SlideShare uma empresa Scribd logo

Cloud Computing - Technologie und Missbrauchspotentiale

adesso AG
adesso AG
Esportes
1 de 16
Baixar para ler offline
Cloud Computing – Technologie & Missbrauchspotentiale Jens Deponte adesso AG 11.07.2011
Cloud 11.07.2011 2 Cloud Computing - Technologie und Missbrauchspotential
Cloud Servicemodelle: IaaS – PaaS – SaaS Infrastructure Platform Software as a Service as a Service as a Service > Virtuelle Server > Analog zu > Application Server in Virtualisierung der Cloud > Software Service in > Nur Betriebssystem, > Automatisches der Cloud Storage etc. Skalieren > EMail, CRM, Office > Erst nach Installation > Basis für Individual- Suites… von Applikationsinfra- Software struktur nutzbar Google AppEngine 11.07.2011 3 VMware CloudFoundry Cloud Computing - Technologie und Missbrauchspotential
Gemeinsame Eigenschaften ► On-Demand > Nur nutzen (und zahlen), wenn man es gerade braucht ► Überall nutzbar über das Netz ► Schnelle Elastizität z. B. bei hoher Last > Mehr Ressourcen können schnell zur Verfügung gestellt werden ► Self-Service > Selber buchen über eine Portal > Vollautomatisierte Prozesse > Keine Beauftragung des Betriebs oder Dienstleisters > Wesentlich weniger Aufwand und wesentlich schneller ► Vision: IT wird wie Strom oder das Telefon > Steht immer und überall ausreichend zur Verfügung 11.07.2011 4 Cloud Computing - Technologie und Missbrauchspotential
Cloud Liefermodelle ► Private Cloud ► Public Cloud ► Hybrid Cloud ► Community Cloud 11.07.2011 5 Cloud Computing - Technologie und Missbrauchspotential
Cloud-Vorteile: Kostenmodell ► Man bezahlt nur, was man nutzt (Pay-as-you-go) (Public Cloud) ► Praktisch keine Investitionskosten ► Last-Spitzen kostengünstig abdecken ► Transparente Kosten ► Bessere Ressourcen-Auslastung (Private Cloud) ► Kosten können intern weiterberechnet werden ► Logischer Schritt nach Virtualisierung 11.07.2011 6 Cloud Computing - Technologie und Missbrauchspotential
Cloud-Aspekt: Datenschutz Verarbeitung personenbezogener Daten ► Ort der Verarbeitung? > USA? China? > Europa! (amazon-Einstellung: Daten nur in Europa verarbeiten und speichern) ► Rechts (un) sicherheit > Beschlagnahmeschutz / Insolvenzschutz ► Verantwortliche Stelle > Auftragsdatenverarbeitung (§11 BDSG) – Cloud Dienstleistung als klassische ‚Datenverarbeitung im Auftrag?‘ – Überprüfung der technisch-organisatorischen Maßnahmen wird vorausgesetzt > Funktionsübertragung – Erfordert Zustimmung (z.B. in AGBs) oder ‚Erforderlichkeit‘ ► Ausweg bspw. die GDV-Initiative Trusted German Insurance Cloud 11.07.2011 7 Cloud Computing - Technologie und Missbrauchspotential
Cloud als Angriffswerkzeug 11.07.2011 8 Cloud Computing - Technologie und Missbrauchspotential
Cloud als Angriffswerkzeug Direkte Angriffe aus der Cloud ► Alternative zu klassischen Botnets ► Hosting von C&C Servern ► Nutzbar z. B. für (D)DoS oder Brute Force Quelle: http://www.tecchannel.de/sicherheit/news/2027448/sip_attacken_angriffe_kommen_aus_der_amazon_cloud/index.html?r=557603823902419&lid=73839 11.07.2011 9 Cloud Computing - Technologie und Missbrauchspotential
Cloud als Angriffswerkzeug Cloud als unterstützendes Werkzeug ► Nutzung der Rechenleistung & Speicherkapazität ► Kostengünstige Berechnungen > z. B. von Rainbowtables ► Knacken von Passworten oder kryptographischen Schlüsseln > z. B. zum Brechen der iPhone-Verschlüsselung ► Beschleunigung durch GPU-Computing in der Cloud > CUDA, OpenCL etc. erlauben deutlich höhere Durchsatzraten als Standard- Hardware > HPC in der Cloud 11.07.2011 10 Cloud Computing - Technologie und Missbrauchspotential
Cloud als Angriffsziel 11.07.2011 11 Cloud Computing - Technologie und Missbrauchspotential
Cloud als Angriffsziel Differenzierung nach Cloud-Liefermodell und ermittelten Risiken ► Private Cloud > Analogien zu „klassischer“ Infrastrukur ► Public Cloud > Eigene Maßnahmen i.W. auf organisatorischer Ebene möglich (Risikoanalyse) Availability > Cloud Provider muss Sicherheit bereitstellen > Vertrauen zum Provider?! Integrity Confidentiality 11.07.2011 12 Cloud Computing - Technologie und Missbrauchspotential
Auswirkungen von Angriffen Hohes Schadenpotential bei Angriffen gegen Cloud-Services ► Große Breitenwirkung möglich durch gezielte Angriffe auf > Basisinfrastruktur (Netzwerk, Storage etc.) > Hypervisor ► Schäden durch > Ausfallzeiten > Datendiebstahl > Datenverlust ► Großes Schadenpotential durch starke Verdichtung von Services ggf. unterschiedlicher Kunden in einer Cloud Beispiel (unabhängig von der Ursache): ► Ausfall der Cloud-Services bei amazon ab 21.04.2011: > Ausfallzeiten von bis zu 3 Tagen > unwiederbringliche Datenverluste 11.07.2011 13 Cloud Computing - Technologie und Missbrauchspotential
Cloud als Angriffsziel Gegenmaßnahmen in der Public Cloud ► Cloud Provider muss Sicherheit bereitstellen ► Perimeter Protection funktioniert nur eingeschränkt > Eindämmung von Angriffen aus der Cloud in die Cloud ► Security Infrastruktur nur als Software-Lösung > Bspw. keine WAF-Appliance > Neue kryptographische Verfahren in Entwicklung ► Monitoring, Intrusion Detection & Prevention > in klassischer DMZ schon aufwändig > Cloud bietet deutlich mehr Flexibilität ► Ein Fazit: > Absicherung muss auf der Anwendungsebene erfolgen 11.07.2011 14 Cloud Computing - Technologie und Missbrauchspotential
Forensik in der Cloud Untersuchung von Angriffen in der Public Cloud ► Isolierung der angegriffenen Komponenten ist schwierig ► Zugriff auf Log-Daten erschwert insb. bei SaaS ► Forensik-Werkzeuge müssen auf Cloud-Technologie angepasst werden > Ausnahme: VM Image sehr gut untersuchbar 11.07.2011 15 Cloud Computing - Technologie und Missbrauchspotential
business.people.technology. adesso AG Stockholmer Allee 24 44269 Dortmund Phone: +49 231 930-9234 Fax: +49 231 930-9331 Jens Deponte Mobil: +49 178 280 8021 jens.deponte@adesso.de Principal Software Engineer www.adesso.de

Recomendados

Cloud Computing ­- eine Revolution? by Hartmut Streppel
Cloud Computing ­- eine Revolution? by Hartmut StreppelCloud Computing ­- eine Revolution? by Hartmut Streppel
Cloud Computing ­- eine Revolution? by Hartmut StreppelMedien Meeting Mannheim
 
Cloud Computing Übersicht
Cloud Computing ÜbersichtCloud Computing Übersicht
Cloud Computing Übersichtartgrohe
 
Cloud ms0.9
Cloud ms0.9Cloud ms0.9
Cloud ms0.9Tom Peruzzi
 
Cloud Computing - Grundlagen
Cloud Computing - GrundlagenCloud Computing - Grundlagen
Cloud Computing - GrundlagenMichael Xander
 
Cloud Computing.Status, Herausforderungen, Optionen.
Cloud Computing.Status, Herausforderungen, Optionen. Cloud Computing.Status, Herausforderungen, Optionen.
Cloud Computing.Status, Herausforderungen, Optionen. Dietmar Georg Wiedemann
 
Cloud Characteristics
Cloud CharacteristicsCloud Characteristics
Cloud CharacteristicsTom Peruzzi
 
Cloud Computing - Technische Grundlagen, Chancen und Probleme des Trends
Cloud Computing - Technische Grundlagen, Chancen und Probleme des TrendsCloud Computing - Technische Grundlagen, Chancen und Probleme des Trends
Cloud Computing - Technische Grundlagen, Chancen und Probleme des TrendsMichael Xander
 
Hompage-Planung für Verbände am Beispiel von Pro Mobilität
Hompage-Planung für Verbände am Beispiel von Pro MobilitätHompage-Planung für Verbände am Beispiel von Pro Mobilität
Hompage-Planung für Verbände am Beispiel von Pro MobilitätHolger Schilp
 

Recomendados

Cloud Computing ­- eine Revolution? by Hartmut Streppel
Cloud Computing ­- eine Revolution? by Hartmut StreppelCloud Computing ­- eine Revolution? by Hartmut Streppel
Cloud Computing ­- eine Revolution? by Hartmut StreppelMedien Meeting Mannheim
 
Cloud Computing Übersicht
Cloud Computing ÜbersichtCloud Computing Übersicht
Cloud Computing Übersichtartgrohe
 
Cloud ms0.9
Cloud ms0.9Cloud ms0.9
Cloud ms0.9Tom Peruzzi
 
Cloud Computing - Grundlagen
Cloud Computing - GrundlagenCloud Computing - Grundlagen
Cloud Computing - GrundlagenMichael Xander
 
Cloud Computing.Status, Herausforderungen, Optionen.
Cloud Computing.Status, Herausforderungen, Optionen. Cloud Computing.Status, Herausforderungen, Optionen.
Cloud Computing.Status, Herausforderungen, Optionen. Dietmar Georg Wiedemann
 
Cloud Characteristics
Cloud CharacteristicsCloud Characteristics
Cloud CharacteristicsTom Peruzzi
 
Cloud Computing - Technische Grundlagen, Chancen und Probleme des Trends
Cloud Computing - Technische Grundlagen, Chancen und Probleme des TrendsCloud Computing - Technische Grundlagen, Chancen und Probleme des Trends
Cloud Computing - Technische Grundlagen, Chancen und Probleme des TrendsMichael Xander
 
Hompage-Planung für Verbände am Beispiel von Pro Mobilität
Hompage-Planung für Verbände am Beispiel von Pro MobilitätHompage-Planung für Verbände am Beispiel von Pro Mobilität
Hompage-Planung für Verbände am Beispiel von Pro MobilitätHolger Schilp
 
Irm basics
Irm basicsIrm basics
Irm basicsHans Tuennessen
 
Og presentation german- 2011
Og presentation german- 2011Og presentation german- 2011
Og presentation german- 2011HealthyMoney
 
Die Geschichte des Schreibens
Die Geschichte des SchreibensDie Geschichte des Schreibens
Die Geschichte des Schreibenshabasch
 
Food 2
Food 2Food 2
Food 2trinapowers
 
Trainings für Instandhaltung und Produktion - Termine 2014
Trainings für Instandhaltung und Produktion - Termine 2014Trainings für Instandhaltung und Produktion - Termine 2014
Trainings für Instandhaltung und Produktion - Termine 2014dankl+partner consulting gmbh
 
Trainings & Lehrgänge für Instandhaltung und Produktion 2016
Trainings & Lehrgänge für Instandhaltung und Produktion 2016Trainings & Lehrgänge für Instandhaltung und Produktion 2016
Trainings & Lehrgänge für Instandhaltung und Produktion 2016dankl+partner consulting gmbh
 
Wie Unternehmen mit Social Media umgehen
Wie Unternehmen mit Social Media umgehenWie Unternehmen mit Social Media umgehen
Wie Unternehmen mit Social Media umgehenBarbara Kunert
 
4 Geschäftsfelder und was sie bedeuten
4 Geschäftsfelder und was sie bedeuten4 Geschäftsfelder und was sie bedeuten
4 Geschäftsfelder und was sie bedeutenStephan Heinrich
 
Professionelle Telefonservices und Sekretariatsservices von eco-call
Professionelle Telefonservices und Sekretariatsservices von eco-callProfessionelle Telefonservices und Sekretariatsservices von eco-call
Professionelle Telefonservices und Sekretariatsservices von eco-callBenjamin Segref
 
Wolverine
WolverineWolverine
WolverineHakan Akın
 
Bez tytułu 1
Bez tytułu 1Bez tytułu 1
Bez tytułu 1koniara_6
 
Die richtige nische marketinginstrumente
Die richtige nische marketinginstrumenteDie richtige nische marketinginstrumente
Die richtige nische marketinginstrumenteMarkus H. Forrer
 
Tools4 agile teams
Tools4 agile teamsTools4 agile teams
Tools4 agile teamsPentamino GmbH
 
Lernzielkontrolle kugel
Lernzielkontrolle kugelLernzielkontrolle kugel
Lernzielkontrolle kugelkkreienbrink
 
Miskonsepsi
MiskonsepsiMiskonsepsi
MiskonsepsiAsmul Hasram
 
Sicherheit von Webanwendungen
Sicherheit von WebanwendungenSicherheit von Webanwendungen
Sicherheit von Webanwendungenthomasgemperle
 
Branchenstudie Papier/Zellstoff/Holz
Branchenstudie Papier/Zellstoff/HolzBranchenstudie Papier/Zellstoff/Holz
Branchenstudie Papier/Zellstoff/HolzConMoto Consulting Group
 
MuliW: Musik lernen im Social Web - Bilder vertonen
MuliW: Musik lernen im Social Web - Bilder vertonenMuliW: Musik lernen im Social Web - Bilder vertonen
MuliW: Musik lernen im Social Web - Bilder vertonenMatthias Krebs
 
Einladung Forum Service & Instandhaltung 2012
Einladung Forum Service & Instandhaltung 2012Einladung Forum Service & Instandhaltung 2012
Einladung Forum Service & Instandhaltung 2012dankl+partner consulting gmbh
 
Laenderprofil bolivien
Laenderprofil bolivienLaenderprofil bolivien
Laenderprofil bolivienkkreienbrink
 
Oracle Cloud
Oracle CloudOracle Cloud
Oracle CloudTim Cole
 
Lokale Clouds für mehr Kontrolle der Unternehmensdaten
Lokale Clouds für mehr Kontrolle der UnternehmensdatenLokale Clouds für mehr Kontrolle der Unternehmensdaten
Lokale Clouds für mehr Kontrolle der UnternehmensdatenCloudOps Summit
 

Mais conteúdo relacionado

Destaque

Og presentation german- 2011
Og presentation german- 2011Og presentation german- 2011
Og presentation german- 2011HealthyMoney
 
Die Geschichte des Schreibens
Die Geschichte des SchreibensDie Geschichte des Schreibens
Die Geschichte des Schreibenshabasch
 
Trainings für Instandhaltung und Produktion - Termine 2014
Trainings für Instandhaltung und Produktion - Termine 2014Trainings für Instandhaltung und Produktion - Termine 2014
Trainings für Instandhaltung und Produktion - Termine 2014dankl+partner consulting gmbh
 
Trainings & Lehrgänge für Instandhaltung und Produktion 2016
Trainings & Lehrgänge für Instandhaltung und Produktion 2016Trainings & Lehrgänge für Instandhaltung und Produktion 2016
Trainings & Lehrgänge für Instandhaltung und Produktion 2016dankl+partner consulting gmbh
 
Wie Unternehmen mit Social Media umgehen
Wie Unternehmen mit Social Media umgehenWie Unternehmen mit Social Media umgehen
Wie Unternehmen mit Social Media umgehenBarbara Kunert
 
4 Geschäftsfelder und was sie bedeuten
4 Geschäftsfelder und was sie bedeuten4 Geschäftsfelder und was sie bedeuten
4 Geschäftsfelder und was sie bedeutenStephan Heinrich
 
Professionelle Telefonservices und Sekretariatsservices von eco-call
Professionelle Telefonservices und Sekretariatsservices von eco-callProfessionelle Telefonservices und Sekretariatsservices von eco-call
Professionelle Telefonservices und Sekretariatsservices von eco-callBenjamin Segref
 
Bez tytułu 1
Bez tytułu 1Bez tytułu 1
Bez tytułu 1koniara_6
 
Die richtige nische marketinginstrumente
Die richtige nische marketinginstrumenteDie richtige nische marketinginstrumente
Die richtige nische marketinginstrumenteMarkus H. Forrer
 
Lernzielkontrolle kugel
Lernzielkontrolle kugelLernzielkontrolle kugel
Lernzielkontrolle kugelkkreienbrink
 
Sicherheit von Webanwendungen
Sicherheit von WebanwendungenSicherheit von Webanwendungen
Sicherheit von Webanwendungenthomasgemperle
 
MuliW: Musik lernen im Social Web - Bilder vertonen
MuliW: Musik lernen im Social Web - Bilder vertonenMuliW: Musik lernen im Social Web - Bilder vertonen
MuliW: Musik lernen im Social Web - Bilder vertonenMatthias Krebs
 
Laenderprofil bolivien
Laenderprofil bolivienLaenderprofil bolivien
Laenderprofil bolivienkkreienbrink
 

Destaque (20)

Irm basics
Irm basicsIrm basics
Irm basics
 
Og presentation german- 2011
Og presentation german- 2011Og presentation german- 2011
Og presentation german- 2011
 
Die Geschichte des Schreibens
Die Geschichte des SchreibensDie Geschichte des Schreibens
Die Geschichte des Schreibens
 
Food 2
Food 2Food 2
Food 2
 
Trainings für Instandhaltung und Produktion - Termine 2014
Trainings für Instandhaltung und Produktion - Termine 2014Trainings für Instandhaltung und Produktion - Termine 2014
Trainings für Instandhaltung und Produktion - Termine 2014
 
Trainings & Lehrgänge für Instandhaltung und Produktion 2016
Trainings & Lehrgänge für Instandhaltung und Produktion 2016Trainings & Lehrgänge für Instandhaltung und Produktion 2016
Trainings & Lehrgänge für Instandhaltung und Produktion 2016
 
Wie Unternehmen mit Social Media umgehen
Wie Unternehmen mit Social Media umgehenWie Unternehmen mit Social Media umgehen
Wie Unternehmen mit Social Media umgehen
 
4 Geschäftsfelder und was sie bedeuten
4 Geschäftsfelder und was sie bedeuten4 Geschäftsfelder und was sie bedeuten
4 Geschäftsfelder und was sie bedeuten
 
Professionelle Telefonservices und Sekretariatsservices von eco-call
Professionelle Telefonservices und Sekretariatsservices von eco-callProfessionelle Telefonservices und Sekretariatsservices von eco-call
Professionelle Telefonservices und Sekretariatsservices von eco-call
 
Wolverine
WolverineWolverine
Wolverine
 
Bez tytułu 1
Bez tytułu 1Bez tytułu 1
Bez tytułu 1
 
Die richtige nische marketinginstrumente
Die richtige nische marketinginstrumenteDie richtige nische marketinginstrumente
Die richtige nische marketinginstrumente
 
Tools4 agile teams
Tools4 agile teamsTools4 agile teams
Tools4 agile teams
 
Lernzielkontrolle kugel
Lernzielkontrolle kugelLernzielkontrolle kugel
Lernzielkontrolle kugel
 
Miskonsepsi
MiskonsepsiMiskonsepsi
Miskonsepsi
 
Sicherheit von Webanwendungen
Sicherheit von WebanwendungenSicherheit von Webanwendungen
Sicherheit von Webanwendungen
 
Branchenstudie Papier/Zellstoff/Holz
Branchenstudie Papier/Zellstoff/HolzBranchenstudie Papier/Zellstoff/Holz
Branchenstudie Papier/Zellstoff/Holz
 
MuliW: Musik lernen im Social Web - Bilder vertonen
MuliW: Musik lernen im Social Web - Bilder vertonenMuliW: Musik lernen im Social Web - Bilder vertonen
MuliW: Musik lernen im Social Web - Bilder vertonen
 
Einladung Forum Service & Instandhaltung 2012
Einladung Forum Service & Instandhaltung 2012Einladung Forum Service & Instandhaltung 2012
Einladung Forum Service & Instandhaltung 2012
 
Laenderprofil bolivien
Laenderprofil bolivienLaenderprofil bolivien
Laenderprofil bolivien
 

Semelhante a Cloud Computing - Technologie und Missbrauchspotentiale

Oracle Cloud
Oracle CloudOracle Cloud
Oracle CloudTim Cole
 
Lokale Clouds für mehr Kontrolle der Unternehmensdaten
Lokale Clouds für mehr Kontrolle der UnternehmensdatenLokale Clouds für mehr Kontrolle der Unternehmensdaten
Lokale Clouds für mehr Kontrolle der UnternehmensdatenCloudOps Summit
 
IHK Vortrag Sichere Cloudanwendungen Passion4IT 270922023.pdf
IHK Vortrag Sichere Cloudanwendungen Passion4IT 270922023.pdfIHK Vortrag Sichere Cloudanwendungen Passion4IT 270922023.pdf
IHK Vortrag Sichere Cloudanwendungen Passion4IT 270922023.pdfFLorian Laumer
 
Cloud Computing – erwachsen genug für Unternehmen? by Dr. Michael Pauly
Cloud Computing – erwachsen genug für Unternehmen? by Dr. Michael PaulyCloud Computing – erwachsen genug für Unternehmen? by Dr. Michael Pauly
Cloud Computing – erwachsen genug für Unternehmen? by Dr. Michael PaulyMedien Meeting Mannheim
 
Steinzeit war gestern! Wege der Cloud-nativen Evolution.
Steinzeit war gestern! Wege der Cloud-nativen Evolution.Steinzeit war gestern! Wege der Cloud-nativen Evolution.
Steinzeit war gestern! Wege der Cloud-nativen Evolution.QAware GmbH
 
Risikofakor Cloud Dnd09
Risikofakor Cloud Dnd09Risikofakor Cloud Dnd09
Risikofakor Cloud Dnd09Tim Cole
 
Cloud Computing - Büro in der Wolke
Cloud Computing - Büro in der Wolke Cloud Computing - Büro in der Wolke
Cloud Computing - Büro in der Wolke medien-sprechstunde
 
Enable2Cloud: Risk Management by Cloud Escrow
Enable2Cloud: Risk Management by Cloud EscrowEnable2Cloud: Risk Management by Cloud Escrow
Enable2Cloud: Risk Management by Cloud EscrowCloudOps Summit
 
Technologien 2011 Einblick in die Zukunft von Citrix
Technologien 2011 Einblick in die Zukunft von CitrixTechnologien 2011 Einblick in die Zukunft von Citrix
Technologien 2011 Einblick in die Zukunft von CitrixDigicomp Academy AG
 
bccon-2014 str05 ibm-smart_cloud-for-social-business
bccon-2014 str05 ibm-smart_cloud-for-social-businessbccon-2014 str05 ibm-smart_cloud-for-social-business
bccon-2014 str05 ibm-smart_cloud-for-social-businessICS User Group
 
Icsug conf 14_str05_ibm-smartcloud-for-social-business
Icsug conf 14_str05_ibm-smartcloud-for-social-businessIcsug conf 14_str05_ibm-smartcloud-for-social-business
Icsug conf 14_str05_ibm-smartcloud-for-social-businessICS User Group
 
20.03.2010 20 BarCampRuhr3 Infrastructure As A Service
20.03.2010 20 BarCampRuhr3 Infrastructure As A Service20.03.2010 20 BarCampRuhr3 Infrastructure As A Service
20.03.2010 20 BarCampRuhr3 Infrastructure As A ServiceThomas Lobinger
 
Sicherheit aus der Cloud und für die Cloud
Sicherheit aus der Cloud und für die CloudSicherheit aus der Cloud und für die Cloud
Sicherheit aus der Cloud und für die CloudAberla
 
Ihr Weg in die Cloud beginnt hier - MS Online Services
Ihr Weg in die Cloud beginnt hier - MS Online ServicesIhr Weg in die Cloud beginnt hier - MS Online Services
Ihr Weg in die Cloud beginnt hier - MS Online ServicesProTechnology GmbH
 
Softlayer Cloud Services #asksoftlayer
Softlayer Cloud Services #asksoftlayerSoftlayer Cloud Services #asksoftlayer
Softlayer Cloud Services #asksoftlayerBogdan Lupu
 
GROUP Live - die automatisierte Cloud-Plattform
GROUP Live - die automatisierte Cloud-PlattformGROUP Live - die automatisierte Cloud-Plattform
GROUP Live - die automatisierte Cloud-Plattformapachelance
 

Semelhante a Cloud Computing - Technologie und Missbrauchspotentiale (20)

Oracle Cloud
Oracle CloudOracle Cloud
Oracle Cloud
 
Lokale Clouds für mehr Kontrolle der Unternehmensdaten
Lokale Clouds für mehr Kontrolle der UnternehmensdatenLokale Clouds für mehr Kontrolle der Unternehmensdaten
Lokale Clouds für mehr Kontrolle der Unternehmensdaten
 
Cloud-Native ohne Vendor Lock-in mit Kubernetes
Cloud-Native ohne Vendor Lock-in mit KubernetesCloud-Native ohne Vendor Lock-in mit Kubernetes
Cloud-Native ohne Vendor Lock-in mit Kubernetes
 
IHK Vortrag Sichere Cloudanwendungen Passion4IT 270922023.pdf
IHK Vortrag Sichere Cloudanwendungen Passion4IT 270922023.pdfIHK Vortrag Sichere Cloudanwendungen Passion4IT 270922023.pdf
IHK Vortrag Sichere Cloudanwendungen Passion4IT 270922023.pdf
 
Cloud Computing – erwachsen genug für Unternehmen? by Dr. Michael Pauly
Cloud Computing – erwachsen genug für Unternehmen? by Dr. Michael PaulyCloud Computing – erwachsen genug für Unternehmen? by Dr. Michael Pauly
Cloud Computing – erwachsen genug für Unternehmen? by Dr. Michael Pauly
 
Cloud Computing
Cloud ComputingCloud Computing
Cloud Computing
 
Steinzeit war gestern! Wege der Cloud-nativen Evolution.
Steinzeit war gestern! Wege der Cloud-nativen Evolution.Steinzeit war gestern! Wege der Cloud-nativen Evolution.
Steinzeit war gestern! Wege der Cloud-nativen Evolution.
 
Risikofakor Cloud Dnd09
Risikofakor Cloud Dnd09Risikofakor Cloud Dnd09
Risikofakor Cloud Dnd09
 
Cloud Computing - Büro in der Wolke
Cloud Computing - Büro in der Wolke Cloud Computing - Büro in der Wolke
Cloud Computing - Büro in der Wolke
 
Enable2Cloud: Risk Management by Cloud Escrow
Enable2Cloud: Risk Management by Cloud EscrowEnable2Cloud: Risk Management by Cloud Escrow
Enable2Cloud: Risk Management by Cloud Escrow
 
Technologien 2011 Einblick in die Zukunft von Citrix
Technologien 2011 Einblick in die Zukunft von CitrixTechnologien 2011 Einblick in die Zukunft von Citrix
Technologien 2011 Einblick in die Zukunft von Citrix
 
bccon-2014 str05 ibm-smart_cloud-for-social-business
bccon-2014 str05 ibm-smart_cloud-for-social-businessbccon-2014 str05 ibm-smart_cloud-for-social-business
bccon-2014 str05 ibm-smart_cloud-for-social-business
 
Icsug conf 14_str05_ibm-smartcloud-for-social-business
Icsug conf 14_str05_ibm-smartcloud-for-social-businessIcsug conf 14_str05_ibm-smartcloud-for-social-business
Icsug conf 14_str05_ibm-smartcloud-for-social-business
 
20.03.2010 20 BarCampRuhr3 Infrastructure As A Service
20.03.2010 20 BarCampRuhr3 Infrastructure As A Service20.03.2010 20 BarCampRuhr3 Infrastructure As A Service
20.03.2010 20 BarCampRuhr3 Infrastructure As A Service
 
Sicherheit aus der Cloud und für die Cloud
Sicherheit aus der Cloud und für die CloudSicherheit aus der Cloud und für die Cloud
Sicherheit aus der Cloud und für die Cloud
 
Ihr Weg in die Cloud beginnt hier - MS Online Services
Ihr Weg in die Cloud beginnt hier - MS Online ServicesIhr Weg in die Cloud beginnt hier - MS Online Services
Ihr Weg in die Cloud beginnt hier - MS Online Services
 
CLOUDPILOTS @ IBM JamCamp
CLOUDPILOTS @ IBM JamCamp CLOUDPILOTS @ IBM JamCamp
CLOUDPILOTS @ IBM JamCamp
 
Softlayer Cloud Services #asksoftlayer
Softlayer Cloud Services #asksoftlayerSoftlayer Cloud Services #asksoftlayer
Softlayer Cloud Services #asksoftlayer
 
GROUP Live - die automatisierte Cloud-Plattform
GROUP Live - die automatisierte Cloud-PlattformGROUP Live - die automatisierte Cloud-Plattform
GROUP Live - die automatisierte Cloud-Plattform
 
Cloud Computing
Cloud ComputingCloud Computing
Cloud Computing
 

Mais de adesso AG

SNMP Applied - Sicheres Anwendungs-Monitoring mit SNMP (Kurzversion)
SNMP Applied - Sicheres Anwendungs-Monitoring mit SNMP (Kurzversion)SNMP Applied - Sicheres Anwendungs-Monitoring mit SNMP (Kurzversion)
SNMP Applied - Sicheres Anwendungs-Monitoring mit SNMP (Kurzversion)adesso AG
 
SNMP Applied - Sicheres Anwendungs-Monitoring mit SNMP
SNMP Applied - Sicheres Anwendungs-Monitoring mit SNMPSNMP Applied - Sicheres Anwendungs-Monitoring mit SNMP
SNMP Applied - Sicheres Anwendungs-Monitoring mit SNMPadesso AG
 
Mythos High Performance Teams
Mythos High Performance TeamsMythos High Performance Teams
Mythos High Performance Teamsadesso AG
 
A Business-Critical SharePoint Solution From adesso AG
A Business-Critical SharePoint Solution From adesso AGA Business-Critical SharePoint Solution From adesso AG
A Business-Critical SharePoint Solution From adesso AGadesso AG
 
Was Sie über NoSQL Datenbanken wissen sollten!
Was Sie über NoSQL Datenbanken wissen sollten!Was Sie über NoSQL Datenbanken wissen sollten!
Was Sie über NoSQL Datenbanken wissen sollten!adesso AG
 
Continuous Delivery praktisch
Continuous Delivery praktischContinuous Delivery praktisch
Continuous Delivery praktischadesso AG
 
Agilität, Snapshots und Continuous Delivery
Agilität, Snapshots und Continuous DeliveryAgilität, Snapshots und Continuous Delivery
Agilität, Snapshots und Continuous Deliveryadesso AG
 
Wozu Portlets – reichen HTML5 und Rest nicht aus für moderne Portale?
Wozu Portlets – reichen HTML5 und Rest nicht aus für moderne Portale?Wozu Portlets – reichen HTML5 und Rest nicht aus für moderne Portale?
Wozu Portlets – reichen HTML5 und Rest nicht aus für moderne Portale?adesso AG
 
Getriebene Anwendungslandschaften
Getriebene AnwendungslandschaftenGetriebene Anwendungslandschaften
Getriebene Anwendungslandschaftenadesso AG
 
Google App Engine JAX PaaS Parade 2013
Google App Engine JAX PaaS Parade 2013Google App Engine JAX PaaS Parade 2013
Google App Engine JAX PaaS Parade 2013adesso AG
 
Wartbare Web-Anwendungen mit Knockout.js und Model-View-ViewModel (MVVM)
Wartbare Web-Anwendungen mit Knockout.js und Model-View-ViewModel (MVVM)Wartbare Web-Anwendungen mit Knockout.js und Model-View-ViewModel (MVVM)
Wartbare Web-Anwendungen mit Knockout.js und Model-View-ViewModel (MVVM)adesso AG
 
OOP 2013 NoSQL Suche
OOP 2013 NoSQL SucheOOP 2013 NoSQL Suche
OOP 2013 NoSQL Sucheadesso AG
 
NoSQL in der Cloud - Why?
NoSQL in der Cloud - Why?NoSQL in der Cloud - Why?
NoSQL in der Cloud - Why?adesso AG
 
Lean web architecture mit jsf 2.0, cdi & co.
Lean web architecture mit jsf 2.0, cdi & co.Lean web architecture mit jsf 2.0, cdi & co.
Lean web architecture mit jsf 2.0, cdi & co.adesso AG
 
Schlanke Webarchitekturen nicht nur mit JSF 2 und CDI
Schlanke Webarchitekturen nicht nur mit JSF 2 und CDISchlanke Webarchitekturen nicht nur mit JSF 2 und CDI
Schlanke Webarchitekturen nicht nur mit JSF 2 und CDIadesso AG
 
Zehn Hinweise für Architekten
Zehn Hinweise für ArchitektenZehn Hinweise für Architekten
Zehn Hinweise für Architektenadesso AG
 
Agile Praktiken
Agile PraktikenAgile Praktiken
Agile Praktikenadesso AG
 
Java und Cloud - nicht nur mit PaaS
Java und Cloud - nicht nur mit PaaS Java und Cloud - nicht nur mit PaaS
Java und Cloud - nicht nur mit PaaS adesso AG
 
Neue EBusiness Perspektiven durch HTML5
Neue EBusiness Perspektiven durch HTML5Neue EBusiness Perspektiven durch HTML5
Neue EBusiness Perspektiven durch HTML5adesso AG
 
CloudConf2011 Introduction to Google App Engine
CloudConf2011 Introduction to Google App EngineCloudConf2011 Introduction to Google App Engine
CloudConf2011 Introduction to Google App Engineadesso AG
 

Mais de adesso AG (20)

SNMP Applied - Sicheres Anwendungs-Monitoring mit SNMP (Kurzversion)
SNMP Applied - Sicheres Anwendungs-Monitoring mit SNMP (Kurzversion)SNMP Applied - Sicheres Anwendungs-Monitoring mit SNMP (Kurzversion)
SNMP Applied - Sicheres Anwendungs-Monitoring mit SNMP (Kurzversion)
 
SNMP Applied - Sicheres Anwendungs-Monitoring mit SNMP
SNMP Applied - Sicheres Anwendungs-Monitoring mit SNMPSNMP Applied - Sicheres Anwendungs-Monitoring mit SNMP
SNMP Applied - Sicheres Anwendungs-Monitoring mit SNMP
 
Mythos High Performance Teams
Mythos High Performance TeamsMythos High Performance Teams
Mythos High Performance Teams
 
A Business-Critical SharePoint Solution From adesso AG
A Business-Critical SharePoint Solution From adesso AGA Business-Critical SharePoint Solution From adesso AG
A Business-Critical SharePoint Solution From adesso AG
 
Was Sie über NoSQL Datenbanken wissen sollten!
Was Sie über NoSQL Datenbanken wissen sollten!Was Sie über NoSQL Datenbanken wissen sollten!
Was Sie über NoSQL Datenbanken wissen sollten!
 
Continuous Delivery praktisch
Continuous Delivery praktischContinuous Delivery praktisch
Continuous Delivery praktisch
 
Agilität, Snapshots und Continuous Delivery
Agilität, Snapshots und Continuous DeliveryAgilität, Snapshots und Continuous Delivery
Agilität, Snapshots und Continuous Delivery
 
Wozu Portlets – reichen HTML5 und Rest nicht aus für moderne Portale?
Wozu Portlets – reichen HTML5 und Rest nicht aus für moderne Portale?Wozu Portlets – reichen HTML5 und Rest nicht aus für moderne Portale?
Wozu Portlets – reichen HTML5 und Rest nicht aus für moderne Portale?
 
Getriebene Anwendungslandschaften
Getriebene AnwendungslandschaftenGetriebene Anwendungslandschaften
Getriebene Anwendungslandschaften
 
Google App Engine JAX PaaS Parade 2013
Google App Engine JAX PaaS Parade 2013Google App Engine JAX PaaS Parade 2013
Google App Engine JAX PaaS Parade 2013
 
Wartbare Web-Anwendungen mit Knockout.js und Model-View-ViewModel (MVVM)
Wartbare Web-Anwendungen mit Knockout.js und Model-View-ViewModel (MVVM)Wartbare Web-Anwendungen mit Knockout.js und Model-View-ViewModel (MVVM)
Wartbare Web-Anwendungen mit Knockout.js und Model-View-ViewModel (MVVM)
 
OOP 2013 NoSQL Suche
OOP 2013 NoSQL SucheOOP 2013 NoSQL Suche
OOP 2013 NoSQL Suche
 
NoSQL in der Cloud - Why?
NoSQL in der Cloud - Why?NoSQL in der Cloud - Why?
NoSQL in der Cloud - Why?
 
Lean web architecture mit jsf 2.0, cdi & co.
Lean web architecture mit jsf 2.0, cdi & co.Lean web architecture mit jsf 2.0, cdi & co.
Lean web architecture mit jsf 2.0, cdi & co.
 
Schlanke Webarchitekturen nicht nur mit JSF 2 und CDI
Schlanke Webarchitekturen nicht nur mit JSF 2 und CDISchlanke Webarchitekturen nicht nur mit JSF 2 und CDI
Schlanke Webarchitekturen nicht nur mit JSF 2 und CDI
 
Zehn Hinweise für Architekten
Zehn Hinweise für ArchitektenZehn Hinweise für Architekten
Zehn Hinweise für Architekten
 
Agile Praktiken
Agile PraktikenAgile Praktiken
Agile Praktiken
 
Java und Cloud - nicht nur mit PaaS
Java und Cloud - nicht nur mit PaaS Java und Cloud - nicht nur mit PaaS
Java und Cloud - nicht nur mit PaaS
 
Neue EBusiness Perspektiven durch HTML5
Neue EBusiness Perspektiven durch HTML5Neue EBusiness Perspektiven durch HTML5
Neue EBusiness Perspektiven durch HTML5
 
CloudConf2011 Introduction to Google App Engine
CloudConf2011 Introduction to Google App EngineCloudConf2011 Introduction to Google App Engine
CloudConf2011 Introduction to Google App Engine
 

Cloud Computing - Technologie und Missbrauchspotentiale

  • 1. Cloud Computing – Technologie & Missbrauchspotentiale Jens Deponte adesso AG 11.07.2011
  • 2. Cloud 11.07.2011 2 Cloud Computing - Technologie und Missbrauchspotential
  • 3. Cloud Servicemodelle: IaaS – PaaS – SaaS Infrastructure Platform Software as a Service as a Service as a Service > Virtuelle Server > Analog zu > Application Server in Virtualisierung der Cloud > Software Service in > Nur Betriebssystem, > Automatisches der Cloud Storage etc. Skalieren > EMail, CRM, Office > Erst nach Installation > Basis für Individual- Suites… von Applikationsinfra- Software struktur nutzbar Google AppEngine 11.07.2011 3 VMware CloudFoundry Cloud Computing - Technologie und Missbrauchspotential
  • 4. Gemeinsame Eigenschaften ► On-Demand > Nur nutzen (und zahlen), wenn man es gerade braucht ► Überall nutzbar über das Netz ► Schnelle Elastizität z. B. bei hoher Last > Mehr Ressourcen können schnell zur Verfügung gestellt werden ► Self-Service > Selber buchen über eine Portal > Vollautomatisierte Prozesse > Keine Beauftragung des Betriebs oder Dienstleisters > Wesentlich weniger Aufwand und wesentlich schneller ► Vision: IT wird wie Strom oder das Telefon > Steht immer und überall ausreichend zur Verfügung 11.07.2011 4 Cloud Computing - Technologie und Missbrauchspotential
  • 5. Cloud Liefermodelle ► Private Cloud ► Public Cloud ► Hybrid Cloud ► Community Cloud 11.07.2011 5 Cloud Computing - Technologie und Missbrauchspotential
  • 6. Cloud-Vorteile: Kostenmodell ► Man bezahlt nur, was man nutzt (Pay-as-you-go) (Public Cloud) ► Praktisch keine Investitionskosten ► Last-Spitzen kostengünstig abdecken ► Transparente Kosten ► Bessere Ressourcen-Auslastung (Private Cloud) ► Kosten können intern weiterberechnet werden ► Logischer Schritt nach Virtualisierung 11.07.2011 6 Cloud Computing - Technologie und Missbrauchspotential
  • 7. Cloud-Aspekt: Datenschutz Verarbeitung personenbezogener Daten ► Ort der Verarbeitung? > USA? China? > Europa! (amazon-Einstellung: Daten nur in Europa verarbeiten und speichern) ► Rechts (un) sicherheit > Beschlagnahmeschutz / Insolvenzschutz ► Verantwortliche Stelle > Auftragsdatenverarbeitung (§11 BDSG) – Cloud Dienstleistung als klassische ‚Datenverarbeitung im Auftrag?‘ – Überprüfung der technisch-organisatorischen Maßnahmen wird vorausgesetzt > Funktionsübertragung – Erfordert Zustimmung (z.B. in AGBs) oder ‚Erforderlichkeit‘ ► Ausweg bspw. die GDV-Initiative Trusted German Insurance Cloud 11.07.2011 7 Cloud Computing - Technologie und Missbrauchspotential
  • 8. Cloud als Angriffswerkzeug 11.07.2011 8 Cloud Computing - Technologie und Missbrauchspotential
  • 9. Cloud als Angriffswerkzeug Direkte Angriffe aus der Cloud ► Alternative zu klassischen Botnets ► Hosting von C&C Servern ► Nutzbar z. B. für (D)DoS oder Brute Force Quelle: http://www.tecchannel.de/sicherheit/news/2027448/sip_attacken_angriffe_kommen_aus_der_amazon_cloud/index.html?r=557603823902419&lid=73839 11.07.2011 9 Cloud Computing - Technologie und Missbrauchspotential
  • 10. Cloud als Angriffswerkzeug Cloud als unterstützendes Werkzeug ► Nutzung der Rechenleistung & Speicherkapazität ► Kostengünstige Berechnungen > z. B. von Rainbowtables ► Knacken von Passworten oder kryptographischen Schlüsseln > z. B. zum Brechen der iPhone-Verschlüsselung ► Beschleunigung durch GPU-Computing in der Cloud > CUDA, OpenCL etc. erlauben deutlich höhere Durchsatzraten als Standard- Hardware > HPC in der Cloud 11.07.2011 10 Cloud Computing - Technologie und Missbrauchspotential
  • 11. Cloud als Angriffsziel 11.07.2011 11 Cloud Computing - Technologie und Missbrauchspotential
  • 12. Cloud als Angriffsziel Differenzierung nach Cloud-Liefermodell und ermittelten Risiken ► Private Cloud > Analogien zu „klassischer“ Infrastrukur ► Public Cloud > Eigene Maßnahmen i.W. auf organisatorischer Ebene möglich (Risikoanalyse) Availability > Cloud Provider muss Sicherheit bereitstellen > Vertrauen zum Provider?! Integrity Confidentiality 11.07.2011 12 Cloud Computing - Technologie und Missbrauchspotential
  • 13. Auswirkungen von Angriffen Hohes Schadenpotential bei Angriffen gegen Cloud-Services ► Große Breitenwirkung möglich durch gezielte Angriffe auf > Basisinfrastruktur (Netzwerk, Storage etc.) > Hypervisor ► Schäden durch > Ausfallzeiten > Datendiebstahl > Datenverlust ► Großes Schadenpotential durch starke Verdichtung von Services ggf. unterschiedlicher Kunden in einer Cloud Beispiel (unabhängig von der Ursache): ► Ausfall der Cloud-Services bei amazon ab 21.04.2011: > Ausfallzeiten von bis zu 3 Tagen > unwiederbringliche Datenverluste 11.07.2011 13 Cloud Computing - Technologie und Missbrauchspotential
  • 14. Cloud als Angriffsziel Gegenmaßnahmen in der Public Cloud ► Cloud Provider muss Sicherheit bereitstellen ► Perimeter Protection funktioniert nur eingeschränkt > Eindämmung von Angriffen aus der Cloud in die Cloud ► Security Infrastruktur nur als Software-Lösung > Bspw. keine WAF-Appliance > Neue kryptographische Verfahren in Entwicklung ► Monitoring, Intrusion Detection & Prevention > in klassischer DMZ schon aufwändig > Cloud bietet deutlich mehr Flexibilität ► Ein Fazit: > Absicherung muss auf der Anwendungsebene erfolgen 11.07.2011 14 Cloud Computing - Technologie und Missbrauchspotential
  • 15. Forensik in der Cloud Untersuchung von Angriffen in der Public Cloud ► Isolierung der angegriffenen Komponenten ist schwierig ► Zugriff auf Log-Daten erschwert insb. bei SaaS ► Forensik-Werkzeuge müssen auf Cloud-Technologie angepasst werden > Ausnahme: VM Image sehr gut untersuchbar 11.07.2011 15 Cloud Computing - Technologie und Missbrauchspotential
  • 16. business.people.technology. adesso AG Stockholmer Allee 24 44269 Dortmund Phone: +49 231 930-9234 Fax: +49 231 930-9331 Jens Deponte Mobil: +49 178 280 8021 jens.deponte@adesso.de Principal Software Engineer www.adesso.de