John Sarrazin: Pattern Based Security Analysis1/ 39
Pattern Based Security AnalysisA Solution towards Modular Safety Analysis of Cloud
Computing Systems
John Sarrazin
Department of Computer ScienceTU Dortmund
15. Februar 2015
John Sarrazin: Pattern Based Security Analysis2/ 39
Inhalt
1 Einleitung
2 Pattern basierte Methode zur Entwicklung sicherer CloudSysteme
3 Security Pattern: Beispiele
4 Werkzeugunterstutzung
5 Fazit und Ausblick
John Sarrazin: Pattern Based Security Analysis2/ 39
Inhalt
1 Einleitung
2 Pattern basierte Methode zur Entwicklung sicherer CloudSysteme
3 Security Pattern: Beispiele
4 Werkzeugunterstutzung
5 Fazit und Ausblick
John Sarrazin: Pattern Based Security Analysis2/ 39
Inhalt
1 Einleitung
2 Pattern basierte Methode zur Entwicklung sicherer CloudSysteme
3 Security Pattern: Beispiele
4 Werkzeugunterstutzung
5 Fazit und Ausblick
John Sarrazin: Pattern Based Security Analysis2/ 39
Inhalt
1 Einleitung
2 Pattern basierte Methode zur Entwicklung sicherer CloudSysteme
3 Security Pattern: Beispiele
4 Werkzeugunterstutzung
5 Fazit und Ausblick
John Sarrazin: Pattern Based Security Analysis2/ 39
Inhalt
1 Einleitung
2 Pattern basierte Methode zur Entwicklung sicherer CloudSysteme
3 Security Pattern: Beispiele
4 Werkzeugunterstutzung
5 Fazit und Ausblick
John Sarrazin: Pattern Based Security AnalysisEinleitung Motivation 3/ 39
1 EinleitungMotivationSecurity PatternCloud ComputingRunning Example
2 Pattern basierte Methode zur Entwicklung sicherer CloudSysteme
3 Security Pattern: Beispiele
4 Werkzeugunterstutzung
5 Fazit und Ausblick
John Sarrazin: Pattern Based Security AnalysisEinleitung Motivation 3/ 39
Motivation
Abbildung: Sicherheitsloch in der iCloud (www.sueddeutsche.de)
John Sarrazin: Pattern Based Security AnalysisEinleitung Motivation 4/ 39
Motivation
Abbildung: Sicherheitsloch in Virtualisierungssoftware (www.heise.de)
John Sarrazin: Pattern Based Security AnalysisEinleitung Motivation 5/ 39
Motivation
Sicherheit in Cloud Systemen...
...ist ein aktuelles Thema
...bedarf erhohter Aufmerksamkeit
...muss durch den ganzen Entwicklungszyklus bedacht werden
Losungsansatze
Security Pattern
Methode zur Entwicklung sicherer Software
Tool Support
John Sarrazin: Pattern Based Security AnalysisEinleitung Motivation 5/ 39
Motivation
Sicherheit in Cloud Systemen...
...ist ein aktuelles Thema
...bedarf erhohter Aufmerksamkeit
...muss durch den ganzen Entwicklungszyklus bedacht werden
Losungsansatze
Security Pattern
Methode zur Entwicklung sicherer Software
Tool Support
John Sarrazin: Pattern Based Security AnalysisEinleitung Security Pattern 6/ 39
Security Pattern
Pattern Based Security Analysis: A Solution towards ModularSafety Analysis of Cloud Computing Systems
Security Pattern
A Security pattern describes a solution to the problemof controlling (stopping and mitigating) a set of specificthreats through some security mechanism, defined in agiven context.
Schumacher,2005
John Sarrazin: Pattern Based Security AnalysisEinleitung Security Pattern 6/ 39
Security Pattern
Pattern Based Security Analysis: A Solution towards ModularSafety Analysis of Cloud Computing Systems
Security Pattern
A Security pattern describes a solution to the problemof controlling (stopping and mitigating) a set of specificthreats through some security mechanism, defined in agiven context.
Schumacher,2005
John Sarrazin: Pattern Based Security AnalysisEinleitung Security Pattern 7/ 39
Anwendung von Security Pattern
Entwicklern eine Hilfestellung geben, Sicherheitsaspekte inIhre Anwendung zu bekommen
Evaluation der Sicherheit bestehender Systeme
Lehren von Sicherheit
Zertifizierung von Cloud Systemen / Cloud Anbietern
John Sarrazin: Pattern Based Security AnalysisEinleitung Security Pattern 7/ 39
Anwendung von Security Pattern
Entwicklern eine Hilfestellung geben, Sicherheitsaspekte inIhre Anwendung zu bekommen
Evaluation der Sicherheit bestehender Systeme
Lehren von Sicherheit
Zertifizierung von Cloud Systemen / Cloud Anbietern
John Sarrazin: Pattern Based Security AnalysisEinleitung Security Pattern 7/ 39
Anwendung von Security Pattern
Entwicklern eine Hilfestellung geben, Sicherheitsaspekte inIhre Anwendung zu bekommen
Evaluation der Sicherheit bestehender Systeme
Lehren von Sicherheit
Zertifizierung von Cloud Systemen / Cloud Anbietern
John Sarrazin: Pattern Based Security AnalysisEinleitung Security Pattern 7/ 39
Anwendung von Security Pattern
Entwicklern eine Hilfestellung geben, Sicherheitsaspekte inIhre Anwendung zu bekommen
Evaluation der Sicherheit bestehender Systeme
Lehren von Sicherheit
Zertifizierung von Cloud Systemen / Cloud Anbietern
John Sarrazin: Pattern Based Security AnalysisEinleitung Cloud Computing 8/ 39
Cloud Computing
Pattern Based Security Analysis: A Solution towards ModularSafety Analysis of Cloud Computing Systems
Cloud Computing
IaaS - Infrastructur-as-a-service
PaaS - Plattform-as-a-service
SaaS - Software-as-a-service
John Sarrazin: Pattern Based Security AnalysisEinleitung Cloud Computing 8/ 39
Cloud Computing
Pattern Based Security Analysis: A Solution towards ModularSafety Analysis of Cloud Computing Systems
Cloud Computing
IaaS - Infrastructur-as-a-service
PaaS - Plattform-as-a-service
SaaS - Software-as-a-service
John Sarrazin: Pattern Based Security AnalysisEinleitung Cloud Computing 9/ 39
Cloud Computing
Infrastructur-as-a-service
Bereitstellung benotigter virtualisierter Computer Ressourcen
CPU
Festplattenspeicher
Netzwerkleistung
...
Plattform-as-a-service
Bereitstellen von Umgebungen zum Entwickeln und Verteilen vonSoftware
Entwicklungsumgebungen
Buildserver
Testumgebungen
...
John Sarrazin: Pattern Based Security AnalysisEinleitung Cloud Computing 9/ 39
Cloud Computing
Infrastructur-as-a-service
Bereitstellung benotigter virtualisierter Computer Ressourcen
CPU
Festplattenspeicher
Netzwerkleistung
...
Plattform-as-a-service
Bereitstellen von Umgebungen zum Entwickeln und Verteilen vonSoftware
Entwicklungsumgebungen
Buildserver
Testumgebungen
...
John Sarrazin: Pattern Based Security AnalysisEinleitung Cloud Computing 10/ 39
Cloud Computing
Software-as-a-service
Bereitstellung von Software, die durch den Kunden uber dasInternet benutzt werden kann
Microsoft Office
SAP
...
John Sarrazin: Pattern Based Security AnalysisEinleitung Running Example 11/ 39
Running Example
Dokumentenverwaltung
Ein Buro mochte darin seine Dokumente katalogisieren unddigitalisieren.Weil die Kosten fur eine eigene IT-Infrastruktur zuhoch waren, mochte die Geschaftsfuhrung einen Cloud Servicenutzen, um dieses Ziel zu erreichen.
Vorraussetzungen:
Die Dateien mussen bei dem Cloud Anbieter gespeichertwerden
Eine Software zum verwalten, hochladen und herunterladenmuss gehostet werden
Die Mitarbeiter des Buros mussen uber einen Webservice aufdie Software zugreifen
John Sarrazin: Pattern Based Security AnalysisEinleitung Running Example 11/ 39
Running Example
Dokumentenverwaltung
Ein Buro mochte darin seine Dokumente katalogisieren unddigitalisieren.Weil die Kosten fur eine eigene IT-Infrastruktur zuhoch waren, mochte die Geschaftsfuhrung einen Cloud Servicenutzen, um dieses Ziel zu erreichen.
Vorraussetzungen:
Die Dateien mussen bei dem Cloud Anbieter gespeichertwerden
Eine Software zum verwalten, hochladen und herunterladenmuss gehostet werden
Die Mitarbeiter des Buros mussen uber einen Webservice aufdie Software zugreifen
John Sarrazin: Pattern Based Security AnalysisEinleitung Running Example 11/ 39
Running Example
Dokumentenverwaltung
Ein Buro mochte darin seine Dokumente katalogisieren unddigitalisieren.Weil die Kosten fur eine eigene IT-Infrastruktur zuhoch waren, mochte die Geschaftsfuhrung einen Cloud Servicenutzen, um dieses Ziel zu erreichen.
Vorraussetzungen:
Die Dateien mussen bei dem Cloud Anbieter gespeichertwerden
Eine Software zum verwalten, hochladen und herunterladenmuss gehostet werden
Die Mitarbeiter des Buros mussen uber einen Webservice aufdie Software zugreifen
John Sarrazin: Pattern Based Security AnalysisEinleitung Running Example 11/ 39
Running Example
Dokumentenverwaltung
Ein Buro mochte darin seine Dokumente katalogisieren unddigitalisieren.Weil die Kosten fur eine eigene IT-Infrastruktur zuhoch waren, mochte die Geschaftsfuhrung einen Cloud Servicenutzen, um dieses Ziel zu erreichen.
Vorraussetzungen:
Die Dateien mussen bei dem Cloud Anbieter gespeichertwerden
Eine Software zum verwalten, hochladen und herunterladenmuss gehostet werden
Die Mitarbeiter des Buros mussen uber einen Webservice aufdie Software zugreifen
John Sarrazin: Pattern Based Security AnalysisEinleitung Running Example 12/ 39
Running Example: Use Case
Abbildung: UML Use Case Diagram unseres Running Examples
John Sarrazin: Pattern Based Security AnalysisPattern basierte Methode zur Entwicklung sicherer Cloud Systeme Secure Software Lifecycle 13/ 39
1 Einleitung
2 Pattern basierte Methode zur Entwicklung sicherer CloudSysteme
Secure Software LifecycleDomain Analysis stageRequirement stageAnalysis stageDesign Stage und Implementation stage
3 Security Pattern: Beispiele
4 Werkzeugunterstutzung
5 Fazit und Ausblick
John Sarrazin: Pattern Based Security AnalysisPattern basierte Methode zur Entwicklung sicherer Cloud Systeme Secure Software Lifecycle 13/ 39
Lifecycle
Abbildung: Secure Software Lifecycle
John Sarrazin: Pattern Based Security AnalysisPattern basierte Methode zur Entwicklung sicherer Cloud Systeme Domain Analysis stage 14/ 39
Domain Analysis stage
Sicherheitsanalyse bestehender Systemteile
Sicherheitslocher in alten Systemen konnen als Angriffspunktin das neue System benutzt werde
John Sarrazin: Pattern Based Security AnalysisPattern basierte Methode zur Entwicklung sicherer Cloud Systeme Domain Analysis stage 14/ 39
Domain Analysis stage
Sicherheitsanalyse bestehender Systemteile
Sicherheitslocher in alten Systemen konnen als Angriffspunktin das neue System benutzt werde
John Sarrazin: Pattern Based Security AnalysisPattern basierte Methode zur Entwicklung sicherer Cloud Systeme Requirement stage 15/ 39
Requirement stage
Alle Anwendungsfalle zusammen bilden alle Interaktionen mitdem System ab
Aus den Anwendungsfallen Bedrohungen ableiten
Benotigte Rechte der Akteure / Benutzergruppen ableiten
John Sarrazin: Pattern Based Security AnalysisPattern basierte Methode zur Entwicklung sicherer Cloud Systeme Requirement stage 15/ 39
Requirement stage
Alle Anwendungsfalle zusammen bilden alle Interaktionen mitdem System ab
Aus den Anwendungsfallen Bedrohungen ableiten
Benotigte Rechte der Akteure / Benutzergruppen ableiten
John Sarrazin: Pattern Based Security AnalysisPattern basierte Methode zur Entwicklung sicherer Cloud Systeme Requirement stage 15/ 39
Requirement stage
Alle Anwendungsfalle zusammen bilden alle Interaktionen mitdem System ab
Aus den Anwendungsfallen Bedrohungen ableiten
Benotigte Rechte der Akteure / Benutzergruppen ableiten
John Sarrazin: Pattern Based Security AnalysisPattern basierte Methode zur Entwicklung sicherer Cloud Systeme Analysis stage 16/ 39
Analysis stage
Konzeptionelles Modell des Systems entwerfen
Vollstandiges Rechtesystem entwerfen
Zu allen Bedrohungen geeignete Gegenmaßnahmen entwickeln
Entscheidung fur abstrakte Security Pattern
John Sarrazin: Pattern Based Security AnalysisPattern basierte Methode zur Entwicklung sicherer Cloud Systeme Analysis stage 16/ 39
Analysis stage
Konzeptionelles Modell des Systems entwerfen
Vollstandiges Rechtesystem entwerfen
Zu allen Bedrohungen geeignete Gegenmaßnahmen entwickeln
Entscheidung fur abstrakte Security Pattern
John Sarrazin: Pattern Based Security AnalysisPattern basierte Methode zur Entwicklung sicherer Cloud Systeme Analysis stage 16/ 39
Analysis stage
Konzeptionelles Modell des Systems entwerfen
Vollstandiges Rechtesystem entwerfen
Zu allen Bedrohungen geeignete Gegenmaßnahmen entwickeln
Entscheidung fur abstrakte Security Pattern
John Sarrazin: Pattern Based Security AnalysisPattern basierte Methode zur Entwicklung sicherer Cloud Systeme Analysis stage 16/ 39
Analysis stage
Konzeptionelles Modell des Systems entwerfen
Vollstandiges Rechtesystem entwerfen
Zu allen Bedrohungen geeignete Gegenmaßnahmen entwickeln
Entscheidung fur abstrakte Security Pattern
John Sarrazin: Pattern Based Security AnalysisPattern basierte Methode zur Entwicklung sicherer Cloud Systeme Design Stage und Implementation stage 17/ 39
Design stage und Implementation stage
konkretes System entwerfen
System in konkreter Programmiersprache implementieren
Security Pattern konkretisieren
Berechtigungssystem spezifizieren
John Sarrazin: Pattern Based Security AnalysisPattern basierte Methode zur Entwicklung sicherer Cloud Systeme Design Stage und Implementation stage 17/ 39
Design stage und Implementation stage
konkretes System entwerfen
System in konkreter Programmiersprache implementieren
Security Pattern konkretisieren
Berechtigungssystem spezifizieren
John Sarrazin: Pattern Based Security AnalysisPattern basierte Methode zur Entwicklung sicherer Cloud Systeme Design Stage und Implementation stage 17/ 39
Design stage und Implementation stage
konkretes System entwerfen
System in konkreter Programmiersprache implementieren
Security Pattern konkretisieren
Berechtigungssystem spezifizieren
John Sarrazin: Pattern Based Security AnalysisPattern basierte Methode zur Entwicklung sicherer Cloud Systeme Design Stage und Implementation stage 17/ 39
Design stage und Implementation stage
konkretes System entwerfen
System in konkreter Programmiersprache implementieren
Security Pattern konkretisieren
Berechtigungssystem spezifizieren
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Secure Virtual Machine Image Repository 18/ 39
1 Einleitung
2 Pattern basierte Methode zur Entwicklung sicherer CloudSysteme
3 Security Pattern: BeispieleSecure Virtual Machine Image RepositoryAuthenticatorTLS Virtual Private NetworkRole-Based Access ControlCloud Policy Management PointMisuse Pattern
4 Werkzeugunterstutzung
5 Fazit und Ausblick
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Secure Virtual Machine Image Repository 18/ 39
Secure Virtual Machine Image Repository
Vorraussetzungen
Kunden des Cloud Anbieters konnen selbststandig VMIs mitvorinstallierter Software erstellen und in ein Repository hochladen
Problem
Angreifer konnen infizierte VMIs in das Repository hochladen
Losungsansatz
Zugriffskontrollen fur das Hochladen von VMIs
Scannen von VMIs bei Veroffentlichung
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Secure Virtual Machine Image Repository 18/ 39
Secure Virtual Machine Image Repository
Vorraussetzungen
Kunden des Cloud Anbieters konnen selbststandig VMIs mitvorinstallierter Software erstellen und in ein Repository hochladen
Problem
Angreifer konnen infizierte VMIs in das Repository hochladen
Losungsansatz
Zugriffskontrollen fur das Hochladen von VMIs
Scannen von VMIs bei Veroffentlichung
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Secure Virtual Machine Image Repository 18/ 39
Secure Virtual Machine Image Repository
Vorraussetzungen
Kunden des Cloud Anbieters konnen selbststandig VMIs mitvorinstallierter Software erstellen und in ein Repository hochladen
Problem
Angreifer konnen infizierte VMIs in das Repository hochladen
Losungsansatz
Zugriffskontrollen fur das Hochladen von VMIs
Scannen von VMIs bei Veroffentlichung
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Secure Virtual Machine Image Repository 18/ 39
Secure Virtual Machine Image Repository
Vorraussetzungen
Kunden des Cloud Anbieters konnen selbststandig VMIs mitvorinstallierter Software erstellen und in ein Repository hochladen
Problem
Angreifer konnen infizierte VMIs in das Repository hochladen
Losungsansatz
Zugriffskontrollen fur das Hochladen von VMIs
Scannen von VMIs bei Veroffentlichung
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Secure Virtual Machine Image Repository 19/ 39
Secure Virtual Machine Image Repository
Abbildung: Sequenzdiagramm VMI veroffentlichen
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Authenticator 20/ 39
Authenticator
Vorraussetzungen
Ein Benutzer mochte Zugriff auf Ressourcen des Systems erlangen
Problem
Das System muss entscheiden, ob der Benutzer wirklich der ist, furden er sich ausgibt
Losungsansatz
Single Access Point in das System definieren
Protokoll positionieren, was die Identitat des Benutzersuberpruft
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Authenticator 20/ 39
Authenticator
Vorraussetzungen
Ein Benutzer mochte Zugriff auf Ressourcen des Systems erlangen
Problem
Das System muss entscheiden, ob der Benutzer wirklich der ist, furden er sich ausgibt
Losungsansatz
Single Access Point in das System definieren
Protokoll positionieren, was die Identitat des Benutzersuberpruft
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Authenticator 20/ 39
Authenticator
Vorraussetzungen
Ein Benutzer mochte Zugriff auf Ressourcen des Systems erlangen
Problem
Das System muss entscheiden, ob der Benutzer wirklich der ist, furden er sich ausgibt
Losungsansatz
Single Access Point in das System definieren
Protokoll positionieren, was die Identitat des Benutzersuberpruft
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Authenticator 20/ 39
Authenticator
Vorraussetzungen
Ein Benutzer mochte Zugriff auf Ressourcen des Systems erlangen
Problem
Das System muss entscheiden, ob der Benutzer wirklich der ist, furden er sich ausgibt
Losungsansatz
Single Access Point in das System definieren
Protokoll positionieren, was die Identitat des Benutzersuberpruft
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Authenticator 21/ 39
Authenticator
Anwendung auf das Running Example
Buro-Angestellte wollen Zugriff auf das Dokumentensystem
Protokoll = Benutzername und Passwort
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Authenticator 21/ 39
Authenticator
Anwendung auf das Running Example
Buro-Angestellte wollen Zugriff auf das Dokumentensystem
Protokoll = Benutzername und Passwort
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Authenticator 22/ 39
Authenticator
Abbildung: Sequenzdiagramm Subjekt Autorisieren
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele TLS Virtual Private Network 23/ 39
TLS Virtual Private Network
Vorraussetzungen
Benutzer mochten sich uber das Internet in ein lokales Netzwerkeinwahlen und auf dessen Ressourcen zugreifen
Problem
Das Internet ist eine unsichere und offentliche Umgebung
Losungsansatz
Tunnel durch die Transportschicht des Internets aufbauen,durch welches die Daten verschlusselt gesendet werden
Authentifizieren und Autorisierung an beiden Endpunktensorgen fur weitere Sicherheit
Die Ende-zu-Ende Verschlusselung sorgt dafur, dass dieDaten, die durch das Internet geschickt werden, nicht durchDritte gelesen oder manipuliert werden konnen
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele TLS Virtual Private Network 23/ 39
TLS Virtual Private Network
Vorraussetzungen
Benutzer mochten sich uber das Internet in ein lokales Netzwerkeinwahlen und auf dessen Ressourcen zugreifen
Problem
Das Internet ist eine unsichere und offentliche Umgebung
Losungsansatz
Tunnel durch die Transportschicht des Internets aufbauen,durch welches die Daten verschlusselt gesendet werden
Authentifizieren und Autorisierung an beiden Endpunktensorgen fur weitere Sicherheit
Die Ende-zu-Ende Verschlusselung sorgt dafur, dass dieDaten, die durch das Internet geschickt werden, nicht durchDritte gelesen oder manipuliert werden konnen
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele TLS Virtual Private Network 23/ 39
TLS Virtual Private Network
Vorraussetzungen
Benutzer mochten sich uber das Internet in ein lokales Netzwerkeinwahlen und auf dessen Ressourcen zugreifen
Problem
Das Internet ist eine unsichere und offentliche Umgebung
Losungsansatz
Tunnel durch die Transportschicht des Internets aufbauen,durch welches die Daten verschlusselt gesendet werden
Authentifizieren und Autorisierung an beiden Endpunktensorgen fur weitere Sicherheit
Die Ende-zu-Ende Verschlusselung sorgt dafur, dass dieDaten, die durch das Internet geschickt werden, nicht durchDritte gelesen oder manipuliert werden konnen
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele TLS Virtual Private Network 23/ 39
TLS Virtual Private Network
Vorraussetzungen
Benutzer mochten sich uber das Internet in ein lokales Netzwerkeinwahlen und auf dessen Ressourcen zugreifen
Problem
Das Internet ist eine unsichere und offentliche Umgebung
Losungsansatz
Tunnel durch die Transportschicht des Internets aufbauen,durch welches die Daten verschlusselt gesendet werden
Authentifizieren und Autorisierung an beiden Endpunktensorgen fur weitere Sicherheit
Die Ende-zu-Ende Verschlusselung sorgt dafur, dass dieDaten, die durch das Internet geschickt werden, nicht durchDritte gelesen oder manipuliert werden konnen
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele TLS Virtual Private Network 23/ 39
TLS Virtual Private Network
Vorraussetzungen
Benutzer mochten sich uber das Internet in ein lokales Netzwerkeinwahlen und auf dessen Ressourcen zugreifen
Problem
Das Internet ist eine unsichere und offentliche Umgebung
Losungsansatz
Tunnel durch die Transportschicht des Internets aufbauen,durch welches die Daten verschlusselt gesendet werden
Authentifizieren und Autorisierung an beiden Endpunktensorgen fur weitere Sicherheit
Die Ende-zu-Ende Verschlusselung sorgt dafur, dass dieDaten, die durch das Internet geschickt werden, nicht durchDritte gelesen oder manipuliert werden konnen
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele TLS Virtual Private Network 24/ 39
TLS Virtual Private Network
Anwendung auf das Running Example
Das Webinterface kann beschutzt werden, so dass nur Clientsaus dem Firmennetzwerk zugelassen werden
Damit Mitarbeiter trotzdem von uberall Zugriff bekommen,kann man deren Gerate durch TLS VPN ins Firmennetzwerktunneln
Dadurch ist der Zugang zum Webinterface nicht mehroffentlich und Angriffe auf dieses sind erschwert
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele TLS Virtual Private Network 24/ 39
TLS Virtual Private Network
Anwendung auf das Running Example
Das Webinterface kann beschutzt werden, so dass nur Clientsaus dem Firmennetzwerk zugelassen werden
Damit Mitarbeiter trotzdem von uberall Zugriff bekommen,kann man deren Gerate durch TLS VPN ins Firmennetzwerktunneln
Dadurch ist der Zugang zum Webinterface nicht mehroffentlich und Angriffe auf dieses sind erschwert
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele TLS Virtual Private Network 24/ 39
TLS Virtual Private Network
Anwendung auf das Running Example
Das Webinterface kann beschutzt werden, so dass nur Clientsaus dem Firmennetzwerk zugelassen werden
Damit Mitarbeiter trotzdem von uberall Zugriff bekommen,kann man deren Gerate durch TLS VPN ins Firmennetzwerktunneln
Dadurch ist der Zugang zum Webinterface nicht mehroffentlich und Angriffe auf dieses sind erschwert
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele TLS Virtual Private Network 25/ 39
TLS Virtual Private Network
Abbildung: UML Klassendiagramm TLS VPN
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Role-Based Access Control 26/ 39
Role-Based Access Control
Vorraussetzungen
Der Administrator mochte den Benutzern genau die Rechte geben,die sie benotigen
Problem
Bei vielen Benutzern ist es sehr zeitaufwendig, jedem einzeln dieRechte zu geben Außerdem sind Anderungen im Rechtesystem sehraufwendig
Losungsansatz
Benutzergruppen entwickeln, die zu den Funktionen imUnternehmen korrelieren
Der Benutzergruppe genau die Rechte geben, die zurAusubung der Funktionen benotigt werden
Benutzer den Benutzergruppen zuordnen
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Role-Based Access Control 26/ 39
Role-Based Access Control
Vorraussetzungen
Der Administrator mochte den Benutzern genau die Rechte geben,die sie benotigen
Problem
Bei vielen Benutzern ist es sehr zeitaufwendig, jedem einzeln dieRechte zu geben Außerdem sind Anderungen im Rechtesystem sehraufwendig
Losungsansatz
Benutzergruppen entwickeln, die zu den Funktionen imUnternehmen korrelieren
Der Benutzergruppe genau die Rechte geben, die zurAusubung der Funktionen benotigt werden
Benutzer den Benutzergruppen zuordnen
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Role-Based Access Control 26/ 39
Role-Based Access Control
Vorraussetzungen
Der Administrator mochte den Benutzern genau die Rechte geben,die sie benotigen
Problem
Bei vielen Benutzern ist es sehr zeitaufwendig, jedem einzeln dieRechte zu geben Außerdem sind Anderungen im Rechtesystem sehraufwendig
Losungsansatz
Benutzergruppen entwickeln, die zu den Funktionen imUnternehmen korrelieren
Der Benutzergruppe genau die Rechte geben, die zurAusubung der Funktionen benotigt werden
Benutzer den Benutzergruppen zuordnen
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Role-Based Access Control 26/ 39
Role-Based Access Control
Vorraussetzungen
Der Administrator mochte den Benutzern genau die Rechte geben,die sie benotigen
Problem
Bei vielen Benutzern ist es sehr zeitaufwendig, jedem einzeln dieRechte zu geben Außerdem sind Anderungen im Rechtesystem sehraufwendig
Losungsansatz
Benutzergruppen entwickeln, die zu den Funktionen imUnternehmen korrelieren
Der Benutzergruppe genau die Rechte geben, die zurAusubung der Funktionen benotigt werden
Benutzer den Benutzergruppen zuordnen
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Role-Based Access Control 26/ 39
Role-Based Access Control
Vorraussetzungen
Der Administrator mochte den Benutzern genau die Rechte geben,die sie benotigen
Problem
Bei vielen Benutzern ist es sehr zeitaufwendig, jedem einzeln dieRechte zu geben Außerdem sind Anderungen im Rechtesystem sehraufwendig
Losungsansatz
Benutzergruppen entwickeln, die zu den Funktionen imUnternehmen korrelieren
Der Benutzergruppe genau die Rechte geben, die zurAusubung der Funktionen benotigt werden
Benutzer den Benutzergruppen zuordnen
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Role-Based Access Control 27/ 39
Role-Based Access Control
Anwendung auf das Running Example
Buroangestellte mussen in der Lage sein, Dateien ins Systemzu laden
Benutzergruppe ’Buroangestellter’ anlegen
Der Benutzergruppe die Rechte geben, Dateien ins System zuladen
Alle Buroangestellten Mitglied dieser Gruppe machen
Neue Buroangestellte konnen ganz einfach hinzugefugt werden
Wenn Buroangestellte nun auch Dokumente loschen konnensollen, kann man das zentral und schnell andern
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Role-Based Access Control 27/ 39
Role-Based Access Control
Anwendung auf das Running Example
Buroangestellte mussen in der Lage sein, Dateien ins Systemzu laden
Benutzergruppe ’Buroangestellter’ anlegen
Der Benutzergruppe die Rechte geben, Dateien ins System zuladen
Alle Buroangestellten Mitglied dieser Gruppe machen
Neue Buroangestellte konnen ganz einfach hinzugefugt werden
Wenn Buroangestellte nun auch Dokumente loschen konnensollen, kann man das zentral und schnell andern
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Role-Based Access Control 27/ 39
Role-Based Access Control
Anwendung auf das Running Example
Buroangestellte mussen in der Lage sein, Dateien ins Systemzu laden
Benutzergruppe ’Buroangestellter’ anlegen
Der Benutzergruppe die Rechte geben, Dateien ins System zuladen
Alle Buroangestellten Mitglied dieser Gruppe machen
Neue Buroangestellte konnen ganz einfach hinzugefugt werden
Wenn Buroangestellte nun auch Dokumente loschen konnensollen, kann man das zentral und schnell andern
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Role-Based Access Control 27/ 39
Role-Based Access Control
Anwendung auf das Running Example
Buroangestellte mussen in der Lage sein, Dateien ins Systemzu laden
Benutzergruppe ’Buroangestellter’ anlegen
Der Benutzergruppe die Rechte geben, Dateien ins System zuladen
Alle Buroangestellten Mitglied dieser Gruppe machen
Neue Buroangestellte konnen ganz einfach hinzugefugt werden
Wenn Buroangestellte nun auch Dokumente loschen konnensollen, kann man das zentral und schnell andern
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Role-Based Access Control 27/ 39
Role-Based Access Control
Anwendung auf das Running Example
Buroangestellte mussen in der Lage sein, Dateien ins Systemzu laden
Benutzergruppe ’Buroangestellter’ anlegen
Der Benutzergruppe die Rechte geben, Dateien ins System zuladen
Alle Buroangestellten Mitglied dieser Gruppe machen
Neue Buroangestellte konnen ganz einfach hinzugefugt werden
Wenn Buroangestellte nun auch Dokumente loschen konnensollen, kann man das zentral und schnell andern
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Role-Based Access Control 27/ 39
Role-Based Access Control
Anwendung auf das Running Example
Buroangestellte mussen in der Lage sein, Dateien ins Systemzu laden
Benutzergruppe ’Buroangestellter’ anlegen
Der Benutzergruppe die Rechte geben, Dateien ins System zuladen
Alle Buroangestellten Mitglied dieser Gruppe machen
Neue Buroangestellte konnen ganz einfach hinzugefugt werden
Wenn Buroangestellte nun auch Dokumente loschen konnensollen, kann man das zentral und schnell andern
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Cloud Policy Management Point 28/ 39
Cloud Policy Management Point
Vorraussetzungen
Der Administrator muss sicherheitsrelevante Einstellungen imSystem machen und Rechte vergeben
Problem
Der Administrator soll nicht zu tiefe Betriebssystemrechtebekommen und sich nicht mit dessen Interna auseinander setzenmussen
Losungsansatz
Administrator-Dashboard anbieten, in dem man dieEinstellungen vornehmen kann
Dem Administrator nur das Recht geben, auf dasAdministrator-Dashboard zuzugreifen
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Cloud Policy Management Point 28/ 39
Cloud Policy Management Point
Vorraussetzungen
Der Administrator muss sicherheitsrelevante Einstellungen imSystem machen und Rechte vergeben
Problem
Der Administrator soll nicht zu tiefe Betriebssystemrechtebekommen und sich nicht mit dessen Interna auseinander setzenmussen
Losungsansatz
Administrator-Dashboard anbieten, in dem man dieEinstellungen vornehmen kann
Dem Administrator nur das Recht geben, auf dasAdministrator-Dashboard zuzugreifen
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Cloud Policy Management Point 28/ 39
Cloud Policy Management Point
Vorraussetzungen
Der Administrator muss sicherheitsrelevante Einstellungen imSystem machen und Rechte vergeben
Problem
Der Administrator soll nicht zu tiefe Betriebssystemrechtebekommen und sich nicht mit dessen Interna auseinander setzenmussen
Losungsansatz
Administrator-Dashboard anbieten, in dem man dieEinstellungen vornehmen kann
Dem Administrator nur das Recht geben, auf dasAdministrator-Dashboard zuzugreifen
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Cloud Policy Management Point 28/ 39
Cloud Policy Management Point
Vorraussetzungen
Der Administrator muss sicherheitsrelevante Einstellungen imSystem machen und Rechte vergeben
Problem
Der Administrator soll nicht zu tiefe Betriebssystemrechtebekommen und sich nicht mit dessen Interna auseinander setzenmussen
Losungsansatz
Administrator-Dashboard anbieten, in dem man dieEinstellungen vornehmen kann
Dem Administrator nur das Recht geben, auf dasAdministrator-Dashboard zuzugreifen
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Cloud Policy Management Point 29/ 39
Role-Based Access Control
Anwendung auf das Running Example
Der Administrator kann im Administrator-Dashboard Rechtevergeben, Gruppen anlegen, etc.
Der Administrator hat keine Rechte auf Betriebssystemebene
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Cloud Policy Management Point 29/ 39
Role-Based Access Control
Anwendung auf das Running Example
Der Administrator kann im Administrator-Dashboard Rechtevergeben, Gruppen anlegen, etc.
Der Administrator hat keine Rechte auf Betriebssystemebene
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Misuse Pattern 30/ 39
Misuse Pattern
Beschreibt einen Angriff auf ein System aus der Sichtweiseeines Angreifers
Beschreibt welche Komponenten fur den Angriff verwendetwerden
Gibt Security Pattern und Countermeasures zur Verteidigungdieses Angriffs
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Misuse Pattern 30/ 39
Misuse Pattern
Beschreibt einen Angriff auf ein System aus der Sichtweiseeines Angreifers
Beschreibt welche Komponenten fur den Angriff verwendetwerden
Gibt Security Pattern und Countermeasures zur Verteidigungdieses Angriffs
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Misuse Pattern 30/ 39
Misuse Pattern
Beschreibt einen Angriff auf ein System aus der Sichtweiseeines Angreifers
Beschreibt welche Komponenten fur den Angriff verwendetwerden
Gibt Security Pattern und Countermeasures zur Verteidigungdieses Angriffs
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Misuse Pattern 31/ 39
Malicious Virtual Machine Creation
Intent
Ein VMI wird benutzt, eine neue VM zu initialisieren
VMIs enthalten Softwarestacks, die in der VM nachInitialisierung vorinstalliert sind
Ein Angreifer kann ein Image mit Schadsoftware erstellen undanbieten
Context
Einige Cloud Anbieter bieten es an, VMIs zu erstellen und in einemoffentlichen Repository zu veroffentlichen.
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Misuse Pattern 31/ 39
Malicious Virtual Machine Creation
Intent
Ein VMI wird benutzt, eine neue VM zu initialisieren
VMIs enthalten Softwarestacks, die in der VM nachInitialisierung vorinstalliert sind
Ein Angreifer kann ein Image mit Schadsoftware erstellen undanbieten
Context
Einige Cloud Anbieter bieten es an, VMIs zu erstellen und in einemoffentlichen Repository zu veroffentlichen.
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Misuse Pattern 31/ 39
Malicious Virtual Machine Creation
Intent
Ein VMI wird benutzt, eine neue VM zu initialisieren
VMIs enthalten Softwarestacks, die in der VM nachInitialisierung vorinstalliert sind
Ein Angreifer kann ein Image mit Schadsoftware erstellen undanbieten
Context
Einige Cloud Anbieter bieten es an, VMIs zu erstellen und in einemoffentlichen Repository zu veroffentlichen.
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Misuse Pattern 31/ 39
Malicious Virtual Machine Creation
Intent
Ein VMI wird benutzt, eine neue VM zu initialisieren
VMIs enthalten Softwarestacks, die in der VM nachInitialisierung vorinstalliert sind
Ein Angreifer kann ein Image mit Schadsoftware erstellen undanbieten
Context
Einige Cloud Anbieter bieten es an, VMIs zu erstellen und in einemoffentlichen Repository zu veroffentlichen.
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Misuse Pattern 32/ 39
Malicious Virtual Machine Creation
Problem
Angreifer muss autorisiert sein, VMIs zu erstellen und mitSoftware zu bestucken
Die infizierten VMIs mussen in einem offentlichen Repositoryangeboten werden konnen
Andere Benutzer mussen das VMI verwenden, um eine VM zuerstellen
Solution
Angreifer erstellt einen anonymen Account
Der Angreifer lad die infizierte VMI in das Repository
Infizierte VMIs konnen durch ansprechende Beschreibungenund gefalschte Bewertungen attraktiv gemacht werden
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Misuse Pattern 32/ 39
Malicious Virtual Machine Creation
Problem
Angreifer muss autorisiert sein, VMIs zu erstellen und mitSoftware zu bestucken
Die infizierten VMIs mussen in einem offentlichen Repositoryangeboten werden konnen
Andere Benutzer mussen das VMI verwenden, um eine VM zuerstellen
Solution
Angreifer erstellt einen anonymen Account
Der Angreifer lad die infizierte VMI in das Repository
Infizierte VMIs konnen durch ansprechende Beschreibungenund gefalschte Bewertungen attraktiv gemacht werden
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Misuse Pattern 32/ 39
Malicious Virtual Machine Creation
Problem
Angreifer muss autorisiert sein, VMIs zu erstellen und mitSoftware zu bestucken
Die infizierten VMIs mussen in einem offentlichen Repositoryangeboten werden konnen
Andere Benutzer mussen das VMI verwenden, um eine VM zuerstellen
Solution
Angreifer erstellt einen anonymen Account
Der Angreifer lad die infizierte VMI in das Repository
Infizierte VMIs konnen durch ansprechende Beschreibungenund gefalschte Bewertungen attraktiv gemacht werden
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Misuse Pattern 32/ 39
Malicious Virtual Machine Creation
Problem
Angreifer muss autorisiert sein, VMIs zu erstellen und mitSoftware zu bestucken
Die infizierten VMIs mussen in einem offentlichen Repositoryangeboten werden konnen
Andere Benutzer mussen das VMI verwenden, um eine VM zuerstellen
Solution
Angreifer erstellt einen anonymen Account
Der Angreifer lad die infizierte VMI in das Repository
Infizierte VMIs konnen durch ansprechende Beschreibungenund gefalschte Bewertungen attraktiv gemacht werden
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Misuse Pattern 32/ 39
Malicious Virtual Machine Creation
Problem
Angreifer muss autorisiert sein, VMIs zu erstellen und mitSoftware zu bestucken
Die infizierten VMIs mussen in einem offentlichen Repositoryangeboten werden konnen
Andere Benutzer mussen das VMI verwenden, um eine VM zuerstellen
Solution
Angreifer erstellt einen anonymen Account
Der Angreifer lad die infizierte VMI in das Repository
Infizierte VMIs konnen durch ansprechende Beschreibungenund gefalschte Bewertungen attraktiv gemacht werden
John Sarrazin: Pattern Based Security AnalysisSecurity Pattern: Beispiele Misuse Pattern 32/ 39
Malicious Virtual Machine Creation
Problem
Angreifer muss autorisiert sein, VMIs zu erstellen und mitSoftware zu bestucken
Die infizierten VMIs mussen in einem offentlichen Repositoryangeboten werden konnen
Andere Benutzer mussen das VMI verwenden, um eine VM zuerstellen
Solution
Angreifer erstellt einen anonymen Account
Der Angreifer lad die infizierte VMI in das Repository
Infizierte VMIs konnen durch ansprechende Beschreibungenund gefalschte Bewertungen attraktiv gemacht werden
John Sarrazin: Pattern Based Security AnalysisWerkzeugunterstutzung Cloud System Analysis Pattern 33/ 39
1 Einleitung
2 Pattern basierte Methode zur Entwicklung sicherer CloudSysteme
3 Security Pattern: Beispiele
4 WerkzeugunterstutzungCloud System Analysis PatternCSAP-ToolClouDAT Framework
5 Fazit und Ausblick
John Sarrazin: Pattern Based Security AnalysisWerkzeugunterstutzung Cloud System Analysis Pattern 33/ 39
Cloud System Analysis Pattern
CSAP werden benutzt, um Cloud Systeme zu analysieren undvisualisieren
Basiert auf UML
Modelliert Zusammenhange zwischen direkten und indirektenStakeholdern und dem System
John Sarrazin: Pattern Based Security AnalysisWerkzeugunterstutzung Cloud System Analysis Pattern 33/ 39
Cloud System Analysis Pattern
CSAP werden benutzt, um Cloud Systeme zu analysieren undvisualisieren
Basiert auf UML
Modelliert Zusammenhange zwischen direkten und indirektenStakeholdern und dem System
John Sarrazin: Pattern Based Security AnalysisWerkzeugunterstutzung Cloud System Analysis Pattern 33/ 39
Cloud System Analysis Pattern
CSAP werden benutzt, um Cloud Systeme zu analysieren undvisualisieren
Basiert auf UML
Modelliert Zusammenhange zwischen direkten und indirektenStakeholdern und dem System
John Sarrazin: Pattern Based Security AnalysisWerkzeugunterstutzung Cloud System Analysis Pattern 34/ 39
Cloud System Analysis Pattern
Abbildung: CSAP Diagramm zu unserem Beispiel
John Sarrazin: Pattern Based Security AnalysisWerkzeugunterstutzung CSAP-Tool 35/ 39
Cloud System Analysis Pattern
Hilft beim Erstellen eines CSAP zu einem Cloud System
Basiert auf Eclipse Modeling Framework (EMF) und IwizartPlugin
Bietet Vorlagen, um Voraussetzungen an das Cloud System zudefinieren und verifizieren
Bietet die Moglichkeit Stakeholders zu definieren
John Sarrazin: Pattern Based Security AnalysisWerkzeugunterstutzung CSAP-Tool 35/ 39
Cloud System Analysis Pattern
Hilft beim Erstellen eines CSAP zu einem Cloud System
Basiert auf Eclipse Modeling Framework (EMF) und IwizartPlugin
Bietet Vorlagen, um Voraussetzungen an das Cloud System zudefinieren und verifizieren
Bietet die Moglichkeit Stakeholders zu definieren
John Sarrazin: Pattern Based Security AnalysisWerkzeugunterstutzung CSAP-Tool 35/ 39
Cloud System Analysis Pattern
Hilft beim Erstellen eines CSAP zu einem Cloud System
Basiert auf Eclipse Modeling Framework (EMF) und IwizartPlugin
Bietet Vorlagen, um Voraussetzungen an das Cloud System zudefinieren und verifizieren
Bietet die Moglichkeit Stakeholders zu definieren
John Sarrazin: Pattern Based Security AnalysisWerkzeugunterstutzung CSAP-Tool 35/ 39
Cloud System Analysis Pattern
Hilft beim Erstellen eines CSAP zu einem Cloud System
Basiert auf Eclipse Modeling Framework (EMF) und IwizartPlugin
Bietet Vorlagen, um Voraussetzungen an das Cloud System zudefinieren und verifizieren
Bietet die Moglichkeit Stakeholders zu definieren
John Sarrazin: Pattern Based Security AnalysisWerkzeugunterstutzung ClouDAT Framework 36/ 39
ClouDAT Framework
Teil des ClouDAT Projektes
Befindet sich in der Entwicklung
Enthalt Katalog fur Security Pattern, Security RequirementPatterns, Threat Pattern, Vulnabilities, Control Patterns etc.
Soll unter Open Lizenz veroffentlicht werden und ist somiterweiterbar
John Sarrazin: Pattern Based Security AnalysisWerkzeugunterstutzung ClouDAT Framework 36/ 39
ClouDAT Framework
Teil des ClouDAT Projektes
Befindet sich in der Entwicklung
Enthalt Katalog fur Security Pattern, Security RequirementPatterns, Threat Pattern, Vulnabilities, Control Patterns etc.
Soll unter Open Lizenz veroffentlicht werden und ist somiterweiterbar
John Sarrazin: Pattern Based Security AnalysisWerkzeugunterstutzung ClouDAT Framework 36/ 39
ClouDAT Framework
Teil des ClouDAT Projektes
Befindet sich in der Entwicklung
Enthalt Katalog fur Security Pattern, Security RequirementPatterns, Threat Pattern, Vulnabilities, Control Patterns etc.
Soll unter Open Lizenz veroffentlicht werden und ist somiterweiterbar
John Sarrazin: Pattern Based Security AnalysisWerkzeugunterstutzung ClouDAT Framework 36/ 39
ClouDAT Framework
Teil des ClouDAT Projektes
Befindet sich in der Entwicklung
Enthalt Katalog fur Security Pattern, Security RequirementPatterns, Threat Pattern, Vulnabilities, Control Patterns etc.
Soll unter Open Lizenz veroffentlicht werden und ist somiterweiterbar
John Sarrazin: Pattern Based Security AnalysisFazit und Ausblick 37/ 39
1 Einleitung
2 Pattern basierte Methode zur Entwicklung sicherer CloudSysteme
3 Security Pattern: Beispiele
4 Werkzeugunterstutzung
5 Fazit und Ausblick
John Sarrazin: Pattern Based Security AnalysisFazit und Ausblick 37/ 39
Fazit und Ausblick
Zusammenfassung
Security Pattern
Methode zur Entwicklung sicherer Systeme
Beispiele fur Security Pattern
Werkzeugunterstutzung
John Sarrazin: Pattern Based Security AnalysisFazit und Ausblick 37/ 39
Fazit und Ausblick
Zusammenfassung
Security Pattern
Methode zur Entwicklung sicherer Systeme
Beispiele fur Security Pattern
Werkzeugunterstutzung
John Sarrazin: Pattern Based Security AnalysisFazit und Ausblick 37/ 39
Fazit und Ausblick
Zusammenfassung
Security Pattern
Methode zur Entwicklung sicherer Systeme
Beispiele fur Security Pattern
Werkzeugunterstutzung
John Sarrazin: Pattern Based Security AnalysisFazit und Ausblick 37/ 39
Fazit und Ausblick
Zusammenfassung
Security Pattern
Methode zur Entwicklung sicherer Systeme
Beispiele fur Security Pattern
Werkzeugunterstutzung
John Sarrazin: Pattern Based Security AnalysisFazit und Ausblick 38/ 39
Fazit und Ausblick
Ausblick
Werkzeugunterstuzung noch eingeschrankt und in Entwicklung
Bessere Katalogisierung von Security Pattern
Software Entwickler mussen fur Sicherheitsaspekte mehrsensibilisiert werden
John Sarrazin: Pattern Based Security AnalysisFazit und Ausblick 38/ 39
Fazit und Ausblick
Ausblick
Werkzeugunterstuzung noch eingeschrankt und in Entwicklung
Bessere Katalogisierung von Security Pattern
Software Entwickler mussen fur Sicherheitsaspekte mehrsensibilisiert werden
John Sarrazin: Pattern Based Security AnalysisFazit und Ausblick 38/ 39
Fazit und Ausblick
Ausblick
Werkzeugunterstuzung noch eingeschrankt und in Entwicklung
Bessere Katalogisierung von Security Pattern
Software Entwickler mussen fur Sicherheitsaspekte mehrsensibilisiert werden
John Sarrazin: Pattern Based Security AnalysisFazit und Ausblick 39/ 39
Danke fur Ihre Aufmerksamkeit!
Kontakt
John Sarrazin
Fragen?
Wenn sie noch Fragen haben, konnen Sie diese nun stellen odermeine Kontaktdaten verwenden