LE BEST PRACTICE DI CLOUD SECURITY E L'INNOVAZIONE (CASB) DEL MODELLO CLOUD ACCESS SECURITY BROKERS

Transcript

1 1 LE BEST PRACTICE DI CLOUD SECURITY E L'INNOVAZIONE DEL MODELLO CLOUD ACCESS SECURITY BROKERS (CASB) Alberto Manfredi Presidente alberto.manfredi@csaitaly.it Roma, 5 Aprile 2017

2 Cloud Security Alliance International CSA ( nasce nel 2009 con lo scopo di promuovere l utilizzo di best practice, certificazione e formazione per la sicurezza di sistemi e servizi Cloud Computing professionisti nella community +80 Capitoli Nazionali +330 Soci Corporate (tra i quali Google, Amazon WS, Microsoft ) 3 Regioni/Sedi: CSA America (Seattle) CSA APAC (Singapore), CSA EMEA (Edimburgo) +30 Aree di Studio e Linee Guida (IoT, Mobile, BigData, Blockchain & Distributed Ledgers, Incident Management & Forensics, Legal, Virtualization, Open API, Quantum-safe security, Cluod Audit, Top Threats, Containers & Microservices, ) Riconosciuta a livello internazionale come associazione di riferimento nel mercato Cloud Security, collabora con Governi, Istituti di Ricerca ed Enti internazionali (NIST, UE DG, ETSI, ENISA, ) 2

3 Cloud Security Alliance Italy Chapter CSA Italy è una associazione no-profit (2011), capitolo Italiano di Cloud Security Alliance, nasce con lo scopo di promuovere l utilizzo di best practice per la sicurezza dei sistemi Cloud nel mercato italiano +670 professionisti nella community +5 Aree di Studio: Interoperabilità-Portabilità-Sicurezza Applicativa, IoT, Training, Legal & Privacy, SOC-SIEM +14 affiliazioni e collaborazioni: Clusit, Assintel, DFA, Afcea Roma, ISC2 Italy, Owasp Italy, AIIC, Anorc, Istituto Italiano Privacy, ItSMF Italia, GUFPI-ISMA, Club R2GS Europe, Oracle Community for Security, ISCOM-CERT Nazionale, AGID (Agenzia per l Italia Digitale) +24 Sponsor ( ): Allied Telesis, CA, Gemalto-SafeNet, Axway, Fata Informatica, Oracle, ACTIA Italia, Trend Micro, Itway, NIS-DGS, BSI Italia, G-Data, Elastico, Paradigma, prpl Foundation, GENERAL COMPUTER, CLOUD4DEFENCE, FORTINET, BIP CyberSec, SEEWEB, FASTWEB, FORCEPOINT, QUALYS, LEONARDO 3

4 Cloud Access Security Brokers (CASB) Contesto I CASB possono essere definiti dei punti di controllo che si frappone tra gli utenti e il fornitore Cloud in modo da intervenire nell applicazione delle politiche di sicurezza aziendale nel momento in cui si accede alle risorse in Cloud 4 L adozione di nuovi servizi esterni all azienda implica una minore capacità di controllo sulle loro effettive performance e stabilità offerte dai fornitori (tipicamente di Cloud pubblico) ed espone l azienda a potenziali rischi di cyber attacchi o perdita di dati. La gestione ed esecuzione dei servizi applicativi e memorizzazione dei dati al di fuori dei perimetri aziendali aumenta il possibile impatto causato da comportamenti non idonei da parte di utenti o amministratori di sistema che possono, volontariamente o involontariamente, portare ad accessi indesiderati, perdita o manipolazione di informazioni sensibili.

5 CASB Mercato I sistemi CASB stanno emergendo come «control point» per i servizi Cloud pubblici. Malgrado siano attualmente poco utilizzati (5%) gli analisti stimano che l adozione crescerà sino all 85% entro il 2020 (Ricerca CSA-SkyHigh) 5 22 % Conoscenza non precisa dei sistemi CASB 64 % delle aziende conoscono i CASB 42 % Conoscenza puntuale dei sistemi CASB 36 % Non al corrente della loro esistenza Gestione degli accessi Rilevamento di minacce interne 57 % 87 % Prevenzione della perdita dei dati 74 % Crittografia dei dati 83%

6 CASB Macro funzionalità 6 Le funzionalità fornite dai CASB sono generalmente classificate in quattro aree principali che sono in grado di indirizzare una grande quantità di punti attenzione nell adozione di sistemi di Cloud pubblico Visibilità Individuazione dei servizi Cloud non gestiti (shadow IT) Creazione di una visione consolidata dei servizi e dei dati utilizzati dagli utenti Misurazione dell affidabilità dei CSP (security posture assessment ) Compliance Controllo della compliance dei dati e della loro gestione secondo leggi e standard Identificazione dei rischi relativi a specifici servizi Cloud Sicurezza dei dati Miglioramento delle policy di sicurezza sui dati per prevenire attività non autorizzate Applicazione delle policy mediante i controlli audit, alert, block, quarantine e delete Integrazione della funzione di data-centric audit and protection (DCAP) Protezione dalle minacce Identificazione di comportamenti anomali degli utenti (EUBA) Identificazione di accessi non autorizzati ad applicazioni e dati Identificazione e prevenzione di attacchi di tipo «Cloud-native»

7 CASB Architettura logica I CASB forniscono importanti punti di integrazione con l esistente layer di sicurezza aziendale gestendo lo IAM, il riuso di DLP policy, l integrazione con chiavi di encryption locali, etc. 7 Dispositivi mobili e dati Traffico reindirizzato dagli utenti ai servizi Cloud Perimetro aziendale Enterprise Integration Traffico diretto al Cloud IT compliance Sicurezza dei dati Visibilità delle attività Protezione minacce Integrazione aziendale Traffico reindirizzato Accesso via API IaaS PaaS SaaS

8 Modelli di deployment CASB Soluzione Proxy-based La soluzione in-line proxy verifica e filtra gli utenti e i dispositivi conosciuti attraverso un singolo gateway. Il proxy può effettuare azioni di sicurezza real-time attraverso il suo singolo checkpoint 8 SaaS Utenti, dispositivi e dati CASB In-line proxy Protezione per dispositivi e utenti conosciuti Integrazione col sistema di sicurezza aziendale Perimetro aziendale

9 Modelli di deployment CASB Soluzione API-based La soluzione API-based (Out-of-Band) non segue lo stesso percorso di rete dei dati e permette l integrazione diretta con i servizi Cloud senza causare un degradamento delle performance 9 Utenti, dispositivi e dati Accesso diretto ai servizi Cloud CASB API-based IaaS PaaS SaaS Integrazione col sistema di sicurezza aziendale Visibilità Compliance Sicurezza dei dati Protezione da minacce Perimetro aziendale

10 CASB Modelli a confronto 10 API Deployment Proxy Deployment Integra CASB API-based Duplica CASB In-line proxy Visibilità Tutti i tipi di traffico Solo su utenti e i dispositivi gestiti Compliance Supporta la certificazione di HIPAA, PCI DSS e di altri mandati di data governance Supporta la compliance solo per gli utenti gestiti e i dati in transito Modelli Cloud Assicura tutti i modelli di servizio (IaaS, PaaS, SaaS) Assicura solo Saas Controllo accessi Integrazione con servizi di Identity as a service (IDaaS) Supporto incorporato nel proxy Data loss prevention In grado di scansionare archivi Cloud esistenti Nessuna capacità di scansionare archivi Cloud esistenti Scalabilità Nessun particolare limite di scalabilità Capacità del proxy da gestire per evitare latenza Scansione Identifica l'utilizzo di applicazioni autorizzate e non Identifica l'utilizzo di applicazioni autorizzate e non

11 CSA Italy Quali best practice per l adozione CASB? Le aziende incrementeranno lo spostamento delle loro funzioni business-critical e i loro dati sensibili sul Cloud pubblico spingendo fortemente l adozione dei sistemi CASB 11 + Creazione di uno studio «vendor agnostic» per favorire la diffusione della conoscenza dei sistemi CASB nelle aziende Definizione delle policy di sicurezza aziendali necessarie per l adozione di sistemi Cloud attraverso i CASB Disegno di un architettura CASB multimodale in grado di supportare sia il modello API-based che quello proxybased Definizione di line guida per la scelta dei sistemi CASB sulla base dell attuale portfolio applicativo +

12 Cloud Security Best Practices Certificazione Cloud Provider CSA STAR (Security Trust & Assurance) è la «prima» certificazione al mondo sulla sicurezza dei servizi cloud computing 12 CSA STAR è un iniziativa di mercato (non ISO) lanciata nel 2011 che consente ai Cloud Service Provider di ottenere una certificazione internazionale sull affidabilità, sicurezza e trasparenza dei propri Servizi Cloud Lo schema di certificazione prevede un integrazione tra la norma ISO27001:2013 e la CSA Cloud Control Matrix (CCM) con cui vengono aggiunti dei controlli specifici sulla sicurezza cloud (16 Aree di Controllo, 136 controlli nella ver. 3.0) E possibile utilizzare anche un questionario derivato dai controlli CCM chiamato CAIQ (Consensus Assessments Initiative Questionnaire) Prime aziende italiane certificate STAR: Poste Italiane (Poste Cert), TIM (Hosting Evoluto), Fastweb (Fast Cloud) +200 aziende certificate nel mondo

13 Cloud Security Best Practices Certificazione Professionisti CCSK (Certificate of Cloud Security Knowledge) è la «prima» certificazione sulle competenze in Cloud Security ccsk.cloudsecurityalliance.org CSA CCSK certifica le conoscenze di base sia tecniche sia metodologiche per implementare e gestire la sicurezza informatica nelle architetture Cloud Computing. Manuali di riferimento (gratuiti): Security Guidance for Critical Areas of Focus in Cloud Computing, V3 di CSA e Cloud Computing: Benefits, Risks and Recommendations for Information Security di ENISA (European Network and Information Security Agency 13

14 14 Articolo CSA Italy sul CASB: GRAZIE CSA CSA Italy