Cloud security. Ing. Renato Kuiper CISSP, CISA, CSF Research & Development CSA NL. Copyright 2013 Cloud Security Alliance

Cloud security Ing. Renato Kuiper CISSP, CISA, CSF Research & Development CSA NL

Copyright © 2013 Cloud Security Alliance

!   Over de CSA !   Cloud computing en uitdagingen !   Hoe bouwen we aan een veilige cloud? !   CSA CCM V 3.0 !   CSA NL Onderzoek

CopyrightCopyright © 2013 Cloud © 2013 Security CloudAlliance Security Alliance

Global, not-for-profit organisation Over 48,000 individual members, more than 180 corporate members, and 65 chapters ! Building best practices and a trusted cloud ecosystem ! Agile philosophy, rapid development of applied research ! GRC: Balance compliance with risk management ! Reference models: build using existing standards ! Identity: a key foundation of a functioning cloud economy ! Champion interoperability ! Enable innovation ! Advocacy of prudent public policy ! !

! In Nederland > 250 leden in Linkedin groep “To promote the use of best practices for providing security assurance within Cloud Computing, and provide education on the uses of Cloud Computing to help secure all other forms of computing.” Copyright 2011Cloud 2013 Cloud Security Alliance Alliance Copyright Copyright ©©2013 © 2013 Security CloudAlliance Security

www.cloudsecurityalliance.org

!

Is door het gebruik maken van cloud-diensten de weerbaarheid van een bedrijf te vergroten?

!

Door transparantie met betrekking tot de beveiligingsniveaus en maatregelen kan een klant het vertrouwen krijgen dat een en ander goed geregeld en gewaarborgd is en blijft.

!

Alleen door een gemeenschappelijk raamwerk met control elementen die helderheid verschaffen wordt het hiermee duidelijk voor de klant.

Copyright 2011Cloud 2013 Cloud Security Alliance Alliance Copyright Copyright ©©2013 © 2013 Security CloudAlliance Security


!

Het propageren van de CSA best-practices voor security assurance (zekerheid) voor Cloud Computing.

!

Het vergroten van het kennis- en opleidingsniveau op het gebied van Cloud security en het toespitsen van de CSA best-practices op de Nederlandse situatie.


!  ! 

Computer als nutsvoorziening, derde grote tijdperk van Informatica Cloud enabled door:

! Moore’s Law !   Hyperconnectiviteit !   SOA !   Schaalgrootte


private clouds Publieke clouds

Extended Virtual Data Center

!   Cloud + Mobiel !   Beschikbaar stellen van: !   applicaties !   gegevens !   Verspreiding van: !   gebruikers ! endpoint devices

enterprise Nationaal boundary

cloud van gebruikers


organisatie grenzen

7

! ! ! ! !

         

!  ! 

Scheiding tussen gegevens eigenaren en gegevens verwerkers! Anonimiteit van locatie van rekencentrums en apparatuur Anonimiteit van leveranciers Tijdelijke relaties met leveranciers Fysieke controles moeten gecompenseerd worden door virtuele controles Identity management heeft een key-rol in het geheel! Cloud vraagt een herziende benadering van beveiliging


!   Is mijn cloud leverancier transparant over de governance -en operationele vraagstukken?

!   Wordt ik compliant gezien voor mijn omgeving? !   Weet ik waar mijn gegevens zich bevinden? !   Is het gebrek aan standaardisatie een versneld verouderings vraagstuk (snelle afschrijvingen)?

!   Is mijn leveranciers echt beter in zijn security dan ik het zelf kan? !   Ben ik in de cloud een gewild doelwit van hackers? !   Zijn de bestaande ICT medewerkers nog wel nodig?



Criminelen

Hacktivisten

Copyright 2011Cloud 2013 Cloud Security Alliance Alliance Copyright Copyright ©©2013 © 2013 Security CloudAlliance Security

Regeringen


! ! ! ! ! !

           

Kan ik gelijke trend houden met cloud veranderingen? Wereldwijd onverenigbare wetgeving en beleid? Geen gestandaardiseerde Private en Publieke clouds Ontbreken van continue Risk Management & Compliance bewaking Onvolledige Identity Management implementaties Lukrake reactie (onvoorspelbaar en onvolledig) op veiligheidsincidenten


Bron: Presentatie Paul Simmonds, CSA EMEA congres Edinburg CopyrightCopyright © 2013 Cloud © 2013 Security CloudAlliance Security Alliance


Enkele CSA producten…


Enkele CSA producten…



! 

Doelstellingen (controls ) afgeleid van guidance

!

Gemapped op bekende standaarden zoals: ISO 27001, COBIT, PCI, HIPAA, FISMA, FedRAMP

! 

Toe te passen op XaaS

! 

Leveranciers versus klant rol

! 

Help de brug te verminderen tussen IT-ers en auditors CopyrightCopyright © 2013 Cloud © 2013 Security CloudAlliance Security Alliance

Gemapped op: ! ! ! ! ! ! ! ! ! ! !

                   

ACOBIT 4.1 HIPAA/ HITECH Act ISO/IEC 27001:2005 NIST Special publication SP 800-53 (rev 3) FedRAMP PCI DSS v 2.0 BITS shared Assessments GAPP Jericho Forum NERC CIP AICPA Trust Services Principles & Criteria (TSP) In de volgende versies meer mappings op standaarden…


1.  Application and Interface Security (AIS) 2.  Audit, Assurance and Compliance (AAC) 3.  Business Continuity and Management Resilience (BCR) 4.  Change Control and Configuration Management (CCC) 5.  Data Center Security (DCS) 6.  Data Security & Information Lifecycle Management (DSI) 7.  Encryption and Key Management (EKM) 8.  Governance and Risk Management (GRM)

9.  Human Resource Security (HRS) 10. Identity and Access Management (IAM) 11. Interoperability and Portability (IPY) 12. Infrastructure and Virtualization Security (IVS) 13. Mobile Security (MOS) 14. Security Incident Management – eDiscovery Cloud Forensics (SEF) 15. Supply Chain management, Transparency and Accountability (STA) 16. Threat and Vulnerability management (TVM)









Slechts een greep uit….

BSI

COBIT


ISO27001

Enkele voorbeelden… CopyrightCopyright © 2013 Cloud © 2013 Security CloudAlliance Security Alliance


!   Werkgroepen in oprichting: !   Continuïteit !   Assurance !   Security cloud architectuur aanpak

Wie wil er meedoen?


! 

Ambitieniveau security bepalen

!  ! ! ! !

       

op basis van ENISA (Risk Assessment) en NCSC (Cybersecuritybeeld 2013)

Security architectuur referentie raamwerken (NIST) Security Controls (CSA: CCM V3.0) Bepalen security architectuur en roadmap Implementatie certificeren (CSA: STAR)



Dreigings- categorieën: !   Policy and organisational risk !   Technical risks !   Legal risks !   Risks not specific to the cloud

Bron: Enisa Cloud computing Benefits, risks and recommendations for information security , november 2009. CopyrightCopyright © 2013 Cloud © 2013 Security CloudAlliance Security Alliance

Vertalen naar eigen organisatie

Bron: Cybersecuritybeeld Nederland, NCSC, juni 2013 CopyrightCopyright © 2013 Cloud © 2013 Security CloudAlliance Security Alliance

NIST Cloud Computing Security Reference Architecture, NIST Special Publication 500-299 (DRAFT)

Bron: http://www.nist.gov


Verschillende rollen worden onderkend: !   Cloud Consumer !   Cloud Provider !   Cloud Auditor !   Cloud Broker !   Cloud Carrier

Bron: http://www.nist.gov CopyrightCopyright © 2013 Cloud © 2013 Security CloudAlliance Security Alliance


CSA Cloud Referentie Model

!

IaaS (Rekencapaciteit en opslag) is the basis

!

PaaS (snelle applicatie ontwikkeling) voegt middelware toe aan IaaS

!

SaaS vertegenwoordig een volledige applicatie op IaaS.


Wet en regelgeving

NCSC dreigingsbeeld CSA: CCM 3.0

Doelstellingen organisatie

ENISA: Risk, Benefits,… Bepaal (security) Architectuur

Roadmap CSA: STAR

CSA: TCI architectuur NIST: cloud (security) architectuur

Implementatie CopyrightCopyright © 2013 Cloud © 2013 Security CloudAlliance Security Alliance

• 

Reinier Landsman – Voorzitter

• 

Paul Visser – Vice Voorzitter/Bestuurslid Activiteiten & Relaties

• 

André Koot – Bestuurslid Communicatie & PR

• 

Marco van den Akker – Bestuurslid Communicatie & PR

• 

Ruud Kerssens – Bestuurslid Activiteiten & Relaties

• 

Renato Kuiper – Bestuurslid Onderzoek & Ontwikkeling

• 

John van Huijgevoort – Bestuurslid Onderzoek & Ontwikkeling

• 

Jim de Haas – Bestuurslid Onderzoek & Ontwikkeling

• 

Joerg Fritsch – Bestuurslid Onderzoek & Ontwikkeling

• 

Peter van Eijk – Bestuurslid Educatie CopyrightCopyright © 2013 Cloud © 2013 Security CloudAlliance Security Alliance

!   CSA cloud document v3: https://cloudsecurityalliance.org/media/news/csa-releases-guidance-version-3/ !   CCM: https://cloudsecurityalliance.org/research/ccm/ !   STAR: https://cloudsecurityalliance.org/star/ !   OCF: https://cloudsecurityalliance.org/research/ocf/ !   Website CSA USA: https://cloudsecurityalliance.org/ !   Website chapter NL: https://chapters.cloudsecurityalliance.org/netherlands/ !   ENISA: http://www.enisa.europa.eu/activities/risk-management/files/deliverables/cloudcomputing-risk-assessment !   NIST: http://www/nist.gov !   NCSC: https://www.ncsc.nl/dienstverlening/expertise-advies/kennisdeling/trendrapporten/ cybersecuritybeeld-nederland-3.html CopyrightCopyright © 2013 Cloud © 2013 Security CloudAlliance Security Alliance

Een uitdagende wereld voor informatiebeveiligers en auditors!

[email protected] [ Klant Naam ] -‐ Titel van pres


43

Cloud security. Ing. Renato Kuiper CISSP, CISA, CSF Research & Development CSA NL. Copyright 2013 Cloud Security Alliance

Recommend Documents