi ad accettare l'impossibile, rischi di scoprire la verità
A.L.R. Pennasilico - Security Summit Roma 2013
34
WAF
E’ quasi certamente “roba web”:
posso fare security su quel traffico?
Quando inizi ad accettare l'impossibile, rischi di scoprire la verità
A.L.R. Pennasilico - Security Summit Roma 2013
35
Protocolli del secolo scorso
Posso gestire correttamente protocolli complessi?
Lo posso fare io?
Quando inizi ad accettare l'impossibile, rischi di scoprire la verità
A.L.R. Pennasilico - Security Summit Roma 2013
36
VPN
E’ necessario aggiungere ulteriori layer di sicurezza?
E’ possibile farlo?
Quando inizi ad accettare l'impossibile, rischi di scoprire la verità
A.L.R. Pennasilico - Security Summit Roma 2013
37
DNS
Non sottovalutate
l’importanza delle “Pagine Gialle®”
Quando inizi ad accettare l'impossibile, rischi di scoprire la verità
A.L.R. Pennasilico - Security Summit Roma 2013
38
Chi sei?
Cloud provider
MSSP
Cloud System Integrator
Rivenditore
Cliente
Quando inizi ad accettare l'impossibile, rischi di scoprire la verità
A.L.R. Pennasilico - Security Summit Roma 2013
39
Etica...
DPI
Filtering
Quando inizi ad accettare l'impossibile, rischi di scoprire la verità
A.L.R. Pennasilico - Security Summit Roma 2013
40
HTTP://
HTTPS://
A day in the life of a packet
A day in the life of a packet
Application content
HTTP://
HTTPS://
port 80 / 443
Network packet
DNS Services
Users DB
Security Challenges
54%
of hacking breaches in larger
organizations occur at the
web application.
We still see SQL Injection
as a choice point of entry for attacker.
A denial of service tool… using
SSL/TLS showed the potential for an
everyday laptop on an average
connection to take down an
enterprise web server.
Threat detection today… hinges on two elements:
identifying suspicious activity among billions of data
points, and refining a large set of suspicious
incidents down to those that matter.
10010100111001
00111001
The most significant change we saw in 2011 was the
rise of “hacktivism” against larger organizations
worldwide.
SSL/TLS
Anonymous proxies… have
steadily increased, more than quadrupling in
number as compared to three years ago.
Security Challenges
54%
of hacking breaches in larger
organizations occur at the
web application.
We still see SQL Injection
as a choice point of entry for attacker.
A denial of service tool… using
SSL/TLS showed the potential for an
everyday laptop on an average
connection to take down an
enterprise web server.
Threat detection today… hinges on two elements:
identifying suspicious activity among billions of data
points, and refining a large set of suspicious
incidents down to those that matter.
10010100111001
00111001
The most significant change we saw in 2011 was the
rise of “hacktivism” against larger organizations
worldwide.
SSL/TLS
Anonymous proxies… have
steadily increased, more than quadrupling in
number as compared to three years ago.
Security Challenges
54%
of hacking breaches in larger
organizations occur at the
web application.
We still see SQL Injection
as a choice point of entry for attacker.
A denial of service tool… using
SSL/TLS showed the potential for an
everyday laptop on an average
connection to take down an
enterprise web server.
Threat detection today… hinges on two elements:
identifying suspicious activity among billions of data
points, and refining a large set of suspicious
incidents down to those that matter.
10010100111001
00111001
The most significant change we saw in 2011 was the
rise of “hacktivism” against larger organizations
worldwide.
SSL/TLS
Anonymous proxies… have
steadily increased, more than quadrupling in
number as compared to three years ago.
Security Challenges
54%
of hacking breaches in larger
organizations occur at the
web application.
We still see SQL Injection
as a choice point of entry for attacker.
A denial of service tool… using
SSL/TLS showed the potential for an
everyday laptop on an average
connection to take down an
enterprise web server.
Threat detection today… hinges on two elements:
identifying suspicious activity among billions of data
points, and refining a large set of suspicious
incidents down to those that matter.
10010100111001
00111001
The most significant change we saw in 2011 was the
rise of “hacktivism” against larger organizations
worldwide.
SSL/TLS
Anonymous proxies… have
steadily increased, more than quadrupling in
number as compared to three years ago.
Web application are at risk
Most websites were
exposed to at least one
serious vulnerability
every day of 2010.
On the average, 50% of
organizations require 116
days or less to remediate
their serious vulnerabilities.
Only 16% of websites were
vulnerable less than 30
days of the year overall.
During 2010, the average
website had 230 serious*
vulnerabilities.
- White Hat Website
Security Stats Report
64 percent of developers are not confident in their ability to write secure applications.
- Microsoft Developer Research
A day in the life of a packet
Application content
HTTP://
HTTPS://
R
port 80 / 443
Network packet
DNS Services
Users DB
Compliance
Che leggi è necessario rispettare?
Che policy è necessario rispettare?
Quando inizi ad accettare l'impossibile, rischi di scoprire la verità
A.L.R. Pennasilico - Security Summit Roma 2013
49
Strumenti
Che caratteristiche devono avere gli strumenti usati?
Quando inizi ad accettare l'impossibile, rischi di scoprire la verità
A.L.R. Pennasilico - Security Summit Roma 2013
50
Dati sensibili?
Cosa carico in the cloud?
Quando inizi ad accettare l'impossibile, rischi di scoprire la verità
A.L.R. Pennasilico - Security Summit Roma 2013
51
Dati in the cloud
Posso criptare le informazioni?
Posso fare dei backup?
Quando inizi ad accettare l'impossibile, rischi di scoprire la verità
A.L.R. Pennasilico - Security Summit Roma 2013
52
Dati in the cloud
Posso anonimizzare le informazioni ove necessario?
Retention in caso di cancellazione?
Quando inizi ad accettare l'impossibile, rischi di scoprire la verità
A.L.R. Pennasilico - Security Summit Roma 2013
53
Altri meccanismi
Come gestisco servizi basati su certificati?
Quando inizi ad accettare l'impossibile, rischi di scoprire la verità
A.L.R. Pennasilico - Security Summit Roma 2013
54
Monitoring
Posso monitorare i miei servizi?
Quali / Come?
Quando inizi ad accettare l'impossibile, rischi di scoprire la verità
A.L.R. Pennasilico - Security Summit Roma 2013
55
It’s time to rethink security
It’s time to rethink security
• Traditional firewalls fails under heavy DoS /
DDoS Attacks
• Most of the attacks are targeted to the
application level
• DNS Security is becoming a MUST
• Are you trusting the Cloud in hosting your
users data?
It’s time to rethink security
CONSOLIDATE NETWORK AND SECURITY FUNCTIONS
Use case
Network DDoS
Before f5
Application DDoS
Firewall
Load
Balancer & SSL
Load
Balancer
DNS Security
Web Application Firewall
with f5
• 
Consolidation of
• 
firewall, app security,
traffic management
Protection for data
centers and
application servers
• 
High scale for the
most common inbound
protocols
Web Access
Management
It’s time to rethink security
CONSOLIDATE NETWORK AND SECURITY FUNCTIONS
Use case
Network DDoS
Before f5
Application DDoS
Firewall
Load
Balancer & SSL
Load
Balancer
DNS Security
Web Application Firewall
with f5
• 
Consolidation of
• 
firewall, app security,
traffic management
Protection for data
centers and
application servers
• 
High scale for the
most common inbound
protocols
Web Access
Management
What about SECURITY?
Well... of course we have FIREWALLS!!
Application DDoS
Network DDoS
Web Access
Management
Load
Balancer & SSL
DNS Security
Web Application Firewall
What about SECURITY?
You need to be sure to have everything in place to
protect your users data!
What about SECURITY?
F5 Networks has all what you need to protect your
application and data in the Cloud
What’s in the box?
It’s time to rethink security in the Cloud
Fabrizio Fiorucci
Senior Field Systems Engineer
& Subject Matter Expert
F5 Networks Italy
M: +39.346.7189593
[email protected]
Conclusioni
Quando inizi ad accettare l'impossibile, rischi di scoprire la verità - A.L.R. Pennasilico - Security Summit Roma 2013
No-Cloud
Il Cloud Computing può essere un importante
strumento per creare valore per l’azienda tramite
l’ottimizzazione di alcuni processi.
Tuttavia va valutato con attenzione, sotto ogni
aspetto implementativo ed organizzativo.
Quando inizi ad accettare l'impossibile, rischi di scoprire la verità
A.L.R. Pennasilico - Security Summit Roma 2013
66
Strumenti
Non sempre è possibile utilizzare gli strumenti che
siamo abituati ad avere a disposizione
L’importante è poter utilizzare che avevo deciso essere
necessari
Quando inizi ad accettare l'impossibile, rischi di scoprire la verità
A.L.R. Pennasilico - Security Summit Roma 2013
67
These slides are written by Alessio L.R. Pennasilico aka mayhem. They are
subjected to Creative Commons Attribution-ShareAlike-2.5 version; you can
copy, modify, or sell them. “Please” cite your source and use the same licence :)
Domande?
Grazie dell’attenzione!
Alessio L.R. Pennasilico - [email protected]
facebook:alessio.pennasilico - twitter:mayhemspp
linkedin:alessio.pennasilico
5 Giugno 2013
Security Summit Roma