1. Auswirkungen auf
1.1. Kunden
1.2. Application Provider
1.2.1. Entwicklungszyklus
1.2.1.1. Secure Development Lifecycle
1.2.1.2. Entwickler schulen, nicht nur Clean Code ;-)
1.3. Cloud Provider
1.3.1. Operation Complicance
1.3.1.1. SAS 70 Type 1 und 2
1.3.1.2. ISO/IEC 27001:2005
1.3.1.3. Audits
1.3.2. Security Service Levels
2. Sicherheitsbedenkungen
2.1. Wo liegen meine Daten
2.1.1. Azure
2.1.1.1. Asien
2.1.1.2. Europa
2.1.1.3. Nordamerika
2.1.2. Replizierung der Daten
2.1.3. zum Teil auswählbar
2.2. Ist die Cloud sicher
2.2.1. Zertifizierungen
2.2.2. FISMA
2.2.2.1. Anforderungen für US Behörden
2.2.3. SDL
2.2.3.1. Microsoft macht es und der Application Provider?
2.2.4. Datenredundanz
2.3. Absicherung der Anwendung
2.3.1. Virtuelle Maschinen
2.3.1.1. Hypervisor und Sandboxing
2.3.2. Rollen
2.3.3. Firewall
2.3.4. Gehärtete Windows Installationen
2.3.5. http, https
2.3.5.1. Einfallstor unsicherer Anwendungen
2.4. Wer kann meine Daten sehen
2.4.1. Industriespionage?
2.4.1.1. Überwachungsstaaten
2.4.1.2. Bundestrojaner
2.4.1.2.1. Ausnutzen von Lücken
2.4.2. Datenzugriff
2.4.3. Storage Access Key ermöglicht Zugriff
2.4.3.1. symetrisch
2.4.3.2. Zyklus Schlüsselwechsel?
2.4.4. Verschlüsselung der Daten
2.4.4.1. bei der Übertragung ja
2.4.4.2. beim Datenspeichern nein
2.4.4.3. Keine DPAPI
2.4.5. Datenverschlüsselung dezentral machen
2.5. Was passiert im Fehlerfall
2.5.1. Verfügbarkeit
2.5.1.1. Fault Domains
2.6. Active Directory mit der Clound
2.6.1. Active Directory Indentitäten Federation (ADFS)
2.6.1.1. WIF
2.6.1.2. SAML 2.0
2.6.1.3. WS
2.6.2. Single Sign-on
3. Sicherheitsgedanken
3.1. Datenschutz
3.2. Datensicherheit
3.2.1. Authentifizierung
3.2.2. Autorisierung
3.2.3. Kommunikation
3.2.4. Kommunikation
3.2.5. Konfigurations-Management
3.2.6. Kryptographie
3.2.7. Exception Management
3.2.8. Sensitive Daten
3.2.9. Auditing und Logging
3.2.10. Session Management
3.2.11. Validierung
4. Sicherheitsrisiken
4.1. Asymetrie anerkennen
4.1.1. Angreifer ist immer im Vorteil
4.2. Entwickler
4.2.1. entgegen wirken mit
4.2.1.1. Bedrohungsanalyse
4.2.1.1.1. STRIDE
4.2.1.2. OWASP Top 10 verinnerlichen
4.2.1.3. AntiXSS-Library
4.2.1.4. SDL
4.2.1.4.1. Prozess
4.3. Sicherheitsframework nutzen
4.3.1. CIA
4.3.1.1. Datenzentriert
4.3.2. AAA
4.3.2.1. granulare Prinzipien und Patterns
4.3.2.2. Authentifizierung
4.3.2.2.1. WIF
4.3.2.3. Autorisierung
4.3.2.3.1. Access Control Services
4.3.2.4. Auditieren
4.3.2.4.1. Azure Monitoring
4.3.2.4.2. Diagnose API's
4.3.2.5. ähnlicher modularer Aufbau wie die Grundschutzkataloge vom BSI
4.4. Auswirkungen Azure
4.4.1. Claims
4.4.1.1. WIF
4.4.2. VM Modell & Trust
4.4.3. Azure Storage & SQL Azure
4.4.4. Deployment/Verteilung
5. Anwendungsdesign
5.1. Architekten
5.1.1. solide Anforderungen
5.1.2. Big Picture
5.2. Entwickler
5.2.1. Secure Coding
5.3. Tester
5.4. berücksichtigt
5.5. Cloud Design Pattern
5.5.1. Trennung von Authentizierungs- und Autorisierungslogik von der Anwendungslogik
5.5.2. Claims based statt Rollen
5.5.3. Beschränkungen Windows Azure Trust Policy
5.5.4. Speicheroptionen bedenken
5.5.5. Kommunikationsänderungen beachten
5.5.6. Kryptographie
5.5.6.1. AES
5.5.6.2. SHA ab 256
5.5.6.3. x509
5.5.6.4. Herausforderung
5.5.6.4.1. Schlüsselablage