Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Observability: Der Schlüssel für Threat Detection, Mitigation und Analyse @ devSec() 2022

M.-Leander Reimer
PRO
October 05, 2022
Technology
0
26

Observability: Der Schlüssel für Threat Detection, Mitigation und Analyse @ devSec() 2022

Ganzheitliches Monitoring ist eine entscheidende Komponente für den sicheren Betrieb von modernen, verteilten, Cloud-basierten Anwendungen. Nur so können Angriffe und unerlaubte Zugriffe frühzeitig erkannt, entsprechende Gegenmaßnahmen eingeleitet und forensische Analysen durchgeführt werden.

Das Pentaverat guter Observability sind Logs, Metriken und Traces; kombiniert mit Reporting und Alerting.

Dieser Vortrag diskutiert und zeigt sinnvolle Ansätze, Techniken
und Tools um sicherheitsrelevante Diagnosedaten in einem verteilten Anwendungs-Verbund einfach zu sammeln und anschließend schnell zu analysieren und bewerten zu können. #devsec #qaware

M.-Leander Reimer
PRO

October 05, 2022
Tweet

More Decks by M.-Leander Reimer

See All by M.-Leander Reimer
Down the Ivory Tower towards Agile Architecture #JCON23
lreimer
PRO
1
35
Vom Elfenbeinturm zur Agilen Architektur #BaselOne23
lreimer
PRO
1
71
Aus blau wird grün! Ansätze und Technologien für nachhaltige Kubernetes-Cluster #SAA23
lreimer
PRO
0
13
Kontinuierliche Sicherheitstests für APIs mit Testkube und OWASP ZAP #devSec23
lreimer
PRO
0
49
50 Shades of K8s Autoscaling #CDS23
lreimer
PRO
1
15
Blue turns green! Approaches and technologies for sustainable K8s clusters. #KCDMunich
lreimer
PRO
1
130
Aus blau wird grün! Ansätze und Technologien für nachhaltige Kubernetes-Cluster
lreimer
PRO
0
16
K8s-native Daten-Pipelines mit Quarkus und Argo et al.
lreimer
PRO
0
13
Tear Down this Wall! Tales From 3 Years Successful DevOps Collaboration.
lreimer
PRO
0
15

Other Decks in Technology

See All in Technology
JAWS-UG Bedrock Claude Night
yamahiro
3
630
VSCodeの拡張機能を作っている話
ebarakazuhiro
1
650
リテール金融(キャッシュレス・ネット銀行・ネット証券)の競争環境と経済圏
8maki
0
1.3k
Postman v10リリース後を振り返る / Looking back at Postman v10 after release
yokawasa
1
160
The AI Revolution Will Not Be Monopolized: Behind the scenes
inesmontani
PRO
0
110
Building a RAG-powered AI chat app with Python and VS Code
pamelafox
0
120
プラットフォームってつくることより計測することが重要なんじゃないかという話 / Platform Engineering Meetup #8
taishin
1
380
開発生産性大幅アップ!Postman VS Code拡張機能
nagix
2
500
GrafanaMeetup_AmazonManagedGrafanaのアクセス制御機能とマルチテナント環境下でのアクセス制御について
daitak
0
320
EMとして2023年度に頑張ったこと / What we did well in FY2023 as a EM
pauli
1
180
Building Dashboards as a Hobby
egmc
0
300
MixIT 2024 - Pulumi : Gérer son infra avec son langage de programmation préféré
ju_hnny5
0
110

Featured

See All Featured
RailsConf 2023
tenderlove
4
540
Robots, Beer and Maslow
schacon
PRO
155
7.9k
Mobile First: as difficult as doing things right
swwweet
216
8.6k
The Language of Interfaces
destraynor
151
23k
Intergalactic Javascript Robots from Outer Space
tanoku
266
26k
A Philosophy of Restraint
colly
197
16k
Learning to Love Humans: Emotional Interface Design
aarron
267
39k
Web development in the modern age
philhawksworth
202
10k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
227
16k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
21
1.6k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
155
14k
For a Future-Friendly Web
brad_frost
172
9k

Transcript

  1. qaware.de Observability: Der Schlüssel für Threat Detection, Mitigation und Analyse

    Mario-Leander Reimer [email protected] @LeanderReimer

  2. 2 Mario-Leander Reimer Principal Software Architect @LeanderReimer #cloudnativenerd #qaware #gernperDude

  3. Überwacht ihr eure IT Systeme oder Apps auf ungewöhnliches Verhalten

    oder Security Alerts? ⓘ Start presenting to display the poll results on this slide.

  4. War in den letzten 12 Monaten ein Cyber-Angriff auf eure

    IT-Systeme oder Apps erfolgreich? ⓘ Start presenting to display the poll results on this slide.

  5. QAware | 5 Bild von Gerd Altmann auf Pixabay

  6. Observability die Fähigkeit, die aktuellen Zustände eines Systems rein durch

    Informationen aus Ausgabedaten, also Sensordaten, zu messen und bewerten zu können

  7. Observability ist nicht nur wichtig für den zuverlässigen und effizienten

    Betrieb, sondern auch den sicheren Betrieb. QAware | 7 Software Product Quality (ISO 25010) • Modularity • Reusability • Analysability • Modifiability • Testability Maintainability • Confidentiality • Integrity • Non-repudiation • Authenticity • Accountability Security • Adaptability • Installability • Replaceability Portability • Co-existence • Interoperability Compatibility • Maturity • Availability • Fault Tolerance • Recoverability Reliability • Time Behaviour • Resource Utilization • Capacity Efficiency • Completeness • Correctness • Appropriateness Functional Suitability • Operability • Learnability • UI Aesthetics • Accessibility Usability

  8. Die 3 Säulen guter Observability: Logs, Metriken, Traces. QAware |

    8 ▪ Logs: textuelle Aufzeichnung eines Events das zu einem Zeitpunkt stattgefunden hat – Debug Logs, Access Logs, Audit Logs, Transaction Logs, … – Beinhaltet einen Zeitstempel und eine Payload die zusätzlichen Kontext liefert – Zahlreiche Formate: unstrukturiert, strukturiert, binär ▪ Metriken: ein einfacher Zahlenwert der über ein Zeitintervall gemessen wird – kann weitere Attribute wie einen Zeitstempel, Einheit, Name und KPIs enthalten – Counter, Gauge, Meter, Histogram oder Timer – Metriken sind strukturiert und häufig hierarchisch ▪ Traces: zeigen den vollständigen Weg einer Anfrage durch ein verteiltes System – jede Operation (ein "Span") hat eine ID, Namen, Dauer und zusätzliche relevante Attribute Wichtig: Logs, Metriken und Traces müssen miteinander in Beziehung gesetzt werden um Probleme im Betrieb ganzheitlich analysieren zu können.

  9. Kernfunktionen moderner Observability Implementierungen QAware | 9 ▪ Instrumentation: Messwerkzeuge

    die Telemetriedaten von Knoten, Containern, Services und Anwendungen des Systems erfassen. Idealerweise Transparent innerhalb der Infrastruktur ▪ Data Collection: sammeln, korrelieren, verarbeiten und speichern der Telemetriedaten. Ermöglicht den schnellen Zugriff und die Suche für spätere Analysen ▪ Reporting: Aufbereitung und Anzeige der verarbeiteten und korrelierten Telemetriedaten und Zeitreihen auf Dashboards ▪ Alerting: automatisches Alerting und triggern von Incident Responses (PagerDuty, ITSM, Slack) basierend auf definierten Regeln. ▪ Anomaly Detection: der Einsatz von Machine Learning Modellen ermöglicht die automatische Priorisierung und Erkennung von (unbekannten) Problemen um das Alerting und den Incident Response zu beschleunigen

  10. CNCF Observability and Analysis - Logging QAware | 10 https://landscape.cncf.io/card-mode?category=observability-and-analysis&grouping=category

    Logging Collector / Unified Logging Layer Log Aggregation System Das L im ELK Stack. Erfassen, Parsen und Anreichern von Logs

  11. Structured Logging. Behandle deine Log Events als Daten anstatt Plain

    Text. QAware | 11 ▪ Was ist falsch an unstrukturierten Plain Text Logs? – Viele unterschiedliche Formate. Parsen und Suchen ist mühsam, aufwändig und langsam. – Wichtige Kontextinformationen sind Teil vom Text oder fehlen ganz. ▪ Strukturierte Logs haben viele Vorteile. – Easy Parsing. Damit einfache Weiterverarbeitung für BI und Analytics. – Detailed Context. Unterstützung für zusätzliche Metadaten und Kontext Attribute – Easy Search. Indizierung und Suche auf strukturierten Daten und Attributen. – Easy Readability. Nicht nur für Maschinen, auch Admins und Devs können unter Einsatz der richtigen Tools strukturierte Logs "lesen". – Easy Transformation. Anonymisierung, Maskierung und Filterung von sensiblen Daten und Attributen ist schnell und einfach umgesetzt (z.B. mit FluentD) – Gute Unterstützung für Structured Logs in allen gängigen Frameworks und Technologien – Üblicherweise als JSON (manchmal auch sowas wie Protobuf oder Avro)

  12. CNCF Observability and Analysis - Monitoring QAware | 12

  13. Technische Metriken sind gut. Fachliche Metriken sind besser, besonders zur

    Erkennung von Angriffen. QAware | 13 ▪ Technische Metriken können ohne großen Aufwand von vielen Frameworks und Technologien automatisch per Konfiguration exponiert werden. ▪ Zur Bewertung ob ein Angriff oder eine abnormale Systemnutzung vorliegt braucht es jedoch häufig zusätzliche fachliche Metriken, spezifisch für das jeweilige System. ▪ Standard APIs ermöglichen solche fachlichen Metriken sehr einfach zusätzlich zu exponieren. ▪ Der Fachbereich oder PO kennen die “normalen” Nutzer am besten. Fachlichen Metriken geben zusätzlich Aufschluss über die Nutzung und Akzeptanz einer Anwendung. – Fachliche Transaktionen pro Tag / Stunde – Suchanfragen pro Nutzer pro Session – Anzahl fehlgeschlagener Loginversuche – ... et al.

  14. CNCF Observability and Analysis - Tracing QAware | 14 https://landscape.cncf.io/card-mode?category=observability-and-analysis&grouping=category

    Wird ersetzt durch OpenTelemetry Easy-to-use Distributed Tracing Backend Die Mutter aller Distributed Tracing Systems (created by Twitter) Standard, APIs und SDKs für Telemetry Daten (Logs, Metriken, Traces) Distributed Tracing Backend

  15. Grafana based Observability Stack Architecture QAware | 15 Ping Service

    Pong Service HTTP GET Traces Traces Metrics

  16. lreimer/observability-devsec22 lreimer/observability-spring-boot

  17. qaware.de QAware GmbH Aschauer Straße 32 81549 München Tel. +49

    89 232315-0 [email protected] twitter.com/qaware linkedin.com/company/qaware-gmbh xing.com/companies/qawaregmbh slideshare.net/qaware github.com/qaware