Upload
hoangdiep
View
220
Download
0
Embed Size (px)
Citation preview
Copyright © 2011-2016 CSA Italy www.cloudsecurityalliance.it
Cloud Security Governance Gli strumenti di gestione e certificazione della
sicurezza
informatica nelle soluzioni Cloud
ITWAY CAMPUS 2016 7 Aprile 2016
Copyright © 2011-2016 CSA Italy www.cloudsecurityalliance.it
Agenda
Chi è CSA
Introduzione ed Architetture Cloud
Cloud Security Governance
Certificazioni Sicurezza Cloud per Aziende e
Professionisti
Copyright © 2011-2016 CSA Italy www.cloudsecurityalliance.it
Alberto Manfredi
Cofondatore e Presidente CSA Italy
Dottore in Scienze dell’Informazione e Dottore Magistrale in Informatica con pieni voti assoluti e
lode, lavora da +20 anni nel mercato ICT e Cyber Security
Attualmente lavora in Finmeccanica come Business Development Manager nel Settore
Elettronica, Sistemi di Difesa e Sicurezza.
Detiene le certificazioni professionali CISA, CRISC, CISSP, GCFA, CCSK, Lead Auditor 27001,
Certified CSA STAR Auditor.
Componente del Comitato dei Saggi ANORC, del Comitato Scientifico Istituto Italiano per la
Privacy, della Rete di Imprese Cloud4Defence e delle Riviste “Information Security” e “Document
Management Systems” (Edisef), Antifurto&Security” (EPC Periodici), ICT Security (Tecna
Editrice).
Cofondatore e Managing Director dell’associazione Club R2GS Europe nata per favorire lo
scambio di esperienze e conoscenza nel campo Security Information and Event Management
(SIEM) e Security Operation Centres (SOC).
https://it.linkedin.com/in/albertomanfredi
Copyright © 2011-2016 CSA Italy www.cloudsecurityalliance.it
Cloud Security Alliance
Associazione internazionale no-profit
Coordina una comunità di +60,000 professionisti, +200 soci aziendali e
+60 capitoli nazionali, 3 presenze regionali (USA-EMEA-APAC)
Missione: produrre buone pratiche, raccomandazioni e certificazioni sullo
sviluppo, gestione ed utilizzo in sicurezza di infrastrutture e servizi cloud
computing
Associazione italiana no-profit
Coordina una comunità di +660 professionisti, 14 affiliazioni
collaborazioni (Clusit, Assintel, DFA, Afcea Roma, ISC2 Italy, Owasp Italy,
AIIC, Anorc, Istituto Italiano Privacy, ItSMF Italia, GUFPI-ISMA, Club R2GS
Europe, Oracle Community for Security, ISCOM-CERT Nazionale), 14 Sponsor (Trend Micro, Allied Telesis, General Computer, ITWAY, CA, ACTIA
Italia, Gemalto-SafeNet, Poste Italiane, Axway, BSI Italia, Fata Informatica,
Oracle, NIS, Cloud 4 Defence)
Missione: promuovere certificazioni, studi, formazione (tecnica, legale,
organizzativa) sulla sicurezza del cloud computing nel mercato italiano
Copyright © 2011-2016 CSA Italy www.cloudsecurityalliance.it
CSA Italy - Studi 2011-2015 1. Traduzione 2011 della guida "Cloud Security Guidance Ver. 2.1"
2. Studio 2012 "Portabilità Interoperabilità Sicurezza Applicativa"
3. Studio 2012 "Standard Contrattuali per il Cloud Computing"
4. Traduzione in italiano 2012 del documento ENISA "Cloud Computing Benefits
Risks and Recommandations for Information Security"
5. Traduzione in Inglese 2013 del Rapporto Clusit "ICT Security in Italy 2013"
6. Studio 2013 "Data Breach: panoramica degli aspettinormativi ed ottica Cloud"
7. Studio 2013 "BYOD: a next step forward for the IT revolution started with Cloud"
8. Studio 2013 “SSDLC e SDLC in ambito Cloud”
9. 2012 Risposta consultazione pubblica di cui alle “Linee guida in materia di
attuazione della disciplina sulla comunicazione delle violazioni di dati personali
– Consultazione pubblica – 26 luglio (G.U. n. 183 7 agosto 2012) - non pubblicata
10. 2014 Risposta consultazione pubblica “Schema di provvedimento generale in
materia di trattamento di dati personali nell’ambito dei servizi di mobile remote
payment–12 dicembre 2013” (G.U. n. 2 del 3 gennaio 2014)
11. Studio 2014 Responsabilità degli enti per i delitti informatici e trattamento
illecito di dati in contesto Cloud Services
12. Studio 2015 Servizi di pagamento via internet: il contest normativo italiano per
gli aspetti di sicurezza dei dati ed ipotesi di mapping rispetto ai controlli CSA
CCM
13. Studio 2015 - Contributo allo Studio “Privacy Level Agreement [V2]: A
Compliance Tool for Providing Cloud Services in the European Union” di CSA
14. 2016 Risposta alla consultazione pubblica relativa allo “Schema di
provvedimento generale in materia di trattamento di dati personali nell'ambito
dei servizi di mobile ticketing - 10 settembre 2015”
Copyright © 2011-2016 CSA Italy www.cloudsecurityalliance.it
CSA Italy - Ricerca 2016 Area di Ricerca Club R2GS
Corso “Measuring the effectiveness of organization's security controls: an
innovative and standardized approach by ETSI ISI” – 17 Maggio
Area di Ricerca Portabilità, Interoperabilità e Sicurezza Applicativa
Studio congiunto con UCC Forum “Security, Trust & Assurance in Cloud “Unified
Communication & Collaboration” services”
Area di Ricerca Internet of Things
Traduzione Linea Guida CSA “Security Guidance for Early Adopters on the
Internet of Things”
Area di Ricerca Education
Corsi Cloud Security Governance, Cloud Privacy, Cloud Contratti
Comitato Editoriale - Rubrica “Cloud Security” su rivista ICT Security (Tecna
Editrice)
1 Pubblicazione Gennaio (Manfredi)
2 Pubblicazioni Marzo (Tieghi,Garlati,Manfredi)
1 Pubblicazione Maggio (Vertua)
Copyright © 2011-2016 CSA Italy www.cloudsecurityalliance.it
Il Cloud separa le applicazioni e informazioni dalle infrastrutture e meccanismi di gestione
IT
Nel Cloud ogni risorsa IT, dall’applicazione all’infrastruttura, viene organizzata in categorie
(pool) definite: elaborazione, memorizzazione, reti ed applicazioni
Attraverso la gestione dei pool è possibile erogare, rilasciare ed aumentare le risorse Cloud
Il Cloud consente di utilizzare le risorse IT secondo un modello “a consumo” e su richiesta
Cos’è il Cloud Computing
Copyright © 2011-2016 CSA Italy www.cloudsecurityalliance.it
Ricerca 2016 Area di Ricerca Club R2GS
Corso “Measuring the effectiveness of organization's security controls: an
innovative and standardized approach by ETSI ISI” – 17 Maggio
Area di Ricerca Portabilità, Interoperabilità e Sicurezza Applicativa
Studio congiunto con UCC Forum “Security, Trust & Assurance in Cloud “Unified
Communication & Collaboration” services”
Area di Ricerca Internet of Things
Traduzione Linea Guida CSA “Security Guidance for Early Adopters on the
Internet of Things”
Area di Ricerca Education
Corsi Cloud Security Governance, Cloud Privacy, Cloud Contratti
Comitato Editoriale - Rubrica “Cloud Security” su rivista ICT Security
(Tecna Editrice)
1 Pubblicazione Gennaio (Manfredi)
2 Pubblicazioni Marzo (Tieghi,Garlati,Manfredi)
1 Pubblicazione Maggio (Vertua)
Copyright © 2011-2016 CSA Italy www.cloudsecurityalliance.it
Studi 2011-2015 1. Traduzione 2011 della guida "Cloud Security Guidance Ver. 2.1"
2. Studio 2012 "Portabilità Interoperabilità Sicurezza Applicativa"
3. Studio 2012 "Standard Contrattuali per il Cloud Computing"
4. Traduzione in italiano 2012 del documento ENISA "Cloud Computing Benefits
Risks and Recommandations for Information Security"
5. Traduzione in Inglese 2013 del Rapporto Clusit "ICT Security in Italy 2013"
6. Studio 2013 "Data Breach: panoramica degli aspettinormativi ed ottica Cloud"
7. Studio 2013 "BYOD: a next step forward for the IT revolution started with Cloud"
8. Studio 2013 “SSDLC e SDLC in ambito Cloud”
9. 2012 Risposta consultazione pubblica di cui alle “Linee guida in materia di
attuazione della disciplina sulla comunicazione delle violazioni di dati personali
– Consultazione pubblica – 26 luglio (G.U. n. 183 7 agosto 2012) - non pubblicata
10. 2014 Risposta consultazione pubblica “Schema di provvedimento generale in
materia di trattamento di dati personali nell’ambito dei servizi di mobile remote
payment–12 dicembre 2013” (G.U. n. 2 del 3 gennaio 2014)
11. Studio 2014 Responsabilità degli enti per i delitti informatici e trattamento
illecito di dati in contesto Cloud Services
12. Studio 2015 Servizi di pagamento via internet: il contest normativo italiano per
gli aspetti di sicurezza dei dati ed ipotesi di mapping rispetto ai controlli CSA
CCM
13. Studio 2015 - Contributo allo Studio “Privacy Level Agreement [V2]: A
Compliance Tool for Providing Cloud Services in the European Union” di CSA
14. 2016 Risposta alla consultazione pubblica relativa allo “Schema di
provvedimento generale in materia di trattamento di dati personali nell'ambito
dei servizi di mobile ticketing - 10 settembre 2015”
Copyright © 2011-2016 CSA Italy www.cloudsecurityalliance.it
Non è più necessario investire nell’acquisto di hw e licenze sw ed installare/manutenere
un Datacenter (Public Cloud)
Velocità nell’attivazione di nuovi servizi IT
Accesso a risorse (teoricamente) illimitate
Migliore utilizzo delle risorse (Provider) e costi (Consumer)
Maggiore resilienza dei servizi Cloud (core business del Provider)
Modalità di utilizzo (e costo) “a consumo” (Pay for Use)
I benefici del Cloud Computing
Copyright © 2011-2016 CSA Italy www.cloudsecurityalliance.it
Il Cloud non è sinonimo di Virtualizzazione
La virtualizzazione è la piattaforma principale per realizzare il Cloud
Al contrario il Cloud fornisce anche una piattaforma per la Virtualizzazione (in IaaS)
In IaaS vengono utilizzati degli specifici sofware per orchestare e gestire la
virtualizzazione storage, server e network dell’infrastruttura Cloud
Virtualizzazione Vs Cloud
Copyright © 2011-2016 CSA Italy www.cloudsecurityalliance.it
Ubiquità
Accesso da qualunque dispositivo connesso
Computers (desktops, laptops)
Mobile Devices
Accesso da applicazioni (API, ..)
Caratteristiche Essenziali
Copyright © 2011-2016 CSA Italy www.cloudsecurityalliance.it
Elasticità
Ogni servizio (applicativo, infrastrutturale) può essere erogato rapidamente ed in modalità
elastica , ovvero può essere esteso o ridotto in modalità automatica o su richiesta
Caratteristiche Essenziali
Copyright © 2011-2016 CSA Italy www.cloudsecurityalliance.it
Misurabilità
Utilizzata dal Provider per controllare l’utilizzo delle risorse
Utilizzata dal Cliente per misurare prestazioni/costi per ogni tipo di servizio cloud
Alla base dell’ Utility computing
Caratteristiche Essenziali
Copyright © 2011-2016 CSA Italy www.cloudsecurityalliance.it
Self-Service
Il Cliente (Consumer) può configurare autonomamente il proprio servizio (capacità
computazionale, storage, rete, …) senza una diretta interazione con il fornitore del
servizio (ad es. Il venditore)
Caratteristiche Essenziali
Copyright © 2011-2016 CSA Italy www.cloudsecurityalliance.it
Categorie di Risorse (Pool)
L’organizzazione delle risorse in categorie/pool migliora la loro condizìvisione tra più
clienti (multi-tenancy)
La localizzazione delle risorse non è più sotto il controllo dell’utilizzatore (in particolare in
Public Cloud)
Caratteristiche Essenziali
Copyright © 2011-2016 CSA Italy www.cloudsecurityalliance.it
Multi-Tenancy
Policy-driven
enforcement
Segmentation
Isolation
Governance
Service levels
Chargeback/billing models
Multi Tenancy: la base del Cloud
Copyright © 2011-2016 CSA Italy www.cloudsecurityalliance.it
Modelli di Sevizio Cloud Vs Architettura CSA
Copyright © 2011-2016 CSA Italy www.cloudsecurityalliance.it
Risorse computazionali, storage e reti (datacenter virtuale) messe a disposizione
dell’utilizzatore
L’utilizzatore può installare e controllare i propri componenti software (s.o., firewall,
applicativi, …)
Infrastructure as a Service (IaaS)
Copyright © 2011-2016 CSA Italy www.cloudsecurityalliance.it
Sviluppo e configurazione di applicazioni del cliente sull’infrastruttura cloud del fornitore
Il fornitore cloud mette a disposizione (servizio) linguaggi di programmazione e strumenti di
integrazione
Platform as a Service (PaaS)
Copyright © 2011-2016 CSA Italy www.cloudsecurityalliance.it
Il cliente utilizza un’applicazione messa a disposizione (come servizio) dal fornitore cloud
Il cliente non ha visibilità e controllo (in alcuni casi parziale) dell’infrastruttura hw/sw
asservita all’erogazione del servizio
Software as a Service (SaaS)
Copyright © 2011-2016 CSA Italy www.cloudsecurityalliance.it
Amazon EC2
Salesforce.com
CRM
Microsoft Azure
Database.com
Wordpress.com
DropBox
SaaS
IaaS
PaaS Quale?
IaaS ? PaaS ? SaaS ?
Copyright © 2011-2016 CSA Italy www.cloudsecurityalliance.it
SaaS IaaS PaaS
Responsabilità
Provider Customer
XaaS e impatti sulla sicurezza
Copyright © 2011-2016 CSA Italy www.cloudsecurityalliance.it
Benefici
• Possiamo installare qualunque applicativo.
• Possiamo installare qualunque sofware di sicurezza
Oneri/Problemi
• Installazione ed integrazione delle proprie applicazioni
• Aggiornamenti delle proprie applicazioni
IaaS e impatti sulla sicurezza
Copyright © 2011-2016 CSA Italy www.cloudsecurityalliance.it
Benefici
• Disponibilità di strumenti applicativi preinstallati (compilatori, librerie, …)
• Benefici nell’uso di API per integrare ed implemtare via cloud
Oneri/Problemi
• Aggiornamento dei componenti software
• Vincoli nell’utilizzo delle API del fornitore
PaaS e impatti sulla sicurezza
Copyright © 2011-2016 CSA Italy www.cloudsecurityalliance.it
Benefici
• Le applicazioni fornite sono generalmente più semplici da configurare
• L’espandibilità del servizio è a carico del fornitore
• Aggiornamenti e sicurezza gestiti dal fornitore.
Oneri/Problemi
• Scarsa possibilità di personalizzazioni
• Nessun controllo dei componenti software
• Nessun controllo sulle misure di sicurezza (solo audit)
SaaS e impatti sulla sicurezza
Copyright © 2011-2016 CSA Italy www.cloudsecurityalliance.it
Infrastruttura
gestita da
Infrastruttura
di proprietà
del
Infrastruttura
localizzata
presso
Accessibile
ed utilizzata
da
Pubblico Fornitore/i Fornitore/i
Fornitore/i Qualunque utente
Privato
Comunità
Azienda
Fornitore/i
Azienda
Fornitore/i
In Azienda
Fornitore/i
Solo utenti
azienda o partner
autorizzati
Ibrido Sia Azienda sia
Fornitore/i
Sia Azienda sia
Fornitore/i
Sia Fornitore sia
in Azienda
Utenti aziendali e
terze parti
Oppure
Modelli di erogazione
Copyright © 2011-2016 CSA Italy www.cloudsecurityalliance.it
Pubblico
• Veloce da implementare
• Economicamente conveniente
• Maggiori rischi legati all’uso di risorse condivise
Privato
• Controllo totale dei dati
• Più costoso da implementare
• Per chi ha già un Datacenter
Ibrido
• Possibilità di integrare dei servizi cloud nel sistema informativo preesistente
• Possibilità di valutare costi-benefici di un percorso cloud
Comunità
• Possibilità di condividere costi di infrastruttura /servizio cloud con aziende partner
Modelli di erogazione
Copyright © 2011-2016 CSA Italy www.cloudsecurityalliance.it
Il Cloud estende il concetto di
“perimetro” tradizionale
Cos’è Interno
Cos’è Esterno
… Importa ?
Sicurezza nel Cloud: premesse
Copyright © 2011-2016 CSA Italy www.cloudsecurityalliance.it
Responsabilità Cliente-Fornitore
La responsabilità della sicurezza Cloud e` suddivisa tra il cloud provider e l’utente del servizio
in funzione del modello di servizio adottato
Copyright © 2011-2016 CSA Italy www.cloudsecurityalliance.it
Quali dati nel Cloud
• Quali dati, processi,
applicazioni ?
• Quale Valore/criticità
del dato ?
Disponibilità, integrità accessibilità nel cloud
Modelli di servizio (Iaas,Paas,Saas)
Modelli di erogazione (Private,
Hybrid,Community, Public)
Cosa accadrebbe se ….? Gestisco, sviluppo,
trasferisco?
Cosa tenere dentro
cosa dare fuori ?
Copyright © 2011-2016 CSA Italy www.cloudsecurityalliance.it
Tutti i (fornitori) Cloud sono uguali?
Quali caratteristiche deve avere un fornitore e
cosa devo andare a cercare ?
Richiedere Documentazione
Rivedere la Security Policy
Rivedere il contratto
(obblighi e responsabilità)
Valutazione del Provider
(reputazione, bilanci,
assicurazione)
Assicurarsi di verificare:
• Incident management
• Business continuity e disaster recovery planning
• Co-location e backup facilities
• Audit interni, standard e procedure utilizzate
• Metriche, Reporting sull’efficacia dei controlli
Copyright © 2011-2016 CSA Italy www.cloudsecurityalliance.it
Quali Dati/Informazioni
Valore del Dato/Criticità
Private, Hybrid, Community,
Public
IaaS, PaaS, SaaS
Documentazione
Cloud Risk Management Lite
Rischio Residuo:
• Ci saranno ancora dei rischi che possono essere mitigati:
• o cambiando Modello di Erogazione
• o aumentando l’efficacia dei controlli
Punti di attenzione:
• Adattare il processo di gestione del Rischio (non è Outsourcing)
• Problemi legali su giurisdizione e contratti
• Bilanciare Portabilità ed Interoperabilità con costi-benefici del Provider
• Nuova gestione degli incidenti (attori, procedure, strumenti).
Copyright © 2011-2016 CSA Italy www.cloudsecurityalliance.it
Certificazioni Sicurezza Cloud
per Aziende
Copyright © 2011-2016 CSA Italy www.cloudsecurityalliance.it
Perchè una nuova certificazione?
Adattabilità degli schemi di certificazione di sicurezza dell’informazione preesistenti
(ISO27001, …) al contesto Cloud Computing Nuovo approccio
Mandatorio Vs Volontario
Schema Internazionale
Trasparenza (informazioni necessarie)
Modelli di Maturità
Deve superare la staticità delle certificazioni attuali (point-in-time) dando evidenza di una
capacità di controllo e maturità per una gestione della sicurezza «continua»
Costi proporzionali ai servizi utilizzati (in scope)
Copyright © 2011-2016 CSA Italy www.cloudsecurityalliance.it
CSA Security,Trust & Assurance
CSA STAR è un’ iniziativa di mercato (non ISO) lanciata nel 2011 che consente ai Cloud
Service Provider (Public o Private Cloud) di ottenere una certificazione internazionale
sull’affidabilità, sicurezza e trasparenza dei propri Servizi Cloud
Lo schema di certificazione prevede un’integrazione tra la norma ISO27001:2013 e la CSA
Cloud Control Matrix (CCM) con cui vengono aggiunti dei controlli specifici sulla
sicurezza cloud (16 Aree di Controllo, 136 controlli nella ver. 3.0)
Lo schema di certificazione è conforme alle norme ISO 17021, ISO 27006, ISO 19011
STAR è il primo schema di certificazione a misurare la «maturità» dei controlli di sicurezza
implementati
Prime aziende italiane certificate STAR: Poste Italiane (Poste Cert), Telecom Italia (Hosting
Evoluto), Fastweb (Fast Cloud)
Copyright © 2011-2016 CSA Italy www.cloudsecurityalliance.it
Lo strumento: Cloud Control Matrix
«Cloud specific» Security Control Framework
Sviluppato da un Gruppo di Lavoro internazionale
composto da +500 esperti
Strutturato in 16 Domini e 136 Controlli (ver. 3.0)
Correlazione con altre importanti norme:
ISO27001,COBIT,HIPAA,NIST SP800-
53,BedRamp,BSI Germany, PCI-DSS …
Correlazione con la ISO 27018 «Cloud Privacy»
Disponibile gratuitamente sul sito di CSA
Copyright © 2011-2016 CSA Italy www.cloudsecurityalliance.it
Il Certificato STAR
In base al punteggio ottenuto nella fase di audit, l’Azienda
potrà ottenere uno dei seguenti riconoscimenti:
Copia del Certificato e ambito di applicazione (Scope)
vengono pubblicati in una pagina specifica del sito pubblico
di CSA (STAR Registry)
Copyright © 2011-2016 CSA Italy www.cloudsecurityalliance.it
CSA STAR “Autovalutazione”
E’ una modalità gratuita offerta da CSA per documentare i controlli di sicurezza cloud
implementati da un fornitore IaaS,PaaS,SaaS
Il Cliente (o Fornitore) può sottopore a CSA due tipologie di audit report:
CAIQ (Consensus Assessment Initiative Questionnaire): è un insieme di domande
(+290) suddivise per dominio
CCM (Cloud Control Matrix): audit interno condotto utilizzando i 136 controlli/16
Domini della CCM
CSA una volta verificata la congruità del report lo pubblica nella sezione STAR del
proprio sito web, liberamente accessibile (https://cloudsecurityalliance.org/star/#_registry)
Copyright © 2011-2016 CSA Italy www.cloudsecurityalliance.it
Certificazioni Sicurezza Cloud
per Professionisti
Copyright © 2011-2016 CSA Italy www.cloudsecurityalliance.it
Certificazioni Professionali
CCSK (Certificate of Cloud Security Knowledge)
Gestita da CSA
Certifica le competenze in ambito Cloud Security (progettazione, audit, governance). Si
rivolge a consulenti, manager ed auditor con competenze di base in ambito Information
Security
L’esame si svolge on-line e le domande si basano sui contenutio dei documenti (gratuiti)
“Security Guidance for Critical Areas of Focus in Cloud Computing, V3” di CSA e lo studio
“Cloud Computing: Benefits, Risks and Recommendations for Information Security” di
ENISA. L’esame consiste in 60 domande da completare in 90 min. Si supera con almeno
l’80% di risposte corrette. Il corso CCSK non è obbligatorio ma consigliato.
Copyright © 2011-2016 CSA Italy www.cloudsecurityalliance.it
Certificazioni Professionali
CSA STAR Auditor
Gestita da CSA in collaborazione con BSI (British Standards Institution)
Si rivolge ad Auditor e Lead Auditor certificati ISO27001, professionisti con esperienze di
audit equivalenti e professionisti certificati CCSK.
Fornisce le competenze per auditare piattaforme/servizi cloud computing utilizzando lo
strumento Cloud Control Matrix e la metodologia per valutare la maturità dei controlli
Il corso viene erogato da BSI (fino ad oggi in esclusiva) ed è necessario superare un
esame per conseguire la certificazione.
Copyright © 2011-2016 CSA Italy www.cloudsecurityalliance.it
Certificazioni Professionali
CCSP (Certified Cloud Security Professional)
Gestita da (ISC)2 in collaborazione con CSA
Certifica almeno 5 anni di esperienza e competenze in information security (credenziali
CISSP) e cloud computing (base di conoscenza CCSK).
L’esame viene svolto in modalità proctored presso centri autorizzati. Il corso (anche on-
line) non è obbligatorio ma consigliato
Copyright © 2011-2016 CSA Italy www.cloudsecurityalliance.it
Ci vediamo al ….
Cloud Security Summit
2016
18 Maggio
Confcommercio, C.so Venezia 47 MILANO
Organizzato da
Copyright © 2011-2016 CSA Italy www.cloudsecurityalliance.it
Grazie !
• cloudsecurityalliance.it
• CSA Italy
• @CSA_Italy
•CSA Italy