1 Cloud. Regie. Cases.2 Cloud security testen. Cloud is a security nightmare and it can't be handled in traditional ways. John Chambers - CEO Cisco Ma...
Cloud security testen. “Cloud is a security nightmare and it can't be handled in traditional ways.” John Chambers - CEO Cisco
Marinus Kuivenhoven Sr. Security Specialist
Cloud Cases | Regie |
2
Waarom Cloud Security Testen? Security - Nummer 1 reden om niet naar de cloud te gaan Verlies van controle - Informatie, logica en middelen bij de provider - IAM en auditing zijn in beheer van de provider Gebrek aan vertrouwen - Vertrouwen is risico nemen - Onafhankelijke gebruikers delen middelen
Cloud Cases | Regie |
3
Verlies van controle Premise
Hosted
IaaS
PaaS
SaaS
App
App
App
App
App
VM
VM
VM
Services
Services
Server
Server
Server
Server
Server
Storage
Storage
Storage
Storage
Storage
Network
Network
Network
Network
Network
Zelf
Samen
Provider
Cloud Cases | Regie |
4
Verlies van controle Eigen
Huur
Lease
Taxi
OV
Bediening
Bediening
Bediening
Bediening
Bediening
Route
Route
Route
Route
Route
Voertuig
Voertuig
Voertuig
Voertuig
Voertuig
Brandstof
Brandstof
Brandstof
Brandstof
Brandstof
Belasting
Belasting
Belasting
Belasting
Belasting
Zelf
Samen
“Provider”
Cloud Cases | Regie |
5
Bedreigingen voor Lease/Taxi/OV ► Voertuig raakt beschadigd
► Voertuig wordt gestolen ► ‘Rijbewijs’ is niet voorhanden ► Voertuig is defect ► Voertuig wordt gebruikt bij overval ► Voorziening is niet beschikbaar
CSA: Top 9 threats for cloud computing ► Data breaches.
► Data loss. ► Account Hijacking ► Insecure API’s ► Malicious Insiders ► Abuse of Cloud services
► Insufficient Due Diligence ► Shared Technology Issues https://downloads.cloudsecurityalliance.org/initiatives/top_threats/The_Notorious_Nine_Cloud_Computing_Top_Threats_in_2013.pdf
Cloud Cases | Regie |
7
Wat is security? Benodige maatregelen worden niet of niet correct gevraagd
Gevoel
Zekerheid
Realiteit
Cloud provider implementeerd de maatregelen niet of niet correct Cloud Cases | Regie |
8
Oorzaak onzekerheden in Cloud
Wens (Flaws)
Kunde
Behoefte
Bedenken
Beschrijven
Onduidelijk
Aannamen
Ambiguteit
Bouwen
Middelen
Beoordelen
Hergebruik
Benutten
Bewerken / Beeidigen
Implementatie (Bugs)
Cloud Cases | Regie |
9
Twee routes naar zekerheid Klopt mijn wens?, ‘testen van de wens’ De bedreiging is bekend. - In kaart brengen welke risico’s - Prioriteren en bijpassende maatregelen
Klopt mijn implementatie?, ‘testen van de implementatie’ De oplossing is reeds gekozen. - Voldoet cloud-implementatie aan de ‘flyer’ en mijn wens. - Adaptief testen en bijstellen van oplossing - Bepalen restrisico
Cloud Cases | Regie |
10
Cloud Security Testing Portfolio Azure I Amazon EC2 I IBM I Google Apps I Rackspace | VMWare
Factoren Boxbenadering: - Black box - Grey box - White box Omgevingsverschillen: - PaaS - IaaS - SaaS
Cloud Cases | Regie |
12
Scope van Cloud Security Testing
White
SaaS Grey
PaaS IaaS
Black
Automated
Manual Verification Vulnerability-test pentest
Cloud Cases | Regie |
13
Oorzaak onzekerheden in Cloud
?
Behoefte
?
Bedenken
?
Beschrijven
Onduidelijk Zekerheid Aannamen in de specificatie Ambiguteit
Kunde Zekerheid in Middelen de implementatie Hergebruik
Bouwen
Beoordelen
Benutten
?
?
?
Bewerken / Beeindigen
Cloud Cases | Regie |
14
Secure Cloud Development Lifecycle
Security Requirements
Abuse Cases
1
Implementatie
Configuratie & Code review
Threat models
3
Specificatie
2 1
Cloud Security Testen
2
Business Continuity Planning
3
Cloud Cases | Regie |
15
Cloud Security Testing First time right - Cloud Security Testing probeert de security problemen daar op te lossen waar zij ontstaan Opgedane cloud security ervaring - Secure development van op cloud gebaseerde informatiesystemen - Security assessment op een grote Windows Azure implementatie - Security assessment op de overheidscloud provider - DDoS resilence testing van een cloud provider Cloud Cases | Regie |