pattern based security analysis - uni koblenz-landau€¦ · pattern based security analysis: a...
TRANSCRIPT
![Page 1: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/1.jpg)
John Sarrazin: Pattern Based Security Analysis1/ 39
Pattern Based Security AnalysisA Solution towards Modular Safety Analysis of Cloud
Computing Systems
John Sarrazin
Department of Computer ScienceTU Dortmund
15. Februar 2015
![Page 2: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/2.jpg)
John Sarrazin: Pattern Based Security Analysis2/ 39
Inhalt
1 Einleitung
2 Pattern basierte Methode zur Entwicklung sicherer CloudSysteme
3 Security Pattern: Beispiele
4 Werkzeugunterstutzung
5 Fazit und Ausblick
![Page 3: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/3.jpg)
John Sarrazin: Pattern Based Security Analysis2/ 39
Inhalt
1 Einleitung
2 Pattern basierte Methode zur Entwicklung sicherer CloudSysteme
3 Security Pattern: Beispiele
4 Werkzeugunterstutzung
5 Fazit und Ausblick
![Page 4: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/4.jpg)
John Sarrazin: Pattern Based Security Analysis2/ 39
Inhalt
1 Einleitung
2 Pattern basierte Methode zur Entwicklung sicherer CloudSysteme
3 Security Pattern: Beispiele
4 Werkzeugunterstutzung
5 Fazit und Ausblick
![Page 5: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/5.jpg)
John Sarrazin: Pattern Based Security Analysis2/ 39
Inhalt
1 Einleitung
2 Pattern basierte Methode zur Entwicklung sicherer CloudSysteme
3 Security Pattern: Beispiele
4 Werkzeugunterstutzung
5 Fazit und Ausblick
![Page 6: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/6.jpg)
John Sarrazin: Pattern Based Security Analysis2/ 39
Inhalt
1 Einleitung
2 Pattern basierte Methode zur Entwicklung sicherer CloudSysteme
3 Security Pattern: Beispiele
4 Werkzeugunterstutzung
5 Fazit und Ausblick
![Page 7: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/7.jpg)
John Sarrazin: Pattern Based Security AnalysisEinleitung Motivation 3/ 39
1 EinleitungMotivationSecurity PatternCloud ComputingRunning Example
2 Pattern basierte Methode zur Entwicklung sicherer CloudSysteme
3 Security Pattern: Beispiele
4 Werkzeugunterstutzung
5 Fazit und Ausblick
![Page 8: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/8.jpg)
John Sarrazin: Pattern Based Security AnalysisEinleitung Motivation 3/ 39
Motivation
Abbildung: Sicherheitsloch in der iCloud (www.sueddeutsche.de)
![Page 9: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/9.jpg)
John Sarrazin: Pattern Based Security AnalysisEinleitung Motivation 4/ 39
Motivation
Abbildung: Sicherheitsloch in Virtualisierungssoftware (www.heise.de)
![Page 10: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/10.jpg)
John Sarrazin: Pattern Based Security AnalysisEinleitung Motivation 5/ 39
Motivation
Sicherheit in Cloud Systemen...
...ist ein aktuelles Thema
...bedarf erhohter Aufmerksamkeit
...muss durch den ganzen Entwicklungszyklus bedacht werden
Losungsansatze
Security Pattern
Methode zur Entwicklung sicherer Software
Tool Support
![Page 11: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/11.jpg)
John Sarrazin: Pattern Based Security AnalysisEinleitung Motivation 5/ 39
Motivation
Sicherheit in Cloud Systemen...
...ist ein aktuelles Thema
...bedarf erhohter Aufmerksamkeit
...muss durch den ganzen Entwicklungszyklus bedacht werden
Losungsansatze
Security Pattern
Methode zur Entwicklung sicherer Software
Tool Support
![Page 12: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/12.jpg)
John Sarrazin: Pattern Based Security AnalysisEinleitung Security Pattern 6/ 39
Security Pattern
Pattern Based Security Analysis: A Solution towards ModularSafety Analysis of Cloud Computing Systems
Security Pattern
A Security pattern describes a solution to the problemof controlling (stopping and mitigating) a set of specificthreats through some security mechanism, defined in agiven context.
Schumacher,2005
![Page 13: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/13.jpg)
John Sarrazin: Pattern Based Security AnalysisEinleitung Security Pattern 6/ 39
Security Pattern
Pattern Based Security Analysis: A Solution towards ModularSafety Analysis of Cloud Computing Systems
Security Pattern
A Security pattern describes a solution to the problemof controlling (stopping and mitigating) a set of specificthreats through some security mechanism, defined in agiven context.
Schumacher,2005
![Page 14: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/14.jpg)
John Sarrazin: Pattern Based Security AnalysisEinleitung Security Pattern 7/ 39
Anwendung von Security Pattern
Entwicklern eine Hilfestellung geben, Sicherheitsaspekte inIhre Anwendung zu bekommen
Evaluation der Sicherheit bestehender Systeme
Lehren von Sicherheit
Zertifizierung von Cloud Systemen / Cloud Anbietern
![Page 15: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/15.jpg)
John Sarrazin: Pattern Based Security AnalysisEinleitung Security Pattern 7/ 39
Anwendung von Security Pattern
Entwicklern eine Hilfestellung geben, Sicherheitsaspekte inIhre Anwendung zu bekommen
Evaluation der Sicherheit bestehender Systeme
Lehren von Sicherheit
Zertifizierung von Cloud Systemen / Cloud Anbietern
![Page 16: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/16.jpg)
John Sarrazin: Pattern Based Security AnalysisEinleitung Security Pattern 7/ 39
Anwendung von Security Pattern
Entwicklern eine Hilfestellung geben, Sicherheitsaspekte inIhre Anwendung zu bekommen
Evaluation der Sicherheit bestehender Systeme
Lehren von Sicherheit
Zertifizierung von Cloud Systemen / Cloud Anbietern
![Page 17: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/17.jpg)
John Sarrazin: Pattern Based Security AnalysisEinleitung Security Pattern 7/ 39
Anwendung von Security Pattern
Entwicklern eine Hilfestellung geben, Sicherheitsaspekte inIhre Anwendung zu bekommen
Evaluation der Sicherheit bestehender Systeme
Lehren von Sicherheit
Zertifizierung von Cloud Systemen / Cloud Anbietern
![Page 18: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/18.jpg)
John Sarrazin: Pattern Based Security AnalysisEinleitung Cloud Computing 8/ 39
Cloud Computing
Pattern Based Security Analysis: A Solution towards ModularSafety Analysis of Cloud Computing Systems
Cloud Computing
IaaS - Infrastructur-as-a-service
PaaS - Plattform-as-a-service
SaaS - Software-as-a-service
![Page 19: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/19.jpg)
John Sarrazin: Pattern Based Security AnalysisEinleitung Cloud Computing 8/ 39
Cloud Computing
Pattern Based Security Analysis: A Solution towards ModularSafety Analysis of Cloud Computing Systems
Cloud Computing
IaaS - Infrastructur-as-a-service
PaaS - Plattform-as-a-service
SaaS - Software-as-a-service
![Page 20: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/20.jpg)
John Sarrazin: Pattern Based Security AnalysisEinleitung Cloud Computing 9/ 39
Cloud Computing
Infrastructur-as-a-service
Bereitstellung benotigter virtualisierter Computer Ressourcen
CPU
Festplattenspeicher
Netzwerkleistung
...
Plattform-as-a-service
Bereitstellen von Umgebungen zum Entwickeln und Verteilen vonSoftware
Entwicklungsumgebungen
Buildserver
Testumgebungen
...
![Page 21: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/21.jpg)
John Sarrazin: Pattern Based Security AnalysisEinleitung Cloud Computing 9/ 39
Cloud Computing
Infrastructur-as-a-service
Bereitstellung benotigter virtualisierter Computer Ressourcen
CPU
Festplattenspeicher
Netzwerkleistung
...
Plattform-as-a-service
Bereitstellen von Umgebungen zum Entwickeln und Verteilen vonSoftware
Entwicklungsumgebungen
Buildserver
Testumgebungen
...
![Page 22: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/22.jpg)
John Sarrazin: Pattern Based Security AnalysisEinleitung Cloud Computing 10/ 39
Cloud Computing
Software-as-a-service
Bereitstellung von Software, die durch den Kunden uber dasInternet benutzt werden kann
Microsoft Office
SAP
...
![Page 23: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/23.jpg)
John Sarrazin: Pattern Based Security AnalysisEinleitung Running Example 11/ 39
Running Example
Dokumentenverwaltung
Ein Buro mochte darin seine Dokumente katalogisieren unddigitalisieren.Weil die Kosten fur eine eigene IT-Infrastruktur zuhoch waren, mochte die Geschaftsfuhrung einen Cloud Servicenutzen, um dieses Ziel zu erreichen.
Vorraussetzungen:
Die Dateien mussen bei dem Cloud Anbieter gespeichertwerden
Eine Software zum verwalten, hochladen und herunterladenmuss gehostet werden
Die Mitarbeiter des Buros mussen uber einen Webservice aufdie Software zugreifen
![Page 24: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/24.jpg)
John Sarrazin: Pattern Based Security AnalysisEinleitung Running Example 11/ 39
Running Example
Dokumentenverwaltung
Ein Buro mochte darin seine Dokumente katalogisieren unddigitalisieren.Weil die Kosten fur eine eigene IT-Infrastruktur zuhoch waren, mochte die Geschaftsfuhrung einen Cloud Servicenutzen, um dieses Ziel zu erreichen.
Vorraussetzungen:
Die Dateien mussen bei dem Cloud Anbieter gespeichertwerden
Eine Software zum verwalten, hochladen und herunterladenmuss gehostet werden
Die Mitarbeiter des Buros mussen uber einen Webservice aufdie Software zugreifen
![Page 25: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/25.jpg)
John Sarrazin: Pattern Based Security AnalysisEinleitung Running Example 11/ 39
Running Example
Dokumentenverwaltung
Ein Buro mochte darin seine Dokumente katalogisieren unddigitalisieren.Weil die Kosten fur eine eigene IT-Infrastruktur zuhoch waren, mochte die Geschaftsfuhrung einen Cloud Servicenutzen, um dieses Ziel zu erreichen.
Vorraussetzungen:
Die Dateien mussen bei dem Cloud Anbieter gespeichertwerden
Eine Software zum verwalten, hochladen und herunterladenmuss gehostet werden
Die Mitarbeiter des Buros mussen uber einen Webservice aufdie Software zugreifen
![Page 26: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/26.jpg)
John Sarrazin: Pattern Based Security AnalysisEinleitung Running Example 11/ 39
Running Example
Dokumentenverwaltung
Ein Buro mochte darin seine Dokumente katalogisieren unddigitalisieren.Weil die Kosten fur eine eigene IT-Infrastruktur zuhoch waren, mochte die Geschaftsfuhrung einen Cloud Servicenutzen, um dieses Ziel zu erreichen.
Vorraussetzungen:
Die Dateien mussen bei dem Cloud Anbieter gespeichertwerden
Eine Software zum verwalten, hochladen und herunterladenmuss gehostet werden
Die Mitarbeiter des Buros mussen uber einen Webservice aufdie Software zugreifen
![Page 27: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/27.jpg)
John Sarrazin: Pattern Based Security AnalysisEinleitung Running Example 12/ 39
Running Example: Use Case
Abbildung: UML Use Case Diagram unseres Running Examples
![Page 28: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/28.jpg)
John Sarrazin: Pattern Based Security AnalysisPattern basierte Methode zur Entwicklung sicherer Cloud Systeme Secure Software Lifecycle 13/ 39
1 Einleitung
2 Pattern basierte Methode zur Entwicklung sicherer CloudSysteme
Secure Software LifecycleDomain Analysis stageRequirement stageAnalysis stageDesign Stage und Implementation stage
3 Security Pattern: Beispiele
4 Werkzeugunterstutzung
5 Fazit und Ausblick
![Page 29: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/29.jpg)
John Sarrazin: Pattern Based Security AnalysisPattern basierte Methode zur Entwicklung sicherer Cloud Systeme Secure Software Lifecycle 13/ 39
Lifecycle
Abbildung: Secure Software Lifecycle
![Page 30: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/30.jpg)
John Sarrazin: Pattern Based Security AnalysisPattern basierte Methode zur Entwicklung sicherer Cloud Systeme Domain Analysis stage 14/ 39
Domain Analysis stage
Sicherheitsanalyse bestehender Systemteile
Sicherheitslocher in alten Systemen konnen als Angriffspunktin das neue System benutzt werde
![Page 31: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/31.jpg)
John Sarrazin: Pattern Based Security AnalysisPattern basierte Methode zur Entwicklung sicherer Cloud Systeme Domain Analysis stage 14/ 39
Domain Analysis stage
Sicherheitsanalyse bestehender Systemteile
Sicherheitslocher in alten Systemen konnen als Angriffspunktin das neue System benutzt werde
![Page 32: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/32.jpg)
John Sarrazin: Pattern Based Security AnalysisPattern basierte Methode zur Entwicklung sicherer Cloud Systeme Requirement stage 15/ 39
Requirement stage
Alle Anwendungsfalle zusammen bilden alle Interaktionen mitdem System ab
Aus den Anwendungsfallen Bedrohungen ableiten
Benotigte Rechte der Akteure / Benutzergruppen ableiten
![Page 33: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/33.jpg)
John Sarrazin: Pattern Based Security AnalysisPattern basierte Methode zur Entwicklung sicherer Cloud Systeme Requirement stage 15/ 39
Requirement stage
Alle Anwendungsfalle zusammen bilden alle Interaktionen mitdem System ab
Aus den Anwendungsfallen Bedrohungen ableiten
Benotigte Rechte der Akteure / Benutzergruppen ableiten
![Page 34: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/34.jpg)
John Sarrazin: Pattern Based Security AnalysisPattern basierte Methode zur Entwicklung sicherer Cloud Systeme Requirement stage 15/ 39
Requirement stage
Alle Anwendungsfalle zusammen bilden alle Interaktionen mitdem System ab
Aus den Anwendungsfallen Bedrohungen ableiten
Benotigte Rechte der Akteure / Benutzergruppen ableiten
![Page 35: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/35.jpg)
John Sarrazin: Pattern Based Security AnalysisPattern basierte Methode zur Entwicklung sicherer Cloud Systeme Analysis stage 16/ 39
Analysis stage
Konzeptionelles Modell des Systems entwerfen
Vollstandiges Rechtesystem entwerfen
Zu allen Bedrohungen geeignete Gegenmaßnahmen entwickeln
Entscheidung fur abstrakte Security Pattern
![Page 36: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/36.jpg)
John Sarrazin: Pattern Based Security AnalysisPattern basierte Methode zur Entwicklung sicherer Cloud Systeme Analysis stage 16/ 39
Analysis stage
Konzeptionelles Modell des Systems entwerfen
Vollstandiges Rechtesystem entwerfen
Zu allen Bedrohungen geeignete Gegenmaßnahmen entwickeln
Entscheidung fur abstrakte Security Pattern
![Page 37: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/37.jpg)
John Sarrazin: Pattern Based Security AnalysisPattern basierte Methode zur Entwicklung sicherer Cloud Systeme Analysis stage 16/ 39
Analysis stage
Konzeptionelles Modell des Systems entwerfen
Vollstandiges Rechtesystem entwerfen
Zu allen Bedrohungen geeignete Gegenmaßnahmen entwickeln
Entscheidung fur abstrakte Security Pattern
![Page 38: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/38.jpg)
John Sarrazin: Pattern Based Security AnalysisPattern basierte Methode zur Entwicklung sicherer Cloud Systeme Analysis stage 16/ 39
Analysis stage
Konzeptionelles Modell des Systems entwerfen
Vollstandiges Rechtesystem entwerfen
Zu allen Bedrohungen geeignete Gegenmaßnahmen entwickeln
Entscheidung fur abstrakte Security Pattern
![Page 39: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/39.jpg)
John Sarrazin: Pattern Based Security AnalysisPattern basierte Methode zur Entwicklung sicherer Cloud Systeme Design Stage und Implementation stage 17/ 39
Design stage und Implementation stage
konkretes System entwerfen
System in konkreter Programmiersprache implementieren
Security Pattern konkretisieren
Berechtigungssystem spezifizieren
![Page 40: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/40.jpg)
John Sarrazin: Pattern Based Security AnalysisPattern basierte Methode zur Entwicklung sicherer Cloud Systeme Design Stage und Implementation stage 17/ 39
Design stage und Implementation stage
konkretes System entwerfen
System in konkreter Programmiersprache implementieren
Security Pattern konkretisieren
Berechtigungssystem spezifizieren
![Page 41: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/41.jpg)
John Sarrazin: Pattern Based Security AnalysisPattern basierte Methode zur Entwicklung sicherer Cloud Systeme Design Stage und Implementation stage 17/ 39
Design stage und Implementation stage
konkretes System entwerfen
System in konkreter Programmiersprache implementieren
Security Pattern konkretisieren
Berechtigungssystem spezifizieren
![Page 42: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/42.jpg)
John Sarrazin: Pattern Based Security AnalysisPattern basierte Methode zur Entwicklung sicherer Cloud Systeme Design Stage und Implementation stage 17/ 39
Design stage und Implementation stage
konkretes System entwerfen
System in konkreter Programmiersprache implementieren
Security Pattern konkretisieren
Berechtigungssystem spezifizieren
![Page 43: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/43.jpg)
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Secure Virtual Machine Image Repository 18/ 39
1 Einleitung
2 Pattern basierte Methode zur Entwicklung sicherer CloudSysteme
3 Security Pattern: BeispieleSecure Virtual Machine Image RepositoryAuthenticatorTLS Virtual Private NetworkRole-Based Access ControlCloud Policy Management PointMisuse Pattern
4 Werkzeugunterstutzung
5 Fazit und Ausblick
![Page 44: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/44.jpg)
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Secure Virtual Machine Image Repository 18/ 39
Secure Virtual Machine Image Repository
Vorraussetzungen
Kunden des Cloud Anbieters konnen selbststandig VMIs mitvorinstallierter Software erstellen und in ein Repository hochladen
Problem
Angreifer konnen infizierte VMIs in das Repository hochladen
Losungsansatz
Zugriffskontrollen fur das Hochladen von VMIs
Scannen von VMIs bei Veroffentlichung
![Page 45: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/45.jpg)
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Secure Virtual Machine Image Repository 18/ 39
Secure Virtual Machine Image Repository
Vorraussetzungen
Kunden des Cloud Anbieters konnen selbststandig VMIs mitvorinstallierter Software erstellen und in ein Repository hochladen
Problem
Angreifer konnen infizierte VMIs in das Repository hochladen
Losungsansatz
Zugriffskontrollen fur das Hochladen von VMIs
Scannen von VMIs bei Veroffentlichung
![Page 46: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/46.jpg)
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Secure Virtual Machine Image Repository 18/ 39
Secure Virtual Machine Image Repository
Vorraussetzungen
Kunden des Cloud Anbieters konnen selbststandig VMIs mitvorinstallierter Software erstellen und in ein Repository hochladen
Problem
Angreifer konnen infizierte VMIs in das Repository hochladen
Losungsansatz
Zugriffskontrollen fur das Hochladen von VMIs
Scannen von VMIs bei Veroffentlichung
![Page 47: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/47.jpg)
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Secure Virtual Machine Image Repository 18/ 39
Secure Virtual Machine Image Repository
Vorraussetzungen
Kunden des Cloud Anbieters konnen selbststandig VMIs mitvorinstallierter Software erstellen und in ein Repository hochladen
Problem
Angreifer konnen infizierte VMIs in das Repository hochladen
Losungsansatz
Zugriffskontrollen fur das Hochladen von VMIs
Scannen von VMIs bei Veroffentlichung
![Page 48: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/48.jpg)
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Secure Virtual Machine Image Repository 19/ 39
Secure Virtual Machine Image Repository
Abbildung: Sequenzdiagramm VMI veroffentlichen
![Page 49: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/49.jpg)
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Authenticator 20/ 39
Authenticator
Vorraussetzungen
Ein Benutzer mochte Zugriff auf Ressourcen des Systems erlangen
Problem
Das System muss entscheiden, ob der Benutzer wirklich der ist, furden er sich ausgibt
Losungsansatz
Single Access Point in das System definieren
Protokoll positionieren, was die Identitat des Benutzersuberpruft
![Page 50: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/50.jpg)
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Authenticator 20/ 39
Authenticator
Vorraussetzungen
Ein Benutzer mochte Zugriff auf Ressourcen des Systems erlangen
Problem
Das System muss entscheiden, ob der Benutzer wirklich der ist, furden er sich ausgibt
Losungsansatz
Single Access Point in das System definieren
Protokoll positionieren, was die Identitat des Benutzersuberpruft
![Page 51: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/51.jpg)
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Authenticator 20/ 39
Authenticator
Vorraussetzungen
Ein Benutzer mochte Zugriff auf Ressourcen des Systems erlangen
Problem
Das System muss entscheiden, ob der Benutzer wirklich der ist, furden er sich ausgibt
Losungsansatz
Single Access Point in das System definieren
Protokoll positionieren, was die Identitat des Benutzersuberpruft
![Page 52: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/52.jpg)
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Authenticator 20/ 39
Authenticator
Vorraussetzungen
Ein Benutzer mochte Zugriff auf Ressourcen des Systems erlangen
Problem
Das System muss entscheiden, ob der Benutzer wirklich der ist, furden er sich ausgibt
Losungsansatz
Single Access Point in das System definieren
Protokoll positionieren, was die Identitat des Benutzersuberpruft
![Page 53: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/53.jpg)
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Authenticator 21/ 39
Authenticator
Anwendung auf das Running Example
Buro-Angestellte wollen Zugriff auf das Dokumentensystem
Protokoll = Benutzername und Passwort
![Page 54: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/54.jpg)
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Authenticator 21/ 39
Authenticator
Anwendung auf das Running Example
Buro-Angestellte wollen Zugriff auf das Dokumentensystem
Protokoll = Benutzername und Passwort
![Page 55: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/55.jpg)
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Authenticator 22/ 39
Authenticator
Abbildung: Sequenzdiagramm Subjekt Autorisieren
![Page 56: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/56.jpg)
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele TLS Virtual Private Network 23/ 39
TLS Virtual Private Network
Vorraussetzungen
Benutzer mochten sich uber das Internet in ein lokales Netzwerkeinwahlen und auf dessen Ressourcen zugreifen
Problem
Das Internet ist eine unsichere und offentliche Umgebung
Losungsansatz
Tunnel durch die Transportschicht des Internets aufbauen,durch welches die Daten verschlusselt gesendet werden
Authentifizieren und Autorisierung an beiden Endpunktensorgen fur weitere Sicherheit
Die Ende-zu-Ende Verschlusselung sorgt dafur, dass dieDaten, die durch das Internet geschickt werden, nicht durchDritte gelesen oder manipuliert werden konnen
![Page 57: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/57.jpg)
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele TLS Virtual Private Network 23/ 39
TLS Virtual Private Network
Vorraussetzungen
Benutzer mochten sich uber das Internet in ein lokales Netzwerkeinwahlen und auf dessen Ressourcen zugreifen
Problem
Das Internet ist eine unsichere und offentliche Umgebung
Losungsansatz
Tunnel durch die Transportschicht des Internets aufbauen,durch welches die Daten verschlusselt gesendet werden
Authentifizieren und Autorisierung an beiden Endpunktensorgen fur weitere Sicherheit
Die Ende-zu-Ende Verschlusselung sorgt dafur, dass dieDaten, die durch das Internet geschickt werden, nicht durchDritte gelesen oder manipuliert werden konnen
![Page 58: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/58.jpg)
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele TLS Virtual Private Network 23/ 39
TLS Virtual Private Network
Vorraussetzungen
Benutzer mochten sich uber das Internet in ein lokales Netzwerkeinwahlen und auf dessen Ressourcen zugreifen
Problem
Das Internet ist eine unsichere und offentliche Umgebung
Losungsansatz
Tunnel durch die Transportschicht des Internets aufbauen,durch welches die Daten verschlusselt gesendet werden
Authentifizieren und Autorisierung an beiden Endpunktensorgen fur weitere Sicherheit
Die Ende-zu-Ende Verschlusselung sorgt dafur, dass dieDaten, die durch das Internet geschickt werden, nicht durchDritte gelesen oder manipuliert werden konnen
![Page 59: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/59.jpg)
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele TLS Virtual Private Network 23/ 39
TLS Virtual Private Network
Vorraussetzungen
Benutzer mochten sich uber das Internet in ein lokales Netzwerkeinwahlen und auf dessen Ressourcen zugreifen
Problem
Das Internet ist eine unsichere und offentliche Umgebung
Losungsansatz
Tunnel durch die Transportschicht des Internets aufbauen,durch welches die Daten verschlusselt gesendet werden
Authentifizieren und Autorisierung an beiden Endpunktensorgen fur weitere Sicherheit
Die Ende-zu-Ende Verschlusselung sorgt dafur, dass dieDaten, die durch das Internet geschickt werden, nicht durchDritte gelesen oder manipuliert werden konnen
![Page 60: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/60.jpg)
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele TLS Virtual Private Network 23/ 39
TLS Virtual Private Network
Vorraussetzungen
Benutzer mochten sich uber das Internet in ein lokales Netzwerkeinwahlen und auf dessen Ressourcen zugreifen
Problem
Das Internet ist eine unsichere und offentliche Umgebung
Losungsansatz
Tunnel durch die Transportschicht des Internets aufbauen,durch welches die Daten verschlusselt gesendet werden
Authentifizieren und Autorisierung an beiden Endpunktensorgen fur weitere Sicherheit
Die Ende-zu-Ende Verschlusselung sorgt dafur, dass dieDaten, die durch das Internet geschickt werden, nicht durchDritte gelesen oder manipuliert werden konnen
![Page 61: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/61.jpg)
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele TLS Virtual Private Network 24/ 39
TLS Virtual Private Network
Anwendung auf das Running Example
Das Webinterface kann beschutzt werden, so dass nur Clientsaus dem Firmennetzwerk zugelassen werden
Damit Mitarbeiter trotzdem von uberall Zugriff bekommen,kann man deren Gerate durch TLS VPN ins Firmennetzwerktunneln
Dadurch ist der Zugang zum Webinterface nicht mehroffentlich und Angriffe auf dieses sind erschwert
![Page 62: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/62.jpg)
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele TLS Virtual Private Network 24/ 39
TLS Virtual Private Network
Anwendung auf das Running Example
Das Webinterface kann beschutzt werden, so dass nur Clientsaus dem Firmennetzwerk zugelassen werden
Damit Mitarbeiter trotzdem von uberall Zugriff bekommen,kann man deren Gerate durch TLS VPN ins Firmennetzwerktunneln
Dadurch ist der Zugang zum Webinterface nicht mehroffentlich und Angriffe auf dieses sind erschwert
![Page 63: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/63.jpg)
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele TLS Virtual Private Network 24/ 39
TLS Virtual Private Network
Anwendung auf das Running Example
Das Webinterface kann beschutzt werden, so dass nur Clientsaus dem Firmennetzwerk zugelassen werden
Damit Mitarbeiter trotzdem von uberall Zugriff bekommen,kann man deren Gerate durch TLS VPN ins Firmennetzwerktunneln
Dadurch ist der Zugang zum Webinterface nicht mehroffentlich und Angriffe auf dieses sind erschwert
![Page 64: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/64.jpg)
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele TLS Virtual Private Network 25/ 39
TLS Virtual Private Network
Abbildung: UML Klassendiagramm TLS VPN
![Page 65: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/65.jpg)
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Role-Based Access Control 26/ 39
Role-Based Access Control
Vorraussetzungen
Der Administrator mochte den Benutzern genau die Rechte geben,die sie benotigen
Problem
Bei vielen Benutzern ist es sehr zeitaufwendig, jedem einzeln dieRechte zu geben Außerdem sind Anderungen im Rechtesystem sehraufwendig
Losungsansatz
Benutzergruppen entwickeln, die zu den Funktionen imUnternehmen korrelieren
Der Benutzergruppe genau die Rechte geben, die zurAusubung der Funktionen benotigt werden
Benutzer den Benutzergruppen zuordnen
![Page 66: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/66.jpg)
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Role-Based Access Control 26/ 39
Role-Based Access Control
Vorraussetzungen
Der Administrator mochte den Benutzern genau die Rechte geben,die sie benotigen
Problem
Bei vielen Benutzern ist es sehr zeitaufwendig, jedem einzeln dieRechte zu geben Außerdem sind Anderungen im Rechtesystem sehraufwendig
Losungsansatz
Benutzergruppen entwickeln, die zu den Funktionen imUnternehmen korrelieren
Der Benutzergruppe genau die Rechte geben, die zurAusubung der Funktionen benotigt werden
Benutzer den Benutzergruppen zuordnen
![Page 67: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/67.jpg)
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Role-Based Access Control 26/ 39
Role-Based Access Control
Vorraussetzungen
Der Administrator mochte den Benutzern genau die Rechte geben,die sie benotigen
Problem
Bei vielen Benutzern ist es sehr zeitaufwendig, jedem einzeln dieRechte zu geben Außerdem sind Anderungen im Rechtesystem sehraufwendig
Losungsansatz
Benutzergruppen entwickeln, die zu den Funktionen imUnternehmen korrelieren
Der Benutzergruppe genau die Rechte geben, die zurAusubung der Funktionen benotigt werden
Benutzer den Benutzergruppen zuordnen
![Page 68: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/68.jpg)
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Role-Based Access Control 26/ 39
Role-Based Access Control
Vorraussetzungen
Der Administrator mochte den Benutzern genau die Rechte geben,die sie benotigen
Problem
Bei vielen Benutzern ist es sehr zeitaufwendig, jedem einzeln dieRechte zu geben Außerdem sind Anderungen im Rechtesystem sehraufwendig
Losungsansatz
Benutzergruppen entwickeln, die zu den Funktionen imUnternehmen korrelieren
Der Benutzergruppe genau die Rechte geben, die zurAusubung der Funktionen benotigt werden
Benutzer den Benutzergruppen zuordnen
![Page 69: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/69.jpg)
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Role-Based Access Control 26/ 39
Role-Based Access Control
Vorraussetzungen
Der Administrator mochte den Benutzern genau die Rechte geben,die sie benotigen
Problem
Bei vielen Benutzern ist es sehr zeitaufwendig, jedem einzeln dieRechte zu geben Außerdem sind Anderungen im Rechtesystem sehraufwendig
Losungsansatz
Benutzergruppen entwickeln, die zu den Funktionen imUnternehmen korrelieren
Der Benutzergruppe genau die Rechte geben, die zurAusubung der Funktionen benotigt werden
Benutzer den Benutzergruppen zuordnen
![Page 70: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/70.jpg)
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Role-Based Access Control 27/ 39
Role-Based Access Control
Anwendung auf das Running Example
Buroangestellte mussen in der Lage sein, Dateien ins Systemzu laden
Benutzergruppe ’Buroangestellter’ anlegen
Der Benutzergruppe die Rechte geben, Dateien ins System zuladen
Alle Buroangestellten Mitglied dieser Gruppe machen
Neue Buroangestellte konnen ganz einfach hinzugefugt werden
Wenn Buroangestellte nun auch Dokumente loschen konnensollen, kann man das zentral und schnell andern
![Page 71: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/71.jpg)
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Role-Based Access Control 27/ 39
Role-Based Access Control
Anwendung auf das Running Example
Buroangestellte mussen in der Lage sein, Dateien ins Systemzu laden
Benutzergruppe ’Buroangestellter’ anlegen
Der Benutzergruppe die Rechte geben, Dateien ins System zuladen
Alle Buroangestellten Mitglied dieser Gruppe machen
Neue Buroangestellte konnen ganz einfach hinzugefugt werden
Wenn Buroangestellte nun auch Dokumente loschen konnensollen, kann man das zentral und schnell andern
![Page 72: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/72.jpg)
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Role-Based Access Control 27/ 39
Role-Based Access Control
Anwendung auf das Running Example
Buroangestellte mussen in der Lage sein, Dateien ins Systemzu laden
Benutzergruppe ’Buroangestellter’ anlegen
Der Benutzergruppe die Rechte geben, Dateien ins System zuladen
Alle Buroangestellten Mitglied dieser Gruppe machen
Neue Buroangestellte konnen ganz einfach hinzugefugt werden
Wenn Buroangestellte nun auch Dokumente loschen konnensollen, kann man das zentral und schnell andern
![Page 73: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/73.jpg)
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Role-Based Access Control 27/ 39
Role-Based Access Control
Anwendung auf das Running Example
Buroangestellte mussen in der Lage sein, Dateien ins Systemzu laden
Benutzergruppe ’Buroangestellter’ anlegen
Der Benutzergruppe die Rechte geben, Dateien ins System zuladen
Alle Buroangestellten Mitglied dieser Gruppe machen
Neue Buroangestellte konnen ganz einfach hinzugefugt werden
Wenn Buroangestellte nun auch Dokumente loschen konnensollen, kann man das zentral und schnell andern
![Page 74: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/74.jpg)
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Role-Based Access Control 27/ 39
Role-Based Access Control
Anwendung auf das Running Example
Buroangestellte mussen in der Lage sein, Dateien ins Systemzu laden
Benutzergruppe ’Buroangestellter’ anlegen
Der Benutzergruppe die Rechte geben, Dateien ins System zuladen
Alle Buroangestellten Mitglied dieser Gruppe machen
Neue Buroangestellte konnen ganz einfach hinzugefugt werden
Wenn Buroangestellte nun auch Dokumente loschen konnensollen, kann man das zentral und schnell andern
![Page 75: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/75.jpg)
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Role-Based Access Control 27/ 39
Role-Based Access Control
Anwendung auf das Running Example
Buroangestellte mussen in der Lage sein, Dateien ins Systemzu laden
Benutzergruppe ’Buroangestellter’ anlegen
Der Benutzergruppe die Rechte geben, Dateien ins System zuladen
Alle Buroangestellten Mitglied dieser Gruppe machen
Neue Buroangestellte konnen ganz einfach hinzugefugt werden
Wenn Buroangestellte nun auch Dokumente loschen konnensollen, kann man das zentral und schnell andern
![Page 76: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/76.jpg)
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Cloud Policy Management Point 28/ 39
Cloud Policy Management Point
Vorraussetzungen
Der Administrator muss sicherheitsrelevante Einstellungen imSystem machen und Rechte vergeben
Problem
Der Administrator soll nicht zu tiefe Betriebssystemrechtebekommen und sich nicht mit dessen Interna auseinander setzenmussen
Losungsansatz
Administrator-Dashboard anbieten, in dem man dieEinstellungen vornehmen kann
Dem Administrator nur das Recht geben, auf dasAdministrator-Dashboard zuzugreifen
![Page 77: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/77.jpg)
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Cloud Policy Management Point 28/ 39
Cloud Policy Management Point
Vorraussetzungen
Der Administrator muss sicherheitsrelevante Einstellungen imSystem machen und Rechte vergeben
Problem
Der Administrator soll nicht zu tiefe Betriebssystemrechtebekommen und sich nicht mit dessen Interna auseinander setzenmussen
Losungsansatz
Administrator-Dashboard anbieten, in dem man dieEinstellungen vornehmen kann
Dem Administrator nur das Recht geben, auf dasAdministrator-Dashboard zuzugreifen
![Page 78: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/78.jpg)
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Cloud Policy Management Point 28/ 39
Cloud Policy Management Point
Vorraussetzungen
Der Administrator muss sicherheitsrelevante Einstellungen imSystem machen und Rechte vergeben
Problem
Der Administrator soll nicht zu tiefe Betriebssystemrechtebekommen und sich nicht mit dessen Interna auseinander setzenmussen
Losungsansatz
Administrator-Dashboard anbieten, in dem man dieEinstellungen vornehmen kann
Dem Administrator nur das Recht geben, auf dasAdministrator-Dashboard zuzugreifen
![Page 79: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/79.jpg)
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Cloud Policy Management Point 28/ 39
Cloud Policy Management Point
Vorraussetzungen
Der Administrator muss sicherheitsrelevante Einstellungen imSystem machen und Rechte vergeben
Problem
Der Administrator soll nicht zu tiefe Betriebssystemrechtebekommen und sich nicht mit dessen Interna auseinander setzenmussen
Losungsansatz
Administrator-Dashboard anbieten, in dem man dieEinstellungen vornehmen kann
Dem Administrator nur das Recht geben, auf dasAdministrator-Dashboard zuzugreifen
![Page 80: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/80.jpg)
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Cloud Policy Management Point 29/ 39
Role-Based Access Control
Anwendung auf das Running Example
Der Administrator kann im Administrator-Dashboard Rechtevergeben, Gruppen anlegen, etc.
Der Administrator hat keine Rechte auf Betriebssystemebene
![Page 81: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/81.jpg)
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Cloud Policy Management Point 29/ 39
Role-Based Access Control
Anwendung auf das Running Example
Der Administrator kann im Administrator-Dashboard Rechtevergeben, Gruppen anlegen, etc.
Der Administrator hat keine Rechte auf Betriebssystemebene
![Page 82: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/82.jpg)
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Misuse Pattern 30/ 39
Misuse Pattern
Beschreibt einen Angriff auf ein System aus der Sichtweiseeines Angreifers
Beschreibt welche Komponenten fur den Angriff verwendetwerden
Gibt Security Pattern und Countermeasures zur Verteidigungdieses Angriffs
![Page 83: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/83.jpg)
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Misuse Pattern 30/ 39
Misuse Pattern
Beschreibt einen Angriff auf ein System aus der Sichtweiseeines Angreifers
Beschreibt welche Komponenten fur den Angriff verwendetwerden
Gibt Security Pattern und Countermeasures zur Verteidigungdieses Angriffs
![Page 84: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/84.jpg)
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Misuse Pattern 30/ 39
Misuse Pattern
Beschreibt einen Angriff auf ein System aus der Sichtweiseeines Angreifers
Beschreibt welche Komponenten fur den Angriff verwendetwerden
Gibt Security Pattern und Countermeasures zur Verteidigungdieses Angriffs
![Page 85: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/85.jpg)
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Misuse Pattern 31/ 39
Malicious Virtual Machine Creation
Intent
Ein VMI wird benutzt, eine neue VM zu initialisieren
VMIs enthalten Softwarestacks, die in der VM nachInitialisierung vorinstalliert sind
Ein Angreifer kann ein Image mit Schadsoftware erstellen undanbieten
Context
Einige Cloud Anbieter bieten es an, VMIs zu erstellen und in einemoffentlichen Repository zu veroffentlichen.
![Page 86: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/86.jpg)
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Misuse Pattern 31/ 39
Malicious Virtual Machine Creation
Intent
Ein VMI wird benutzt, eine neue VM zu initialisieren
VMIs enthalten Softwarestacks, die in der VM nachInitialisierung vorinstalliert sind
Ein Angreifer kann ein Image mit Schadsoftware erstellen undanbieten
Context
Einige Cloud Anbieter bieten es an, VMIs zu erstellen und in einemoffentlichen Repository zu veroffentlichen.
![Page 87: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/87.jpg)
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Misuse Pattern 31/ 39
Malicious Virtual Machine Creation
Intent
Ein VMI wird benutzt, eine neue VM zu initialisieren
VMIs enthalten Softwarestacks, die in der VM nachInitialisierung vorinstalliert sind
Ein Angreifer kann ein Image mit Schadsoftware erstellen undanbieten
Context
Einige Cloud Anbieter bieten es an, VMIs zu erstellen und in einemoffentlichen Repository zu veroffentlichen.
![Page 88: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/88.jpg)
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Misuse Pattern 31/ 39
Malicious Virtual Machine Creation
Intent
Ein VMI wird benutzt, eine neue VM zu initialisieren
VMIs enthalten Softwarestacks, die in der VM nachInitialisierung vorinstalliert sind
Ein Angreifer kann ein Image mit Schadsoftware erstellen undanbieten
Context
Einige Cloud Anbieter bieten es an, VMIs zu erstellen und in einemoffentlichen Repository zu veroffentlichen.
![Page 89: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/89.jpg)
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Misuse Pattern 32/ 39
Malicious Virtual Machine Creation
Problem
Angreifer muss autorisiert sein, VMIs zu erstellen und mitSoftware zu bestucken
Die infizierten VMIs mussen in einem offentlichen Repositoryangeboten werden konnen
Andere Benutzer mussen das VMI verwenden, um eine VM zuerstellen
Solution
Angreifer erstellt einen anonymen Account
Der Angreifer lad die infizierte VMI in das Repository
Infizierte VMIs konnen durch ansprechende Beschreibungenund gefalschte Bewertungen attraktiv gemacht werden
![Page 90: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/90.jpg)
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Misuse Pattern 32/ 39
Malicious Virtual Machine Creation
Problem
Angreifer muss autorisiert sein, VMIs zu erstellen und mitSoftware zu bestucken
Die infizierten VMIs mussen in einem offentlichen Repositoryangeboten werden konnen
Andere Benutzer mussen das VMI verwenden, um eine VM zuerstellen
Solution
Angreifer erstellt einen anonymen Account
Der Angreifer lad die infizierte VMI in das Repository
Infizierte VMIs konnen durch ansprechende Beschreibungenund gefalschte Bewertungen attraktiv gemacht werden
![Page 91: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/91.jpg)
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Misuse Pattern 32/ 39
Malicious Virtual Machine Creation
Problem
Angreifer muss autorisiert sein, VMIs zu erstellen und mitSoftware zu bestucken
Die infizierten VMIs mussen in einem offentlichen Repositoryangeboten werden konnen
Andere Benutzer mussen das VMI verwenden, um eine VM zuerstellen
Solution
Angreifer erstellt einen anonymen Account
Der Angreifer lad die infizierte VMI in das Repository
Infizierte VMIs konnen durch ansprechende Beschreibungenund gefalschte Bewertungen attraktiv gemacht werden
![Page 92: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/92.jpg)
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Misuse Pattern 32/ 39
Malicious Virtual Machine Creation
Problem
Angreifer muss autorisiert sein, VMIs zu erstellen und mitSoftware zu bestucken
Die infizierten VMIs mussen in einem offentlichen Repositoryangeboten werden konnen
Andere Benutzer mussen das VMI verwenden, um eine VM zuerstellen
Solution
Angreifer erstellt einen anonymen Account
Der Angreifer lad die infizierte VMI in das Repository
Infizierte VMIs konnen durch ansprechende Beschreibungenund gefalschte Bewertungen attraktiv gemacht werden
![Page 93: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/93.jpg)
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Misuse Pattern 32/ 39
Malicious Virtual Machine Creation
Problem
Angreifer muss autorisiert sein, VMIs zu erstellen und mitSoftware zu bestucken
Die infizierten VMIs mussen in einem offentlichen Repositoryangeboten werden konnen
Andere Benutzer mussen das VMI verwenden, um eine VM zuerstellen
Solution
Angreifer erstellt einen anonymen Account
Der Angreifer lad die infizierte VMI in das Repository
Infizierte VMIs konnen durch ansprechende Beschreibungenund gefalschte Bewertungen attraktiv gemacht werden
![Page 94: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/94.jpg)
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Misuse Pattern 32/ 39
Malicious Virtual Machine Creation
Problem
Angreifer muss autorisiert sein, VMIs zu erstellen und mitSoftware zu bestucken
Die infizierten VMIs mussen in einem offentlichen Repositoryangeboten werden konnen
Andere Benutzer mussen das VMI verwenden, um eine VM zuerstellen
Solution
Angreifer erstellt einen anonymen Account
Der Angreifer lad die infizierte VMI in das Repository
Infizierte VMIs konnen durch ansprechende Beschreibungenund gefalschte Bewertungen attraktiv gemacht werden
![Page 95: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/95.jpg)
John Sarrazin: Pattern Based Security AnalysisWerkzeugunterstutzung Cloud System Analysis Pattern 33/ 39
1 Einleitung
2 Pattern basierte Methode zur Entwicklung sicherer CloudSysteme
3 Security Pattern: Beispiele
4 WerkzeugunterstutzungCloud System Analysis PatternCSAP-ToolClouDAT Framework
5 Fazit und Ausblick
![Page 96: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/96.jpg)
John Sarrazin: Pattern Based Security AnalysisWerkzeugunterstutzung Cloud System Analysis Pattern 33/ 39
Cloud System Analysis Pattern
CSAP werden benutzt, um Cloud Systeme zu analysieren undvisualisieren
Basiert auf UML
Modelliert Zusammenhange zwischen direkten und indirektenStakeholdern und dem System
![Page 97: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/97.jpg)
John Sarrazin: Pattern Based Security AnalysisWerkzeugunterstutzung Cloud System Analysis Pattern 33/ 39
Cloud System Analysis Pattern
CSAP werden benutzt, um Cloud Systeme zu analysieren undvisualisieren
Basiert auf UML
Modelliert Zusammenhange zwischen direkten und indirektenStakeholdern und dem System
![Page 98: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/98.jpg)
John Sarrazin: Pattern Based Security AnalysisWerkzeugunterstutzung Cloud System Analysis Pattern 33/ 39
Cloud System Analysis Pattern
CSAP werden benutzt, um Cloud Systeme zu analysieren undvisualisieren
Basiert auf UML
Modelliert Zusammenhange zwischen direkten und indirektenStakeholdern und dem System
![Page 99: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/99.jpg)
John Sarrazin: Pattern Based Security AnalysisWerkzeugunterstutzung Cloud System Analysis Pattern 34/ 39
Cloud System Analysis Pattern
Abbildung: CSAP Diagramm zu unserem Beispiel
![Page 100: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/100.jpg)
John Sarrazin: Pattern Based Security AnalysisWerkzeugunterstutzung CSAP-Tool 35/ 39
Cloud System Analysis Pattern
Hilft beim Erstellen eines CSAP zu einem Cloud System
Basiert auf Eclipse Modeling Framework (EMF) und IwizartPlugin
Bietet Vorlagen, um Voraussetzungen an das Cloud System zudefinieren und verifizieren
Bietet die Moglichkeit Stakeholders zu definieren
![Page 101: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/101.jpg)
John Sarrazin: Pattern Based Security AnalysisWerkzeugunterstutzung CSAP-Tool 35/ 39
Cloud System Analysis Pattern
Hilft beim Erstellen eines CSAP zu einem Cloud System
Basiert auf Eclipse Modeling Framework (EMF) und IwizartPlugin
Bietet Vorlagen, um Voraussetzungen an das Cloud System zudefinieren und verifizieren
Bietet die Moglichkeit Stakeholders zu definieren
![Page 102: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/102.jpg)
John Sarrazin: Pattern Based Security AnalysisWerkzeugunterstutzung CSAP-Tool 35/ 39
Cloud System Analysis Pattern
Hilft beim Erstellen eines CSAP zu einem Cloud System
Basiert auf Eclipse Modeling Framework (EMF) und IwizartPlugin
Bietet Vorlagen, um Voraussetzungen an das Cloud System zudefinieren und verifizieren
Bietet die Moglichkeit Stakeholders zu definieren
![Page 103: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/103.jpg)
John Sarrazin: Pattern Based Security AnalysisWerkzeugunterstutzung CSAP-Tool 35/ 39
Cloud System Analysis Pattern
Hilft beim Erstellen eines CSAP zu einem Cloud System
Basiert auf Eclipse Modeling Framework (EMF) und IwizartPlugin
Bietet Vorlagen, um Voraussetzungen an das Cloud System zudefinieren und verifizieren
Bietet die Moglichkeit Stakeholders zu definieren
![Page 104: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/104.jpg)
John Sarrazin: Pattern Based Security AnalysisWerkzeugunterstutzung ClouDAT Framework 36/ 39
ClouDAT Framework
Teil des ClouDAT Projektes
Befindet sich in der Entwicklung
Enthalt Katalog fur Security Pattern, Security RequirementPatterns, Threat Pattern, Vulnabilities, Control Patterns etc.
Soll unter Open Lizenz veroffentlicht werden und ist somiterweiterbar
![Page 105: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/105.jpg)
John Sarrazin: Pattern Based Security AnalysisWerkzeugunterstutzung ClouDAT Framework 36/ 39
ClouDAT Framework
Teil des ClouDAT Projektes
Befindet sich in der Entwicklung
Enthalt Katalog fur Security Pattern, Security RequirementPatterns, Threat Pattern, Vulnabilities, Control Patterns etc.
Soll unter Open Lizenz veroffentlicht werden und ist somiterweiterbar
![Page 106: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/106.jpg)
John Sarrazin: Pattern Based Security AnalysisWerkzeugunterstutzung ClouDAT Framework 36/ 39
ClouDAT Framework
Teil des ClouDAT Projektes
Befindet sich in der Entwicklung
Enthalt Katalog fur Security Pattern, Security RequirementPatterns, Threat Pattern, Vulnabilities, Control Patterns etc.
Soll unter Open Lizenz veroffentlicht werden und ist somiterweiterbar
![Page 107: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/107.jpg)
John Sarrazin: Pattern Based Security AnalysisWerkzeugunterstutzung ClouDAT Framework 36/ 39
ClouDAT Framework
Teil des ClouDAT Projektes
Befindet sich in der Entwicklung
Enthalt Katalog fur Security Pattern, Security RequirementPatterns, Threat Pattern, Vulnabilities, Control Patterns etc.
Soll unter Open Lizenz veroffentlicht werden und ist somiterweiterbar
![Page 108: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/108.jpg)
John Sarrazin: Pattern Based Security AnalysisFazit und Ausblick 37/ 39
1 Einleitung
2 Pattern basierte Methode zur Entwicklung sicherer CloudSysteme
3 Security Pattern: Beispiele
4 Werkzeugunterstutzung
5 Fazit und Ausblick
![Page 109: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/109.jpg)
John Sarrazin: Pattern Based Security AnalysisFazit und Ausblick 37/ 39
Fazit und Ausblick
Zusammenfassung
Security Pattern
Methode zur Entwicklung sicherer Systeme
Beispiele fur Security Pattern
Werkzeugunterstutzung
![Page 110: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/110.jpg)
John Sarrazin: Pattern Based Security AnalysisFazit und Ausblick 37/ 39
Fazit und Ausblick
Zusammenfassung
Security Pattern
Methode zur Entwicklung sicherer Systeme
Beispiele fur Security Pattern
Werkzeugunterstutzung
![Page 111: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/111.jpg)
John Sarrazin: Pattern Based Security AnalysisFazit und Ausblick 37/ 39
Fazit und Ausblick
Zusammenfassung
Security Pattern
Methode zur Entwicklung sicherer Systeme
Beispiele fur Security Pattern
Werkzeugunterstutzung
![Page 112: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/112.jpg)
John Sarrazin: Pattern Based Security AnalysisFazit und Ausblick 37/ 39
Fazit und Ausblick
Zusammenfassung
Security Pattern
Methode zur Entwicklung sicherer Systeme
Beispiele fur Security Pattern
Werkzeugunterstutzung
![Page 113: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/113.jpg)
John Sarrazin: Pattern Based Security AnalysisFazit und Ausblick 38/ 39
Fazit und Ausblick
Ausblick
Werkzeugunterstuzung noch eingeschrankt und in Entwicklung
Bessere Katalogisierung von Security Pattern
Software Entwickler mussen fur Sicherheitsaspekte mehrsensibilisiert werden
![Page 114: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/114.jpg)
John Sarrazin: Pattern Based Security AnalysisFazit und Ausblick 38/ 39
Fazit und Ausblick
Ausblick
Werkzeugunterstuzung noch eingeschrankt und in Entwicklung
Bessere Katalogisierung von Security Pattern
Software Entwickler mussen fur Sicherheitsaspekte mehrsensibilisiert werden
![Page 115: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/115.jpg)
John Sarrazin: Pattern Based Security AnalysisFazit und Ausblick 38/ 39
Fazit und Ausblick
Ausblick
Werkzeugunterstuzung noch eingeschrankt und in Entwicklung
Bessere Katalogisierung von Security Pattern
Software Entwickler mussen fur Sicherheitsaspekte mehrsensibilisiert werden
![Page 116: Pattern Based Security Analysis - Uni Koblenz-Landau€¦ · Pattern Based Security Analysis: A Solution towards Modular Safety Analysis of Cloud Computing Systems Security Pattern](https://reader033.vdocument.in/reader033/viewer/2022042211/5eb03a58921cc815ec6640d5/html5/thumbnails/116.jpg)
John Sarrazin: Pattern Based Security AnalysisFazit und Ausblick 39/ 39
Danke fur Ihre Aufmerksamkeit!
Kontakt
John Sarrazin
Fragen?
Wenn sie noch Fragen haben, konnen Sie diese nun stellen odermeine Kontaktdaten verwenden