Cloud Computing And Security

 • Published on
  21-May-2015

 • View
  2.141

 • Download
  1

Embed Size (px)

DESCRIPTION

A presentation (in Swedish) about cloud computing and security.

Transcript

 • 1. Cloud Computingoch SkerhetLogica Has 2010 11 Mar
  Jens Riboe
  jens.riboe@ribomation.com
  11 Mars 2010

2. Jens RiboeRibomation
Fr diverse kunder
KTH
Ribomation
ERA
London
Goyada
Wily (San Francisco)
VzB
OW
RM
SICS
1990
1995
2000
2005
2010
3. Problem/Prestanda analys
4. Agenda
Varfr
Vad
Hur
Vart
Vem
Vilka
Bakgrundochterminologi
Anvndningsomrden
Molntyper
Tjnsterfrutvecklare
AWS
Juridikensfallgropar
Skerheteni AWS
Spara frgorna tills efter presentationen
5. ElasticComputing
Cloud Computing
Software as a Service
Bakgrund och Terminologi
6. Mellan frsljningstopparna
Vad anvnder man sina servrar till nr det inte r toppbelastning
ssom Xmas, Valentines Day? undrade en av vrldens strsta detaljhandelskedjor
7. Detkorta och oglamorsa svaret
Cloud Computing r en ny paradigm frdriftsttningavapplikationer
Anvndervirtualiseringimassivskala
8. Cloud Computing = V + C + A + P
Virtualization (Xen)
+ DataCenter (Amazon)
+ PublicAccess (SSH/X.509)
+ PricingModel ($0.08/h)
9. Software-as-a-Service (SaaS)
Webbaserad tjnst
Snabbt vxande affrsomrde
Har ingen direkt koppling till Cloud Computing
Man kan driva en SaaS tjnst frn en skrivbordsdator
Prestanda blir frvisso lidande
Mnga stora SaaS tjnster drivs frn egna servrar
Ordet myntades av SalesForce
10. Relationen SaaS vs. CC
Consumer
Provider
SaaS
Cloud Computing
11. XaaS
Det finns mnga varianter av Something-aaS
Component-as-a-Service
Specialiserade tjnster fr webb-applikationer
Platform-as-a-Service
Applikations-exekverings-milj
Infrastructure-as-a-Service
Virtuella resurser ssom, servrar, hrddiskar, khanterare, datalagring, IP-adresser
12. Extra datakraft
Enkel driftsttning
Skalbara applikationer
Stora databehandlingar
Anvndningsomrden
13. (1) Extra datakraft
Projekt servrar
Test servrar
Last generatorer
. . .
Slit & slng ldern fr servrar
14. (2) Enkel driftsttning
Vad behver man en driftsttningsavdelning till, nr man kan skta jobbet sjlvt med ngra klick?
5 min
15. (3) Skalbara applikationer
Exempel: animoto.com
1
Frn 10 till 3500 servrar p en vecka
2
3
Users:
Monday: 25K Users
Tuesday:50K Users
Wednesday: 100K Users
Thursday: 250K Users
Platform:
EC2
SQS
S3
RightScale
Ruby on Rails
16. (4) Stora data behandlingar
Batch krningar
Analys av transaktionsloggar
Stora konverteringsarbeten
Anvnds av
Google
Yahoo
LastFM
Facebook
. . .
Kllor: http://www.slideshare.net/acarlos1000/hadoop-basics-presentation/28
http://open.blogs.nytimes.com/2007/11/01/self-service-prorated-super-computing-fun/
17. Infrastruktursmoln
Applikationsmoln
Databehandlingsmoln
Molntyper
18. Infrastruktursmoln
Som hosting, men i massiv skala
Pay-as-you-go
Hyra av server per timme
Fokus p servrar och datalagring
Elasticcomputing virtuella servrar
Elasticstorage virtuella hrddiskar
Lagringstjnster SAN
K-tjnster job/taskqueue
Statiska IP adresser
19. Ngra aktrer
Amazon Web Services (AWS)
Frst, strst och bst
Hosting fretag
myCityCloud
Rackspace
GoGrid

20. Eget privat moln
Eucaluptus
Open source version av AWS
API kompatibelt med ECS/EBS/S3
Standard iUbuntu Server 9.x
Enomaly
Det system som AWS sjlva kr
21. Applikationsmoln
Distribuerad plattform fr applikationer
Google App Engine (GAE)
Java/Python, BigTable
SalesforceForce.com
Eget scriptsprk, Oracle, enterprisegrade
Windows Azure
.NET
22. Databehandlingsmoln
Storskalig extraktion/aggregering av information
Apache/Yahoo Hadoop
Exekvering ver 100-tals noder
Yahoo har ett Hadoop kluster p 20000+ noder
Java open-sourceimplementation
HDFS (id frn Google FileSystem GFS)
MapReduce (id frn Google map-reduce)
Hive (id frn Google BigTable)
23. Exempel p utvecklartjnster
24. Versionshantering++
Hantering av kllkod
Versionshantering
Tickets
Milestones
Wiki
Blog
RSS
. . .
25. Component-as-a-Service
Specialiserade SaaS tjnster fr webb applikations utveckling
26. Test @ EC2
Driftstt mlsystemet temporrt i molnet
Anvnd en lastgenereringstjnst
Anvnds en prestanda-monitorerings-tjnst
Terminera servrarna och iterera
Nsta konfigureringsuppsttning
Kan kra godtyckligt mnga testsviter parallellt
27. Lasttestningstjnster
Generering av massiv trafik
Geografiskt spridd
28. AWS Amazon Web Services
29. EC2 / EBS / S3 / AMI / EIA / SQS
DNS
EC2
SQS
put
get
EBS
SAN
static IP
SDB
HTTP
80
EIA
AMI
S3
HTTP
RDB
MySQL
Security Group
SSH & RDP
22 & 3389
Inget r tkomligt om man inte frst ppnar en port i brandvggen.
30. EC2 Instance Types
One EC2 Compute Unit (ECU) provides the equivalent CPU capacity
of a 1.0-1.2 GHz 2007 Opteron or 2007 Xeon processor.
31. Operativ System
Utan kostnad och utan support
Med kostnad och med support
Egen byggnation
Det gr att med lite Linux hndighet bygga en AMI frn en tom diskblock fil
Mnga frdiga konfigurationer
32. Global driftsttning
En region bestr av en eller flera zoner
US-East (North Virginia)
US-West (North California)
EU (Ireland)
ASIA (Singapore) - planned
En zone utgr ett logiskt data center
Ett logiskt data center r resursmssigt helt fristende
EU
Regions
US
33. Priser
34. AWS Ekonomi
As you go
USD 0,085/h(EC2 Small)
ReservedInstance
USD 0,03/h + 227/yr
USD 0,03/h + 350/3yr
Spot
Bidding
Betalar fr
per pbrjad timme
35. Juridikens fallgropar
36. Person- och betalnings information
Vissa former av persondata och betalningsdata fr inte lagras utanfr Sverige och/eller EU
Reglerna talar om lagring, men adresserar inte databehandling och datakommunikation
Data passera ett internationellt moln via efemra enheter
EBS
SQS
AMI
S3
CloudFront
37. Datalagringslagarna (FRA m.fl.)
Data som skickas utanfr landets grnser skall lagras fr senare analys av FRA
Detta innebr att ven kreditkortsdata och annan knslig information kommer att lagras fr analys
38.

 • Autentisering

39. Brandvgg 40. Lagring 41. Kryptering 42. VPN 43. ApplikationSkerhet i AWS molnet
44. Autentisering
AWS Management Console
Hantering av AWS resurser
Server logon
Hantering av enskild server
API operations
Script baserad hantering av AWS resurser
Automatisering av server boot & configuration, etc
45. API Operations
Operationer via REST/Query eller SOAP
Transport via HTTP eller HTTPS
SHA1 HMAC digestof requestparams
Pub&Privkeypair (X.509)
Signaturen giltig i 15 min
Det finns hgvis med bibliotek i olika program sprk
46. Server logon
Linux/Unix
SSH via X.509 certifikat
Ej samma som AWS cert
Vanligtvis inloggad som user root
CanonicalUbuntu
Inloggad som user ubuntu med sudo
Windows
RDP till Windows
Mste hmta genererat admpwd frst
47. Management logon
AWS Management Console
HTTPS och User/Pwd logon
Extra: dosa fr engngslsenord
Elastic Fox
API authentication
JavaScript
Ylastic, RightScale, CloudFoundry,
API authentication
Java, Ruby,
48. Brandvgg (SG - Security Group)
SG stts innan EC2 server boot
Kan inte ndra SG tillhrighet efter boot
Kan ndra SG regler
SG utan regler
Publika IP portar
Alla stngda
EC2 servrar (egna eller andras)
Ingen tkomst
Mer info
http://awsmedia.s3.amazonaws.com/pdf/AWS_Security_Whitepaper.pdf
http://awsmedia.s3.amazonaws.com/pdf/AWS_Security_Whitepaper.pdf
49. Lagring
EC2 server
Efemrt filsystem, som frsvinner efter shutdown
AMI 10GB fr OS, lagras i S3
EBS
Virtuell hrddisk
Snapshots till S3
S3
Distribuerat replikerande filsystem
Access via HTTP/HTTPS (AWS API)
tkomst regleras med ACL
50. EBS Disk kryptering
File
GnuPGP
File System
encfs
Block Device
Filsystemet ovanp krypterad block device
cryptsetup/LUKS
Mer info
http://alestic.com/2009/10/ec2-disk-encryption
Rekommenderas
51. AWS Virtual Private Cloud
VPN frn eget nt till reserverat AWS subnet
Egna privata IP adresser
IPsec
IKE-PSK, AES-128, HMAC-SHA-1, PFS
http://media.amazonwebservices.com/VPC_Diagram.gif
52. Applikation
Normal vaksamhet
Samma grad av security som fr egna servrar
Brukarens eget ansvar
53. Demo
54. AWS EC2
55. Sammanfattning
56. Frdelar
Tekniska frdelar
Capacity on demand
Scale Up & Scale Down
Fault Tolerant
Simple Architecture
Ekonomiska frdelar
No Up-Front Capital Investment
Pay as you go
Start Small & Pay as You Grow
57. Pverkar
Design avnyaapplikationer
Skalbaraochfeltoleranta frn brjan
Val av open-source
Lser licensfrgan
Testningavdessaapplikationer
Meromfattandetestningpkortaretid
Driftsttningavdessaapplikationer
Enklareochlttareattprova sig framochfrndra
58. Frndrar
Drift avdelningen
Kan rullautnykonfigp en timme
Programmeringsavdelningen
Kan skapa en mashupp en timme
Test avdelningen
Kan krahelatestsvitenp en timme
Affrsdrivandeavdelningar
Kan draigngegetprojektp en timme
59. Frgor
Jens Riboe
+46 (0)730-314040
jens.riboe@ribomation.com
www.ribomation.com
blog.ribomation.com