Focus on Cloud Security

Matteo Cavallini

(ISC)2 Meeting - 7 novembre 2011, Roma

EAC - Le architetture ICT nell'era del cloud - 24 Maggio 2011, Roma

Matteo Cavallini ULS MEF/Consip

La cloud security in una slide

(ISC)2 Meeting, 7 novembre 2011, Roma

Matteo Cavallini ULS MEF/Consip

Le preoccupazioni - 1

Fonte ENISA Novembre 2009

Fonte Ponemon Institute Aprile 2011

(ISC)2 Meeting, 7 novembre 2011, Roma

Matteo Cavallini ULS MEF/Consip

I riferimenti

(ISC)2 Meeting, 7 novembre 2011, Roma

Matteo Cavallini ULS MEF/Consip

I riferimenti

(ISC)2 Meeting, 7 novembre 2011, Roma

Matteo Cavallini ULS MEF/Consip

I riferimenti

(ISC)2 Meeting, 7 novembre 2011, Roma

Matteo Cavallini ULS MEF/Consip

I riferimenti

(ISC)2 Meeting, 7 novembre 2011, Roma

Matteo Cavallini ULS MEF/Consip

I riferimenti

(ISC)2 Meeting, 7 novembre 2011, Roma

Matteo Cavallini ULS MEF/Consip

Punto 1: cos' una cloud?

CARATTERISTICA DEFINIZIONE Lutente ha la facolt, unilaterale, di approvvigionarsi di risorse On demand self-service computazionali, come ad esempio tempo macchina e storage di rete, automaticamente, senza che ci sia la necessit di una interazione umana con i fornitori del servizio. Le risorse sono accessibili via rete attraverso meccanismi Broad network access standard che promuovono luso di piattaforme client eterogenee (ad esempio smartphone, laptop, PDA, ecc.) Le risorse computazionali del fornitore sono messe in comune per servire molteplici utenti, usando uno schema multi-cliente, che gestisce risorse fisiche e virtuali dinamicamente assegnate e riassegnate, in accordo con le indicazioni degli utenti. Gli utenti, Resource pooling in alcuni casi, possono avere la facolt di indicare la locazione fisica delle risorse, ma solo a un elevato livello di astrazione (ad esempio Stato o data center). Per risorse si intendono: lo storage, le capacit elaborative, la memoria, le capacit di rete e le macchine virtuali.

(ISC)2 Meeting, 7 novembre 2011, Roma

Matteo Cavallini ULS MEF/Consip

Punto 1: cos' una cloud?

Le risorse sono in grado di essere allocate rapidamente ed elasticamente, in alcuni casi automaticamente, per soddisfare, in Rapid elasticity maniera veloce, le maggiori o minori richieste degli utenti. Gli utenti hanno limpressione che le risorse disponibili siano illimitate e che possano essere acquistate in qualsiasi quantit e in qualsiasi momento. I sistemi cloud controllano automaticamente e ottimizzano lutilizzo delle risorse tramite strumenti di misura basati su Measured service adeguati livelli di astrazione (ad esempio storage, capacit elaborativa, banda, e account utente attivi). Lutilizzo delle risorse pu essere monitorato, controllato ed elaborato, in piena trasparenza sia per il provider sia per lutente del servizio.

(ISC)2 Meeting, 7 novembre 2011, Roma

Matteo Cavallini ULS MEF/Consip

Punto 2: chi sono gli attori?

(ISC)2 Meeting, 7 novembre 2011, Roma

Matteo Cavallini ULS MEF/Consip

Punto 3: chi il responsabile?

(ISC)2 Meeting, 7 novembre 2011, Roma

Matteo Cavallini ULS MEF/Consip

Punto 3: chi il responsabile?

(ISC)2 Meeting, 7 novembre 2011, Roma

Matteo Cavallini ULS MEF/Consip

E in Italia che succede?

Il Garante privacy, ha pubblicato: Indicazioni per l'utilizzo consapevole dei servizi Consip, ha pubblicato il Quaderno : Cloud Security: una sfida per il futuro

(ISC)2 Meeting, 7 novembre 2011, Roma

Matteo Cavallini ULS MEF/Consip

E in Italia che succede?

E' nata Cloud Security Alliance-Italy Chapter https://chapters.cloudsecurityalliance.org/italy/

Tema di ricerca: Portabilit, Interoperabilit e Sicurezza Applicativa

(ISC)2 Meeting, 7 novembre 2011, Roma

Matteo Cavallini ULS MEF/Consip

Dopo questa lunga carrellata di informazioni l'ora di fare qualche valutazione pi specifica...

(ISC)2 Meeting, 7 novembre 2011, Roma

Matteo Cavallini ULS MEF/Consip

Le valutazioni i rischi
Rischio
Contrattualistica non sempre adeguata Impossibilit di negoziare termini contrattuali Legge applicabile e foro competente Mancato rispetto normativa sulla privacy Riflessi di azioni giudiziarie su altri clienti Perdita di governance Lock-in Indisponibilit di un servizio o di un provider Compromissione sicurezza dei dati delle caratteristiche di

Public A A A A A A A A A A

Commun. EXt M M B A A M A A A A

Commun. INt B M B A A B A A A A

Private B B B M A B A M A A

Compromissione della sicurezza di rete

Legenda: A=Molto rilevante; M=Mediamente rilevante; B=Poco rilevante; Community-INT= Community Cloud posseduta, ubicata e gestita internamente Community-EXT= Community Cloud posseduta, ubicata e gestita da terzi

(ISC)2 Meeting, 7 novembre 2011, Roma

Matteo Cavallini ULS MEF/Consip

Rischio 4 Mancato rispetto privacy

La normativa in materia di protezione dei dati personali non nata pensando ad uno scenario di tipo cloud Le classifiche figure prevista dalla normativa (Titolare, responsabile e incaricato) si adattano male al cloud Alcune previsioni normative nazionali (ad es. Amministratori di sistema) sono difficilmente realizzabili nelle cloud Il problema dei problemi... la distribuzione geografica dei data center

(ISC)2 Meeting, 7 novembre 2011, Roma

Matteo Cavallini ULS MEF/Consip

Rischio 7 - Lock-in
Ogni Cloud Service Consumer dovrebbe essere in grado di:

cambiare il proprio Cloud Service Provider (CSP) riportare al proprio interno il servizio se gestito da un CSP esterno affidare a un CSP esterno un servizio gestito internamente nella propria cloud privata

(ISC)2 Meeting, 7 novembre 2011, Roma

Matteo Cavallini ULS MEF/Consip

Rischio 8 - Indisponibilit
Questo rischio da considerare particolarmente insidioso per almeno tre buone ragioni:

Le cloud, per le loro caratteristiche, creano un falso senso di resilienza intrinseca che pu trarre in inganno Senza opportune contromisure i rischi che si corrono, soprattutto in presenza di servizi a valore aggiunto sono molto elevati (il caso Amazon esemplare) Le problematiche legate alle subforniture complicano il quadro in maniera esponenziale perch inseriscono elementi che non possono essere adeguatamente controllati

(ISC)2 Meeting, 7 novembre 2011, Roma

Matteo Cavallini ULS MEF/Consip

Rischio 9 Compromissione sicurezza dei dati

La madre di tutti i rischi... come abbiamo ricordato le pi grandi preoccupazioni sono tutte su questo rischio. Giusto alcune pillole: Reale isolamento tra le risorse virtualizzate Compromissione delle interfacce di management Reale cancellazione dei dati Gestione delle identit Ricordare che, nel mondo cloud, anche gli aspetti di sicurezza sono regolati da clausole, SLA e penali che quindi devono essere attentamente valutati anche da chi si occupa di sicurezza.
(ISC)2 Meeting, 7 novembre 2011, Roma Matteo Cavallini ULS MEF/Consip

Rischio 10 Compromissione sicurezza rete

La rete il modo con cui si accede ai dati e alle applicazioni nel mondo cloud, evidente che i rischi correlati alla sicurezza e alla qualit delle network devono essere attentamente valutati. Le principali contromisure che devono essere valutate sono: La cifratura L'autenticazione forte Politiche a garanzia della qualit dei servizi di rete Ridondanza dei collegamenti

(ISC)2 Meeting, 7 novembre 2011, Roma

Matteo Cavallini ULS MEF/Consip

Le raccomandazioni
La definizione di una strategia di approccio al cloud La definizione dei requisiti

La valutazione degli SLA

(ISC)2 Meeting, 7 novembre 2011, Roma

Matteo Cavallini ULS MEF/Consip

Le raccomandazioni

Il Piano della sicurezza

La gestione degli incidenti

La continuit dei servizi

(ISC)2 Meeting, 7 novembre 2011, Roma

Matteo Cavallini ULS MEF/Consip

E a proposito di incidenti...
Cloud & Cybercrime Le cloud incontrano il cybercrime secondo almeno tre direttrici: le cloud sono un target per i cybercriminali le cloud forniscono strumenti ai cybercriminali le cloud sono un modello di business

(ISC)2 Meeting, 7 novembre 2011, Roma

Matteo Cavallini ULS MEF/Consip

E a proposito di incidenti...
Cloud & Cybercrime

(ISC)2 Meeting, 7 novembre 2011, Roma

Matteo Cavallini ULS MEF/Consip

E a proposito di incidenti...
Cloud & Cybercrime

(ISC)2 Meeting, 7 novembre 2011, Roma

Matteo Cavallini ULS MEF/Consip

Una prima risposta...

(ISC)2 Meeting, 7 novembre 2011, Roma

Matteo Cavallini ULS MEF/Consip

Grazie per lattenzione

matteo.cavallini@tesoro.it

(ISC)2 Meeting, 7 novembre 2011, Roma

Matteo Cavallini ULS MEF/Consip