Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
cloudsecurityalliance.it
1
Copyright © 2011-2017 CSA Italy
Alberto Manfredi Presidente
Roma, 5 Aprile 2017
LE BEST PRACTICE DI CLOUD SECURITY E L'INNOVAZIONE
DEL MODELLO CLOUD ACCESS SECURITY BROKERS
(CASB)
cloudsecurityalliance.it
2
Copyright © 2011-2017 CSA Italy
Cloud Security Alliance | International CSA (www.cloudsecurityalliance.org), nasce nel 2009 con lo scopo di promuovere l’utilizzo di best practice ,
certificazione e formazione per la sicurezza di sistemi e servizi Cloud Computing
• +73000 professionisti nella community
• +80 Capitoli Nazionali
• +330 Soci Corporate (tra i quali Google, Amazon WS, Microsoft …)
• 3 Regioni/Sedi: CSA America (Seattle) CSA APAC (Singapore), CSA EMEA (Edimburgo)
• +30 Aree di Studio e Linee Guida (IoT, Mobile, BigData, Blockchain & Distributed Ledgers, Incident Management &
Forensics, Legal, Virtualization, Open API, Quantum-safe security, Cluod Audit, Top Threats, Containers & Microservices, …)
• Riconosciuta a livello internazionale come associazione di riferimento nel mercato Cloud Security, collabora con Governi,
Istituti di Ricerca ed Enti internazionali (NIST, UE DG, ETSI, ENISA, …)
cloudsecurityalliance.it
3
Copyright © 2011-2017 CSA Italy
Cloud Security Alliance | Italy Chapter CSA Italy è una associazione no-profit (2011), capitolo Italiano di Cloud Security Alliance , nasce con lo scopo di
promuovere l’utilizzo di best practice per la sicurezza dei sistemi Cloud nel mercato italiano
• +670 professionisti nella community
• +5 Aree di Studio: Interoperabilità-Portabilità-Sicurezza Applicativa, IoT, Training, Legal & Privacy, SOC-SIEM
• +14 affiliazioni e collaborazioni: Clusit, Assintel, DFA, Afcea Roma, ISC2 Italy, Owasp Italy, AIIC, Anorc, Istituto Italiano
Privacy, ItSMF Italia, GUFPI-ISMA, Club R2GS Europe, Oracle Community for Security, ISCOM-CERT Nazionale, AGID (Agenzia
per l’Italia Digitale)
• +24 Sponsor (2011-2017): Allied Telesis, CA, Gemalto-SafeNet, Axway, Fata Informatica, Oracle, ACTIA Italia, Trend Micro,
Itway, NIS-DGS, BSI Italia, G-Data, Elastico, Paradigma, prpl Foundation, GENERAL COMPUTER, CLOUD4DEFENCE,
FORTINET, BIP CyberSec, SEEWEB, FASTWEB, FORCEPOINT, QUALYS, LEONARDO
cloudsecurityalliance.it
4
Copyright © 2011-2017 CSA Italy
Cloud Access Security Brokers (CASB) | Contesto I CASB possono essere definiti dei “punti di controllo” che si frappone tra gli utenti e il fornitore Cloud in modo da
intervenire nell’applicazione delle politiche di sicurezza aziendale nel momento in cui si accede alle risorse in Cloud
• L’adozione di nuovi servizi esterni all’azienda implica una minore capacità di controllo sulle loro effettive performance e
stabilità offerte dai fornitori (tipicamente di Cloud pubblico) ed espone l’azienda a potenziali rischi di cyber attacchi o
perdita di dati.
• La gestione ed esecuzione dei servizi applicativi e memorizzazione dei dati al di fuori dei perimetri aziendali aumenta il
possibile impatto causato da comportamenti non idonei da parte di utenti o amministratori di sistema che possono,
volontariamente o involontariamente, portare ad accessi indesiderati, perdita o manipolazione di informazioni sensibili.
cloudsecurityalliance.it
5
Copyright © 2011-2017 CSA Italy
CASB | Mercato
22 %
Conoscenza non precisa dei sistemi CASB
Non al corrente della loro esistenza
36 %
42 %
Conoscenza puntuale dei sistemi CASB
64 % delle aziende
conoscono i CASB
87 % Gestione degli accessi
Rilevamento di minacce interne 57 %
Prevenzione della perdita dei dati 74 %
Crittografia dei dati 83%
I sistemi CASB stanno emergendo come «control point» per i servizi Cloud pubblici. Malgrado siano attualmente poco utilizzati (5%) gli analisti stimano che l’adozione crescerà sino all’85% entro il 2020 (Ricerca CSA-SkyHigh)
cloudsecurityalliance.it
6
Copyright © 2011-2017 CSA Italy
CASB | Macro funzionalità Le funzionalità fornite dai CASB sono generalmente classificate in quattro aree principali che sono in grado di
indirizzare una grande quantità di punti attenzione nell’adozione di sistemi di Cloud pubblico
Visibilità
• Individuazione dei servizi Cloud non gestiti (shadow IT)
• Creazione di una visione consolidata dei servizi e dei dati utilizzati dagli utenti
• Misurazione dell’affidabilità dei CSP (security posture assessment )
Sicurezza dei dati
• Miglioramento delle policy di sicurezza sui dati per prevenire attività non autorizzate
• Applicazione delle policy mediante i controlli audit, alert, block, quarantine e delete
• Integrazione della funzione di data-centric audit and protection (DCAP)
Compliance
• Controllo della compliance dei dati e della loro gestione secondo leggi e standard
• Identificazione dei rischi relativi a specifici servizi Cloud
Protezione dalle minacce
• Identificazione di comportamenti anomali degli utenti (EUBA)
• Identificazione di accessi non autorizzati ad applicazioni e dati
• Identificazione e prevenzione di attacchi di tipo «Cloud-native»
cloudsecurityalliance.it
7
Copyright © 2011-2017 CSA Italy
CASB | Architettura logica
SaaS IaaS PaaS
Sicurezza dei dati
Visibilità delle attività
IT compliance
Protezione minacce
Integrazione aziendale
Dispositivi mobili e dati Perimetro aziendale
Enterprise Integration
Accesso via API
Traffico reindirizzato dagli utenti ai servizi Cloud
Traffico reindirizzato
Traffico diretto al Cloud
I CASB forniscono importanti punti di integrazione con l’esistente layer di sicurezza aziendale gestendo lo IAM, il riuso di DLP policy, l’integrazione con chiavi di encryption locali, etc.
cloudsecurityalliance.it
8
Copyright © 2011-2017 CSA Italy
Modelli di deployment CASB| Soluzione Proxy-based
Utenti, dispositivi e dati
Perimetro aziendale
CASB In-line proxy
Protezione per
dispositivi e utenti conosciuti
SaaS
Integrazione col sistema di sicurezza aziendale
La soluzione in-line proxy verifica e filtra gli utenti e i dispositivi conosciuti attraverso un singolo gateway. Il proxy può effettuare azioni di sicurezza real-time attraverso il suo singolo checkpoint
cloudsecurityalliance.it
9
Copyright © 2011-2017 CSA Italy
Modelli di deployment CASB| Soluzione API-based
Utenti, dispositivi e dati
Perimetro aziendale
CASB API-based
• Visibilità • Compliance • Sicurezza dei dati • Protezione da
minacce Integrazione col sistema
di sicurezza aziendale
La soluzione API-based (Out-of-Band) non segue lo stesso percorso di rete dei dati e permette l’integrazione diretta con i servizi Cloud senza causare un degradamento delle performance
IaaS PaaS SaaS
Accesso diretto ai servizi Cloud
cloudsecurityalliance.it
10
Copyright © 2011-2017 CSA Italy
CASB| Modelli a confronto API Deployment
CASB API-based
Integra
Proxy Deployment
CASB In-line proxy
Duplica
Visibilità Tutti i tipi di traffico Solo su utenti e i dispositivi gestiti
Compliance Supporta la certificazione di HIPAA, PCI DSS e di altri mandati di data governance
Supporta la compliance solo per gli utenti gestiti e i dati in transito
Modelli Cloud Assicura tutti i modelli di servizio (IaaS, PaaS, SaaS) Assicura solo Saas
Controllo accessi Integrazione con servizi di Identity as a service (IDaaS) Supporto incorporato nel proxy
Data loss prevention In grado di scansionare archivi Cloud esistenti Nessuna capacità di scansionare archivi Cloud esistenti
Scalabilità Nessun particolare limite di scalabilità Capacità del proxy da gestire per evitare latenza
Scansione Identifica l'utilizzo di applicazioni autorizzate e non Identifica l'utilizzo di applicazioni autorizzate e non
cloudsecurityalliance.it
11
Copyright © 2011-2017 CSA Italy
CSA Italy | Quali best practice per l’adozione CASB ? Le aziende incrementeranno lo spostamento delle loro funzioni business-critical e i loro dati sensibili sul Cloud
pubblico spingendo fortemente l’adozione dei sistemi CASB
Creazione di uno studio «vendor agnostic» per favorire la diffusione della conoscenza dei sistemi CASB nelle aziende
Definizione delle policy di sicurezza aziendali necessarie per l’adozione di sistemi Cloud attraverso i CASB
Disegno di un architettura CASB multimodale in grado di supportare sia il modello API-based che quello proxy-based
Definizione di line guida per la scelta dei sistemi CASB sulla base dell’attuale portfolio applicativo
+ +
+
+ +
cloudsecurityalliance.it
12
Copyright © 2011-2017 CSA Italy
Cloud Security Best Practices| Certificazione Cloud Provider CSA STAR (Security Trust & Assurance) è la «prima» certificazione al mondo sulla sicurezza dei servizi cloud
computing – www.cloudsecurityalliance.org/star/
• CSA STAR è un’ iniziativa di mercato (non ISO) lanciata nel 2011 che consente ai Cloud Service Provider di ottenere una
certificazione internazionale sull’affidabilità, sicurezza e trasparenza dei propri Servizi Cloud
• Lo schema di certificazione prevede un’integrazione tra la norma ISO27001:2013 e la CSA Cloud Control Matrix (CCM) con
cui vengono aggiunti dei controlli specifici sulla sicurezza cloud (16 Aree di Controllo, 136 controlli nella ver. 3.0)
• E’ possibile utilizzare anche un questionario derivato dai controlli CCM chiamato CAIQ (Consensus Assessments Initiative
Questionnaire)
• Prime aziende italiane certificate STAR: Poste Italiane (Poste Cert), TIM (Hosting Evoluto), Fastweb (Fast Cloud)
• +200 aziende certificate nel mondo
cloudsecurityalliance.it
13
Copyright © 2011-2017 CSA Italy
Cloud Security Best Practices| Certificazione Professionisti CCSK (Certificate of Cloud Security Knowledge) è la «prima» certificazione sulle competenze in Cloud Security –
ccsk.cloudsecurityalliance.org
• CSA CCSK certifica le conoscenze di base sia tecniche sia metodologiche per implementare e gestire la sicurezza informatica
nelle architetture Cloud Computing.
• Manuali di riferimento (gratuiti): “Security Guidance for Critical Areas of Focus in Cloud Computing, V3” di CSA e “Cloud
Computing: Benefits, Risks and Recommendations for Information Security” di ENISA (European Network and Information
Security Agency
cloudsecurityalliance.it
14
Copyright © 2011-2017 CSA Italy
GRAZIE
• cloudsecurityalliance.it
• CSA Italy
• @CSA_Italy
•CSA Italy
Articolo CSA Italy sul CASB: www.ictsecuritymagazine.com/articoli/mitigare-rischi-sicurezza-nel-cloud-pubblico-cloud-access-security-brokers-casb/