ISACA Katowice Kraków 2013 Zarządzanie bezpieczeństwem w chmurze obliczeniowej Marcin Fronczak Cloud Security Alliance Polska

Transkrypt

1 ISACA Katowice Kraków 2013 Zarządzanie bezpieczeństwem w chmurze obliczeniowej Marcin Fronczak Cloud Security Alliance Polska

2 Model chmury wg NIST 2

3 Cechy charakterystyczne chmury Szeroki dostęp (Broad Access Network) Błyskawiczna elastyczność (Rapid elasticity) Mierzalne usługi (Measured services) Samoobsługa na żądanie (On demand self-service) Agregacja zasobów (Resource pooling 3

4 Modele usług w chmurze Software as a Service (SaaS) Platform as a Service (PaaS) Infrastructure as a Service (IaaS) 4

5 Infrastructure as a Service (IaaS) Dostarczanie podstawowych zasobów obliczeniowych, sieciowych, przechowywania danych i innych Klient instaluje i uruchamia dowolne oprogramowanie Może zawierać systemy operacyjne i aplikacje 5

6 Platform as a Service (PaaS) Umożliwia klientom instalację własnych aplikacji i systemów w infrastrukturze dostawcy Stworzona za pomocą języków programowania i narzędzi wspieranych przez dostawcę 6

7 Software as a Service (SaaS) Klient korzysta z aplikacji dostawcy umieszczonych w chmurze Klient nie zarządza ani kontroluje podstawowej infrastruktury włączając również zasoby sieciowe, serwery, systemy operacyjne i składowanie danych, ani nawet poszczególnych właściwości aplikacji 7

8 Wpływ bezpieczeństwa na stos SPI Im niżej stosu dostawca dostarcza usługę tym klient jest bardziej odpowiedzialny za zarządzanie ryzykiem i zabezpieczenie środowiska SaaS PaaS IaaS Dostawca Odpowiedzialność za zarządzanie ryzykiem Klient 8

9 Odpowiedzialność za bezpieczeństwo 9

10 IaaS Korzyści Możliwość kastomizacji i kontroli nad środowiskiem Elastyczność w zabezpieczaniu danych do swoich potrzeb Wątpliwości Zaangażowanie w integrację wszystkich aspektów aplikacji (DB, plug-ins, API itd.) Odpowiedzialność za całość konfiguracji (również aplikacji) Odpowiedzialność za aktualizację oprogramowania Współdzielenie na poziomie hypervisora 10

11 PaaS Korzyści Zintegrowane rozwiązanie pomaga zredukować złożoność zarządzania (konfiguracja, komponenty) Jeśli dostawca wspiera API, ułatwia implementację Wątpliwości Klient wciąż odpowiedzialny za utrzymanie aktualizacji stosu Możliwość uzależnienia od dostawcy API (lock-in) Współdzielenie na poziomie platformy 11

12 SaaS Korzyści Zintegrowane rozwiązanie pomaga zredukować złożoność zarządzania (konfiguracja, komponenty) Skalowanie środowiska nie jest problemem klienta Aktualizacja, konfiguracja, bezpieczeństwo odpowiedzialność dostawcy Wątpliwości Bardzo mała możliwość kastomizacji Brak kontroli na komponentami. Brak kontroli nad bezpieczeństwem (tylko ocena, brak wpływu). Współdzielenie na poziomie aplikacji. 12

13 Chmura publiczna (Public) Modele chmury ze względu na rozmieszczenie Chmura prywatna (Private) Współdzielona (Community) Hybrydowa (Hybrid) 13

14 Modele wdrożenia i odpowiedzialności Infrastruktura zarządzana przez: Infrastruktura w posiadaniu: Infrastruktura umieszczona : Dostępna i wykorzystywana przez : Publiczna Dostawca (Third Party Provider) Dostawca (Third Party Provider) Na zewnątrz (Off-Premise) Niezaufana strona Prywatna/ Współdzielona Lub Organizacja Organizacja Wewnątrz (On-Premise) Zaufana strona Dostawca Dostawca Na zewnątrz Hybrydowa Zarówno Organizacja jak i Dostawca Zarówno Organizacja jak i Dostawca Zarówno Wewnątrz jak i Na zewnątrz Zarówno Zaufana i Niezaufana strona 14

15 Jericho Cloud Cube Model Internal (I)/External (E) fizyczna lokalizacja danych Proprietary (P)/Open (O) kto dostarcza usługi Perimeterised (Per)/Deperimeterised (D-p) logiczne granice sieci 4 wymiary, 8 stanów Per - (IP,IO,EP,EO), D-p (IP,IO,EP,EO) Insourced (Per, IP) usługa jest dostarczana w ramach organizacji i kontrolowana Outsourced (D-p, EO) usługa jest dostarczana i kontrolowana przez zewnętrznego dostawcę 15

16 Cloud Security Chmura burzy tradycyjne podejście do określania granic Co jest wewnętrzne? Co jest zewnętrzne? Gdzie teraz jest granica? 16

17 Cloud Security Alliance Polska - Stowarzyszenie, polski oddział CSA - Organizacja non-profit - Promowanie najlepszych praktyk i edukacja w zakresie bezpieczeństwa cloud computing - Koalicja praktyków, ekspertów, korporacji, stowarzyszeń z obszaru bezpieczeństwa w chmurze - Platforma komunikacji pomiędzy stronami zaangażowanymi i zainteresowanymi bezpieczeństwem chmury - Wymiany wiedzy oraz doświadczeń. - Około członków - Ponad 60 oddziałów 17

18 CSA Security Guidance Celem przewodnika CSA jest ustanowienie i dostarczenie zbioru najlepszych praktyk dla menadżerów i użytkowników, którzy chcą korzystać z usług w przetwarzania w chmurze w bezpieczny sposób. Trzecia edycja przewodnika składa się z 14 domen 18

19 Architektura cloud computing Nadzór i zarządzanie ryzykiem Prawo i informatyka śledcza Zgodność i audyt Zarządzanie informacją i ochrona danych Przenaszalność i interoperacyjność Bezpieczeństwo tradycyjne, BCP i DRP Centrum danych i zarządzanie operacjami Zarządzanie incydentami Bezpieczeństwo aplikacji Szyfrowanie i zarządzanie kluczami Zarządzanie własnością, tożsamością i dostępem Wirtualizacja Security as a service Terminologia, cechy, modele, lokalizacja zapisy w umowach, odpowiedzialność za zarządzanie ryzykiem, Zarzadzanie stroną trzecią, Badanie łańcucha dostaw Aspekty prawne, gromadzenie, analiza i udostępnianie dowodów, obszary jurysdykcji i lokalizacja danych Prawo do audytu, analiza i wpływ na zgodność z regulacjami, zakres audytu, Odzyskiwanie danych, DLP, wolumenowe i obiektowe przechowywanie danych, fizyczne i logiczne składowanie danych, monitorowanie operacji Zmiana dostawcy usług, możliwość powrotu, współpraca pomiędzy dostawcami i usługami Zarządzanie ciągłością i plany awaryjne, bezpieczeństwo fizyczne, logowanie i raportowanie w rozproszonym środowisku Architektura i infrastruktura centrum danych, polityki i procedury Wykrywanie, powiadamianie i reagowanie na incydenty, rejestracja, analiza, testy, Bezpieczeństwo aplikacji, zarządzanie podatnościami, SDLC Szyfrowanie danych, zarządzanie kluczami, mechanizmy kryptograficzne Zarządzanie tożsamością i uprawnieniami, nadawanie i odbieranie dostępu, odpowiedzialność Multi-tenancy, izolacja VM, bezpieczeństwo hypervisorów, zarządzanie podatnościami, złośliwe oprogramowanie Korzyści i obawy, transparentność rozwiązań, wymagania

20 Certificate of Cloud Security Knowledge Certyfikat Cloud Security Knowledge (CCSK) jest pierwszym branżowym programem certyfikacyjnym stworzonym dla profesjonalistów odpowiedzialnych za zabezpieczenie chmury. Otrzymanie certyfikatu CCSK potwierdza znajomość najlepszych praktyk w zakresie zarządzania ryzykiem w modelu cloud computing. CSA Guidance For Critical Areas of Focus in Cloud Computing V3.0 English ENISA Cloud Computing: Benefits, Risks and Recommendations for Information Security 20

21 Cloud Control Matrix Cloud Control Matrix (CCM) został zaprojektowany w celu dostarczenia dostawcom w chmurze fundamentalnych zasad z zakresu bezpieczeńtwa i wspomagania odbiorców usług w chmurze w ocenie i analizie ryzyka związanego z modelem cloud computing 21

22 Cloud Control Matrix 11 domen 1. Compliance (CO) 2. Data Governance (DG) 3. Facility Security (FS) 4. Human Resources (HR) 5. Information Security (IS) 7. Operations Management (OM) 8. Risk Management (RI) 9. Release Management (RM) 10. Resiliency (RS) 11.Security Architecture (SA) 6. Legal (LG) 22

23 Cloud Control Matrix 98 kontroli 23

24 Cloud Control Matrix 98 kontroli 24

25 Cloud Control Matrix 98 kontroli 25

26 Cloud Control Matrix 98 kontroli 26

27 Consensus Assessment Initiative Projekt Consensus Assessments Initiative (CAI) został uruchomiony w celu przeprowadzenia badań, stworzenia narzędzi i utworzenia partnerstwa branżowego, aby umożliwić ocenę usług dostarczanych w modelu cloud computing. Uczestnicy projekty koncentrują się na dostarczeniu powszechnie akceptowanych przez branżę metod i sposobów na prezentację i udokumentowanie jakie mechanizmy kontrolne są zaimplementowane w IaaS,PaaS i SaaS, powodując, że system kontroli stosowany przez dostawcę jest przejrzysty i transparentny. Pierwszym produktem tego projektu jest Consensus Assessments Initiative Questionnaire (CAIQ) prosty kwestionariusz dostępny w formie arkusza zawierający zestaw pomocnych dla konsumenta lub audytora pytań, które można zadać dostawcy usług 27

28 Trusted Cloud Initiative 28

29 Trusted Cloud Initiative 29

30 Trusted Cloud Initiative 30

31 Trusted Cloud Initiative 31

32 Trusted Cloud Initiative Trusted Cloud Initiative pomaga dostawcom chmury w rozwoju prac nad zapewnieniem bezpiecznego i interoperacyjnego zarządzania tożsamością, dostępem, zgodnością. TCI dostarcza model referencyjny, materiały szkoleniowe, kryteria dla certyfikacji oraz narzędzia dla dostawców usług w chmurze służace do samooceny. TCI został stworzony w neutralny dla dostawców sposób. TCI może służyć zarówno jako metodologia jak i zestaw narzędzi dla architektów bezpieczeństwa i ekspertów zarządzających ryzykiem wspierający ich w ocenie i analizie ryzyka i systemu kontroli zaimplementowanych u dostawcy oraz w planowaniu spełnienia wymagań w zakresie bezpieczeństwa 32

33 CloudAudit 6A Celem CloudAudit (Automated Audit, Assertion, Assessment, and Assurance) jest dostarczenie wspólnego interfejsu i nazewnictwa, które umożliwią dostawcom oraz autoryzowanym odbiorcom usług w zautomatyzowany sposób dokonać procesu audytu, oceny, potwierdzenia i zapewnienia udostępnianych/wykorzystywanych przez nich środowisk (IaaS, PaaS, SaaS). CloudAudit jest wynikiem działań międzynarodowej grupy roboczej powstałej w styczniu 2010 roku złożonej z przedstawicieli największych firm dostarczających usługi w modelu chmury, integratorów chmury, firm doradczych i audytorskich 33

34 Security Trust & Assurance Registry Cloud Security Alliance (CSA) uruchomił nową inicjatywę zachęcającą do transparentności rozwiązań i praktyk z zakresu bezpieczeństwa stosowanych przez dostawcę usług w chmurze. CSA Security, Trust & Assurance Registry (STAR) jest darmowym, publicznie dostępnym rejestrem dokumentującym mechanizmy kontrolne stosowane w różne rozwiązaniach opartych na modelu cloud computing. Dzięki temu potencjalni odbiorcy usług mogą ocenić w jaki sposób dostawcy zarządzają ryzykiem i bezpieczeństwem w oferowanych przez siebie usługach. CSA STAR jest częścią CSA Open Certification Framework branżowej inicjatywy aby przyznawać dostawcom usług w chmurze globalne, akredytowane, zaufane certyfikaty 34

35 Open Certification Framework CSA Open Certification Framework jest elastycznym, przyrostowym i wielowarstwowym programem certyfikacyjnym zgodnym z przewodnikiem CSA i celami kontrolnymi zdefiniowanymi w zakresie CSA GRC (Governance, Risk and Compliance) Projekt integruje powszechne programy certyfikacyjne prowadzone przez zaufane trzecie strony oraz mapuje wymagania uznanych norm, standardów oraz najlepszych praktyk z zakresu bezpieczeństwa i nadzoru IT. Obejmuje swoim zakresem CSA Security, Trust and Assurance Registry (STAR), ocenę zaufanej trzeciej strony oraz ciągłe monitorowanie 35

36 Open Certification Framework 36

37 Open Certification Framework Poziom 1 Samoocena STAR Dostawcy usług mogą przedstawić 2 różne typy raportów potwierdzających zgodność z wymaganiami najlepszych praktyk wskazanych przez CSA oraz uznanych norm i standardów (m.in. ISO/IEC 27001:2007, PCI DSS, COBIT). 37

38 Open Certification Framework Poziom 1 Samoocena STAR W pierwszym poziomie programu STAR wzięły udział 22 rozwiązania oferowane w modelu chmury m.in. firm Amazon, HP, Microsoft, Symantec, Telecom Italia, Verizon 38

39 Open Certification Framework Poziom 2 Certyfikacja STAR Ocena niezależnego audytora (BSI) Głównym założeniem poziomu 2 jest wykorzystanie wymagań ISO/IEC 27001:2007 zintegrowanych z wymaganiami Cloud Control Matrix ( CCM ) w celu dokonania oceny poziomu dojrzałości organizacji i stosowanego przez nią systemu kontroli wewnętrznej. Dodatkową korzyścią jest dostarczenie potencjalnemu odbiorcy usługi narzędzia wspomagającego proces oceny i wyboru dostawcy. 39

40 Open Certification Framework Poziom 3 Ciągły monitoring i doskonalenie Program STAR opiera się na cyklu Deminga zwanym również modelem PDCA (ang. Plan-Do-Check-Act), który zapewnia proces ciągłego monitoringu i doskonalenia wdrożonych mechanizmów kontrolnych i procesów. 40

41 Open Certification Framework Harmonogram OCF Poziom 1 już jest dostępny Ocena niezależnego audytora 1 kwartał 2013 Certyfikacja STAR dla dostawców - 2 kwartał 2013 Poziom 3 - nie wcześniej niż 2015 r. 41

42 Cloud Security Alliance Polska Dziękuję za uwagę Linkedin Grupa Cloud Security Alliance Polska Marcin Fronczak CCSK, CIA, CISA, CRISC 42