Aljona Wehrhahn-Aklender: SecDevOps im Serverless Computing

Transcript

1. (Cloud) Security im Serverless Computing 1

2. Wie ich Alexa für mich antworten lasse, ohne das mir

   jemand die Worte im Munde umdreht Sicherheit im Serverless Computing für IoT - Infrastrukturen → siehe Demo

3. Einführung Serverless Computing Sicherheit im Serverless Computing OWASP Top 10

   API Security Realisierung - Anwendung Realisierung - Plattform 3

4. Beim Serverless Computing dreht sich alles um Abstraktion. Dabei gilt

   das Ziel - Dem Entwickler beim Thema DevOps möglichst zu entlasten. 4 Serverless Computing Daten Applikation Plattform Platform-as-a-Service Serverless Computing Daten Applikation Plattform Logik Kapazität Funktionen Skalierbarkeit Fehlertoleranz

5. 5 Serverless Computing fürs Internet of Things Die Backend Logik

   als Serverless Code Dinge mit dezentraler Logik &

6. SecDevOps für Serverless Code 6 API - Security OWASP TOP

   10 API Security A1 : Broken Object Level Authorization A2 : Broken Authentication A3 : Excessive Data Exposure A4 : Lack of Resources & Rate Limiting A5 : Missing Function Level Authorization A6 : Mass Assignment A7 : Security Misconfiguration A8 : Injection A9 : Improper Assets Management A10 : Insufficient Logging & Monitoring

7. SecDevOps für Serverless Code 7 Schwachstelle: Authentisierung und Autorisierung Quelle:

   https:/ /staging-site.42crunch.com/owasp-api-security-top-10/

8. Härtung der Authentisierung 8 Realisierung in der Anwendung Separate APIs

   für verschiedene Rollen zufällige, lange, einmalige API Keys Zugriffsmöglichkeiten minimieren zufällige, einmalige, kurzzeitige Session IDs

9. Secure Development (SecDev) für Serverless Code 9 Objekt Management Quelle:

   https:/ /staging-site.42crunch.com/owasp-api-security-top-10/

10. Härtung des Objekt Managements 10 Realisierung in der Anwendung https

    als Transport-Protokoll Middleware zur Aufarbeitung von Request und Response Middleware zur Filterung von Request und Response

11. SecDevOps für Serverless Code 11 DoS Prevention Quelle: https:/ /staging-site.42crunch.com/owasp-api-security-top-10/

12. SecDevOps für Serverless Code 12 Detektion und Plattform-Sicherheit Quelle: https:/

    /staging-site.42crunch.com/owasp-api-security-top-10/

13. API-Security - Wer übernimmt was? 13 Realisierung in der Anwendung

    Realisierung durch die Plattform A1 : Broken Object Level Authorization X A2 : Broken Authentication X A3 : Excessive Data Exposure X A4 : Lack of Resources & Rate Limiting X A5 : Missing Function Level Authorization X

14. API-Security - Wer übernimmt was? 14 Realisierung in der Anwendung

    Realisierung durch die Plattform A6 : Mass Assignment X A7 : Security Misconfiguration X A8 : Injection X A9 : Improper Assets Management X A10 : Insufficient Logging & Monitoring X

15. Realisierung durch die Plattform 15 Prävention & Härtung Identity and

    Access Management Resource Access Management Key Management Secrets Management Zugriffs- einschränkungen Auto Scaling Updates & Patches Verschlüsselung

16. Realisierung durch die Plattform 16 Detektion & Validierung Tracing Auditing

    Monitoring Compliance Verifikation Notfall Drosselung Encryption → siehe Demo

17. Serverless Computing nimmt einem viele Aufgaben ab - auch bei

    der IT-Sicherheit 17 Um den Überblick zu behalten, hilft automatisierte Compliance und Tracing Fazit Die Community ist euer Freund. Sie gibt wertvolle Hinweise.

18. karriere

19. codecentric AG Hochstraße 11 42697 Solingen Telefon: +49 (0) 175/4949026

    Name Surname IT-Security Engineer [email protected] www.codecentric.de Innovative - Trustful - Competent - Pragmatic 19