CLOUD COMPUTING - La sicurezza nel Cloud: problema o ...

30
XXV Convegno Nazionale AIEA La sicurezza nel cloud: problema o opportunità? XXV Convegno AIEA - Settembre 2011 Mariangela Fagnani – IBM

Transcript of CLOUD COMPUTING - La sicurezza nel Cloud: problema o ...

Page 1: CLOUD COMPUTING - La sicurezza nel Cloud: problema o ...

XXV Convegno Nazionale AIEA

La sicurezza nel cloud: problema o opportunità?

XXV Convegno AIEA - Settembre 2011Mariangela Fagnani – IBM

Page 2: CLOUD COMPUTING - La sicurezza nel Cloud: problema o ...

XXV Convegno Nazionale AIEA

Agenda

Cloud Security: problemi e rischi

Come rendere sicuro il cloud computing

Sicurezza nei diversi modelli di Cloud

Sicurezza dal Cloud: il nuovo paradigma

Conclusioni

Case history

Page 3: CLOUD COMPUTING - La sicurezza nel Cloud: problema o ...

XXV Convegno Nazionale AIEA

Agenda

Cloud Security: problemi e rischi

Come rendere sicuro il cloud computing

Sicurezza nei diversi modelli di Cloud

Sicurezza dal Cloud: il nuovo paradigma

Conclusioni

Case history

Page 4: CLOUD COMPUTING - La sicurezza nel Cloud: problema o ...

XXV Convegno Nazionale AIEA

4

La sicurezza è una delle maggiori preoccupazioni nel cloud computing…

69%

54%

53%

52%

47%

Security/privacy of company data

Service quality

Doubts about true cost savings

Performance / Insufficient responsiveness over

networkDifficulty integrating

with in-house ITPercent rating the factor as a significant barrier (4 or 5)

Respondents could select multiple items

Source: IBM Market Insights, Cloud Computing Research, July 2009. n=1,090

Quali sono percepite come barriere attuali o potenziali per l'acquisizione di servizi public cloud ?

Recenti studi mostrano che la sicurezza e’ il principale inibitore per le aziendenell’adozione delle tecnologie cloud.

Source: Oliver Wyman Interviews

Page 5: CLOUD COMPUTING - La sicurezza nel Cloud: problema o ...

XXV Convegno Nazionale AIEA

I rischi introdotti con il cloud computing

MinorControllo

DataSecurity

Security Management

Compliance Reliability

Controlli necessari per gestire firewall e

configurazioni di sicurezzaper le applicazioni e gli

ambienti runtime nel cloud

Preoccupazionisull’alta affidabilità e perdita del servizio in caso di interruzione

Potenziale aumento delleesposizioni durante la

migrazione degli workloads verso una infrastruttura

condivisa

Restrizioni impostedalle normative di

settore sull’uso del cloud per alcune

applicazioni

Private Clouds Public Clouds

Rischi nei modelli di delivery di cloud privato, pubblico e

ibrido

Dove si trovano e dove sono archiviate le informazioni, chi ha accesso ad esse e ai backups,

come vengono monitorate e gestite, inclusa la resiliency

Page 6: CLOUD COMPUTING - La sicurezza nel Cloud: problema o ...

XXV Convegno Nazionale AIEA

Agenda

Cloud Security: problemi e rischi

Come rendere sicuro il cloud computing

Sicurezza nei diversi modelli di Cloud

Sicurezza dal Cloud: il nuovo paradigma

Conclusioni

Case history

Page 7: CLOUD COMPUTING - La sicurezza nel Cloud: problema o ...

© 2011 IBM Corporation

XXV Convegno Nazionale AIEA

Il cloud puo’ essere reso sicuro per il business

7

Come con la maggior parte dei paradigmi delle nuove tecnologie, i problemi di sicurezza che coinvolgono il cloudcomputing sono diventati i più discussiinibitori di un utilizzo diffuso.Per guadagnare la fiducia delle aziende, i servizi di cloud devono fornire livelli di sicurezza e privacy che soddisfano o superano ciò che è disponibile nei tradizionali ambienti IT.Allo stesso modo in cui le tecnologie (PC, outsourcing, Internet) di trasformazione del passato hanno superato le preoccupazioni delle aziende.

Trust

Traditional IT In the Cloud

Security and PrivacyExpectations

Page 8: CLOUD COMPUTING - La sicurezza nel Cloud: problema o ...

© 2011 IBM Corporation

XXV Convegno Nazionale AIEA

Il Cloud computing mette alla prova i limiti dell’infrastruttura e dellagestione della sicurezza

8

People and Identity

Application and Process

Network, Server and Endpoint

Data and Information

Physical Infrastructure

Governance, Risk and Compliance

Security and Privacy Domains

Multiple Logins, Onboarding Issues

Multi-tenancy, Shared Resources

Audit Silos, Logging Difficulties

Provider Controlled, Lack of Visibility

Virtualization, Reduced Access

External Facing, Quick Provisioning

To cloud

In un ambiente cloud, gli accessi si ampliano, le responsabilità e i controllicambiano, ed aumenta la velocita’ del provisioning delle risorse e delleapplicazioni – con impatti su tutti gli aspetti della sicurezza IT.

Page 9: CLOUD COMPUTING - La sicurezza nel Cloud: problema o ...

© 2011 IBM Corporation

XXV Convegno Nazionale AIEA

Agenda

Cloud Security: problemi e rischi

Come rendere sicuro il cloud computing

Sicurezza nei diversi modelli di Cloud

Sicurezza dal Cloud: il nuovo paradigma

Conclusioni

Case history

Page 10: CLOUD COMPUTING - La sicurezza nel Cloud: problema o ...

© 2011 IBM Corporation

XXV Convegno Nazionale AIEA

Differenti modelli di delivery del cloud cambiano anche il modo con cui affrontare la sicurezza

10

Private cloud Public cloudInfrastrutture cloud (on o off site) utilizzate esclusivamente per un’azienda e gestiti dall'organizzazione stessa o da una terza parte

A disposizione del pubblico in generale o di un grande

gruppo industriale e di proprieta’ di una

organizzazione di vendita di servizi cloud

Hybrid ITAmbienti IT tradizionali e clouds (public e/oprivate) che restano separati ma sono legati

insieme dalla tecnologia che abilita la trasferibilita’ dei dati e delle applicazioni

− Cliente responsabile dell’infrastruttura− Maggior personalizzazione dei controlli di sicurezza− Buona visibilità delle operazioni day-to-day− Facilità di accesso a logs e policies

− Fornitore responsabile dell’infrastruttura− Minor personalizzazione dei controlli di sicurezza− No visibilità delle operazioni day-to-day− Difficoltà di accesso a logs e policies

Cambiamenti perSecurity e Privacy

Page 11: CLOUD COMPUTING - La sicurezza nel Cloud: problema o ...

© 2011 IBM Corporation

XXV Convegno Nazionale AIEA

L’approccio e’ quello di sviluppare la sicurezza in linea con ogni fasedi un progetto o di una iniziativa cloud

Design Deploy ConsumeDefinire la strategia e ilpiano d implementazioneper migrare in cloud.

Costruire servizi cloud , per l’azienda e/o come cloudservices provider.

Gestire e ottimizzareconsumi di servizi cloud.

Examplesecuritycapabilities

Cloud security roadmap

Network threat protection

Server security

Database security

Application security

Virtualization security

Endpoint protection

Configuration and patch management

Identity and access management

Secure cloud communications

Manage and monitor security

Secure by DesignFocus sull’inclusione dellasecurity nella costruzionedel cloud.

Workload DrivenRendere sicure le risorsecloud con features e prodotti innovativi.

Service EnabledGovernare il cloud attraverso la gestione dellasicurezza e degli workflow.

CloudSecurity Approach

11

Page 12: CLOUD COMPUTING - La sicurezza nel Cloud: problema o ...

© 2011 IBM Corporation

XXV Convegno Nazionale AIEA

Capabilities provided to consumers for using a provider’s applications

Key security focus:Applications and Identity

Harden exposed web appsSecurely federate identityDeploy access controlsEncrypt communicationsManage application policies

Integrated service management, automation, provisioning, self service

Key security focus:Infrastructure

Manage datacenter identities Secure virtual machinesPatch default imagesMonitor logs on all resourcesDefend network threats

Pre-built, pre-integrated IT infrastructures tuned to application-specific needs

Key security focus:Data and Information

Secure shared databasesEncrypt private information Build secure applicationsKeep an audit trailIntegrate existing security

Advanced platform for creating, managing, and monetizing cloud services

Key security focus:Governance and Compliance

Isolate cloud tenantsSecure portals and APIsManage security operationsBuild compliant data centersOffer backup and resiliency

Stanno emergendo modelli di riferimento per sviluppare con successoiniziative cloud: ogni modello e’ caratterizzato da specifiche problematiche disicurezza

Cloud Enabled Data Center Cloud Platform Services Cloud Service Provider Business Solutions on Cloud

12

Infrastructure as a Service (IaaS): Ridurre i costi e la complessitàdell’IT attraverso cloud data centers

Platform-as-a-Service (PaaS): Accelerare time to market con servizi dipiattaforma in cloud

Innovare ibusiness models diventando un cloud service provider

Software as a Service (SaaS): Ottenereaccesso immediatoad applicazioni dibusiness on cloud

Page 13: CLOUD COMPUTING - La sicurezza nel Cloud: problema o ...

© 2011 IBM Corporation

XXV Convegno Nazionale AIEA

Esempio - Rendere sicuro l’accesso ai public clouds

13

Accesso sicuro, a livello globale , alleapplicazioni Software as a Service .

Il cliente richiede l’accesso sicuro usando una soluzionecentralizzata di identity management alle applicazioni SaaSpublic – incluse le applicazioni Google app e Salesforce.com.

Business challenge

• Federated Identity Manager• Identity Manager

Security solutions

• Soluzione di strong authentication per un accessosicuro e federato all’infrastruttura cloud

• Provision e de-provision di utenti nel registro dei cloud providers

Key security requirements

Hosted in an IBM environment

French Energy Company

Business Solutions on CloudBusiness Solutions on Cloud

Page 14: CLOUD COMPUTING - La sicurezza nel Cloud: problema o ...

© 2011 IBM Corporation

XXV Convegno Nazionale AIEA

Agenda

Cloud Security: problemi e rischi

Come rendere sicuro il cloud computing

Sicurezza nei diversi modelli di Cloud

Sicurezza dal Cloud: il nuovo paradigma

Conclusioni

Case history

Page 15: CLOUD COMPUTING - La sicurezza nel Cloud: problema o ...

© 2011 IBM Corporation

XXV Convegno Nazionale AIEA

Security for the Cloud Security from the Cloud

Il nuovo paradigma… cosa sono i Cloud-based Security Services ??

Cloud-based Security Services (aka Hosted Security or Security SaaS): l’erogazione dellefunzionalità del software di sicurezza avvieneattraverso un modello di subscription suInternet. Il cliente non diventa proprietariodell’applicazione ma invece fa il ‘subscribes’ ad una soluzione erogata remotamente.

Aiutare le aziende che iniziano il loropercorso verso il cloud con rilevantiesperienze di sicurezza

Vantaggi di una soluzione Cloud-based Security :– Capacità di proteggere gli utenti e di sfruttare le funzioni di security intelligence di livello globale– Basso investimento iniziale e bassi costi di implementazione– Minori costi on going di gestione operativa – Maggior velocita’ di implementazione e ritorno dell’investimento – Capacità di standardizzare la sicurezza su una singola piattaforma– Liberare le risorse per concentrarsi su obiettivi prioritari per il business dell’azienda

Page 16: CLOUD COMPUTING - La sicurezza nel Cloud: problema o ...

© 2011 IBM Corporation

XXV Convegno Nazionale AIEA

Alcuni esempi di Cloud Security Services integrati e innovativi

AntiVirus, AntiSpam, Image Control, Content Control„washing machine“ for eMailseMail security

Cloud SecurityServices

AntiVirus, Anti Spyware, URL Filtering„washing machine“ for Web trafficWeb security

Standard : no alertingSelect : automated alerting

Log event collection and archivalSecurity Event & Log Management

Internal ScanningExternal Scanning

Ongoing internal and external vulnerabilty assessments, regulation compliance (PCI)

Vulnerability Management

Filtering of vulnerabilitiesInternet Threat analysis ServiceX-Force Threat Analysis

Pre-production application scanning

Production application scanning

Compliance policy scanning

identify and prioritize Web application security risks in applications that are in pre-production or productionenvironmentstests for common Web application vulnerabilities including Cross-Site Scripting, Buffer Overflow, and new flash/flex application and Web 2.0 exposure scans. scan and detect embedded Malware in web properties providing further protection against cyber-attacks.

Application Security Management

Description OptionsThreat Mitigation Service Name

Easy Sourcing options - no on-site security infrastructure required - vendor neutralFlexible payment models - subscription based, price per logical unit (user, device)Off-the-shelf 24x7 services - up and running in a matter of weeks, not monthsOn demand global coverage – highly scalable, virtualized and secure infrastructureFully integrated Virtual SOC - Compliance Dashboard and Threat portal

Page 17: CLOUD COMPUTING - La sicurezza nel Cloud: problema o ...

© 2011 IBM Corporation

XXV Convegno Nazionale AIEA

La distribuzione e l’interconnessione dei Security Operations Centers (SOC) a livello globale garantisce la continuita’ dei servizi cloud

9 security operations

centers

9 securityresearchcenters

133monitoredcountries

30,000+devices under

contract

3,800+MSS clientsworldwide

9 billion+eventsper day

Page 18: CLOUD COMPUTING - La sicurezza nel Cloud: problema o ...

© 2011 IBM Corporation

XXV Convegno Nazionale AIEA

Source: 2009 Wave X SWG Buying Occasion Study; Key Issues for Technology Providers: Security Markets, 2010, Gartner March 9, 2010; Growth Trends in Security as a Service, Gartner, August 2010

1. Efficienza dei costi: Security as a service puo’ fornire la sicurezza ad un costo inferiore in particolare per le piccole imprese.

2. Efficacia: i fornitori di Security-as-a-service, gestendo i controlli di sicurezza di più clienti, identificano piùvelocemente nuove minacce o vulnerabilità. Poiché il fornitore di Security as-a-service è anche il fornitore della tecnologia sottostante che implementa i controlli di sicurezza, i clienti ricevono aggiornamenti e correzioni di problemi non appena sono disponibili, eliminando lunghi processi di gestione o di auto-provisioning per implementare gli aggiornamenti dei controlli di sicurezza.

3. Flessibilità:. Security as a service può essere acquistato come opex, piuttosto che attraverso spese in conto capitale. Utilizzando la modalità Security as a service, si puo’facilmente modificare dove e come viene gestita la sicurezza.

3020Application Security Assessment & Testing

255Cloud Managed Identity

8060Security Threat Intelligence &

Vulnerability data

153Hosted Security Info, Event, Mmgt (SIEM)

5025Hosted Vulnerability Scanning Management

405Hosted Secure Web Gateway

Growth Areas through to 2015 “Security as a Service”

30

2010

% Security as a Service Delivery

Hosted Secure email Gateway

Security Function

50

2015

Security as a Service attrae le piccole aziendetanto quanto le aziende più grandi, …. per tre

ragioni

Nuove minacce e complessita’ crescente: il desiderio di controllare i costi sta alimentando la crescita di “Security as a Service”

Source: 2009 Wave X SWG Buying Occasion Study; Key Issues for Technology Providers: Security Markets, 2010, Gartner March 9, 2010; Growth Trends in Security as a Service, Gartner, August 2010

Page 19: CLOUD COMPUTING - La sicurezza nel Cloud: problema o ...

© 2011 IBM Corporation

XXV Convegno Nazionale AIEA

Agenda

Cloud Security: problemi e rischi

Come rendere sicuro il cloud computing

Sicurezza nei diversi modelli di Cloud

Sicurezza dal Cloud: il nuovo paradigma

Conclusioni

Case history

Page 20: CLOUD COMPUTING - La sicurezza nel Cloud: problema o ...

© 2011 IBM Corporation

XXV Convegno Nazionale AIEA

ConclusioniIl Cloud Computing sta accelerando il modo in cui le aziende proteggono le loro informazioni critiche, spostando il focus dalla sicurezza dell’ endpoint e della rete, ad una protezione olistica dei dati

Il Cloud puo’ fornire maggiore sicurezza al patrimonio informativo in quanto richiede di eseguire riflessioniin merito a come impostare gli aspetti di Security e Compliance dei dati e dei servizi sia da parte del cliente che da parte del fornitore

Garantire la sicurezza negli ambienti Cloud richiede specifiche:– Metodologie – Processi e organizzazione– Infrastrutture – Competenze– Certificazioni– Service Level Agreements

Il Cloud Computing puo’ fornire Servizi di Sicurezza (SaaS) con i seguenti benefici:– Basso investimento iniziale e bassi costi di implementazione– Minori costi di gestione operativa– Maggior velocita’ di implementazione e ritorno dell’investimento

Anche le piccole aziende possono benificiare di servizi di sicurezza innovativi , al pari di grandi aziende

Il Cloud puo’ essere piu’ sicuro degli ambienti tradizionali, per i seguenti motivi:– Servizi di sicurezza specializzati per gli workload– Maggiori risorse per la sicurezza– Security as Service: le migliori tecnologie ad un costo accettabile– Competenze

Page 21: CLOUD COMPUTING - La sicurezza nel Cloud: problema o ...

© 2011 IBM Corporation

XXV Convegno Nazionale AIEA

IBM continua gli investimenti nella ricerca, nei test e neldocumentare gli approcci sempre piu’ focalizzati sulla cloud security

21

IBM ResearchSpeciale focalizzazione della ricerca sui temi di cloud security

IBM X-ForceInformazioni proattive sulle minacce emergenti

Customer CouncilsFeedback dai clienti che adottano il cloud

Standards ParticipationClient-focused open standards e interoperabilità

IBM Institute for Advanced SecurityCollaborazione tra il mondo accademico, le aziende, i governi e la comunità tecnica IBM

Page 22: CLOUD COMPUTING - La sicurezza nel Cloud: problema o ...

© 2011 IBM Corporation

XXV Convegno Nazionale AIEA

Da dove cominciare? - Best Practices per implementare la Cloud Security

IBM Cloud Security Guidance documentBased on cross-IBM research, customer

interaction and ISO security standards

Highlights a series of best practice controls that should be implemented

Broken into 7 critical infrastructure components:

– Building a Security Program

– Confidential Data Protection

– Implementing Strong Access and Identity

– Application Provisioning and De-provisioning

– Governance Audit Management

– Vulnerability Management

– Testing and Validation

http://www.redbooks.ibm.com/abstracts/redp4614.html

Cloud Security WhitepaperTrust needs to be achieved, especially when datais stored in new ways and in new locations, including for example different countries.

This paper is provided to stimulate discussion by looking at three areas:

– What is different about cloud? – What are the new security challenges cloud

introduces? – What can be done and what should be considered

further?

http://www-03.ibm.com/press/us/en/attachment/32799.wss?fileId=ATTACH_FILE1&fileName=10-0861_US%20Cloud%20Computing%20White%20Paper_Final_LR.pdf

Page 23: CLOUD COMPUTING - La sicurezza nel Cloud: problema o ...

© 2011 IBM Corporation

XXV Convegno Nazionale AIEA

Agenda

Cloud Security: problemi e rischi

Come rendere sicuro il cloud computing

Sicurezza nei diversi modelli di Cloud

Sicurezza dal Cloud: il nuovo paradigma

Conclusioni

Case history

Page 24: CLOUD COMPUTING - La sicurezza nel Cloud: problema o ...

© 2011 IBM Corporation

XXV Convegno Nazionale AIEA

ObiettivoIl Cliente chiede il supporto di IBM per valutare la robustezza della sua architettura di

sicurezza, dei processi e delle policy associati alla soluzione Cloud.L’obiettivo è quello di determinare i potenziali rischi associati ai servizi IT

identificando i controlli più appropriati per ridurre o eliminare rischi

Si è condotta una analisi del rischio, attraverso interviste e penetration test a livello infrastrutturale, valutando l’infrastruttura Cloud rispetto alle best practicesesistenti, partendo dagli obiettivi di sicurezza del ClienteNel seguito vengono presentate le principali aree di attenzione emerse

Approccio

Case history: Cloud Security Assessment

Evidenza delle esposizioni da indirizzareRoadmap per migrare ad un ambiente cloud in linea con gli obiettivi di sicurezza e la strategia di business dell’azienda

Benefici

Page 25: CLOUD COMPUTING - La sicurezza nel Cloud: problema o ...

© 2011 IBM Corporation

XXV Convegno Nazionale AIEA

Case history: Cloud Security Assessment

MetodologiaIntraprendere un percorso evolutivo verso il cloud non significa stravolgere i propri processi di

analisi del rischio : la metodologia utilizzata non viene rivoluzionata, ma viene estesa a nuovi domini:

1. Si classificano i servizi Cloud secondo il concetto di workload (E’ ancora un processo data driven)

2. Si trovano i gap fra l’architettura Cloud esistente el’architettura ideale per il workload in esamei requisiti di business le normative vigenti

3. Capire quali erano i controlli esistenti e quali ancora da sviluppare

Source: Picture from Security Guidance for Critical Areas of Focus in CC from CSA

Page 26: CLOUD COMPUTING - La sicurezza nel Cloud: problema o ...

© 2011 IBM Corporation

XXV Convegno Nazionale AIEA

Case history: Cloud Security Assessment

Finding 1: Dove dobbiamo tracciare la linea della sicurezza?

Dai primi workshop sul Cloud Computing emerge che il cliente associa la sicurezza del cloud alla sicurezza negli ambienti virtualizzati

Ci sono altri domini da prendere in considerazione come:

– L’infrastruttura di provisioning

– Lo storage

– Il patch management

– Il controllo accessi Federato

– La sicurezza delle applicazioni

– La corretta profilatura sul management dell’infrastruttura

Page 27: CLOUD COMPUTING - La sicurezza nel Cloud: problema o ...

© 2011 IBM Corporation

XXV Convegno Nazionale AIEA

Finding 2: Affrontare un nuovo paradigma con un mindset inadeguato

Il cliente vuole applicare lo stesso approccio di sicurezza e gli stessi controlli utilizzati in passato per il suo IT tradizionale

C’e’ una carenza di conoscenza ed esperienza su come gestire ambienti virtuali/multi tenant

MORE COMPONENTS = MORE EXPOSURE?Nuovi componenti necessitano di nuovi controlli di sicurezza come:Certificazioni esterne come i Common CriteriaFeatures di sicurezza offerte direttamente dalla tecnologia adottata (ex: firewall,

hardening predefinito, DoS mitigation)Prodotti specifici integrati direttamente con l’hypervisorPatching

Case history: Cloud Security Assessment

Page 28: CLOUD COMPUTING - La sicurezza nel Cloud: problema o ...

© 2011 IBM Corporation

XXV Convegno Nazionale AIEA

Finding 3: Focus solo su parte dell’infrastruttura

Il cliente pone grande attenzione alla segregazione dei flussi dati fra le varie VM grazie a VLAN, FW ed encryption;L’assunzione è che i dati “at rest” sono all’interno delle VM o protetti anche a livello SAN

Service ACriticity 3

Service B Criticity 3

Service ACriticity 1

•L’ infrastruttura Storage è cresciuta isolata all’interno dell’IT con un focus solo sulla disponibilità e la resilienza

• Gli Auditor e gli esperti di sicurezza hanno trattato lo storage solo come “spazio disco”disponibile per VM

Case history: Cloud Security Assessment

Page 29: CLOUD COMPUTING - La sicurezza nel Cloud: problema o ...

© 2011 IBM Corporation

XXV Convegno Nazionale AIEA

Case history: Cloud Security Assessment

In conclusione

Operare una Risk Analysis in un ambiente cloud significa estendere la metodologia esistente piuttosto che cambiarla

La Risk Analysis deve prendere in considerazione la tipologia di workload, il tipo di delivery model utilizzato (IASS, PASS SAAS), il business value per il cliente

La sicurezza nel Cloud non si deve limitare alla sicurezza dell’infrastruttura Virtuale

Bisogna mantenere sempre un approccio olistico e non focalizzarsi solo sulle tecnologie nuove od emergenti in via di adozione

Page 30: CLOUD COMPUTING - La sicurezza nel Cloud: problema o ...

© 2011 IBM Corporation

XXV Convegno Nazionale AIEA

30

Domande??