cloudsecurityalliance.it

1

Copyright © 2011-2017 CSA Italy

Alberto Manfredi Presidente

alberto.manfredi@csaitaly.it

Roma, 5 Aprile 2017

LE BEST PRACTICE DI CLOUD SECURITY E L'INNOVAZIONE

DEL MODELLO CLOUD ACCESS SECURITY BROKERS

(CASB)

cloudsecurityalliance.it

2

Copyright © 2011-2017 CSA Italy

Cloud Security Alliance | International CSA (www.cloudsecurityalliance.org), nasce nel 2009 con lo scopo di promuovere l’utilizzo di best practice ,

certificazione e formazione per la sicurezza di sistemi e servizi Cloud Computing

• +73000 professionisti nella community

• +80 Capitoli Nazionali

• +330 Soci Corporate (tra i quali Google, Amazon WS, Microsoft …)

• 3 Regioni/Sedi: CSA America (Seattle) CSA APAC (Singapore), CSA EMEA (Edimburgo)

• +30 Aree di Studio e Linee Guida (IoT, Mobile, BigData, Blockchain & Distributed Ledgers, Incident Management &

Forensics, Legal, Virtualization, Open API, Quantum-safe security, Cluod Audit, Top Threats, Containers & Microservices, …)

• Riconosciuta a livello internazionale come associazione di riferimento nel mercato Cloud Security, collabora con Governi,

Istituti di Ricerca ed Enti internazionali (NIST, UE DG, ETSI, ENISA, …)

cloudsecurityalliance.it

3

Copyright © 2011-2017 CSA Italy

Cloud Security Alliance | Italy Chapter CSA Italy è una associazione no-profit (2011), capitolo Italiano di Cloud Security Alliance , nasce con lo scopo di

promuovere l’utilizzo di best practice per la sicurezza dei sistemi Cloud nel mercato italiano

• +670 professionisti nella community

• +5 Aree di Studio: Interoperabilità-Portabilità-Sicurezza Applicativa, IoT, Training, Legal & Privacy, SOC-SIEM

• +14 affiliazioni e collaborazioni: Clusit, Assintel, DFA, Afcea Roma, ISC2 Italy, Owasp Italy, AIIC, Anorc, Istituto Italiano

Privacy, ItSMF Italia, GUFPI-ISMA, Club R2GS Europe, Oracle Community for Security, ISCOM-CERT Nazionale, AGID (Agenzia

per l’Italia Digitale)

• +24 Sponsor (2011-2017): Allied Telesis, CA, Gemalto-SafeNet, Axway, Fata Informatica, Oracle, ACTIA Italia, Trend Micro,

Itway, NIS-DGS, BSI Italia, G-Data, Elastico, Paradigma, prpl Foundation, GENERAL COMPUTER, CLOUD4DEFENCE,

FORTINET, BIP CyberSec, SEEWEB, FASTWEB, FORCEPOINT, QUALYS, LEONARDO

cloudsecurityalliance.it

4

Copyright © 2011-2017 CSA Italy

Cloud Access Security Brokers (CASB) | Contesto I CASB possono essere definiti dei “punti di controllo” che si frappone tra gli utenti e il fornitore Cloud in modo da

intervenire nell’applicazione delle politiche di sicurezza aziendale nel momento in cui si accede alle risorse in Cloud

• L’adozione di nuovi servizi esterni all’azienda implica una minore capacità di controllo sulle loro effettive performance e

stabilità offerte dai fornitori (tipicamente di Cloud pubblico) ed espone l’azienda a potenziali rischi di cyber attacchi o

perdita di dati.

• La gestione ed esecuzione dei servizi applicativi e memorizzazione dei dati al di fuori dei perimetri aziendali aumenta il

possibile impatto causato da comportamenti non idonei da parte di utenti o amministratori di sistema che possono,

volontariamente o involontariamente, portare ad accessi indesiderati, perdita o manipolazione di informazioni sensibili.

cloudsecurityalliance.it

5

Copyright © 2011-2017 CSA Italy

CASB | Mercato

22 %

Conoscenza non precisa dei sistemi CASB

Non al corrente della loro esistenza

36 %

42 %

Conoscenza puntuale dei sistemi CASB

64 % delle aziende

conoscono i CASB

87 % Gestione degli accessi

Rilevamento di minacce interne 57 %

Prevenzione della perdita dei dati 74 %

Crittografia dei dati 83%

I sistemi CASB stanno emergendo come «control point» per i servizi Cloud pubblici. Malgrado siano attualmente poco utilizzati (5%) gli analisti stimano che l’adozione crescerà sino all’85% entro il 2020 (Ricerca CSA-SkyHigh)

cloudsecurityalliance.it

6

Copyright © 2011-2017 CSA Italy

CASB | Macro funzionalità Le funzionalità fornite dai CASB sono generalmente classificate in quattro aree principali che sono in grado di

indirizzare una grande quantità di punti attenzione nell’adozione di sistemi di Cloud pubblico

Visibilità

• Individuazione dei servizi Cloud non gestiti (shadow IT)

• Creazione di una visione consolidata dei servizi e dei dati utilizzati dagli utenti

• Misurazione dell’affidabilità dei CSP (security posture assessment )

Sicurezza dei dati

• Miglioramento delle policy di sicurezza sui dati per prevenire attività non autorizzate

• Applicazione delle policy mediante i controlli audit, alert, block, quarantine e delete

• Integrazione della funzione di data-centric audit and protection (DCAP)

Compliance

• Controllo della compliance dei dati e della loro gestione secondo leggi e standard

• Identificazione dei rischi relativi a specifici servizi Cloud

Protezione dalle minacce

• Identificazione di comportamenti anomali degli utenti (EUBA)

• Identificazione di accessi non autorizzati ad applicazioni e dati

• Identificazione e prevenzione di attacchi di tipo «Cloud-native»

cloudsecurityalliance.it

7

Copyright © 2011-2017 CSA Italy

CASB | Architettura logica

SaaS IaaS PaaS

Sicurezza dei dati

Visibilità delle attività

IT compliance

Protezione minacce

Integrazione aziendale

Dispositivi mobili e dati Perimetro aziendale

Enterprise Integration

Accesso via API

Traffico reindirizzato dagli utenti ai servizi Cloud

Traffico reindirizzato

Traffico diretto al Cloud

I CASB forniscono importanti punti di integrazione con l’esistente layer di sicurezza aziendale gestendo lo IAM, il riuso di DLP policy, l’integrazione con chiavi di encryption locali, etc.

cloudsecurityalliance.it

8

Copyright © 2011-2017 CSA Italy

Modelli di deployment CASB| Soluzione Proxy-based

Utenti, dispositivi e dati

Perimetro aziendale

CASB In-line proxy

Protezione per

dispositivi e utenti conosciuti

SaaS

Integrazione col sistema di sicurezza aziendale

La soluzione in-line proxy verifica e filtra gli utenti e i dispositivi conosciuti attraverso un singolo gateway. Il proxy può effettuare azioni di sicurezza real-time attraverso il suo singolo checkpoint

cloudsecurityalliance.it

9

Copyright © 2011-2017 CSA Italy

Modelli di deployment CASB| Soluzione API-based

Utenti, dispositivi e dati

Perimetro aziendale

CASB API-based

• Visibilità • Compliance • Sicurezza dei dati • Protezione da

minacce Integrazione col sistema

di sicurezza aziendale

La soluzione API-based (Out-of-Band) non segue lo stesso percorso di rete dei dati e permette l’integrazione diretta con i servizi Cloud senza causare un degradamento delle performance

IaaS PaaS SaaS

Accesso diretto ai servizi Cloud

cloudsecurityalliance.it

10

Copyright © 2011-2017 CSA Italy

CASB| Modelli a confronto API Deployment

CASB API-based

Integra

Proxy Deployment

CASB In-line proxy

Duplica

Visibilità Tutti i tipi di traffico Solo su utenti e i dispositivi gestiti

Compliance Supporta la certificazione di HIPAA, PCI DSS e di altri mandati di data governance

Supporta la compliance solo per gli utenti gestiti e i dati in transito

Modelli Cloud Assicura tutti i modelli di servizio (IaaS, PaaS, SaaS) Assicura solo Saas

Controllo accessi Integrazione con servizi di Identity as a service (IDaaS) Supporto incorporato nel proxy

Data loss prevention In grado di scansionare archivi Cloud esistenti Nessuna capacità di scansionare archivi Cloud esistenti

Scalabilità Nessun particolare limite di scalabilità Capacità del proxy da gestire per evitare latenza

Scansione Identifica l'utilizzo di applicazioni autorizzate e non Identifica l'utilizzo di applicazioni autorizzate e non

cloudsecurityalliance.it

11

Copyright © 2011-2017 CSA Italy

CSA Italy | Quali best practice per l’adozione CASB ? Le aziende incrementeranno lo spostamento delle loro funzioni business-critical e i loro dati sensibili sul Cloud

pubblico spingendo fortemente l’adozione dei sistemi CASB

Creazione di uno studio «vendor agnostic» per favorire la diffusione della conoscenza dei sistemi CASB nelle aziende

Definizione delle policy di sicurezza aziendali necessarie per l’adozione di sistemi Cloud attraverso i CASB

Disegno di un architettura CASB multimodale in grado di supportare sia il modello API-based che quello proxy-based

Definizione di line guida per la scelta dei sistemi CASB sulla base dell’attuale portfolio applicativo

+ +

+

+ +

cloudsecurityalliance.it

12

Copyright © 2011-2017 CSA Italy

Cloud Security Best Practices| Certificazione Cloud Provider CSA STAR (Security Trust & Assurance) è la «prima» certificazione al mondo sulla sicurezza dei servizi cloud

computing – www.cloudsecurityalliance.org/star/

• CSA STAR è un’ iniziativa di mercato (non ISO) lanciata nel 2011 che consente ai Cloud Service Provider di ottenere una

certificazione internazionale sull’affidabilità, sicurezza e trasparenza dei propri Servizi Cloud

• Lo schema di certificazione prevede un’integrazione tra la norma ISO27001:2013 e la CSA Cloud Control Matrix (CCM) con

cui vengono aggiunti dei controlli specifici sulla sicurezza cloud (16 Aree di Controllo, 136 controlli nella ver. 3.0)

• E’ possibile utilizzare anche un questionario derivato dai controlli CCM chiamato CAIQ (Consensus Assessments Initiative

Questionnaire)

• Prime aziende italiane certificate STAR: Poste Italiane (Poste Cert), TIM (Hosting Evoluto), Fastweb (Fast Cloud)

• +200 aziende certificate nel mondo

cloudsecurityalliance.it

13

Copyright © 2011-2017 CSA Italy

Cloud Security Best Practices| Certificazione Professionisti CCSK (Certificate of Cloud Security Knowledge) è la «prima» certificazione sulle competenze in Cloud Security –

ccsk.cloudsecurityalliance.org

• CSA CCSK certifica le conoscenze di base sia tecniche sia metodologiche per implementare e gestire la sicurezza informatica

nelle architetture Cloud Computing.

• Manuali di riferimento (gratuiti): “Security Guidance for Critical Areas of Focus in Cloud Computing, V3” di CSA e “Cloud

Computing: Benefits, Risks and Recommendations for Information Security” di ENISA (European Network and Information

Security Agency

cloudsecurityalliance.it

14

Copyright © 2011-2017 CSA Italy

GRAZIE

• cloudsecurityalliance.it

• info@csaitaly.it

• CSA Italy

• @CSA_Italy

•CSA Italy

Articolo CSA Italy sul CASB: www.ictsecuritymagazine.com/articoli/mitigare-rischi-sicurezza-nel-cloud-pubblico-cloud-access-security-brokers-casb/