Zero Trust

Wie die Cloud sicherer als der Rechner hinter der Firewall im eigenen Keller wurde.

Wir hören alle Online-Kurse, Podcasts und Tutorials auf 1.5-facher Geschwindigkeit, oder?

Sicherheit

Wie baue ich Sicherheit?

Broken access Control

An den Eingängen wird nicht gut kontrolliert.

Cryptographic Failures

Es wird Leuten und Dokumenten vertraut, die gar nicht vertrauenswürdig sind.

Injection

Ich habe jemanden im Inneren, der absichtlich oder unabsichtlich etwas für den Angreifer macht.

Insecure DEsign

Man konnte über den Brunnen in die Burg.

Security Missconfiguration

3/4 der Türen waren super bewacht.

Outdated & Vulnerable Components

Die Tür war morsch. Die andere nicht
für den neuen Typ Kanonenkugeln gebaut.

Deshalb machen wir keine Burgen mehr.

Oder?

Gibt es ernsthaft noch jemanden,
der diese Strategien einsetzt?

Text

Text

https://docs.oracle.com/en/operating-systems/oracle-linux/6/security/ol_recdepcfg_sec.html

Broken

BY DESIGN

Wer ist 47 und älter?

 11PRINCIPLES

Open Design

Ich verlasse mich nicht darauf,
dass Dinge geheim sein müssen.

economy of mechanism

Keep It Simple & Stupid in Code & Design

Ich brauche keine komplexe Konfiguration

least common mechanism

Keine pauschalen Zugriffe und Rechte.
"Damit hast Du dann auch
gleich auf alle Tabellen Zugriff."

separation of privilege

Keine pauschalen Rechte für Nutzer, Accounts, Entities, Bereiche, Gruppen etc.

 

"Mit dem Admin-Account kannst Du im Prinzip überall alles machen."

LEast Privilege

Enforce "need to know" and "need to access".

Explizites, temporäres
Whitelisting der Zugriffe.

complete mediation

Check authorization for every access request.

Alle Zugriffe werden geprüft bevor sie passieren.

Wenn Rechte entzogen werden ist es sofort überall wirksam.

Fail-safe DEfaultS

Was nicht explizit erlaubt wird ist verboten.

psychological acceptability

Sicherheit ist nicht umständlich und störend

PerimeteR Security VS
11 Principles

Im Intranet kann man jedem immer trauen!

Einmal authentifiziert ist immer echt.

Und wenn man dem Menschen trauen kann, kann auch seiner IP trauen. Und dem Rechner. Und aller Software darauf.

Besonders dem Admin und seinem Rechner. Der darf an alle Netze. Und auf alle Systeme. Und an alle Daten.

Deshalb sind auch intern
alle Services für alle erreichbar.
Wir vertrauen uns. Und jeder Software, die bei uns läuft. 

Meanwhile, in our Universe ...

20% aller Data Breaches sind Insider Threats

Meanwhile, in our Universe ...

Davor liegen nur Ransomware & Trojaner

"Der Nutzer ist ja authentifiziert und hat McAfee."

Meanwhile, in our Universe ...

Auch wenn sie mit jeder ihrer privaten Devices auf Firmendienste zugreifen dürfen, findet inzwischen vieles im Homeoffice statt.
Oder auf Workation im Hostelwifi auf Zypern.

Warum nur das eigene Passwort verlieren,
wenn man auch die von allen anderen verlieren kann?

Meanwhile, in our Universe ...

Und unsere Software läuft auf fremden Servern. Mit fremder Administration. Und fremder Konfiguration. Die auf fremde Software zugreift. Auf die wir auch zugreifen.

Meanwhile, in our Universe ...

Mit 300 NPM-Packages. 200 Container-Images von Docker-Hub. 10 Helm-Charts von Github. 400 externe Libraries, davon 20 Versionen von log4j und 50 von OpenSSL.

Meanwhile, in our Universe ...

Greifen nur die berechtigten Services
auf meinen Service zu? Sind sie alle vertrauenswürdig?
In allen Bestandteilen?

Meanwhile, in our Universe ...


"PubSub is used to communicate messages between different system components without these components having to know each other's identity."

In guter Gesellschaft Scheitern

Zero TRUST

Was würde passieren, wenn wir den Kram von 1975
2020 mal ernst nehmen würden?

Verify explicitly

Always authenticate and authorize based on all available data points.

Use least privilege access

Limit user access with Just-In-Time and Just-Enough-Access (JIT/JEA), risk-based adaptive policies, and data protection.

Assume Breach

Minimize blast radius and segment access. Verify end-to-end encryption and use analytics to get visibility, drive threat detection, and improve defenses.

Hmmm...

Klingt ja erst gar nicht

mal so schwer.

  • Verify explicitly
  • Use least privilege access
  • Assume breach

Ich brauche:
Sichere identität

  • Identitäten gesichert für:
    • Personen
    • Devices
    • Services
    • externe Systeme
  • Starke Authentifizierung
  • Erkennen von Anomalien
  • IoT-Devices
  • Smartphones 
  • BYOD
  • On-Premise-Workloads
  • Cloud 

Ich brauche:
Sichere Endpunkte

Ich brauche:
Sichere Applikationen

  • Legacy on Premises & Schatten-IT
  • Lift & Shifted Cloud Workloads
  • Moderne SAAS & Service Applikationen
  • Mobile Applikationen
     
  • Klassische App-Security von Konfiguration und Permissions bis Anomalieerkennung

Ich brauche:
Sichere Daten

  • In Transit 
  • In Rest
  • Backup
  • Access nach least Privilege
    • Apps
    • Infrastruktur
    • Storage

Ich brauche:
Sichere Netze

  • Segmentierung 
  • Micro-Segmentierung
  • End-2-End-Encryption
  • Monitoring und Analytics

OK.

Das ist wohl doch ein wenig anders.

zero Trust
in der Praxis

Case Study: Fintech.

Fallbeispiel

Das problem

Fallbeispiel

Sichere
Architektur

  • Modifizierte agile Variante des SDLC Security Push
  • Identification der kritischen Assets
  • Attacker Klassifizierung
  • Process Flow Diagram
  • Threat Modelling
  • Risk Rating
  • Risk Boundaries & Mitigations
  • Architekturtreiber

Fallbeispiel

IdentitäT im CLIENT

  • Biometrische Freigabe
  • Hardware-Store für Auth-Token
  • Verschlüsselter lokaler Storage
  • Device-Binding
     

Nicht dabei: 

  • Strong Auth (IdNow etc)

Architektur

Fallbeispiel

Identity im Server

  •  Authentifizierung über Device-ID und Passwort in Keycloak, asymmetrisch
  • temporärer JWT mit Refresh aus Keycloak
  • Token für jeden Service und Datenzugriff erforderlich

Architektur

Fallbeispiel

Kommunikation im Server

  • ISTIO als ServiceMesh
  • Traffic Encryption für MITM
  • MTLS und Access Policies
  • Auditing & Observability

Architektur

Fallbeispiel

Security als Teil der Infrastruktur

Fallbeispiel

HANDSHAKES in ISTIO

Architektur

Fallbeispiel

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
 name: httpbin
 namespace: foo
spec:
 selector:
   matchLabels:
     app: httpbin
     version: v1
 action: ALLOW
 rules:
 - from:
   - source:
       principals: ["cluster.local/ns/default/sa/sleep"]
   - source:
       namespaces: ["dev"]
   to:
   - operation:
       methods: ["GET"]
   when:
   - key: request.auth.claims[iss]
     values: ["https://accounts.google.com"]

FINE GRAINED AUTHORISATION

Architektur

Fallbeispiel

Case Study

ISTIO OBSERVABILITY

Architektur

Zero Trust at REST

  • Alle PII-Daten per-user-verschlüsselt
  • Zum Entschlüsseln braucht es API-Auth + User-Secret aus Device
  • Data-Tagging: PII-Relevante Datensätze in Transit markieren
  • Impliziter Audit-Log

Architektur

Fallbeispiel

DSGVO for FREE

  • Crypto Shredding: löschen auch in allen Backups
     
  • Data Tagging:
    • Welche Daten haben wir  gespeichert?
    • Wohin wurden sie transferiert?
    • Wo wurden sie geändert?

Architektur

Fallbeispiel

Zero trust CODE

  • "Shift Left"
  • DevSecOps

Konkret:

  • Security als Architekturtreiber mit Fitness-Funktionen
  • Github Dependency Security
  • Sonarcloud SAST
  • TRIVY Container & Image Security 

Was fehlte?

  • Infrastruktur: tfsec, awssec, kubesec
  • Blackbox-Scanning
  • API-Fuzzing

 

 

Case Study

Update 2022
Supply Chain Risk

Distroless oder Containerless?

  • Wer nutzt Syft für die Software Bill of Materials in den Containern?
     
  • Distroless: Containers nur mit den Files, die wir wirklich brauchen
     
  • Von Google, aber mühsam - https://github.com/GoogleContainerTools/distroless
     
  • Containerless: WASM statt ContainerD

Cosign & SigStore

sigstore.dev

Supply Chain Security:

  • Signieren
  • Verifizieren
  • Key Management mit
    OpenIDConnect/Keyless
  • Monitoring

Rahmen:

  • Who is who der relevanten Firmen
  • Starke OpenSource-Community
  • Für Opensource schon oft im Einsatz

Cosign & SigStore

  • Cosign: Container signing, verification and storage - mit Hardware, KMS und PKI-Support
  • Gitsign: Keyless signing für Commits
  • Fulcio: root certificate authority für Code Signing, keyless mit OpenID Connect
  • Rekor: transparency & timestamping service
  • Policy Controller: was ist in Kubernetes erlaubt, was nicht?

sigstore.dev

Signing

  • Container
  • Registries
    • Github, Google, Microsoft, AWS ...
  • Signing
    • Gitlab und Github
  • Blobs und Files
  • Software Bill of Materials
  • CUE in-toto Validations​​​​​​​​​​​​​​

sigstore.dev

Verification

  • Kyverno
  • Policy Controller
  • CLI, Webhooks

sigstore.dev

sigstore.dev

SPIFFE & SPIRE

SPIFFE - "Secure Production Identity Framework For Everyone"

  • "HTTPS für Dienste, mit Rechten dran" auf X.509
  • Node Attestation: Authentifizierung, Vertraulichkeit, Integrität, Autorisierung
  • SPIRE als Implementierung
  • Server: Attestion, Storage, Key Management, Workload Registration
  • Agent: Authentication, lokale Attestation

spiffe.io

Node Attestation

spiffe.io

Support

  • Support für Istio und CodeSign
  • "Secretless" bzw. "Keyless Deployments"
    • Keine Secrets, API-Keys, Token, Passwörter mehr.
  • Workload Attestation für Unix, Kubernetes und Docker Workloads.

spiffe.io

Dapr.IO

"APIs for building portable and reliable MicroServices"

  •  

dapr.io

Dapr.IO

One Sidecar to rule them all.

 

dapr.io

Dapr.IO

Kein Zero Trust, aber ein paar Features:

  • mTLS mit Zertifikaten
  • OAuth Endpoint authorization
  • Scoping für APIs and PubSub
  • Security Policies im Sidecar
  • State Store Encryption
  • Observability mit impliziten Tracing zu Prometheus, Zipkin, FluentD etc., inkl. Metrics, Logs, Health Checks etc

dapr.io

Dapr.IO

  • Default auf Deny in Public
  • App1 Default auf Deny
  • Aber: 
    • von public im namespace Default darf für diesen Service /op1 mit POST & PUT
    • von myDomain im NameSpace "n1" auf /op2 generell zugreifen

dapr.io


apiVersion: dapr.io/v1alpha1
kind: Configuration
metadata:
  name: appconfig
spec:
  accessControl:
    defaultAction: deny
    trustDomain: "public"
    policies:
    - appId: app1
      defaultAction: deny
      trustDomain: 'public'
      namespace: "default"
      operations:
      - name: /op1
        httpVerb: ['POST', 'PUT']
        action: allow
    - appId: app2
      defaultAction: deny
      trustDomain: 'myDomain'
      namespace: "ns1"
      operations:
      - name: /op2
        action: allow

Things to come

WebAssembly Capabilities:
Wasm Interface Type (WIT)  Worlds:

Runtime-Level
Access-Control in beide Richtungen

Ok, cool

Aber kommt man dahin? Und will ich das überhaupt?

Links

  • Microsoft Zero Trust
    https://www.microsoft.com/de/security/business/zero-trust
  • Google BeyondProd
    https://cloud.google.com/docs/security/beyondprod
  • Istio
    https://istio.io/latest/
  • SPIFFE & SPIRE
    https://spiffe.io/pdf/Solving-the-bottom-turtle-SPIFFE-SPIRE-Book.pdf
  • Cosign, Sigstore, Rekor, Fulcio
    https://sigstore.dev/

Machen!

  • ISTIO, Dapr & Co zum selbstprobieren
    https://microk8s.io/
    https://github.com/mayflower/microk8s-addons

     
  • Mal reden
    https://calendly.com/johann-peter-hartmann

 

Oder hier :-) 

Was ändert sich?

Herkömmliche Sicherheit Cloud Native / Zero Trust
Perimeterbasierte Sicherheit (d. h. Firewall), wobei die interne Kommunikation als vertrauenswürdig eingestuft wird Zero-Trust-Sicherheit mit verifizierter Dienst-zu-Dienst-Kommunikation und ohne implizites Vertrauen für Dienste in der Umgebung

Was ändert sich?

Herkömmliche Sicherheit Cloud Native / Zero Trust
Feste IP-Adressen und Hardware für bestimmte Anwendungen Umfassendere Auslastung, Wiederverwendung und gemeinsame Nutzung von Ressourcen, einschließlich IP-Adressen und Hardware

Was ändert sich?

Herkömmliche Sicherheit Cloud Native / Zero Trust
IP-Adressen-basierte Identität Dienstbasierte Identität

Was ändert sich?

Herkömmliche Sicherheit Cloud Native / Zero Trust
An einem bekannten, erwarteten Ort ausgeführte Dienste Dienste können überall in der Umgebung ausgeführt werden, auch in hybriden Bereitstellungen in der öffentlichen Cloud und privaten Rechenzentren

Was ändert sich?

Herkömmliche Sicherheit Cloud Native / Zero Trust
Sicherheitsspezifische Anforderungen, die in jede Anwendung integriert sind und separat erzwungen werden Gemeinsame Sicherheitsanforderungen, die in Dienststacks gemäß einer zentralisierten Erzwingungsrichtlinie eingebunden sind

Was ändert sich?

Herkömmliche Sicherheit Cloud Native / Zero Trust
Humanoide und dokumentationsgetriebene Überwachung von Sicherheitskomponenten Kontinuierliche und zentrale Ansicht der Sicherheitsrichtlinien und Einhaltung der Richtlinien

Was ändert sich?

Herkömmliche Sicherheit Cloud Native / Zero Trust
Spezialisierte und seltene Rollouts Standardisierter Erstellungs- und Rollout-Prozess mit häufigen, unkoordinierten Rollouts vieler Services.

Was ändert sich?

Herkömmliche Sicherheit Cloud Native / Zero Trust
Arbeitslasten werden in der Regel als VMs oder auf physischen Hosts bereitgestellt und verwenden für die Isolation physische Maschinen oder Hypervisoren. Arbeitslasten aus Containern und ihre Prozesse werden in einem gemeinsam genutzten Betriebssystem ausgeführt, das einen Mechanismus zum Isolieren der Workloads erfordert

Zero Trust

By Johann-Peter Hartmann

Zero Trust

In Deutschland haben Cloud-Technologien immer noch ein Vertrauensproblem. Die gefühlte Sicherheit ist kleiner, wenn der Server nicht im eigenen Rechenzentrum steht, und behält die kritischen Daten lieber bei sich. Dabei bietet moderne Cloud-Technologien wie ZeroTrust, CryptoShredding, Data Tagging und der Shift Left viel mehr Sicherheit, Auditfähigkeit und Vertrauenswürdigkeit als es altbackene Firewall-Zonen, Serverschränke und Penetration-Tests bieten könnten.

  • 340