Cloud security Ing. Renato Kuiper CISSP, CISA, CSF Research & Development CSA NL
Copyright © 2013 Cloud Security Alliance
! Over de CSA ! Cloud computing en uitdagingen ! Hoe bouwen we aan een veilige cloud? ! CSA CCM V 3.0 ! CSA NL Onderzoek
CopyrightCopyright © 2013 Cloud © 2013 Security CloudAlliance Security Alliance
Global, not-for-profit organisation Over 48,000 individual members, more than 180 corporate members, and 65 chapters ! Building best practices and a trusted cloud ecosystem ! Agile philosophy, rapid development of applied research ! GRC: Balance compliance with risk management ! Reference models: build using existing standards ! Identity: a key foundation of a functioning cloud economy ! Champion interoperability ! Enable innovation ! Advocacy of prudent public policy ! !
! In Nederland > 250 leden in Linkedin groep “To promote the use of best practices for providing security assurance within Cloud Computing, and provide education on the uses of Cloud Computing to help secure all other forms of computing.” Copyright 2011Cloud 2013 Cloud Security Alliance Alliance Copyright Copyright ©©2013 © 2013 Security CloudAlliance Security
www.cloudsecurityalliance.org
!
Is door het gebruik maken van cloud-diensten de weerbaarheid van een bedrijf te vergroten?
!
Door transparantie met betrekking tot de beveiligingsniveaus en maatregelen kan een klant het vertrouwen krijgen dat een en ander goed geregeld en gewaarborgd is en blijft.
!
Alleen door een gemeenschappelijk raamwerk met control elementen die helderheid verschaffen wordt het hiermee duidelijk voor de klant.
Copyright 2011Cloud 2013 Cloud Security Alliance Alliance Copyright Copyright ©©2013 © 2013 Security CloudAlliance Security
www.cloudsecurityalliance.org
!
Het propageren van de CSA best-practices voor security assurance (zekerheid) voor Cloud Computing.
!
Het vergroten van het kennis- en opleidingsniveau op het gebied van Cloud security en het toespitsen van de CSA best-practices op de Nederlandse situatie.
CopyrightCopyright © 2013 Cloud © 2013 Security CloudAlliance Security Alliance
! !
Computer als nutsvoorziening, derde grote tijdperk van Informatica Cloud enabled door:
! Moore’s Law ! Hyperconnectiviteit ! SOA ! Schaalgrootte
CopyrightCopyright © 2013 Cloud © 2013 Security CloudAlliance Security Alliance
private clouds Publieke clouds
Extended Virtual Data Center
! Cloud + Mobiel ! Beschikbaar stellen van: ! applicaties ! gegevens ! Verspreiding van: ! gebruikers ! endpoint devices
enterprise Nationaal boundary
cloud van gebruikers
CopyrightCopyright © 2013 Cloud © 2013 Security CloudAlliance Security Alliance
organisatie grenzen
7
! ! ! ! !
! !
Scheiding tussen gegevens eigenaren en gegevens verwerkers! Anonimiteit van locatie van rekencentrums en apparatuur Anonimiteit van leveranciers Tijdelijke relaties met leveranciers Fysieke controles moeten gecompenseerd worden door virtuele controles Identity management heeft een key-rol in het geheel! Cloud vraagt een herziende benadering van beveiliging
CopyrightCopyright © 2013 Cloud © 2013 Security CloudAlliance Security Alliance
! Is mijn cloud leverancier transparant over de governance -en operationele vraagstukken?
! Wordt ik compliant gezien voor mijn omgeving? ! Weet ik waar mijn gegevens zich bevinden? ! Is het gebrek aan standaardisatie een versneld verouderings vraagstuk (snelle afschrijvingen)?
! Is mijn leveranciers echt beter in zijn security dan ik het zelf kan? ! Ben ik in de cloud een gewild doelwit van hackers? ! Zijn de bestaande ICT medewerkers nog wel nodig?
CopyrightCopyright © 2013 Cloud © 2013 Security CloudAlliance Security Alliance
CopyrightCopyright © 2013 Cloud © 2013 Security CloudAlliance Security Alliance
Criminelen
Hacktivisten
Copyright 2011Cloud 2013 Cloud Security Alliance Alliance Copyright Copyright ©©2013 © 2013 Security CloudAlliance Security
Regeringen
www.cloudsecurityalliance.org
! ! ! ! ! !
Kan ik gelijke trend houden met cloud veranderingen? Wereldwijd onverenigbare wetgeving en beleid? Geen gestandaardiseerde Private en Publieke clouds Ontbreken van continue Risk Management & Compliance bewaking Onvolledige Identity Management implementaties Lukrake reactie (onvoorspelbaar en onvolledig) op veiligheidsincidenten
CopyrightCopyright © 2013 Cloud © 2013 Security CloudAlliance Security Alliance
Bron: Presentatie Paul Simmonds, CSA EMEA congres Edinburg CopyrightCopyright © 2013 Cloud © 2013 Security CloudAlliance Security Alliance
Copyright © 2013 Cloud Security Alliance
Enkele CSA producten…
CopyrightCopyright © 2013 Cloud © 2013 Security CloudAlliance Security Alliance
Enkele CSA producten…
CopyrightCopyright © 2013 Cloud © 2013 Security CloudAlliance Security Alliance
Copyright © 2013 Cloud Security Alliance
!
Doelstellingen (controls ) afgeleid van guidance
!
Gemapped op bekende standaarden zoals: ISO 27001, COBIT, PCI, HIPAA, FISMA, FedRAMP
!
Toe te passen op XaaS
!
Leveranciers versus klant rol
!
Help de brug te verminderen tussen IT-ers en auditors CopyrightCopyright © 2013 Cloud © 2013 Security CloudAlliance Security Alliance
Gemapped op: ! ! ! ! ! ! ! ! ! ! !
ACOBIT 4.1 HIPAA/ HITECH Act ISO/IEC 27001:2005 NIST Special publication SP 800-53 (rev 3) FedRAMP PCI DSS v 2.0 BITS shared Assessments GAPP Jericho Forum NERC CIP AICPA Trust Services Principles & Criteria (TSP) In de volgende versies meer mappings op standaarden…
CopyrightCopyright © 2013 Cloud © 2013 Security CloudAlliance Security Alliance
1. Application and Interface Security (AIS) 2. Audit, Assurance and Compliance (AAC) 3. Business Continuity and Management Resilience (BCR) 4. Change Control and Configuration Management (CCC) 5. Data Center Security (DCS) 6. Data Security & Information Lifecycle Management (DSI) 7. Encryption and Key Management (EKM) 8. Governance and Risk Management (GRM)
9. Human Resource Security (HRS) 10. Identity and Access Management (IAM) 11. Interoperability and Portability (IPY) 12. Infrastructure and Virtualization Security (IVS) 13. Mobile Security (MOS) 14. Security Incident Management – eDiscovery Cloud Forensics (SEF) 15. Supply Chain management, Transparency and Accountability (STA) 16. Threat and Vulnerability management (TVM)
CopyrightCopyright © 2013 Cloud © 2013 Security CloudAlliance Security Alliance
CopyrightCopyright © 2013 Cloud © 2013 Security CloudAlliance Security Alliance
CopyrightCopyright © 2013 Cloud © 2013 Security CloudAlliance Security Alliance
CopyrightCopyright © 2013 Cloud © 2013 Security CloudAlliance Security Alliance
CopyrightCopyright © 2013 Cloud © 2013 Security CloudAlliance Security Alliance
CopyrightCopyright © 2013 Cloud © 2013 Security CloudAlliance Security Alliance
CopyrightCopyright © 2013 Cloud © 2013 Security CloudAlliance Security Alliance
CopyrightCopyright © 2013 Cloud © 2013 Security CloudAlliance Security Alliance
Slechts een greep uit….
BSI
COBIT
CopyrightCopyright © 2013 Cloud © 2013 Security CloudAlliance Security Alliance
ISO27001
Enkele voorbeelden… CopyrightCopyright © 2013 Cloud © 2013 Security CloudAlliance Security Alliance
Copyright © 2013 Cloud Security Alliance
! Werkgroepen in oprichting: ! Continuïteit ! Assurance ! Security cloud architectuur aanpak
Wie wil er meedoen?
CopyrightCopyright © 2013 Cloud © 2013 Security CloudAlliance Security Alliance
!
Ambitieniveau security bepalen
! ! ! ! !
op basis van ENISA (Risk Assessment) en NCSC (Cybersecuritybeeld 2013)
Security architectuur referentie raamwerken (NIST) Security Controls (CSA: CCM V3.0) Bepalen security architectuur en roadmap Implementatie certificeren (CSA: STAR)
CopyrightCopyright © 2013 Cloud © 2013 Security CloudAlliance Security Alliance
CopyrightCopyright © 2013 Cloud © 2013 Security CloudAlliance Security Alliance
Dreigings- categorieën: ! Policy and organisational risk ! Technical risks ! Legal risks ! Risks not specific to the cloud
Bron: Enisa Cloud computing Benefits, risks and recommendations for information security , november 2009. CopyrightCopyright © 2013 Cloud © 2013 Security CloudAlliance Security Alliance
Vertalen naar eigen organisatie
Bron: Cybersecuritybeeld Nederland, NCSC, juni 2013 CopyrightCopyright © 2013 Cloud © 2013 Security CloudAlliance Security Alliance
NIST Cloud Computing Security Reference Architecture, NIST Special Publication 500-299 (DRAFT)
Bron: http://www.nist.gov
CopyrightCopyright © 2013 Cloud © 2013 Security CloudAlliance Security Alliance
Verschillende rollen worden onderkend: ! Cloud Consumer ! Cloud Provider ! Cloud Auditor ! Cloud Broker ! Cloud Carrier
Bron: http://www.nist.gov CopyrightCopyright © 2013 Cloud © 2013 Security CloudAlliance Security Alliance
CopyrightCopyright © 2013 Cloud © 2013 Security CloudAlliance Security Alliance
CSA Cloud Referentie Model
!
IaaS (Rekencapaciteit en opslag) is the basis
!
PaaS (snelle applicatie ontwikkeling) voegt middelware toe aan IaaS
!
SaaS vertegenwoordig een volledige applicatie op IaaS.
CopyrightCopyright © 2013 Cloud © 2013 Security CloudAlliance Security Alliance
Wet en regelgeving
NCSC dreigingsbeeld CSA: CCM 3.0
Doelstellingen organisatie
ENISA: Risk, Benefits,… Bepaal (security) Architectuur
Roadmap CSA: STAR
CSA: TCI architectuur NIST: cloud (security) architectuur
Implementatie CopyrightCopyright © 2013 Cloud © 2013 Security CloudAlliance Security Alliance
•
Reinier Landsman – Voorzitter
•
Paul Visser – Vice Voorzitter/Bestuurslid Activiteiten & Relaties
•
André Koot – Bestuurslid Communicatie & PR
•
Marco van den Akker – Bestuurslid Communicatie & PR
•
Ruud Kerssens – Bestuurslid Activiteiten & Relaties
•
Renato Kuiper – Bestuurslid Onderzoek & Ontwikkeling
•
John van Huijgevoort – Bestuurslid Onderzoek & Ontwikkeling
•
Jim de Haas – Bestuurslid Onderzoek & Ontwikkeling
•
Joerg Fritsch – Bestuurslid Onderzoek & Ontwikkeling
•
Peter van Eijk – Bestuurslid Educatie CopyrightCopyright © 2013 Cloud © 2013 Security CloudAlliance Security Alliance
! CSA cloud document v3: https://cloudsecurityalliance.org/media/news/csa-releases-guidance-version-3/ ! CCM: https://cloudsecurityalliance.org/research/ccm/ ! STAR: https://cloudsecurityalliance.org/star/ ! OCF: https://cloudsecurityalliance.org/research/ocf/ ! Website CSA USA: https://cloudsecurityalliance.org/ ! Website chapter NL: https://chapters.cloudsecurityalliance.org/netherlands/ ! ENISA: http://www.enisa.europa.eu/activities/risk-management/files/deliverables/cloudcomputing-risk-assessment ! NIST: http://www/nist.gov ! NCSC: https://www.ncsc.nl/dienstverlening/expertise-advies/kennisdeling/trendrapporten/ cybersecuritybeeld-nederland-3.html CopyrightCopyright © 2013 Cloud © 2013 Security CloudAlliance Security Alliance
Een uitdagende wereld voor informatiebeveiligers en auditors!
[email protected] [ Klant Naam ] -‐ Titel van pres
Copyright © 2013 Cloud Security Alliance
43