Upload
massimo-chirivi
View
1.923
Download
0
Embed Size (px)
DESCRIPTION
Smau 2012 - Bari, 15 febbraio 2012
Citation preview
Il Cloud Computing nel 2012
Massimo Chirivì – 15/02/2012 - BARI
Il know aziendale è al sicuro?
2
L’impegno per l’innovazione
• Consulente ICT dal 1995 • Al servizio delle aziende per lavoro• Al servizio della P.A. per hobby e passione dal 1998
Associazioni• AIPSI - Associazione Italiana Professionisti della Sicurezza Informatica• AICA - Associazione Italiana per il calcolo automatico• Federazione Italiana Privacy• ISSA - Information Systems Security Association• CLUSIT - Associazione Italiana per la Sicurezza Informatica
3
AIPSI – Associazione Italiana Professionisti Sicurezza Informatica
AIPSI Capitolo Italiano di ISSA
Associazione di singoli
professionisti
Oltre 10.000 esperti in tutto
il mondo
200 soci in Italia
4
Obiettivi:
• Organizzazione di forum educativi• Redazione di documenti e pubblicazioni
specializzate• Interscambio di esperienze fra i professionisti del
settore (nazionali e internazionali)• Riferimento per la ricerca di professionisti di
sicurezza IT• Interazione con altre organizzazioni professionali• Rilascio di attestati e certificazioni specifiche
AIPSI – Associazione Italiana Professionisti Sicurezza Informatica
5
Cloud Computing
6
Tipologie di Cloud Computing :
SaaS: Software as a Service - Consiste nell’utilizzo di programmi in remoto, spesso attraverso un server web. Questo acronimo condivide in parte la filosofia di un termine oggi in disuso ASP (Application Service Provider)
PaaS: Platform as a Service - uno o più programmi vengono eseguiti in remoto su una piattaforma software che può essere costituita da diversi servizi, programmi, librerie
IaaS Infrastructure as a Service - Utilizzo di risorse Cloud Computing in remoto. Questo tipo di Cloud è quasi un sinonimo di Grid Computing (fondamentalmente calcolo distribuito), ma le risorse vengono utilizzate su richiesta al momento in cui un cliente ne ha bisogno, non vengono assegnate a prescindere dal loro utilizzo effettivo.
Insieme di tecnologie informatiche che permettono l’utilizzo remoto di risorse hardware o software distribuite potenzialmente ovunque nel mondo.
7
Criticità e rischi del Cloud Computing
• Dati vulnerabili ad attacchi e a manomissioni, o alla perdita o danneggiamento a seguito di disastri.
• Limiti della rete Internet. • Conformità a standard/normative.• Dove sono i miei dati?• Chi tiene i miei dati?• Sotto quale giurisdizione?• Sono protetti?
Sicurezza
Privacy
Commerciale / Legale
CLOUD
8
I principi generali sulla Sicurezza Informatica
DisponibilitàDisponibilità Integrità
Sicurezza
Le risorse informatiche e le informazioni sono
accessibili agli utenti autorizzati nel
momento in cui servono
Limitare l’accesso alle Inform.e risorse HW alle sole persone autorizzate.
Per l’HW consiste in: elaborazione corretta dei dati,livello adeguato delle prestazioni, corretto instradamento dei dati.Per le Inform. L’integrità viene meno quando i dati sono alterati, cancellati o inventati, per errore o per dolo.
9
Log Management
Registrazione degli accessi
Identificazione sistemi da monitorare
Analisi dei rischi
Attuazione misure di raccolta,
conservazione e cancellazione
Attuazione delle misure volte ad
assicurare completezza, inalterabilità e
verifica dell’integrità
10
Cloud Computing – Gli attori
FornitoreFornitoreClienteAdmin
Cliente fruitore
Il fornitore dei servizi CLOUD
COMPUTING
Colui che seleziona e configura i servizi da far utilizzare dal cliente finale
Colui che utilizza i servizi CLOUD
11
Cloud Computing – Disponibilita’ dei dati
Reperibilità Accessibilità Asportabilità
Esempi:- Controllo generale del DB.- Interruzione del contratto con il fornitore.- Blocco internet (Egitto)
12
Cloud Computing – Legge da applicare
Attenzione al foro competente!
Italia o Estero?Europa o Stati Uniti?
13
Cloud Computing - Titolo VII - Trasferimento dei dati all'estero
• Art. 42. Trasferimenti all'interno dell'Unione europea1. Le disposizioni del presente codice non possono essere applicate in modo tale da restringere o vietare la libera circolazione dei dati personali fra gli Stati membri dell'Unione europea, fatta salva l'adozione, in conformità allo stesso codice, di eventuali provvedimenti in caso di trasferimenti di dati effettuati al fine di eludere le medesime disposizioni.
• Art. 44. Altri trasferimenti consentiti 1. Il trasferimento di dati personali oggetto di trattamento, diretto verso un Paese non appartenente all'Unione europea, è altresì consentito quando è autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell'interessato:
• a) individuate dal Garante anche in relazione a garanzie prestate con un contratto o mediante regole di condotta esistenti nell'ambito di società appartenenti a un medesimo gruppo. L'interessato può far valere i propri diritti nel territorio dello Stato, in base al presente codice, anche in ordine all'inosservanza delle garanzie medesime;(1)
• b) individuate con le decisioni previste dagli articoli 25, paragrafo 6, e 26, paragrafo 4, della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, con le quali la Commissione europea constata che un Paese non appartenente all'Unione europea garantisce un livello di protezione adeguato o che alcune clausole contrattuali offrono garanzie sufficienti.
• (1) Lettera così modificata dall’art. 29, comma 5-bis, del decreto legge 25 giugno 2008, n. 112, convertito, con modificazioni, dalla legge 6 agosto 2008, n. 133.
• Art. 45. Trasferimenti vietati1. Fuori dei casi di cui agli articoli 43 e 44, il trasferimento anche temporaneo fuori del territorio dello Stato, con qualsiasi forma o mezzo, di dati personali oggetto di trattamento, diretto verso un Paese non appartenente all'Unione europea, è vietato quando l'ordinamento del Paese di destinazione o di transito dei dati non assicura un livello di tutela delle persone adeguato. Sono valutate anche le modalità del trasferimento e dei trattamenti previsti, le relative finalità, la natura dei dati e le misure di sicurezza.
14
• Art. 43. Trasferimenti consentiti in Paesi terzi1. Il trasferimento anche temporaneo fuori del territorio dello Stato, con qualsiasi forma o mezzo, di dati personali oggetto di trattamento, se diretto verso un Paese non appartenente all'Unione europea è consentito quando:
• a) l'interessato ha manifestato il proprio consenso espresso o, se si tratta di dati sensibili, in forma scritta;• b) è necessario per l'esecuzione di obblighi derivanti da un contratto del quale è parte l'interessato o per adempiere, prima della
conclusione del contratto, a specifiche richieste dell'interessato, ovvero per la conclusione o per l'esecuzione di un contratto stipulato a favore dell'interessato;
• c) è necessario per la salvaguardia di un interesse pubblico rilevante individuato con legge o con regolamento o, se il trasferimento riguarda dati sensibili o giudiziari, specificato o individuato ai sensi degli articoli 20 e 21;
• d) è necessario per la salvaguardia della vita o dell'incolumità fisica di un terzo. Se la medesima finalità riguarda l'interessato e quest'ultimo non può prestare il proprio consenso per impossibilità fisica, per incapacità di agire o per incapacità di intendere o di volere, il consenso è manifestato da chi esercita legalmente la potestà, ovvero da un prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile della struttura presso cui dimora l'interessato. Si applica la disposizione di cui all'articolo 82, comma 2;
• e) è necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trasferiti esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento, nel rispetto della vigente normativa in materia di segreto aziendale e industriale;
• f) è effettuato in accoglimento di una richiesta di accesso ai documenti amministrativi, ovvero di una richiesta di informazioni estraibili da un pubblico registro, elenco, atto o documento conoscibile da chiunque, con l'osservanza delle norme che regolano la materia;
• g) è necessario, in conformità ai rispettivi codici di deontologia di cui all'allegato A), per esclusivi scopi scientifici o statistici, ovvero per esclusivi scopi storici presso archivi privati dichiarati di notevole interesse storico ai sensi dell'articolo 6, comma 2, del decreto legislativo 29 ottobre 1999, n. 490, di approvazione del testo unico in materia di beni culturali e ambientali o, secondo quanto previsto dai medesimi codici, presso altri archivi privati;
• h) [soppressa] (1)
• (1) Lettera soppressa dall'art. 40, comma 2, lettera e), del decreto legge 6 dicembre 2011, n. 201, convertito, con modificazioni, dalla legge 22 dicembre 2011, n. 214. Si riporta per completezza la lettera h) soppressa: "il trattamento concerne dati riguardanti persone giuridiche, enti o associazioni".
Cloud Computing - Titolo VII - Trasferimento dei dati all'estero
15
• Chi registra i LOG?• Rispettano la nostra normativa?• Sono disponibili in caso di necessità?
Cloud Computing – Log Management
16
Cloud Computing – ATTENZIONE! Alcuni esempi…
LIVEDRIVE:• You, and not Livedrive, are responsible for maintaining and protecting all of your
files. Livedrive will not be liable for any loss or corruption of your files, or for any costs or expenses associated with backing up or restoring any of your files.
• With the exception of our business service, services that include Livedrive Backup are not to be used for archiving. You must at all times hold an original copy of the data in the original location on the system it was backed up from. If you delete files from your computer that have been backed up we will remove the corresponding backup from our servers.
GOOGLE APPS:
1.5 Protezione dei dati. Nella sezione 1.4 e 1.5, i termini "dati personali", "trattamento", "responsabile del trattamento" e "incaricato del trattamento" avranno il significato loro attribuito nella direttiva dell'Unione Europea. Ai fini del presente Contratto e relativamente ai dati personali degli Utenti finali, le parti concordano che il Cliente sarà il Responsabile del trattamento e che Google ricoprirà il ruolo di Incaricato del trattamento di tali dati. Google prenderà le misure tecniche e organizzative necessarie affinché tali dati personali siano protetti da distruzione accidentale o illegittima, perdita accidentale, alterazione, divulgazione o accesso non autorizzati.
17
GOOGLE APPS
Posizione dei dati. Nell'ambito della fornitura di Servizi aggiuntivi, Google potrà archiviare ed elaborare i dati forniti attraverso i suddetti Servizi aggiuntivi negli Stati Uniti o in qualsiasi altro Paese in cui Google o i suoi agenti operano.
Aruba ed i servizi a spazio illimitato.
Esistono? Analizziamo insieme le policy contrattuali.
ADRIVE
Maintenance of Storage Data. Adrive shall have no responsibility for and does not guarantee the integrity, completeness or availability of Storage Data residing on Adrive's equipment. You are responsible for independent backup of Storage Data stored using Adrive's services. You agree to assume all risk of loss of such data. You agree to defend, indemnify and hold Adrive harmless for any loss of data, whether on Your equipment or through Adrive's services, arising out of or resulting from use of Adrive's services, including use of software provided by Adrive, if any. Adrive may, but shall not be required to, delete Your Storage Data after the termination of this Agreement.
Cloud Computing – ATTENZIONE! Alcuni esempi…
18
• la capacità di diminuire i costi di start-up di un sistema;• la possibilità di dimensionare sistemi e applicazioni sulla base dei normale carico di lavoro gestendo i picchi di
carico tramite la capacità di scalare tipica delle infrastrutture cloud;• la capacità di ottimizzare i costi sia in termini di risorse computazionali, sia in termini di risorse di esercizio
(logistica, consumi elettrici, raffreddamento, ecc.), sia in termini di risorse umane di gestione;• la possibilità di ridurre gli investimenti (CAPEX) a fronte di maggiori spese correnti (OPEX).
Inoltre si possono ottenere ulteriori vantaggi dal punto di vista operativo:
• la drastica riduzione dei tempi di realizzazione e di messa in esercizio di nuovi servizi;• la rapida capacità di scalare le risorse rapidamente per venire incontro a nuove esigenze o a requisiti
modificati;• il rapido ed efficiente provisioning e deprovisioning delle risorse;• l’ottimizzazione dei consumi energetici sia per le esigenze computazionali sia per le esigenze di refrigerazione
dei centri di elaborazione.
• soluzioni di sicurezza superiori ai propri standard interni;• organizzazioni di sicurezza difficilmente realizzabili nelle proprie realtà interne;• servizi standard e aperti che superano gli approcci proprietari tipici delle soluzioni adottate in ambiti più
ristretti.
Cloud Computing – Vantaggi e benefici.
19
Cloud Computing – Problematiche e preoccupazioni.
• LOCK – IN si riferisce a tutti quei casi in cui una migrazione del servizio da un fornitore a un altro (o un successiva internalizzazione) risulta difficoltosa o, addirittura, impossibile.
• Transfer Back (E’ possibile riportare il servizio in HOUSE)• Perdita della governance• Multi-tenant model (condivisione delle risorse con altri attori)
20
Che tipo di danno si verrebbe a creare se:
• l’asset in valutazione diventasse di pubblico dominio?• un dipendente del fornitore di servizi cloud avesse accesso all’asset in
valutazione?• il processo o la funzione fossero fraudolentemente manipolati da un attaccante
esterno?• il processo o la funzione non fornissero i risultati attesi?• le informazioni/i dati fossero modificati in maniera non autorizzata?• l’asset in valutazione non fosse disponibile per un dato periodo di tempo?
Cloud Computing – Risk Assessment
21
Cloud Computing – Gestione dell’infrastruttura
Rete. –– la scelta di un’adeguata topologia di rete;–– l’applicazione dei concetti di “Defence in depth”;–– la segmentazione attraverso apparati di sicurezza;–– la documentazione delle scelte effettuate;–– la revisione periodica o su base necessità dell’intero progetto.
Accessi. –– la classificazione delle tipologie di accesso;–– l’individuazione di ruoli da assegnare alle risorse con particolare attenzione nell’assegnazione deiprivilegi di amministrazione e di accesso alle interfacce di gestione;–– la definizione delle caratteristiche di sicurezza delle diverse tipologie di canali di comunicazione;–– l’utilizzazione di protocolli sicuri di comunicazione;–– l’applicazione del principio di “least privilege”;–– la definizione di standard per la gestione degli accessi basati sul ruolo.
Servizi. –– l’individuazione delle tipologie di risorse;–– l’individuazione dei servizi che devono essere attivi su ogni tipologia di risorsa;–– la realizzazione di un Patch Management Program;–– l’utilizzo di strumenti automatizzati di discovery;–– l’effettuazione di Vulnerability Assessment periodici.
Virtualizzazione.–– l’utilizzo di componenti integrativi di sicurezza;–– l’utilizzo di controlli di sicurezza esterni per la protezione delle interfacce di amministrazione;–– l’utilizzo dei controlli di sicurezza delle piattaforme di virtualizzazione per la gestione del traffico che attraversa i “backplane”;–– la creazione di zone sicure basate sul tipo di utilizzo delle risorse.
Spazi fisici.–– la definizione di un piano di sicurezza fisica;–– la definizione di aree a diversa criticità;–– l’implementazione di contromisure fisiche per la prevenzione di accessi non autorizzati;–– l’adeguata gestione degli accessi del personale esterno;–– l’adeguata protezione da minacce di natura fisica.
Personale. –– la puntuale definizione dei ruoli anche in relazione ai temi relativi alla protezione dei dati personali;–– l’applicazione dei concetti di “need to know”;–– la definizione delle procedure operative da applicare;–– l’adeguata formazione di tutte le figure previste;–– la realizzazione di un piano di audit.
22
Cloud Computing – Le Sfide
• L’evoluzione normativa• Il Cyber Crime• La portabilità dei dati – LOCK IN• l’approccio transnazionale• le best practice
23
Confrontiamoci!
Informazioni
• www.massimochirivi.net• [email protected]• Facebook• Skype: mchirivi• Linkedin• Sito smau – www.smau.it• Sito AIPSI -- www.aipsi.org