Il Cloud Computing e la sicurezza: aspetti tecnici, rischi e opportunità - Stefano Testoni CEFRIEL Politecnico di Milano e-mail: ...
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Il Cloud
Computing e la
sicurezza:
aspetti tecnici,
Stefano Testoni
rischi e
CEFRIEL Politecnico di Milano
e-mail: stefano.testoni@cefriel.com opportunità
© CEFRIEL 2015 - Tutti i diritti riservati
Il presente documento è stato sviluppato in forma originale da CEFRIEL, a beneficio esclusivo dei partecipanti al corso.
Tale documento o parte dei suoi contenuti non può essere riprodotto, distribuito, divulgato, ceduto, in tutto o in parte, a
soggetti terzi, né da questi ultimi utilizzato, senza il preventivo consenso scritto di CEFRIEL.
I disegni, le tabelle, i dati e qualsivoglia altra informazione, anche di tipo illustrativo e/o descrittivo contenuti in tale
documento, sono materiale riservato di proprietà di CEFRIEL o dei legittimi proprietari espressamente menzionati
Tutti i marchi (e/o riferimenti di qualunque tipo) inseriti nel presente documento appartengono ai legittimi proprietari e
sono pubblicati in osservanza delle normative vigenti.
© CEFRIEL 2015 - Tutti i diritti riservati
Who am I? Stefano Testoni (mail: stefano.testoni@cefriel.com) Security Expert @ CEFRIEL Attività usuali: Security Architect, Pentester, Security PM, Security Technology Researcher, Security Concept Builder © CEFRIEL 2015 - Tutti i diritti riservati
Cos’è il Cloud Computing
Chiedete ad un Teeneger di adottare il Cloud Computing...
© CEFRIEL 2015 - Tutti i diritti riservati 4
#SPETTACOLOTUTTOGRATIS!!
Communication
Selfie & Sharing
Social
© CEFRIEL 2015 - Tutti i diritti riservati 5
Cos’è il Cloud Computing
...ora chiedete ad un Security Manager di adottare il Cloud
Computing
© CEFRIEL 2015 - Tutti i diritti riservati 6
© CEFRIEL 2015 - Tutti i diritti riservati 7
Il Cloud Computing è qualcosa di nuovo © CEFRIEL 2015 - Tutti i diritti riservati 8
Modello del Cloud Computing
Definizione
Il Cloud Computing è un modello IT integrato di
distribuzione, sviluppo e messa in produzione che
permette la realizzazione in tempo reale di servizi e
soluzioni erogate attraverso Internet
Definizione IDC
Modello di Cloud Computing secondo NIST
On-
Broad
demand Resource Rapid Measured
network
self- pooling elasticity service
access
service
IaaS
SaaS PaaS
Infrastructure as a
Software as a Service Platform as a Service
E’ il modello di Service
riferimento per
l’erogazione di servizi
Cloud
© CEFRIEL 2015 - Tutti i diritti riservati
l’evoluzione
INNOVATIVO E
SPERIMENTALE
CONSOLIDATO E
AFFIDABILE
Il cloud computing è qualcosa di relativamente recente,
© CEFRIEL 2015 - Tutti i diritti riservati
ongoing.... 10Commodity Hardware e Affidabilità
www.backblaze.com
© CEFRIEL 2015 - Tutti i diritti riservati 11l’adozione
..e come tale deve essere sperimentato, accuratamente
studiato ed analizzato prima che possa supportare
efficacemente i processi aziendali (anche i più critici)
© CEFRIEL 2015 - Tutti i diritti riservati 12I servizi Cloud, scenario variegato
IaaS: pochi attori dominanti SaaS: scenario variegato
Gartner's latest 2014 IaaS Magic Quadrant
© CEFRIEL 2015 - Tutti i diritti riservati 14La Sicurezza Classica
IaaS: pochi attori dominanti SaaS: scenario variegato
Gartner's latest 2014 IaaS Magic Quadrant
I modelli di sicurezza classica potrebbero non bastare in
questo nuovo contesto
© CEFRIEL 2015 - Tutti i diritti riservati 15La security è un «work in progress»
IaaS: pochi attori dominanti SaaS: scenario variegato
Gartner's latest 2014 IaaS Magic Quadrant
© CEFRIEL 2015 - Tutti i diritti riservati 16Il costo e le features di sicurezza
Adottare il Cloud per ridurre i costi.....
attenzione...molte features di sicurezza nel Cloud Computing
sono offerte come servizio ad un costo aggiuntivo
© CEFRIEL 2015 - Tutti i diritti riservatiPer non incappare in errori di valutazione
Ci si aspetta di
avere servizi sicuri
con un investimento
ridicolo in sicurezza
informatica?
Valutare se Comprendere i
Adottarli? Rischi
© CEFRIEL 2015 - Tutti i diritti riservati 18Per non incappare in errori di valutazione
Ci si aspetta di
avere servizi sicuri
con un investimento
ridicolo in sicurezza
informatica?
Valutare se Comprendere i
Adottarli? Rischi?
© CEFRIEL 2015 - Tutti i diritti riservati 19Il parere di Stallman “Credo che a chi lavora nel marketing piaccia il termine “cloud computing” in quanto privo di sostanziale significato. Il significato del termine non è una sostanza, ma un atteggiamento: “Lascia che Tom, Dick e Harry tengano i tuoi dati, lascia che qualsiasi Tom, Dick e Harry si occupi dei tuoi dati (e li controlli)”. Probabilmente il termine “careless computing” sarebbe più calzante. […] Il Governo potrebbe incoraggiare le Richard Stallman è uno dei persone a piazzare i dati dove esso sia in principali esponenti del grado di raggiungerli senza mostrare movimento del software libero. mandati di perquisizione, piuttosto che in Nel settembre del 1983 diede luoghi di proprietà propria. A ogni modo, avvio al progetto GNU con finché abbastanza di noi continueranno a l'intento di creare un sistema tenere i propri dati sotto il proprio controllo, operativo simile a Unix ma potremo ancora continuare a farlo. E composto interamente da faremmo bene a continuare così, o questa software libero LINUX opzione potrebbe scomparire” © CEFRIEL 2015 - Tutti i diritti riservati 20
Le due parrocchie
patrimonio personale stimato da Bloomberg le stime ufficiali della Linux Foundation
pari a 72.7 Miliardi di dollari stabiliscono il valore del Kernel Linux a 1.2
miliardi di dollari.
L’approccio di Stallman è quello di cercare di rendere
l’informatica libera, gratuita e accessibile a tutti
© CEFRIEL 2015 - Tutti i diritti riservati 21Stallman: dite no al cloud computing
Le argomentazioni di questa posizione:
non ci sarebbe alcun bisogno di ricorrere alla computazione remota di massa per
tirare avanti, bastano e avanzano gli strumenti attualmente in circolazione.
La potenza delle componenti IT cresce
significativamente più velocemente del
fabbisogno IT aziendale.
Virtualizzazione
Ottimizzazione
© CEFRIEL 2015 - Tutti i diritti riservatiStallman: dite no al cloud computing
Le argomentazioni di questa posizione:
non ci sarebbe alcun bisogno di ricorrere alla computazione remota di massa per tirare avanti, bastano e avanzano gli strumenti
attualmente in circolazione.
"Una ragione per non usare le web application è la perdita del controllo“: i dati
fluiscono liberamente tra qualsiasi postazione o thin client in giro per il mondo e i
datacenter, a scapito della capacità del legittimo proprietario di disporne a suo
piacimento.
Stima del valore dei dati
per l’azienda
Quali requisiti di
sicurezza del dato?
http://www.laleggepertutti.it/32536_facebook-cancellazione-impossibile-non-tutti-i-dati-spariscono-col-nostro-account
© CEFRIEL 2015 - Tutti i diritti riservatiStallman: dite no al cloud computing
Le argomentazioni di questa posizione:
non ci sarebbe alcun bisogno di ricorrere alla computazione remota di massa per tirare avanti, bastano e avanzano gli strumenti
attualmente in circolazione.
"Una ragione per non usare le web application è la perdita del controllo“: i dati
fluiscono liberamente tra qualsiasi postazione o thin client in giro per il mondo e i
datacenter, a scapito della capacità del legittimo proprietario di disporne a suo
piacimento.
https://krebsonsecurity.com/2015/06/password-manager-lastpass-warns-of-breach/
© CEFRIEL 2015 - Tutti i diritti riservatiStallman: dite no al cloud computing
Le argomentazioni di questa posizione:
non ci sarebbe alcun bisogno di ricorrere alla computazione remota di massa per tirare avanti, bastano e avanzano gli strumenti
attualmente in circolazione.
"Una ragione per non usare le web application è la perdita del controllo“: i dati fluiscono liberamente tra qualsiasi postazione o
thin client in giro per il mondo e i datacenter, ma a scapito della capacità del legittimo proprietario di disporne a suo piacimento.
Cosa accadrebbe nel caso in cui un account venisse sottratto al suo titolare?
© CEFRIEL 2015 - Tutti i diritti riservatiStallman: dite no al cloud computing
Le argomentazioni di questa posizione:
non ci sarebbe alcun bisogno di ricorrere alla computazione remota di massa per tirare avanti, bastano e avanzano gli strumenti
attualmente in circolazione.
"Una ragione per non usare le web application è la perdita del controllo“: i dati fluiscono liberamente tra qualsiasi postazione o
thin client in giro per il mondo e i datacenter, ma a scapito della capacità del legittimo proprietario di disporne a suo piacimento.
Cosa accadrebbe nel caso in cui un account venisse sottratto al suo titolare?
Autenticazione
Interfacce
2014 celebrity photo hack
From Wikipedia, the free encyclopedia The images were believed to have been
obtained via a breach of Apple's cloud services
On August 31, 2014, a collection of almost 500 suite iCloud. Apple later confirmed that the
private pictures of various celebrities, mostly hackers responsible for the leak had
women, and with many containing nudity, were obtained the images using a "very targeted
posted on the imageboard 4chan, and later attack" on account information, such as
disseminated by other users on websites and social passwords, rather than any specific security
networks such as Imgur, Reddit and Tumblr. vulnerability in the iCloud service itself.
© CEFRIEL 2015 - Tutti i diritti riservatiAccount or traffic hijacking
Esempio: Account or traffic hijacking
In Aprile 2010 Amazon ha subito un Cross Site Scripting (XSS) che ha
permesso agli attaccanti di dirottare gli accessi al sito.
Il bug XSS è stato iniettato all’interno del sito Amazon Wireless allo
scopo di rubare le sessioni ID usate per garantire agli utenti l’accesso ai
propri account dopo aver inserito la password.
Il bug ha esposto le credenziali degli utenti che hanno cliccato su un
fake link mentre erano loggati sulla homepage Amazon.com.
© CEFRIEL 2015 - Tutti i diritti riservati 28Stallman: dite no al cloud computing
Le argomentazioni di questa posizione:
non ci sarebbe alcun bisogno di ricorrere alla computazione remota di massa per tirare avanti, bastano e avanzano gli strumenti
attualmente in circolazione.
"Una ragione per non usare le web application è la perdita del controllo“: i dati fluiscono liberamente tra qualsiasi postazione o
thin client in giro per il mondo e i datacenter, ma a scapito della capacità del legittimo proprietario di disporne a suo piacimento.
Cosa accadrebbe nel caso in cui un account venisse sottratto al suo titolare?
L'avvento del cloud computing secondo Stallman non fa altro che riproporre l'antica
questione del software free contrapposto a quello non libero: "È un male proprio
come usare i programmi proprietari". In ballo ci sarebbe persino la libertà personale:
"Fate il vostro lavoro su un vostro computer con un programma che rispetti le vostre
libertà: usando un programma proprietario sul server di qualcun altro si è senza difese.
Vi state mettendo nelle mani di chiunque abbia sviluppato quel software".
Cloud computing vendor lock-in: Avoiding security pitfalls
Cifratura?
Compliance?
http://www.laleggepertutti.it/32536_facebook-cancellazione-impossibile-non-tutti-i-dati-spariscono-col-nostro-account
© CEFRIEL 2015 - Tutti i diritti riservatiDatagate: Progetto NSA Prism © CEFRIEL 2015 - Tutti i diritti riservati 30
Stallman: dite no al cloud computing
Le argomentazioni di questa posizione:
non ci sarebbe alcun bisogno di ricorrere alla computazione remota di massa per tirare avanti, bastano e avanzano gli strumenti
attualmente in circolazione.
"Una ragione per non usare le web application è la perdita del controllo“: i dati fluiscono liberamente tra qualsiasi postazione o
thin client in giro per il mondo e i datacenter, ma a scapito della capacità del legittimo proprietario di disporne a suo piacimento.
Cosa accadrebbe nel caso in cui un account venisse sottratto al suo titolare?
L'avvento del cloud computing secondo Stallman non fa altro che riproporre l'antica questione del software free contrapposto a
quello non libero: "È un male proprio come usare programmi proprietari". In ballo ci sarebbe persino la libertà personale: "Fate il
vostro lavoro su un vostro computer con un programma che rispetti le vostre libertà: usando un programma proprietario sul server di
qualcun altro si è senza difese. Vi state mettendo nelle mani di chiunque abbia sviluppato quel software".
Il rischio, prosegue Stallman, è che se all'inizio questi servizi possono apparire più
economici (o addirittura gratuiti) rispetto alle abitudini attuali, nel lungo periodo
possano invece rivelarsi oltremodo costosi. E soprattutto, l'intera mole di informazioni
personali (foto, appunti, appuntamenti in agenda) o aziendali (budget, bilanci, piani
strategici) sarebbe affidata alla onestà e alla solidità di una azienda, esponendosi a tutti i
rischi di boicottaggio o incidenti che questo comporta.
© CEFRIEL 2015 - Tutti i diritti riservatiEsplosione dei costi
http://www.symantec.com/co
ntent/en/us/about/media/pdfs/
b-state-of-cloud-global-
results-2013.en-us.pdf
L’indagine effettuata da Symantec rileva che il 77% delle
imprese intervistate sono state affette da costi imprevisti
legati alla tecnologia Cloud
© CEFRIEL 2015 - Tutti i diritti riservatiPer non incappare in errori di valutazione
Ci si aspetta di
avere servizi sicuri
con un investimento
ridicolo in sicurezza
informatica?
Valutare se Comprendere i
Adottarli? Rischi?
© CEFRIEL 2015 - Tutti i diritti riservati 33Un valido aiuto
1 Data breaches
2 Data loss
3 Account or service traffic hijacking
4 Insecure interfaces and APIs
“The notorious nine” è un 5 Denial of Service
documento che supporta
Malicious insiders
nell’identificazione dei rischi 6
associati al Cloud Computing 7 Abuse of cloud services
8 Insufficient due diligence
9 Shared technology vulnerabilities
© CEFRIEL 2015 - Tutti i diritti riservati 34Qualche spunto sui rischi....
Il Rischio non si crea e non si distrugge, ma
in alcuni casi si può trasferire....
Libero adattamento di una massima di
Antoine-Laurent de Lavoisier
© CEFRIEL 2015 - Tutti i diritti riservati 35Qualche spunto sui rischi....
Il Cloud computing "amplifica" alcune
tipologie di rischio....
La perdita di Governance ed i
problemi legislativi
costituiscono uno dei
principali punti di attenzione
nell’adozione di soluzioni di
Cloud Computing
Osservatorio Cloud & ICT
Scool of Management Politecnico di Milano
© CEFRIEL 2015 - Tutti i diritti riservati 36Qualche spunto sui rischi....
Il Cloud computing non riduce i rischi di
sicurezza informatica, al contrario, ne
introduce di nuovi
Attacchi ai sistemi e
servizi
Perdita dei dati
Utilizzo Illecito del
Cloud
© CEFRIEL 2015 - Tutti i diritti riservati 37Attenzione! Non è oro tutto quello
che luccica!
39
© CEFRIEL 2015 - Tutti i diritti riservati© CEFRIEL 2015 - Tutti i diritti riservati 40
Puoi anche leggere
