Sicherheit in der Cloud :)

[Chromanoid]

Hi ihr,
ich denke momentan ab und zu über Sicherheit von Servern, die bei einem Cloudservice gemietet werden, nach. Wenn man davon ausgeht, dass mehrere Server, die miteinander kommunizieren müssen, in der Public-Cloud gemietet wurden, hat man ja (evt. je nach Service) nicht so viele Dinge auf die man sich verlassen kann. Mir schwebt nun vor alle Ports, die nicht für externe Kommunikation benutzt werden, für jede Anfrage außer von den gemieteten Servern zu sperren. Dazu würde man einige Server als Verwaltungsserver kennzeichnen. Diese werden von den anderen Servern in regelmäßigen Abständen abgefragt, ob neue Server dazu gekommen oder bestehende verschwunden sind. Auf Basis dieser Informationen wird dann mittels IP sets die Firewall auf allen Servern gesetzt.
Was haltet ihr davon? gibt es bessere Low Budget Alternativen? Ist das so sicher wie es sich in meinen Ohren anhört? Kennt ihr gute Links zu dem Thema?

Vielen Dank & auf Bald
Chromanoid

[Thoran]

Ich versteh dein Problem momentan noch nicht so richtig. In der Cloud hast du ja nicht das Problem das du HW mietest, sondern eine Dienstleistung auf Basis von Services. Diese wiederum benötigen dann ihrerseits bestimmte HW. Das diese HW vom Infrastrukturanbieter so abgeschottet werden, dass nur die benötigten Dienste nach außen kommunizieren ist ja klar.
Willst du jetzt nur ein Bundle HW mieten um darauf deine eigenen Services aufzusetzen? Das hat meinem Verständnis nach nicht mehr viel mit Cloud zu tun, da es dabei ja gerade um die abstraktion von der HW geht auf der ausgeführt wird, und der Fokus auf den Services liegt(Service-Oriented-Architecture).
Mal nebenbei erwähnt ist der Hypebegriff "Cloud" eh massiv überfrachtet und wird je nach Marketingzweck für verschiedenste Sachen misbraucht.

Thoran

[Chromanoid]

Naja man mietet i.d.R. ja virtualisierte Betriebssysteme. Jedenfalls bei EC2 oder Rackspace. Diese haben i.d.R. eine LAN und eine WAN Schnittstelle. Stell dir nun vor man mietet mehrere Server (z.B. zwei Datenbankserver und vier Applicationserver). Jetzt würde ich in einem eigenen Rechenzentrum die DB-Server nur über die LAN Schnittstelle kommunizieren lassen, damit diese von keinem anderen Computer als meinen eigenen erreichbar sind. Soweit ich das bisher verstanden habe, ist in der "Public Cloud" die LAN Schnittstelle aber eben nicht mehr nur meinen gemieteten Servern vorbehalten sondern eben auch allen anderen Servern, die in der Cloud liegen. Wenn man das nicht möchte, muss man die Server entweder mit einem VPN kommunizieren lassen oder z.B. bei EC2 Security Groups benutzen (so habe ich das jedenfalls verstanden). Da AFAIK sowas wie Security Groups z.B. nicht auf Rackspace zur Verfügung steht, habe ich über eine eigene Lösung nachgedacht. An VPN hatte ich vor deinem Post gar nicht gedacht und nicht nach recherchiert. Ich denke das wäre dann nochmal sicherer als meine iptables/ipsets Lösung. Kann jemand sagen, ob OpenVPN viel mehr Overhead erzeugt?

[Thoran]

Ok, dir geht es um die Sicherheit deines Netzwerktraffics. In der Tat kann ich dazu sagen, dass es Lösungen gibt, die 100%ige Isolation zwischen Services/Anwendungen bieten (dein OS ist ja letzten Endes auch nur eine Anwendung im SOA-Sinn). Ich habe die letzten 3 Jahre in einem EU-Projekt gearbeitet, das genau die Punkte die dich interessieren auf der Infrastrukturseite angepackt hat. Im wesentlichen durch HW und Netzwerk-Virtualisierung. Wenn es dir um konkrete Anwendung auf einem mietbaren Cloud-Angebot geht, dann wird wohl ein vernünftig abgesichertes VPN, ne gute Lösung sein.

Grad gesehen und könnte für dich ja interessant sein: http://www.heise.de/newsticker/meldung/ ... 27050.html

Edit: Was dabei auch interessant ist neben Sichherheit, ist die Rechtslage in der Cloud. Man weiß ja nie wo seine Daten grad liegen, Italien, Deutschland, Cayman-Inseln ;-)
Je nachdem gilt evt. ne andere Rechtslage.

Thoran

[Chromanoid]

Edit: Was dabei auch interessant ist neben Sichherheit, ist die Rechtslage in der Cloud. Man weiß ja nie wo seine Daten grad liegen, Italien, Deutschland, Cayman-Inseln ;-)
Je nachdem gilt evt. ne andere Rechtslage.

Naja je nach Art könnte man diese Daten ja auf einen "festen" Server in Deutschland auslagern. Da es in meinem Interessenbereich eigentlich nur um Spiele geht, würden das dann wohl Email-Adressen und Passwörter bzw. OpenIDs o.Ä. sein.
Vielen Dank übrigens für die Hinweise. Was hälst du von der ipsets Lösung?