Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern

John Sarrazin: Pattern Based Security Analysis1/ 39

Pattern Based Security AnalysisA Solution towards Modular Safety Analysis of Cloud

Computing Systems

John Sarrazin

Department of Computer ScienceTU Dortmund

15. Februar 2015


Inhalt

1 Einleitung

2 Pattern basierte Methode zur Entwicklung sicherer CloudSysteme

3 Security Pattern: Beispiele

4 Werkzeugunterstutzung

5 Fazit und Ausblick


Inhalt

1 Einleitung






Inhalt

1 Einleitung






Inhalt

1 Einleitung






Inhalt

1 Einleitung





John Sarrazin: Pattern Based Security AnalysisEinleitung Motivation 3/ 39

1 EinleitungMotivationSecurity PatternCloud ComputingRunning Example






Motivation

Abbildung: Sicherheitsloch in der iCloud (www.sueddeutsche.de)


Motivation

Abbildung: Sicherheitsloch in Virtualisierungssoftware (www.heise.de)


Motivation

Sicherheit in Cloud Systemen...

...ist ein aktuelles Thema

...bedarf erhohter Aufmerksamkeit

...muss durch den ganzen Entwicklungszyklus bedacht werden

Losungsansatze

Security Pattern

Methode zur Entwicklung sicherer Software

Tool Support


Motivation

Sicherheit in Cloud Systemen...

...ist ein aktuelles Thema

...bedarf erhohter Aufmerksamkeit

...muss durch den ganzen Entwicklungszyklus bedacht werden

Losungsansatze

Security Pattern

Methode zur Entwicklung sicherer Software

Tool Support

John Sarrazin: Pattern Based Security AnalysisEinleitung Security Pattern 6/ 39

Security Pattern

Pattern Based Security Analysis: A Solution towards ModularSafety Analysis of Cloud Computing Systems

Security Pattern

A Security pattern describes a solution to the problemof controlling (stopping and mitigating) a set of specificthreats through some security mechanism, defined in agiven context.

Schumacher,2005


Security Pattern


Security Pattern

A Security pattern describes a solution to the problemof controlling (stopping and mitigating) a set of specificthreats through some security mechanism, defined in agiven context.

Schumacher,2005


Anwendung von Security Pattern

Entwicklern eine Hilfestellung geben, Sicherheitsaspekte inIhre Anwendung zu bekommen

Evaluation der Sicherheit bestehender Systeme

Lehren von Sicherheit

Zertifizierung von Cloud Systemen / Cloud Anbietern



















John Sarrazin: Pattern Based Security AnalysisEinleitung Cloud Computing 8/ 39

Cloud Computing


Cloud Computing

IaaS - Infrastructur-as-a-service

PaaS - Plattform-as-a-service

SaaS - Software-as-a-service


Cloud Computing


Cloud Computing

IaaS - Infrastructur-as-a-service

PaaS - Plattform-as-a-service

SaaS - Software-as-a-service


Cloud Computing

Infrastructur-as-a-service

Bereitstellung benotigter virtualisierter Computer Ressourcen

CPU

Festplattenspeicher

Netzwerkleistung

...

Plattform-as-a-service

Bereitstellen von Umgebungen zum Entwickeln und Verteilen vonSoftware

Entwicklungsumgebungen

Buildserver

Testumgebungen

...


Cloud Computing

Infrastructur-as-a-service

Bereitstellung benotigter virtualisierter Computer Ressourcen

CPU

Festplattenspeicher

Netzwerkleistung

...

Plattform-as-a-service

Bereitstellen von Umgebungen zum Entwickeln und Verteilen vonSoftware

Entwicklungsumgebungen

Buildserver

Testumgebungen

...


Cloud Computing

Software-as-a-service

Bereitstellung von Software, die durch den Kunden uber dasInternet benutzt werden kann

Microsoft Office

SAP

...

John Sarrazin: Pattern Based Security AnalysisEinleitung Running Example 11/ 39

Running Example

Dokumentenverwaltung

Ein Buro mochte darin seine Dokumente katalogisieren unddigitalisieren.Weil die Kosten fur eine eigene IT-Infrastruktur zuhoch waren, mochte die Geschaftsfuhrung einen Cloud Servicenutzen, um dieses Ziel zu erreichen.

Vorraussetzungen:

Die Dateien mussen bei dem Cloud Anbieter gespeichertwerden

Eine Software zum verwalten, hochladen und herunterladenmuss gehostet werden

Die Mitarbeiter des Buros mussen uber einen Webservice aufdie Software zugreifen


Running Example



Vorraussetzungen:





Running Example



Vorraussetzungen:





Running Example



Vorraussetzungen:





Running Example: Use Case

Abbildung: UML Use Case Diagram unseres Running Examples

John Sarrazin: Pattern Based Security AnalysisPattern basierte Methode zur Entwicklung sicherer Cloud Systeme Secure Software Lifecycle 13/ 39

1 Einleitung


Secure Software LifecycleDomain Analysis stageRequirement stageAnalysis stageDesign Stage und Implementation stage




John Sarrazin: Pattern Based Security AnalysisPattern basierte Methode zur Entwicklung sicherer Cloud Systeme Secure Software Lifecycle 13/ 39

Lifecycle

Abbildung: Secure Software Lifecycle

John Sarrazin: Pattern Based Security AnalysisPattern basierte Methode zur Entwicklung sicherer Cloud Systeme Domain Analysis stage 14/ 39

Domain Analysis stage

Sicherheitsanalyse bestehender Systemteile

Sicherheitslocher in alten Systemen konnen als Angriffspunktin das neue System benutzt werde

John Sarrazin: Pattern Based Security AnalysisPattern basierte Methode zur Entwicklung sicherer Cloud Systeme Domain Analysis stage 14/ 39

Domain Analysis stage

Sicherheitsanalyse bestehender Systemteile

Sicherheitslocher in alten Systemen konnen als Angriffspunktin das neue System benutzt werde

John Sarrazin: Pattern Based Security AnalysisPattern basierte Methode zur Entwicklung sicherer Cloud Systeme Requirement stage 15/ 39

Requirement stage

Alle Anwendungsfalle zusammen bilden alle Interaktionen mitdem System ab

Aus den Anwendungsfallen Bedrohungen ableiten

Benotigte Rechte der Akteure / Benutzergruppen ableiten


Requirement stage





Requirement stage




John Sarrazin: Pattern Based Security AnalysisPattern basierte Methode zur Entwicklung sicherer Cloud Systeme Analysis stage 16/ 39

Analysis stage

Konzeptionelles Modell des Systems entwerfen

Vollstandiges Rechtesystem entwerfen

Zu allen Bedrohungen geeignete Gegenmaßnahmen entwickeln

Entscheidung fur abstrakte Security Pattern


Analysis stage






Analysis stage






Analysis stage





John Sarrazin: Pattern Based Security AnalysisPattern basierte Methode zur Entwicklung sicherer Cloud Systeme Design Stage und Implementation stage 17/ 39

Design stage und Implementation stage

konkretes System entwerfen

System in konkreter Programmiersprache implementieren

Security Pattern konkretisieren

Berechtigungssystem spezifizieren



















John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Secure Virtual Machine Image Repository 18/ 39

1 Einleitung


3 Security Pattern: BeispieleSecure Virtual Machine Image RepositoryAuthenticatorTLS Virtual Private NetworkRole-Based Access ControlCloud Policy Management PointMisuse Pattern




Secure Virtual Machine Image Repository

Vorraussetzungen

Kunden des Cloud Anbieters konnen selbststandig VMIs mitvorinstallierter Software erstellen und in ein Repository hochladen

Problem

Angreifer konnen infizierte VMIs in das Repository hochladen

Losungsansatz

Zugriffskontrollen fur das Hochladen von VMIs

Scannen von VMIs bei Veroffentlichung



Vorraussetzungen


Problem


Losungsansatz





Vorraussetzungen


Problem


Losungsansatz





Vorraussetzungen


Problem


Losungsansatz





Abbildung: Sequenzdiagramm VMI veroffentlichen

John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Authenticator 20/ 39

Authenticator

Vorraussetzungen

Ein Benutzer mochte Zugriff auf Ressourcen des Systems erlangen

Problem

Das System muss entscheiden, ob der Benutzer wirklich der ist, furden er sich ausgibt

Losungsansatz

Single Access Point in das System definieren

Protokoll positionieren, was die Identitat des Benutzersuberpruft


Authenticator

Vorraussetzungen


Problem


Losungsansatz




Authenticator

Vorraussetzungen


Problem


Losungsansatz




Authenticator

Vorraussetzungen


Problem


Losungsansatz




Authenticator

Anwendung auf das Running Example

Buro-Angestellte wollen Zugriff auf das Dokumentensystem

Protokoll = Benutzername und Passwort


Authenticator


Buro-Angestellte wollen Zugriff auf das Dokumentensystem

Protokoll = Benutzername und Passwort


Authenticator

Abbildung: Sequenzdiagramm Subjekt Autorisieren

John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele TLS Virtual Private Network 23/ 39

TLS Virtual Private Network

Vorraussetzungen

Benutzer mochten sich uber das Internet in ein lokales Netzwerkeinwahlen und auf dessen Ressourcen zugreifen

Problem

Das Internet ist eine unsichere und offentliche Umgebung

Losungsansatz

Tunnel durch die Transportschicht des Internets aufbauen,durch welches die Daten verschlusselt gesendet werden

Authentifizieren und Autorisierung an beiden Endpunktensorgen fur weitere Sicherheit

Die Ende-zu-Ende Verschlusselung sorgt dafur, dass dieDaten, die durch das Internet geschickt werden, nicht durchDritte gelesen oder manipuliert werden konnen



Vorraussetzungen


Problem


Losungsansatz






Vorraussetzungen


Problem


Losungsansatz






Vorraussetzungen


Problem


Losungsansatz






Vorraussetzungen


Problem


Losungsansatz







Das Webinterface kann beschutzt werden, so dass nur Clientsaus dem Firmennetzwerk zugelassen werden

Damit Mitarbeiter trotzdem von uberall Zugriff bekommen,kann man deren Gerate durch TLS VPN ins Firmennetzwerktunneln

Dadurch ist der Zugang zum Webinterface nicht mehroffentlich und Angriffe auf dieses sind erschwert















Abbildung: UML Klassendiagramm TLS VPN

John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Role-Based Access Control 26/ 39

Role-Based Access Control

Vorraussetzungen

Der Administrator mochte den Benutzern genau die Rechte geben,die sie benotigen

Problem

Bei vielen Benutzern ist es sehr zeitaufwendig, jedem einzeln dieRechte zu geben Außerdem sind Anderungen im Rechtesystem sehraufwendig

Losungsansatz

Benutzergruppen entwickeln, die zu den Funktionen imUnternehmen korrelieren

Der Benutzergruppe genau die Rechte geben, die zurAusubung der Funktionen benotigt werden

Benutzer den Benutzergruppen zuordnen



Vorraussetzungen


Problem


Losungsansatz






Vorraussetzungen


Problem


Losungsansatz






Vorraussetzungen


Problem


Losungsansatz






Vorraussetzungen


Problem


Losungsansatz







Buroangestellte mussen in der Lage sein, Dateien ins Systemzu laden

Benutzergruppe ’Buroangestellter’ anlegen

Der Benutzergruppe die Rechte geben, Dateien ins System zuladen

Alle Buroangestellten Mitglied dieser Gruppe machen

Neue Buroangestellte konnen ganz einfach hinzugefugt werden

Wenn Buroangestellte nun auch Dokumente loschen konnensollen, kann man das zentral und schnell andern














































John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Cloud Policy Management Point 28/ 39

Cloud Policy Management Point

Vorraussetzungen

Der Administrator muss sicherheitsrelevante Einstellungen imSystem machen und Rechte vergeben

Problem

Der Administrator soll nicht zu tiefe Betriebssystemrechtebekommen und sich nicht mit dessen Interna auseinander setzenmussen

Losungsansatz

Administrator-Dashboard anbieten, in dem man dieEinstellungen vornehmen kann

Dem Administrator nur das Recht geben, auf dasAdministrator-Dashboard zuzugreifen



Vorraussetzungen


Problem


Losungsansatz





Vorraussetzungen


Problem


Losungsansatz





Vorraussetzungen


Problem


Losungsansatz






Der Administrator kann im Administrator-Dashboard Rechtevergeben, Gruppen anlegen, etc.

Der Administrator hat keine Rechte auf Betriebssystemebene




Der Administrator kann im Administrator-Dashboard Rechtevergeben, Gruppen anlegen, etc.

Der Administrator hat keine Rechte auf Betriebssystemebene

John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Misuse Pattern 30/ 39

Misuse Pattern

Beschreibt einen Angriff auf ein System aus der Sichtweiseeines Angreifers

Beschreibt welche Komponenten fur den Angriff verwendetwerden

Gibt Security Pattern und Countermeasures zur Verteidigungdieses Angriffs


Misuse Pattern





Misuse Pattern





Malicious Virtual Machine Creation

Intent

Ein VMI wird benutzt, eine neue VM zu initialisieren

VMIs enthalten Softwarestacks, die in der VM nachInitialisierung vorinstalliert sind

Ein Angreifer kann ein Image mit Schadsoftware erstellen undanbieten

Context

Einige Cloud Anbieter bieten es an, VMIs zu erstellen und in einemoffentlichen Repository zu veroffentlichen.



Intent




Context




Intent




Context




Intent




Context




Problem

Angreifer muss autorisiert sein, VMIs zu erstellen und mitSoftware zu bestucken

Die infizierten VMIs mussen in einem offentlichen Repositoryangeboten werden konnen

Andere Benutzer mussen das VMI verwenden, um eine VM zuerstellen

Solution

Angreifer erstellt einen anonymen Account

Der Angreifer lad die infizierte VMI in das Repository

Infizierte VMIs konnen durch ansprechende Beschreibungenund gefalschte Bewertungen attraktiv gemacht werden



Problem




Solution






Problem




Solution






Problem




Solution






Problem




Solution






Problem




Solution




John Sarrazin: Pattern Based Security AnalysisWerkzeugunterstutzung Cloud System Analysis Pattern 33/ 39

1 Einleitung



4 WerkzeugunterstutzungCloud System Analysis PatternCSAP-ToolClouDAT Framework



Cloud System Analysis Pattern

CSAP werden benutzt, um Cloud Systeme zu analysieren undvisualisieren

Basiert auf UML

Modelliert Zusammenhange zwischen direkten und indirektenStakeholdern und dem System




Basiert auf UML





Basiert auf UML




Abbildung: CSAP Diagramm zu unserem Beispiel

John Sarrazin: Pattern Based Security AnalysisWerkzeugunterstutzung CSAP-Tool 35/ 39


Hilft beim Erstellen eines CSAP zu einem Cloud System

Basiert auf Eclipse Modeling Framework (EMF) und IwizartPlugin

Bietet Vorlagen, um Voraussetzungen an das Cloud System zudefinieren und verifizieren

Bietet die Moglichkeit Stakeholders zu definieren



















John Sarrazin: Pattern Based Security AnalysisWerkzeugunterstutzung ClouDAT Framework 36/ 39

ClouDAT Framework

Teil des ClouDAT Projektes

Befindet sich in der Entwicklung

Enthalt Katalog fur Security Pattern, Security RequirementPatterns, Threat Pattern, Vulnabilities, Control Patterns etc.

Soll unter Open Lizenz veroffentlicht werden und ist somiterweiterbar


ClouDAT Framework






ClouDAT Framework






ClouDAT Framework





John Sarrazin: Pattern Based Security AnalysisFazit und Ausblick 37/ 39

1 Einleitung






Fazit und Ausblick

Zusammenfassung

Security Pattern

Methode zur Entwicklung sicherer Systeme

Beispiele fur Security Pattern

Werkzeugunterstutzung


Fazit und Ausblick

Zusammenfassung

Security Pattern





Fazit und Ausblick

Zusammenfassung

Security Pattern





Fazit und Ausblick

Zusammenfassung

Security Pattern





Fazit und Ausblick

Ausblick

Werkzeugunterstuzung noch eingeschrankt und in Entwicklung

Bessere Katalogisierung von Security Pattern

Software Entwickler mussen fur Sicherheitsaspekte mehrsensibilisiert werden


Fazit und Ausblick

Ausblick





Fazit und Ausblick

Ausblick





Danke fur Ihre Aufmerksamkeit!

Kontakt

John Sarrazin

[email protected]

Fragen?

Wenn sie noch Fragen haben, konnen Sie diese nun stellen odermeine Kontaktdaten verwenden

Documents

Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern