Transcript
Page 1: Cloud Computing And Security

CLOUD COMPUTINGOCH SÄKERHETLOGICA – HAS 2010 – 11 MAR

Jens Riboe

[email protected] 11 Mars 2010

Page 2: Cloud Computing And Security

Cloud Computing och Säkerhet 11 mars 2010, för Logica2

Jens RiboeRibomation

För diverse kunder

1990 1995 2000 2005 2010

KTH Ribomation ERA

London

GoyadaWily (San Francisco)

VzB

OW RMSICS

Page 3: Cloud Computing And Security

Cloud Computing och Säkerhet 11 mars 2010, för Logica3

Problem/Prestanda analys

Page 4: Cloud Computing And Security

Cloud Computing och Säkerhet 11 mars 2010, för Logica4

Agenda

Varför

Vad

Hur

Vart

Vem

Vilka

Bakgrund och terminologi Användningsområden Molntyper Tjänster för utvecklare AWS Juridikens fallgropar Säkerheten i AWS

Spara frågorna tills efter

presentationen

Page 5: Cloud Computing And Security

Elastic ComputingCloud ComputingSoftware as a Service

Bakgrund och Terminologi

Page 6: Cloud Computing And Security

Cloud Computing och Säkerhet 11 mars 2010, för Logica6

Mellan försäljningstopparna

”Vad använder man sina servrar till

när det inte är toppbelastning såsom Xmas, Valentine’s Day?”

— undrade en av världens största detaljhandelskedjor

Page 7: Cloud Computing And Security

Cloud Computing och Säkerhet 11 mars 2010, för Logica7

Det korta och oglamorösa svaret Cloud Computing är en ny paradigm

för driftsättning av applikationer Använder virtualisering i massiv

skala

Page 8: Cloud Computing And Security

Cloud Computing och Säkerhet 11 mars 2010, för Logica8

Cloud Computing = V + C + A + P

Virtualization (Xen) + DataCenter (Amazon)

+ PublicAccess (SSH/X.509)

+ PricingModel ($0.08/h)

Page 9: Cloud Computing And Security

Cloud Computing och Säkerhet 11 mars 2010, för Logica9

Software-as-a-Service (SaaS) Webbaserad tjänst Snabbt växande affärsområde Har ingen direkt koppling till Cloud

Computing Man kan driva en SaaS tjänst från en

skrivbordsdator Prestanda blir förvisso lidande

Många stora SaaS tjänster drivs från egna servrar Ordet myntades av SalesForce

Page 10: Cloud Computing And Security

Cloud Computing och Säkerhet 11 mars 2010, för Logica10

Relationen SaaS vs. CC

Consumer Provider

SaaS Cloud Computing

Page 11: Cloud Computing And Security

Cloud Computing och Säkerhet 11 mars 2010, för Logica11

XaaS

Det finns många varianter av Something-aaS

Component-as-a-Service Specialiserade tjänster för webb-

applikationer Platform-as-a-Service

Applikations-exekverings-miljö Infrastructure-as-a-Service

Virtuella resurser såsom, servrar, hårddiskar, köhanterare, datalagring, IP-adresser

Page 12: Cloud Computing And Security

Extra datakraftEnkel driftsättningSkalbara applikationerStora databehandlingar

Användningsområden

Page 13: Cloud Computing And Security

Cloud Computing och Säkerhet 11 mars 2010, för Logica13

(1) Extra datakraft

Projekt servrar Test servrar Last generatorer . . .

Slit & släng åldern för

servrar

Page 14: Cloud Computing And Security

Cloud Computing och Säkerhet 11 mars 2010, för Logica14

(2) Enkel driftsättning

Vad behöver man en driftsättningsavdelning till, när man kan sköta jobbet självt med några klick? 5 min

Page 15: Cloud Computing And Security

Cloud Computing och Säkerhet 11 mars 2010, för Logica15

(3) Skalbara applikationer

Exempel: animoto.com

1

2

3

4/11/08 4/12/08 4/13/08 4/14/08 4/15/08 4/16/08 4/17/08 4/18/08 4/19/080

500

1000

1500

2000

2500

3000

3500

4000

Från 10 till 3500 servrar på en vecka

Users:Monday: 25K UsersTuesday: 50K UsersWednesday: 100K UsersThursday: 250K Users

Platform:EC2SQSS3RightScaleRuby on Rails

Page 16: Cloud Computing And Security

Cloud Computing och Säkerhet 11 mars 2010, för Logica16

(4) Stora data behandlingar

Batch körningar Analys av transaktionsloggar Stora konverteringsarbeten

Används av Google Yahoo LastFM Facebook . . .

Källor: http://www.slideshare.net/acarlos1000/hadoop-basics-presentation/28http://open.blogs.nytimes.com/2007/11/01/self-service-prorated-super-computing-fun/

Page 17: Cloud Computing And Security

InfrastruktursmolnApplikationsmolnDatabehandlingsmoln

Molntyper

Page 18: Cloud Computing And Security

Cloud Computing och Säkerhet 11 mars 2010, för Logica18

Infrastruktursmoln

Som hosting, men i massiv skala Pay-as-you-go

Hyra av server per timme Fokus på servrar och datalagring

Elastic computing – virtuella servrar Elastic storage – virtuella hårddiskar Lagringstjänster – SAN Kö-tjänster – job/task queue Statiska IP adresser

Page 19: Cloud Computing And Security

Cloud Computing och Säkerhet 11 mars 2010, för Logica19

Några aktörer

Amazon Web Services (AWS) Först, störst och bäst

Hosting företag myCityCloud Rackspace GoGrid …

Page 20: Cloud Computing And Security

Cloud Computing och Säkerhet 11 mars 2010, för Logica20

Eget privat moln

Eucaluptus Open source version av AWS API kompatibelt med ECS/EBS/S3 Standard i Ubuntu Server 9.x

Enomaly Det system som AWS själva kör

Page 21: Cloud Computing And Security

Cloud Computing och Säkerhet 11 mars 2010, för Logica21

Applikationsmoln

Distribuerad plattform för applikationer

Google App Engine (GAE) Java/Python, BigTable

Salesforce Force.com Eget scriptspråk, Oracle, enterprise grade

Windows Azure .NET

Page 22: Cloud Computing And Security

Cloud Computing och Säkerhet 11 mars 2010, för Logica22

Databehandlingsmoln

Storskalig extraktion/aggregering av information

Apache/Yahoo Hadoop Exekvering över 100-tals noder

Yahoo har ett Hadoop kluster på 20000+ noder

Java open-source implementation HDFS (idé från Google FileSystem GFS) MapReduce (idé från Google map-reduce) Hive (idé från Google BigTable)

Page 23: Cloud Computing And Security

Exempel på utvecklartjänster

Page 24: Cloud Computing And Security

Cloud Computing och Säkerhet 11 mars 2010, för Logica24

Versionshantering++

Hantering av källkod Versionshantering Tickets Milestones Wiki Blog RSS . . .

Page 25: Cloud Computing And Security

Cloud Computing och Säkerhet 11 mars 2010, för Logica25

Component-as-a-Service

Specialiserade SaaS tjänster för webb applikations utveckling

Page 26: Cloud Computing And Security

Cloud Computing och Säkerhet 11 mars 2010, för Logica26

Test @ EC2

Driftsätt målsystemet temporärt i molnet Använd en lastgenereringstjänst Används en prestanda-monitorerings-tjänst Terminera servrarna och iterera

Nästa konfigureringsuppsättning

Kan köra godtyckligt många testsviter parallellt

Page 27: Cloud Computing And Security

Cloud Computing och Säkerhet 11 mars 2010, för Logica27

Lasttestningstjänster

Generering av massiv trafik Geografiskt spridd

Page 28: Cloud Computing And Security

AWS – Amazon Web Services

Page 29: Cloud Computing And Security

Cloud Computing och Säkerhet 11 mars 2010, för Logica29

EC2 / EBS / S3 / AMI / EIA / SQS

DNS

EBS

EC2

EIA

static IP

putget

SAN

HTTP

SSH & RDP22 & 3389

Security Group

AMI

HTTP80

S3

SQS

Inget är åtkomligt om man inte först öppnar en port i brandväggen.

SDB

RDBMySQ

L

Page 30: Cloud Computing And Security

Cloud Computing och Säkerhet 11 mars 2010, för Logica30

EC2 Instance Types

Name Cores Compute

Units

Bits RAM [GB]

Disk [GB]

$/h

Small 1 1 32 1.7 160 0.085

Large 2 4 64 7.5 850 0.34

X-Large 4 8 64 15 1690 0.68

High CPU

Medium 2 5 32 1.7 350 0.17

X-Large 8 20 64 7 1690 0.68

High Memory

X-Large 2 6.5 64 17.1 420 0.50

XX-Large 4 13 64 34.2 850 1.20

XXXX-Large

8 26 64 68.4 1690 2.40

One EC2 Compute Unit (ECU) provides the equivalent CPU capacity of a 1.0-1.2 GHz 2007 Opteron or 2007 Xeon processor.

Page 31: Cloud Computing And Security

Cloud Computing och Säkerhet 11 mars 2010, för Logica31

Operativ System

Utan kostnad och utan support Med kostnad och med support Egen byggnation

Det går att med lite Linux händighet bygga en AMI från en tom diskblock fil

Många färdiga konfigurationer

Page 32: Cloud Computing And Security

Cloud Computing och Säkerhet 11 mars 2010, för Logica32

Global driftsättning

En region består av en eller flera zoner US-East (North Virginia) US-West (North California) EU (Ireland) ASIA (Singapore) - planned

En zone utgör ett logiskt data center Ett logiskt data center är resursmässigt helt fristående

US

EURegions

Page 33: Cloud Computing And Security

Cloud Computing och Säkerhet 11 mars 2010, för Logica33

Priser

Page 34: Cloud Computing And Security

Cloud Computing och Säkerhet 11 mars 2010, för Logica34

AWS Ekonomi

As you go USD 0,085/h (EC2 Small)

Reserved Instance USD 0,03/h + 227/yr USD 0,03/h + 350/3yr

Spot Bidding

Betalar för per

påbörjad timme

Page 35: Cloud Computing And Security

Juridikens fallgropar

Page 36: Cloud Computing And Security

Cloud Computing och Säkerhet 11 mars 2010, för Logica36

Person- och betalnings information

Vissa former av persondata och betalningsdata får inte lagras utanför Sverige och/eller EU

Reglerna talar om ”lagring”, men adresserar inte databehandling och datakommunikation Data passera ett internationellt ’moln’ via efemära

enheter

S3

EBS

AMI SQS

CloudFront

Page 37: Cloud Computing And Security

Cloud Computing och Säkerhet 11 mars 2010, för Logica37

Datalagringslagarna (FRA m.fl.) Data som skickas utanför landets

gränser skall lagras för senare analys av FRA

Detta innebär att även kreditkortsdata och annan känslig information kommer att lagras för analys

Page 38: Cloud Computing And Security

AutentiseringBrandväggLagringKrypteringVPNApplikation

Säkerhet i AWS molnet

Page 39: Cloud Computing And Security

Cloud Computing och Säkerhet 11 mars 2010, för Logica39

Autentisering

AWS Management Console Hantering av AWS resurser

Server logon Hantering av enskild server

API operations Script baserad hantering av AWS resurser Automatisering av server boot &

configuration, etc

Page 40: Cloud Computing And Security

Cloud Computing och Säkerhet 11 mars 2010, för Logica40

API Operations

Operationer via REST/Query eller SOAP Transport via HTTP eller HTTPS

SHA1 HMAC digest of request params Pub&Priv keypair (X.509) Signaturen giltig i 15 min

Det finns högvis med bibliotek i

olika program

språk

Page 41: Cloud Computing And Security

Cloud Computing och Säkerhet 11 mars 2010, för Logica41

Server logon

Linux/Unix SSH via X.509 certifikat

Ej samma som AWS cert Vanligtvis inloggad som user ´root´ Canonical Ubuntu

Inloggad som user ´ubuntu´ med sudo

Windows RDP till Windows

Måste hämta genererat adm pwd först

Page 42: Cloud Computing And Security

Cloud Computing och Säkerhet 11 mars 2010, för Logica42

Management logon

AWS Management Console HTTPS och User/Pwd logon

Extra: dosa för engångslösenord

Elastic Fox API authentication JavaScript

Ylastic, RightScale, CloudFoundry, … API authentication Java, Ruby, …

Page 43: Cloud Computing And Security

Cloud Computing och Säkerhet 11 mars 2010, för Logica43

Brandvägg (SG - Security Group) SG sätts innan EC2 server boot

Kan inte ändra SG tillhörighet efter boot Kan ändra SG regler

SG utan regler Publika IP portar

Alla stängda EC2 servrar (egna eller andras)

Ingen åtkomst

Mer info http://awsmedia.s3.amazonaws.com/pdf/

AWS_Security_Whitepaper.pdf

http://awsmedia.s3.amazonaws.com/pdf/AWS_Security_Whitepaper.pdf

Page 44: Cloud Computing And Security

Cloud Computing och Säkerhet 11 mars 2010, för Logica44

Lagring

EC2 server Efemärt filsystem, som försvinner efter

shutdown AMI – 10GB för OS, lagras i S3

EBS Virtuell hårddisk Snapshots till S3

S3 Distribuerat replikerande filsystem Access via HTTP/HTTPS (AWS API) Åtkomst regleras med ACL

Page 45: Cloud Computing And Security

Cloud Computing och Säkerhet 11 mars 2010, för Logica45

EBS – Disk kryptering

File GnuPGP

File System encfs

Block Device Filsystemet ovanpå krypterad block device cryptsetup/LUKS

Mer info http://alestic.com/2009/10/ec2-disk-

encryption

Rekommenderas

Page 46: Cloud Computing And Security

Cloud Computing och Säkerhet 11 mars 2010, för Logica46

AWS Virtual Private Cloud

VPN från eget nät till reserverat AWS subnet

Egna privata IP adresser IPsec

IKE-PSK, AES-128, HMAC-SHA-1, PFS

http://media.amazonwebservices.com/VPC_Diagram.gif

Page 47: Cloud Computing And Security

Cloud Computing och Säkerhet 11 mars 2010, för Logica47

Applikation

Normal vaksamhet Samma grad av security som för egna

servrar Brukarens eget ansvar

Page 48: Cloud Computing And Security

Demo

Page 49: Cloud Computing And Security

Cloud Computing och Säkerhet 11 mars 2010, för Logica49

AWS EC2

Page 50: Cloud Computing And Security

Sammanfattning

Page 51: Cloud Computing And Security

Cloud Computing och Säkerhet 11 mars 2010, för Logica51

Fördelar

Tekniska fördelar Capacity on demand Scale Up & Scale Down Fault Tolerant Simple Architecture

Ekonomiska fördelar No Up-Front Capital Investment Pay as you go Start Small & Pay as You Grow

Page 52: Cloud Computing And Security

Cloud Computing och Säkerhet 11 mars 2010, för Logica52

Påverkar

Design av nya applikationer Skalbara och feltoleranta från början

Val av open-source Löser licens frågan

Testning av dessa applikationer Mer omfattande testning på kortare tid

Driftsättning av dessa applikationer Enklare och lättare att prova sig fram och

förändra

Page 53: Cloud Computing And Security

Cloud Computing och Säkerhet 11 mars 2010, för Logica53

Förändrar

Drift avdelningen Kan rulla ut ny konfig på en timme

Programmerings avdelningen Kan skapa en mashup på en timme

Test avdelningen Kan köra hela testsviten på en timme

Affärsdrivande avdelningar Kan dra igång eget projekt på en timme

Page 54: Cloud Computing And Security

Cloud Computing och Säkerhet 11 mars 2010, för Logica54

Frågor

Jens Riboe+46 (0)730-314040

[email protected]