Rozganianie czarnych chmur - bezpieczeństwo cloud
Transkrypt
Rozganianie czarnych chmur - bezpieczeństwo cloud
IMMUSEC Sp. z o.o. Rozganianie czarnych chmur – bezpieczeństwo cloud computing z perspektywy audytora Jakub Syta, CISA, CISSP Warszawa 28 luty 2011 © 2011 IMMUSEC Sp. z o.o. 1 Oberwanie chmury • Jak wynika z badania Mimecast Cloud Adoption Survey, 74 proc. firm uważa, że korzystanie z cloud computing pozwoliło im na bardziej wydajne wykorzystanie zasobów, 73 proc. udało się obniżyć koszty użytkowania infrastruktury, a 72 proc. zauważyło wzrost satysfakcji użytkowników. • Równocześnie aż 62 proc. firm wskazywało, że wciąż obawiają o bezpieczeństwo danych, a 54 proc. ma wątpliwości odnośnie faktycznych zysków z wdrożenia rozwiązań bazujących na cloud computing. • Do najpopularniejszych usług cloud computing stosowanych w firmach należy poczta elektroniczna oraz przechowywanie danych. © 2011 IMMUSEC Sp. z o.o. 2 IMMUSEC Sp. z o.o. Gartner Top 10 3 © 2011 IMMUSEC Sp. z o.o. Czarne chmury 1. Nadużycia oraz nikczemne wykorzystywanie przetwarzania w chmurze 2. Niebezpieczne interfejsy i API 3. Nieuczciwi pracownicy 4. Problemy dotyczące współdzielonych technologii 5. Utrata lub wyciek danych 6. Przechwycenia konta lub usługi 7. Nieznany profil ryzyka Źródło: CSA, Top Threats to Cloud Computing V1.0, Marzec 2010 © 2011 IMMUSEC Sp. z o.o. 4 IMMUSEC Sp. z o.o. Drapacze chmur • Cloud Security Alliance • Certyficate of Cloud Security Knowledge • Trusted Cloud Initiative • ISACA Audit programs: Cloud Computing Management Audit/Assurance Program © 2011 IMMUSEC Sp. z o.o. 5 Rozganianie czarnych chmur Security Guidance for Critical Areas of Focus in Cloud Computing V2.1 http://www.cloudsecurityalliance.org/csaguide.pdf Sekcja I: Architektura chmur Sekcja III Operacje w chmurach Domena 1: Ramy dla architektury Domena 7: Tradycyjne cloud computing bezpieczeństwo, Ciągłość funkcjonowania oraz odtwarzanie po katastrofie Sekcja II: Nadzór nad chmurami Domena 8: Operacje w centrach Domena 2: Nadzór oraz danych zarządzanie ryzykiem Domena 9: Reagowanie na przedsiębiorstwa incydenty, powiadamianie Domena 3: Zagadnienia i naprawianie prawne(Legal and Electronic Domena 10: Bezpieczeństwo Discovery) aplikacji Domena 4: Zgodność i audyt Domena 11: Szyfrowania Domena 5: Zarządzanie cyklem i zarządzanie kluczami życia informacji Domena 12: Zarządzanie Domena 6: Interoperacyjność tożsamością i dostępem i możliwość przenoszenia Domena 13: Wirtualizacja © 2011 IMMUSEC Sp. z o.o. 6 IMMUSEC Sp. z o.o. Czekam na wiatr, co rozgoni czarne skłębione zasłony CSA Cloud Control Matrix 1.1 http://www.cloudsecurityalliance.org/ Blisko 100 punktów kontrolnych podzielonych na 11 kategorii: 1. Zgodność 2. Nadzór nad danymi 3. Bezpieczeństwo pomieszczeń 4. Bezpieczeństwo personelu 5. Bezpieczeństwo informacji 6. Kwestie prawne 7. Zarządzanie operacjami 8. Zarządzanie ryzykiem 9. Zarządzanie wydaniami 10. Odporność 11. Architektura bezpieczeństwa © 2011 IMMUSEC Sp. z o.o. 7 1.Zgodność • W jaki sposób możemy audytować usługi? • Jakie wymagania regulacyjne oraz biznesowe zostały zdefiniowane? Jak jest zapewniane ich przestrzeganie? • Jak zapewniana jest zgodność z licencjami oprogramowania? © 2011 IMMUSEC Sp. z o.o. 8 IMMUSEC Sp. z o.o. 2.Nadzór nad danymi • Kto jest właścicielem przetwarzanych danych? • Jak są sklasyfikowane i oznaczone? • Jak długo należy je przechowywać? Jak będą niszczone? • Czy dane produkcyjne są wykorzystywane w innych środowiskach? • Jakie mechanizmy zapewniają by nie było wycieku danych? © 2011 IMMUSEC Sp. z o.o. 9 3.Bezpieczeństwo pomieszczeń • Jak wyglądają procedury dostępu do pomieszczeń w których przetwarzane są dane? • Jak przebiega proces autoryzacji dostępu? • Jakie zabezpieczenia fizyczne chronią dostęp do pomieszczeń? • Jakie są procedury wynoszenia sprzętu poza podstawową lokalizację? © 2011 IMMUSEC Sp. z o.o. 10 IMMUSEC Sp. z o.o. 4.Bezpieczeństwo personelu • Jak prześwietla się przyszłych i obecnych pracowników? • Jakie klauzule bezpieczeństwa zawiera umowa? • Jak rozwiązuje się umowy? © 2011 IMMUSEC Sp. z o.o. 11 5.Bezpieczeństwo informacji • Czy jest wdrożony program ISMS? • Jak wygląda zaangażowanie kierownictwa w aspekty bezpieczeństwa? • Czy istnieje (i jest zakomunikowana) polityka bezpieczeństwa? • Jak wygląda procedura zarządzania dostępami? • Czy są prowadzone szkolenia z zakresu bezpieczeństwa? • Czy wdrożono segregację obowiązków? • Jak wygląda bezpieczeństwo materiału kryptograficznego? • Jak zarządza się aktualizacjami i podatnościami? • Jak wyglądają procesy zarządzania incydentami, zasobami, nośnikami danych, • Jakie zabezpiecza się stacje robocze oraz serwery? • Jak zabezpieczona jest sieć? © 2011 IMMUSEC Sp. z o.o. 12 IMMUSEC Sp. z o.o. 6.Kwestie prawne • Jakie zapisy dotyczące bezpieczeństwa są obecne w umowach? • Jak wyglądają klauzule dotyczące poufności oraz odpowiedzialności pomiędzy stronami? © 2011 IMMUSEC Sp. z o.o. 13 7.Zarządzanie operacjami • Czy są opracowane procedury operacyjne dotyczące zarządzania zwirtualizowanymi maszynami oraz ich hostami? Jak wygląda dostęp do tych informacji? • Jak zarządza się pojemnością? © 2011 IMMUSEC Sp. z o.o. 14 IMMUSEC Sp. z o.o. 8.Zarządzanie ryzykiem • Jak szacuje się ryzyko? • Jak identyfikuje się luki w mechanizmach kontrolnych? • Jak wygląda procedura akceptacji ryzyka? • Jak badany jest wpływ ryzyk związanych z zewnętrznymi dostawcami? © 2011 IMMUSEC Sp. z o.o. 15 9.Zarządzanie wydaniami • Jak wprowadza się zmiany do istniejących systemów? • Jak wygląda proces wdrażania nowego oprogramowania? • Jak wprowadza się zmiany na środowisko produkcyjne? • Jak testuje się jakość i bezpieczeństwo wprowadzanych rozwiązań? • Jak zapewnia się bezpieczeństwo rozwiązań dostarczanych przez zewnętrzne firmy? © 2011 IMMUSEC Sp. z o.o. 16 IMMUSEC Sp. z o.o. 10.Odporność • Jak zarządza się odpornością systemów na zakłócenia funkcjonowania? • Jak wygląda analiza wpływu na biznes stosowanych rozwiązań? • Jak planuje się ciągłość funkcjonowania? • Jak testuje się ciągłość funkcjonowania? • Jak wyglądają zabezpieczenia przed ryzykami związanymi z przypadkowymi i celowymi zagrożeniami związanymi z siłami natury? • Jak przygotowane są centra awaryjne? Jak zabezpieczone są tam media? © 2011 IMMUSEC Sp. z o.o. 17 11.Architektura bezpieczeństwa • Jak wyglądają zabezpieczenia dostępu do danych? • Jak zapewniona jest integralność danych? • Jakie mechanizmy kontrolne zapewniają bezpieczeństwo aplikacji? • Czy poszczególne środowiska są odseparowane? Czy najważniejsze z systemów znajdują się na tym samym hoście? • Jak zabezpieczony jest dostęp do danych z hosta na wirtualną maszynę? • Jak wygląda topologia sieci, w tym połączenia z poszczególnymi VM? • Jak rozwiązana jest kwestia synchronizacji czasu? © 2011 IMMUSEC Sp. z o.o. 18 IMMUSEC Sp. z o.o. Przykładowe listy pytań kontrolnych 1. Przyczyna przeniesienia systemów z fizycznych na wirtualne 2. Szacowanie ryzyka 3. Zrozumienie infrastruktury i zabezpieczeń 4. Mapa sieci dla środowisk VM 5. Ocena polityk, procedur i dokumentacji 6. Ocena zabezpieczeń 7. Bezpieczeństwo sieci 8. Szyfrowanie transmisji 9. Logiczna kontrola dostępu 10. Usługi oraz konfiguracja 11. Współdzielenie plików pomiędzy hostem a gościem 12. Synchronizacja czasu 13. Wyłączanie nieużywanych urządzeń 14. Podejście do zdalnego zarządzania 15. Łatanie oprogramowania oraz podatności 16. Logi 17. Kopie zapasowe 18. Zabezpieczenie przed zewnętrznymi modyfikacjami 19. Denial of Service (DoS) 20. Różne Na podstawie: Chaudhuri A., Solms SH, Chaudhuri D., Auditing Security Risks in Virtual IT Systems, Journal 1/2011, ISACA 2011 © 2011 IMMUSEC Sp. z o.o. 19 Uważaj to nie chmury… • Od zawsze problemami było zabezpieczenie integralności, dostępności i integralności. Cloud computing nie niesie za sobą nic tak nadzwyczajnego z punktu widzenia bezpieczeństwa by z tego powodu odrzucać rozwiązanie • Zapewnienie bezpieczeństwa systemów wykorzystujących cloud computing jest trudniejsze lecz nie jest INNE • To wciąż nie rozwiązania cloud computing stanowią wyzwanie lecz skuteczność stosowanego nadzoru © 2011 IMMUSEC Sp. z o.o. 20 IMMUSEC Sp. z o.o. Z dużej chmury… Czy naprawdę nowe są kwestie: • zaufania do pracowników zewnętrznej firmy mających dostęp do danych? • współdziałanie systemów/aplikacji? • oprogramowania pośredniczącego? • zaufania dla poszczególnych elementów w środowisku? • kwestii prawnych (typu powierzenie danych osobowych)? • zgłaszania zapotrzebowania i rezygnowania usług? • dostępu fizycznego do danych? © 2011 IMMUSEC Sp. z o.o. 21 Bujanie w chmurach © 2011 IMMUSEC Sp. z o.o. 22 IMMUSEC Sp. z o.o. Leżeć w trawie, liczyć chmury Kluczowe czynniki sukcesu: • zaufanie do dostawcy • dobra umowa • wdrożenie dobrych praktyk zarządzania i nadzoru nad IT • wdrożenie podstawowych zasad bezpieczeństwa informacji • efektywny i skuteczny nadzór nad powyższymi punktami • rzeczywista potrzeba biznesowa © 2011 IMMUSEC Sp. z o.o. 23 © 2011 IMMUSEC Sp. z o.o. 24 IMMUSEC Sp. z o.o. Knowledge Village ul. Wiertnicza 141 02-952 Warszawa-Wilanów Tel. +48 22 3797470 Fax. +48 22 3797479 email: [email protected]