La sicurezza nel cloud: problema o opportunità?

Transcript

1 La sicurezza nel cloud: problema o opportunità? XXV Convegno AIEA - Settembre 2011 Mariangela Fagnani IBM

2 Agenda Cloud Security: problemi e rischi Come rendere sicuro il cloud computing Sicurezza nei diversi modelli di Cloud Sicurezza dal Cloud: il nuovo paradigma Conclusioni Case history

3 Agenda Cloud Security: problemi e rischi Come rendere sicuro il cloud computing Sicurezza nei diversi modelli di Cloud Sicurezza dal Cloud: il nuovo paradigma Conclusioni Case history

4 La sicurezza è una delle maggiori preoccupazioni nel cloud computing Recenti studi mostrano che la sicurezza e il principale inibitore per le aziende nell adozione delle tecnologie cloud. Quali sono percepite come barriere attuali o potenziali per l'acquisizione di servizi public cloud? Security/privacy of company data 69 % Service quality Doubts about true cost savings Performance / Insufficient responsiveness over network Difficulty integrating with in-house IT Percent rating the factor as a significant barrier (4 or 5) Respondents could select multiple items 47 % 54 % 53 % 52 % Source: IBM Market Insights, Cloud Computing Research, July n=1,090 Source: Oliver Wyman Interviews 4

5 I rischi introdotti con il cloud computing Restrizioni imposte dalle normative di settore sull uso del cloud per alcune applicazioni Potenziale aumento delle esposizioni durante la migrazione degli workloads verso una infrastruttura condivisa Data Security Dove si trovano e dove sono archiviate le informazioni, chi ha accesso ad esse e ai backups, come vengono monitorate e gestite, inclusa la resiliency Minor Controllo Controlli necessari per gestire firewall e configurazioni di sicurezza per le applicazioni e gli ambienti runtime nel cloud Security Management Preoccupazioni sull alta affidabilità e perdita del servizio in caso di interruzione Compliance Reliability Private Clouds Rischi nei modelli di delivery di cloud privato, pubblico e ibrido Public Clouds

6 Agenda Cloud Security: problemi e rischi Come rendere sicuro il cloud computing Sicurezza nei diversi modelli di Cloud Sicurezza dal Cloud: il nuovo paradigma Conclusioni Case history

7 Il cloud puo essere reso sicuro per il business Come con la maggior parte dei paradigmi delle nuove tecnologie, i problemi di sicurezza che coinvolgono il cloud computing sono diventati i più discussi inibitori di un utilizzo diffuso. Per guadagnare la fiducia delle aziende, i servizi di cloud devono fornire livelli di sicurezza e privacy che soddisfano o superano ciò che è disponibile nei tradizionali ambienti IT. Allo stesso modo in cui le tecnologie (PC, outsourcing, Internet) di trasformazione del passato hanno superato le preoccupazioni delle aziende. Traditional IT Security and Privacy Expectations Trust In the Cloud 7

8 Il Cloud computing mette alla prova i limiti dell infrastruttura e della gestione della sicurezza Security and Privacy Domains People and Identity Data and Information Application and Process Network, Server and Endpoint Physical Infrastructure Governance, Risk and Compliance To cloud Multiple Logins, Onboarding Issues Multi-tenancy, Shared Resources External Facing, Quick Provisioning Virtualization, Reduced Access Provider Controlled, Lack of Visibility Audit Silos, Logging Difficulties In un ambiente cloud, gli accessi si ampliano, le responsabilità e i controlli cambiano, ed aumenta la velocita del provisioning delle risorse e delle applicazioni con impatti su tutti gli aspetti della sicurezza IT. 8

9 Agenda Cloud Security: problemi e rischi Come rendere sicuro il cloud computing Sicurezza nei diversi modelli di Cloud Sicurezza dal Cloud: il nuovo paradigma Conclusioni Case history

10 Differenti modelli di delivery del cloud cambiano anche il modo con cui affrontare la sicurezza Private cloud Infrastrutture cloud (on o off site) utilizzate esclusivamente per un azienda e gestiti dall'organizzazione stessa o da una terza parte Hybrid IT Ambienti IT tradizionali e clouds (public e/o private) che restano separati ma sono legati insieme dalla tecnologia che abilita la trasferibilita dei dati e delle applicazioni Public cloud A disposizione del pubblico in generale o di un grande gruppo industriale e di proprieta di una organizzazione di vendita di servizi cloud Cambiamenti per Security e Privacy Cliente responsabile dell infrastruttura Maggior personalizzazione dei controlli di sicurezza Buona visibilità delle operazioni day-to-day Facilità di accesso a logs e policies Fornitore responsabile dell infrastruttura Minor personalizzazione dei controlli di sicurezza No visibilità delle operazioni day-to-day Difficoltà di accesso a logs e policies 10

11 L approccio e quello di sviluppare la sicurezza in linea con ogni fase di un progetto o di una iniziativa cloud Design Deploy Consume Definire la strategia e il piano d implementazione per migrare in cloud. Costruire servizi cloud, per l azienda e/o come cloud services provider. Gestire e ottimizzare consumi di servizi cloud. Cloud Security Approach Secure by Design Focus sull inclusione della security nella costruzione del cloud. Workload Driven Rendere sicure le risorse cloud con features e prodotti innovativi. Service Enabled Governare il cloud attraverso la gestione della sicurezza e degli workflow. Example security capabilities Cloud security roadmap Network threat protection Server security Database security Application security Virtualization security Endpoint protection Configuration and patch management Identity and access management Secure cloud communications Manage and monitor security 11

12 Stanno emergendo modelli di riferimento per sviluppare con successo iniziative cloud: ogni modello e caratterizzato da specifiche problematiche di sicurezza Infrastructure as a Service (IaaS): Ridurre i costi e la complessità dell IT attraverso cloud data centers Platform-as-a-Service (PaaS): Accelerare time to market con servizi di piattaforma in cloud Innovare i business models diventando un cloud service provider Software as a Service (SaaS): Ottenere accesso immediato ad applicazioni di business on cloud Cloud Enabled Data Center Cloud Platform Services Cloud Service Provider Business Solutions on Cloud Integrated service management, automation, provisioning, self service Pre-built, pre-integrated IT infrastructures tuned to application-specific needs Advanced platform for creating, managing, and monetizing cloud services Capabilities provided to consumers for using a provider s applications Key security focus: Infrastructure Key security focus: Data and Information Key security focus: Governance and Compliance Key security focus: Applications and Identity Manage datacenter identities Secure virtual machines Patch default images Monitor logs on all resources Defend network threats Secure shared databases Encrypt private information Build secure applications Keep an audit trail Integrate existing security Isolate cloud tenants Secure portals and APIs Manage security operations Build compliant data centers Offer backup and resiliency Harden exposed web apps Securely federate identity Deploy access controls Encrypt communications Manage application policies 12

13 Esempio - Rendere sicuro l accesso ai public clouds Accesso sicuro, a livello globale, alle applicazioni Software as a Service. Business Solutions on Cloud French Energy Company Business challenge Il cliente richiede l accesso sicuro usando una soluzione centralizzata di identity management alle applicazioni SaaS public incluse le applicazioni Google app e Salesforce.com. Key security requirements Soluzione di strong authentication per un accesso sicuro e federato all infrastruttura cloud Provision e de-provision di utenti nel registro dei cloud providers Security solutions Federated Identity Manager Identity Manager Hosted in an IBM environment 13

14 Agenda Cloud Security: problemi e rischi Come rendere sicuro il cloud computing Sicurezza nei diversi modelli di Cloud Sicurezza dal Cloud: il nuovo paradigma Conclusioni Case history

15 Il nuovo paradigma cosa sono i Cloud-based Security Services?? Security for the Cloud Security from the Cloud Aiutare le aziende che iniziano il loro percorso verso il cloud con rilevanti esperienze di sicurezza Cloud-based Security Services (aka Hosted Security or Security SaaS): l erogazione delle funzionalità del software di sicurezza avviene attraverso un modello di subscription su Internet. Il cliente non diventa proprietario dell applicazione ma invece fa il subscribes ad una soluzione erogata remotamente. Vantaggi di una soluzione Cloud-based Security : Capacità di proteggere gli utenti e di sfruttare le funzioni di security intelligence di livello globale Basso investimento iniziale e bassi costi di implementazione Minori costi on going di gestione operativa Maggior velocita di implementazione e ritorno dell investimento Capacità di standardizzare la sicurezza su una singola piattaforma Liberare le risorse per concentrarsi su obiettivi prioritari per il business dell azienda

16 Alcuni esempi di Cloud Security Services integrati e innovativi Threat Mitigation Service Name security Web security Security Event & Log Management Description washing machine for s washing machine for Web traffic Log event collection and archival Options AntiVirus, AntiSpam, Image Control, Content Control AntiVirus, Anti Spyware, URL Filtering Standard : no alerting Select : automated alerting Cloud Security Services Vulnerability Management X-Force Threat Analysis Application Security Management Ongoing internal and external vulnerabilty assessments, regulation compliance (PCI) Internet Threat analysis Service identify and prioritize Web application security risks in applications that are in pre-production or production environments tests for common Web application vulnerabilities including Cross-Site Scripting, Buffer Overflow, and new flash/flex application and Web 2.0 exposure scans. scan and detect embedded Malware in web properties providing further protection against cyber-attacks. Internal Scanning External Scanning Filtering of vulnerabilities Pre-production application scanning Production application scanning Compliance policy scanning Easy Sourcing options - no on-site security infrastructure required - vendor neutral Flexible payment models - subscription based, price per logical unit (user, device) Off-the-shelf 24x7 services - up and running in a matter of weeks, not months On demand global coverage highly scalable, virtualized and secure infrastructure Fully integrated Virtual SOC - Compliance Dashboard and Threat portal

17 La distribuzione e l interconnessione dei Security Operations Centers (SOC) a livello globale garantisce la continuita dei servizi cloud 9 security operations centers 9 security research centers 133 monitored countries 30,000+ devices under contract 3,800+ MSS clients worldwide 9 billion+ events per day

18 Nuove minacce e complessita crescente: il desiderio di controllare i costi sta alimentando la crescita di Security as a Service Security as a Service attrae le piccole aziende tanto quanto le aziende più grandi,. per tre ragioni 1. Efficienza dei costi: Security as a service puo fornire la sicurezza ad un costo inferiore in particolare per le piccole imprese. 2. Efficacia: i fornitori di Security-as-a-service, gestendo i controlli di sicurezza di più clienti, identificano più velocemente nuove minacce o vulnerabilità. Poiché il fornitore di Security as-a-service è anche il fornitore della tecnologia sottostante che implementa i controlli di sicurezza, i clienti ricevono aggiornamenti e correzioni di problemi non appena sono disponibili, eliminando lunghi processi di gestione o di auto-provisioning per implementare gli aggiornamenti dei controlli di sicurezza. 3. Flessibilità:. Security as a service può essere acquistato come opex, piuttosto che attraverso spese in conto capitale. Utilizzando la modalità Security as a service, si puo Source: 2009 Wave X SWG Buying Occasion Study; Key Issues for Technology Providers: Security Markets, 2010, facilmente Gartner March modificare 9, 2010; Growth dove Trends e in come Security viene as a Service, gestita Gartner, la August 2010 sicurezza. Growth Areas through to 2015 Security as a Service Security Function Hosted Secure Gateway Hosted Secure Web Gateway Hosted Vulnerability Scanning Management Hosted Security Info, Event, Mmgt (SIEM) Security Threat Intelligence & Vulnerability data Cloud Managed Identity Application Security Assessment & Testing % Security as a Service Delivery Source: 2009 Wave X SWG Buying Occasion Study; Key Issues for Technology Providers: Security Markets, 2010, Gartner March 9, 2010; Growth Trends in Security as a Service, Gartner, August 2010

19 Agenda Cloud Security: problemi e rischi Come rendere sicuro il cloud computing Sicurezza nei diversi modelli di Cloud Sicurezza dal Cloud: il nuovo paradigma Conclusioni Case history

20 Conclusioni Il Cloud Computing sta accelerando il modo in cui le aziende proteggono le loro informazioni critiche, spostando il focus dalla sicurezza dell endpoint e della rete, ad una protezione olistica dei dati Il Cloud puo fornire maggiore sicurezza al patrimonio informativo in quanto richiede di eseguire riflessioni in merito a come impostare gli aspetti di Security e Compliance dei dati e dei servizi sia da parte del cliente che da parte del fornitore Garantire la sicurezza negli ambienti Cloud richiede specifiche: Metodologie Processi e organizzazione Infrastrutture Competenze Certificazioni Service Level Agreements Il Cloud Computing puo fornire Servizi di Sicurezza (SaaS) con i seguenti benefici: Basso investimento iniziale e bassi costi di implementazione Minori costi di gestione operativa Maggior velocita di implementazione e ritorno dell investimento Anche le piccole aziende possono benificiare di servizi di sicurezza innovativi, al pari di grandi aziende Il Cloud puo essere piu sicuro degli ambienti tradizionali, per i seguenti motivi: Servizi di sicurezza specializzati per gli workload Maggiori risorse per la sicurezza Security as Service: le migliori tecnologie ad un costo accettabile Competenze

21 IBM continua gli investimenti nella ricerca, nei test e nel documentare gli approcci sempre piu focalizzati sulla cloud security IBM Research Speciale focalizzazione della ricerca sui temi di cloud security IBM X-Force Informazioni proattive sulle minacce emergenti Customer Councils Feedback dai clienti che adottano il cloud Standards Participation Client-focused open standards e interoperabilità IBM Institute for Advanced Security Collaborazione tra il mondo accademico, le aziende, i governi e la comunità tecnica IBM 21

22 Da dove cominciare? - Best Practices per implementare la Cloud Security IBM Cloud Security Guidance document Based on cross-ibm research, customer interaction and ISO security standards Highlights a series of best practice controls that should be implemented Broken into 7 critical infrastructure components: Building a Security Program Confidential Data Protection Implementing Strong Access and Identity Application Provisioning and De-provisioning Cloud Security Whitepaper Trust needs to be achieved, especially when data is stored in new ways and in new locations, including for example different countries. This paper is provided to stimulate discussion by looking at three areas: What is different about cloud? What are the new security challenges cloud introduces? What can be done and what should be considered further? Governance Audit Management Vulnerability Management Testing and Validation stracts/redp4614.html 03.ibm.com/press/us/en/attachment/ wss?fileId=ATTACH_FILE1&fi lename= _us%20cloud%20computing% 20White%20Paper_Final_LR.pdf

23 Agenda Cloud Security: problemi e rischi Come rendere sicuro il cloud computing Sicurezza nei diversi modelli di Cloud Sicurezza dal Cloud: il nuovo paradigma Conclusioni Case history

24 Case history: Cloud Security Assessment Obiettivo Il Cliente chiede il supporto di IBM per valutare la robustezza della sua architettura di sicurezza, dei processi e delle policy associati alla soluzione Cloud. L obiettivo è quello di determinare i potenziali rischi associati ai servizi IT identificando i controlli più appropriati per ridurre o eliminare rischi Approccio Si è condotta una analisi del rischio, attraverso interviste e penetration test a livello infrastrutturale, valutando l infrastruttura Cloud rispetto alle best practices esistenti, partendo dagli obiettivi di sicurezza del Cliente Nel seguito vengono presentate le principali aree di attenzione emerse Benefici Evidenza delle esposizioni da indirizzare Roadmap per migrare ad un ambiente cloud in linea con gli obiettivi di sicurezza e la strategia di business dell azienda

25 Case history: Cloud Security Assessment Metodologia Intraprendere un percorso evolutivo verso il cloud non significa stravolgere i propri processi di analisi del rischio : la metodologia utilizzata non viene rivoluzionata, ma viene estesa a nuovi domini: 1. Si classificano i servizi Cloud secondo il concetto di workload (E ancora un processo data driven) 2. Si trovano i gap fra l architettura Cloud esistente e l architettura ideale per il workload in esame i requisiti di business le normative vigenti 3. Capire quali erano i controlli esistenti e quali ancora da sviluppare Source: Picture from Security Guidance for Critical Areas of Focus in CC from CSA

26 Case history: Cloud Security Assessment Finding 1: Dove dobbiamo tracciare la linea della sicurezza? Dai primi workshop sul Cloud Computing emerge che il cliente associa la sicurezza del cloud alla sicurezza negli ambienti virtualizzati Ci sono altri domini da prendere in considerazione come: L infrastruttura di provisioning Lo storage Il patch management Il controllo accessi Federato La sicurezza delle applicazioni La corretta profilatura sul management dell infrastruttura

27 Case history: Cloud Security Assessment Finding 2: Affrontare un nuovo paradigma con un mindset inadeguato Il cliente vuole applicare lo stesso approccio di sicurezza e gli stessi controlli utilizzati in passato per il suo IT tradizionale C e una carenza di conoscenza ed esperienza su come gestire ambienti virtuali/multi tenant Nuovi componenti necessitano di nuovi controlli di sicurezza come: MORE COMPONENTS = MORE EXPOSURE? Certificazioni esterne come i Common Criteria Features di sicurezza offerte direttamente dalla tecnologia adottata (ex: firewall, hardening predefinito, DoS mitigation) Prodotti specifici integrati direttamente con l hypervisor Patching

28 Case history: Cloud Security Assessment Finding 3: Focus solo su parte dell infrastruttura Il cliente pone grande attenzione alla segregazione dei flussi dati fra le varie VM grazie a VLAN, FW ed encryption; L assunzione è che i dati at rest sono all interno delle VM o protetti anche a livello SAN Service A Criticity 1 Service A Criticity 3 Service B Criticity 3 L infrastruttura Storage è cresciuta isolata all interno dell IT con un focus solo sulla disponibilità e la resilienza Gli Auditor e gli esperti di sicurezza hanno trattato lo storage solo come spazio disco disponibile per VM

29 Case history: Cloud Security Assessment In conclusione Operare una Risk Analysis in un ambiente cloud significa estendere la metodologia esistente piuttosto che cambiarla La Risk Analysis deve prendere in considerazione la tipologia di workload, il tipo di delivery model utilizzato (IASS, PASS SAAS), il business value per il cliente La sicurezza nel Cloud non si deve limitare alla sicurezza dell infrastruttura Virtuale Bisogna mantenere sempre un approccio olistico e non focalizzarsi solo sulle tecnologie nuove od emergenti in via di adozione

30 Domande?? 30