{"id":1027,"date":"2020-05-02T22:52:11","date_gmt":"2020-05-02T21:52:11","guid":{"rendered":"http:\/\/www.klaushaller.net\/?page_id=1027"},"modified":"2020-05-03T08:14:47","modified_gmt":"2020-05-03T07:14:47","slug":"computer-security-and-system-management-meine-erfahrung-mit-dem-coursera-kurs-der-university-of-colorado","status":"publish","type":"page","link":"https:\/\/www.klaushaller.net\/?page_id=1027","title":{"rendered":"Computer Security and System Management: Meine Erfahrung mit dem Coursera-Kurs der University of Colorado"},"content":{"rendered":"\n

Klaus Haller, 3.5.2020<\/em><\/p>\n\n\n\n

Im April 2020 habe ich die Spezialisierung \u00abComputer Security and System Management<\/strong>\u00bb bei Coursera abschliessen k\u00f6nnen, gehalten von Greg Williams von der University of Colorado in Colorado Springs. Sie umfasst vier Kurse:<\/p>\n\n\n\n

\"\"<\/figure><\/div>\n\n\n\n
  • Enterprise System Management and Security<\/li>
  • Windows Server Management and Security<\/li>
  • Linux Server Management and Security<\/li>
  • Planning, Auditing, and Maintaining Enterprise Systems<\/li><\/ul>\n\n\n\n

    Wer mich besser kennt, wundert sich, warum ich mich f\u00fcr solche grundlegenden Kurse interessiere. Ich habe ja Zertifikate f\u00fcr CISSP, ISO 27001 Lead Implementor Zertifikate, und auch noch den AWS Solutions Architect Associate. Dazu kommen einige Jahre Leitungserfahrung in Projekten mit IAM-Bezug, AI4Ops, Data Loss Prevention und Compliance. Doch der Grund ist einfach: Ich habe nie als Administrator gearbeitet und m\u00f6chte gerade bei diesen Themen f\u00fcr Unterhaltungen mehr Hintergrundwissen haben. Doch nun zu dem, was ich gelernt habe. Wir beginnen mit dem ersten Kurs, Enterprise System Management und Security.<\/p>\n\n\n\n

    Enterprise System Management and Security<\/strong><\/h2>\n\n\n\n
    \"\"
    Quelle: Pixabay<\/figcaption><\/figure><\/div>\n\n\n\n

    Home-\/Consumer-Computing und Enterprise-Computing haben andere Charakteristiken, die sich auf den Umgang mit IT-Sicherheit auswirken. Beim Home-Computing<\/strong> geht es um Bequemlichkeit. Ich kaufe etwas, damit das Leben einfacher und angenehmer wird. Der initiale Einkaufpreis ist wichtig, der Service anschliessend weniger. Die Ger\u00e4te werden gekauft, installiert und laufen dann f\u00fcr Jahre. Sie werden nicht mehr angefasst oder gewartet. Von daher ist es verst\u00e4ndlich, warum Microsoft oder Apple auf Laptops quasi automatisch Betriebssystemupgrades einspielen \u2013 und dass so viele Menschen alte Android-Versionen auf ihrem Handy haben.<\/p>\n\n\n\n

    Im Business-Umfeld und beim Enterprise-Computing<\/strong> geht es nicht um Bequemlichkeit, sondern um Notwendigkeit. Ohne Informatik funktionieren Firmen nicht. Sicherheit, Kosten (nicht nur der initiale Kaufpreis), Zuverl\u00e4ssigkeit, Skalierbarkeit etc. spielen eine grosse Rolle. Dies hat Auswirkungen auf die Beschaffung von IT-Ger\u00e4ten. Auf einmal ist zum Beispiel der \u00abMean time to failure\u00bb zentral f\u00fcr Kaufentscheidungen. Diese Denkweise erkl\u00e4rt auch, warum Wifi im Enterprise-Bereich nicht immer so weit verbreitet ist wie im Home-Computing \u2013 denn ein unterbrechungsfreier 7\/24-Betrieb mit hohen Bandbreiten und vielen Benutzern kann eine Herausforderung zu sein, so der Dozent.<\/p>\n\n\n\n

    Besonders spannend fand ich das Thema Server-Virtualisierung<\/strong>. Oft werden die Kostenvorteile bentont und dass so Server viel schneller bereitgestellt werden. Doch Server-Virtualisierung bietet auch ein Plus an Sicherheit. Applikationen, die auf einer Virtual Machine laufen, sind viel besser isoliert, als wenn zwei Applikationen auf dem gleichen Server laufen.<\/p>\n\n\n\n

    Damit war der Schwenk zum Thema Security gemacht. Nat\u00fcrlich wurde die CIA-Triade behandelt. Was mir noch st\u00e4rker in Erinnerung blieb, waren zwei Prinzipien f\u00fcr IT-Sicherheit<\/strong>:<\/p>\n\n\n\n

    1. Es gibt keine (dauerhaft) sichere Systeme, sondern nur gegen bestimmte Risiken zu einem bestimmten Zeitpunkt gesch\u00fctzte.<\/li>
    2. Defense in Depth ist zentral, also die Kombination verschiedener IT-Security-Prinzipien, so dass nicht alles zusammenbricht, wenn eine Komponente nicht wie gew\u00fcnscht funktioniert.<\/li><\/ol>\n\n\n\n

      Hinsichtlich des Designs von Netzwerken<\/strong> gibt es drei Ziele. Liest man sie, so wirken sie vielleicht trivial. Doch ausformuliert verdeutlichen sie wichtige Konzepte:<\/p>\n\n\n\n

      1. Keep Outsiders Out: externe Personen oder Angreifer bekommen keinen Zugang zum Netzwerk<\/li>
      2. Keep Insiders In: Mitarbeiter, die im Netzwerk arbeiten, muss man vor sich selbst sch\u00fctzen. Dabei kann es um technische Ziele gehen, wie zum Beispiel Virenschutz oder auch um Compliance-Vorschriften, wie zum Beispiel HIPPA.<\/li>
      3. Keep Insiders Out: Mitarbeitende, die legitim im Netzwerk sind und dort arbeiten, bekommen trotzdem nicht Zugriff auf alle (!) Daten beziehungsweise nur auf Daten, die sie ben\u00f6tigen (\u00abneed to know\u00bb).<\/li><\/ol>\n\n\n\n

        Windows Server Management and Security<\/strong><\/h2>\n\n\n\n
        \"\"
        Quelle: Microsoft Pressebilder Windows<\/figcaption><\/figure><\/div>\n\n\n\n

        Einstiegsfrage war, wie einige Microsoft-Produkte einzuordnen sind. Dabei ist die Aussage, dass Windows ein vollwertiges Serverbetriebssystem ist und die Microsoftprodukte f\u00fcr das User Management (Active Directory) und f\u00fcr Authentisierung (ADFS, Kerberos) einen Mehrwert gegen\u00fcber anderen Produkten bieten.<\/p>\n\n\n\n

        Nach Meinung des Dozenten zeichnet sich Windows als Betriebssystem aus Security<\/strong>-Sicht dadurch aus, dass es:<\/p>\n\n\n\n

        • leicht zu managen ist<\/li>
        • eine Antivirus-L\u00f6sung integriert hat<\/li>
        • diverse (weitere) Security-Features und Verschl\u00fcsselung beinhaltet.<\/li><\/ul>\n\n\n\n

          Beispiele daf\u00fcr sind Windows Defender, Anti-Malware-L\u00f6sung, um Files und Prozesse zu scannen, sowohl f\u00fcr den User als auch f\u00fcr den Administrator. Weitere Beispiele sind eine Firewall oder Secure Boot. Diese Sicherheitsmechanismen sind f\u00fcr User (nahezu) transparent und k\u00f6nnenleicht eingerichtet werden.<\/p>\n\n\n\n

          Daneben gibt es zweite Gruppe von L\u00f6sungen und Features, gerade im Zusammenhang mit Virtualisierung wie zum Beispiel Virtual Based Security, Device Guard, Credential Guard, Data Execution Prevention. Sie bieten weitergehenden Schutz, sind aber komplexer zu konfigurieren und nicht immer nahezu transparent f\u00fcr die Anwender. Gerade das Wissen von diesen zwei verschiedenen Arten von Security-L\u00f6sungen bei Microsoft Windows fand ich sehr interessant.<\/p>\n\n\n\n

          Drei weitere Punkte sind mir weiterhin in Erinnerung geblieben:<\/p>\n\n\n\n

          • Das Kerberos-Protokoll, mit dem ich in einem Projekt bereits zu tun hatte (als Projektleiter, weniger aus technischer Sicht) als eine L\u00f6sung, die eine Authentisierung stark dezentralisiert, um ein Bottleneck zu vermeiden.<\/li>
          • Die M\u00f6glichkeit, die Applikationen o.\u00e4. auf einem Windows-Server zu reduzieren und damit das Exposure gegen\u00fcber Angriffen. Das hatte ich vorher vor allem mit Linux in Verbindung gebracht.<\/li>
          • Die zwei M\u00f6glichkeiten zur Datensicherung \u00abauf Platte\u00bb. Da ist zun\u00e4chst die Windows-integrierte L\u00f6sung Filebased Encryption EFS (mit der M\u00f6glichkeit auf Filezugriff durch verschiedene Mitarbeiter) und, als Alternative, Bitlocker zum Verschl\u00fcsseln des ganzen Laufwerks, welches aber ein Trusted Platform Module ben\u00f6tigt: Mehr Aufwand und mehr Kosten \u2013 daf\u00fcr ist die Sicherheit h\u00f6her.<\/li><\/ul>\n\n\n\n

            Linux Server Management and Security<\/strong><\/h2>\n\n\n\n

            Greg Wiliams sieht als typische Einsatzgebiete von Linux Industrial Control Systems, Web und File Server, Domain Name Server (DNS) und Big Data-L\u00f6sungen.<\/p>\n\n\n\n

            \"\"
            Quelle: Pixabay<\/figcaption><\/figure><\/div>\n\n\n\n

            Die Charakteristiken von Linux lassen sich am leichtesten im Vergleich zu Windows darstellen. Dabei gef\u00e4llt mir die Formulierung des Dozenten \u00abLinux vergibt nicht.<\/strong>\u00bb wirklich gut. Sie veranschaulicht, dass man ein Linux-System mit wenigen oder gar nur einem Befehl \u2013 zum Beispiel File Deletes oder Packageupgrades – komplett ruinieren kann, ohne Chance, dies mit begrenztem Aufwand wieder zur\u00fcckzunehmen. Da wundert es nicht, dass der Dozent auch darauf hinweist, dass man bei Linux technisch viel st\u00e4rker am Ball bleiben muss als bei anderer Software.<\/p>\n\n\n\n

            Generell ist der Markt bei Linux mit vermutlich \u00fcber 1000 Distributionen<\/strong> nat\u00fcrlich viel uneinheitlicher als man das von Windows her kennt. So wundert es nicht, dass beispielsweise Ubuntu und Red Hat verschiedene Packagemanager einsetzen (APT bei Ubuntu, YUM bei Red Hat). Gemeinsam ist per Definition zwischen verschiedenen Distributionen nur der eigentliche Linux-Kernel.<\/p>\n\n\n\n

            Linux ist ein sicheres Betriebssystem<\/strong> (man denke nur an die vielen Sudo-Befehle, die ein Administrator absetzen wird pro Tag \u2013 ohne sich jemals als Root einloggen zu m\u00fcssen). Gleichzeitig ist das Konzept \u00abUser-Gruppe-Welt\u00bb<\/strong> in der heutigen Welt nat\u00fcrlich nichts mehr ausreichend<\/strong>. Das erkl\u00e4rt einerseits den Erfolg von Microsofts Active Directory. Aber auch innerhalb der Linux-Community gibt es L\u00f6sungen, darunter SELinux \u2013 Security Enhanced Linux, was sich beispielsweise in Android ab Version 4.3 oder in Red Hat Enterprise Linux findet und viel feingranulare L\u00f6sungen beispielsweise f\u00fcr Zugriffsrechte enth\u00e4lt.<\/p>\n\n\n\n

            Planning, Auditing, and Maintaining Enterprise Systems<\/strong><\/h2>\n\n\n\n
            \"\"
            Quelle: Pixabay<\/figcaption><\/figure><\/div>\n\n\n\n

            Im vierten und letzten Kurs meiner Spezialisierung \u00abComputer Security and System Management\u00bb ging es um \u00fcbergreifende Security-Fragen und organisatorische Themen. Einige Themen kannte ich aus den ITIL\/CISSP\/ ISO27001-Umfeldern besser. Was ich spannend fand, das war die Pr\u00e4zisierung intuitiv verst\u00e4ndlicher Begriffe wie \u00abAttack Surface\u00bb, die so operationalisierbar werden.<\/p>\n\n\n\n

            Eine Attack Surface<\/strong> besteht aus vier Komponenten:<\/p>\n\n\n\n

            • Alle Pfade f\u00fcr Daten und Befehle, um in die Applikation zu kommen, egal ob es um http-Header geht oder Cookies, um UIs oder um Files und Datenbanken. Oft geht die Zahl in de Tausende, so dass eine Gruppierung in Login, Business Workflows, APIs etc.) hilft.<\/li>
            • Dem Code, der im Zusammenhang mit dem Schutz solcher Pfade steht, also mit der Autorisierungsfunktionalit\u00e4t, Verbindungen, Logging etc.<\/li>
            • Alle sensiblen Daten. Das k\u00f6nnen Daten mit Bezug zu der Gesch\u00e4ftst\u00e4tigkeit sein wie Business Data oder Intellectual Property oder technische Daten wie Schl\u00fcssel und Geheimnisse\/Passw\u00f6rter.)<\/li>
            • Code, der im Zusammenhang mit dem Schutz sensibler Daten hilft.<\/li><\/ul>\n\n\n\n

              Die Attack Surface ist bei den meisten Applikationen zu gross, um vollst\u00e4ndig analysiert zu werden. Daher ist das Ziel einer entsprechenden Analyse<\/strong>, eine \u00dcbersicht \u00fcber das System zu bekommen und High-Risk-Bereiche im Code zu identifizieren. Diese werden dann besonders gesch\u00fctzt (Defense in Depth). Generell k\u00f6nnen Tools wie OWAS ZAP f\u00fcr den Scan von Applikationen den Analyseaufwand stark reduzieren.<\/p>\n\n\n\n

              Denkt man nun \u00fcber den Lebenszyklus einer Applikation mit vielen Releases, bringen Metriken<\/strong> wie der Relative Attack Surface Quotient einen Mehrwert. Ein Entwickler, Architekt oder IT Risk Manager kann eine neue Version einer Applikation hinsichtlich Sicherheit mit der vorherigen vergleichen. Jeder sieht sofort, ob man sich verbessert oder verschlechtert.<\/p>\n\n\n\n

              Zwei weitere Themen, die mir noch besonders gefallen haben, waren das Verh\u00e4ltnis von IT Security und Anwendern und Policies. Bei Policies<\/strong> unterscheidet der Dozent zwei Arten:<\/p>\n\n\n\n

              • Organisatorische Policies<\/strong> definieren, warum wir etwas machen und sind die Grundlage f\u00fcr detaillierte technische Policies. Beispiele f\u00fcr organisatorische Policies sind eine Acceptable Use Policy oder eine E-Mail Policy. Sie legen beispielsweise fest, zu welchen Zwecken gewisse IT-Services eines Unternehmens gen\u00fctzt werden d\u00fcrfen.<\/li>
              • Technische Policies<\/strong> sind \u00fcblicherweise deutlich ausf\u00fchrlicher und l\u00e4nger. Sie definiert Zust\u00e4ndigkeiten und Verantwortlichkeiten von Mitarbeitern, Usern oder Lieferanten. Beispiele sind Anti-Malware-Policies oder Password-Policies. Auch wenn sie technische Policies heissen, sollte man auf das Benennen konkreter Technologien verzichten, da sich diese zu schnell \u00e4ndern k\u00f6nnen. Das ist eher etwas f\u00fcr Standardprozeduren oder Best Practices.<\/li><\/ul>\n\n\n\n

                Zum Verh\u00e4ltnis von IT Security und Anwendern<\/strong> war ein Satz des Dozenten zentral f\u00fcr mich: IT Security darf nicht zu einer Last f\u00fcr den Anwender werden. Wenn man zu viel verbietet, suchen Anwender eine Umgehungsl\u00f6sung und man hat nichts gewonnen. IT-Sicherheit erreicht man nur durch partnerschaftliches Verhalten zwischen Anwendern und IT-Abteilung.<\/p>\n\n\n\n

                Mein Fazit<\/strong><\/h2>\n\n\n\n
                \"\"
                Quelle: Pixabay<\/figcaption><\/figure><\/div>\n\n\n\n

                Hat sich also die Spezialisierung f\u00fcr mich gelohnt? Das kann ich klar bejahen. Ich habe mit der Sicherheit einzelner Server und Computer noch nicht in der Tiefe zu tun gehabt \u2013 dieses Wissen konnte ich jetzt aufbauen. Gleichzeitig habe ich bei den rund acht Tagen Online-Learning in die Gedankenwelten und Prinzipien des Dozenten st\u00e4rker eintauchen k\u00f6nnen, als das Kurzvortr\u00e4ge erm\u00f6glichen \u2013 und gerade die Begriffskl\u00e4rung von scheinbar selbstverst\u00e4ndlichen Begriffen tragen oft zu einem vertieften Verst\u00e4ndnis der Materie bei. <\/p>\n\n\n\n

                Die spannendste Frage ist aber noch offen: Wie, wann und wo werde ich dieses Wissen in praktischen IT-Security-Projekten in naher Zukunft einsetzen? ?<\/p>\n","protected":false},"excerpt":{"rendered":"

                Klaus Haller, 3.5.2020 Im April 2020 habe ich die Spezialisierung \u00abComputer Security and System Management\u00bb bei Coursera abschliessen k\u00f6nnen, gehalten von Greg Williams von der University of Colorado in Colorado Springs. Sie umfasst vier Kurse: Enterprise System Management and Security Windows Server Management and Security Linux Server Management and Security Planning, Auditing, and Maintaining Enterprise […]<\/p>\n","protected":false},"author":1,"featured_media":0,"parent":298,"menu_order":3,"comment_status":"closed","ping_status":"closed","template":"","meta":{"footnotes":""},"class_list":["post-1027","page","type-page","status-publish","hentry"],"_links":{"self":[{"href":"https:\/\/www.klaushaller.net\/index.php?rest_route=\/wp\/v2\/pages\/1027","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.klaushaller.net\/index.php?rest_route=\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/www.klaushaller.net\/index.php?rest_route=\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/www.klaushaller.net\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.klaushaller.net\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1027"}],"version-history":[{"count":8,"href":"https:\/\/www.klaushaller.net\/index.php?rest_route=\/wp\/v2\/pages\/1027\/revisions"}],"predecessor-version":[{"id":1044,"href":"https:\/\/www.klaushaller.net\/index.php?rest_route=\/wp\/v2\/pages\/1027\/revisions\/1044"}],"up":[{"embeddable":true,"href":"https:\/\/www.klaushaller.net\/index.php?rest_route=\/wp\/v2\/pages\/298"}],"wp:attachment":[{"href":"https:\/\/www.klaushaller.net\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1027"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}