les outils de la csa (cloud security alliance)
DESCRIPTION
Tour d'horizon des outils de la Cloud Security Alliance pour un usage sécuritaire du Cloud Computing en entrepriseTRANSCRIPT
1
2
Les Outils de la Cloud Security
Alliance (CSA)
Yann Rivière, CISSP, CCSK
@yannriviere
8 Novembre 2012
http://www.isaca-quebec.ca/
3
– Yann Rivière
– Fujitsu Canada, équipe sécurité du bureau de Québec
– Passé : Industries de la défense et de l’automobile
• Thales (Défense, Sécurité, Aérospatial)– Équipe sécurité des infrastructures
• British Telecom– Équipe sécurité des clients
– Client : Valeo, Industriel automobile
– Centre de compétence sécurité du groupe
� Projet Google Apps entre autres.
Qui suis-je ?
4
Plan
– Présenter les outils de la Cloud Security Alliance (CSA)
– Retour d’expérience: Google Apps dans l’industrie automobile
5
Qu’est-ce que la CSA ?
• Organisation à but non lucratif– 35 678 membres individuels– 123 membres corporatifs– 64 chapitres
• Mission de la CSA– Promouvoir l’utilisation des meilleures pratiques
sécurité dans le « Cloud Computing »
– Permettre un usage sécuritaire par l’éducation et la
mise à disposition d’outils
6
Les membres
6
7
Les outils de la CSA
7
• Le guide de sécurité v3• Security Guidance for Critical Areas of Focus in Cloud
Computing
• https://cloudsecurityalliance.org/guidance
• La Pile GRC (Governance, Risk Management and Compliance)
Section 3.Opérations
Section 2.Gouvernance
Section 1.Architecture
8
Le Guide de Sécurité version 3
• Recueil des meilleures pratiques pour sécuriser le Cloud Computing
• Projet phare de la CSA
• V 3.0 publiée en Novembre 2011
• Aligné sur les cadres internationaux
– Cobit 4.1, PCI/DSS, ISO 27001,SP 800-53
SECurity As a ServiceDomaine 14
VirtualisationDomaine 13
Identité, droit et gestion des accèsDomaine 12
Chiffrement et gestion des clésDomaine 11
Sécurité des applicationsDomaine 10
Gestion des incidentsDomaine 9
Opération du centre de donnéesDomaine 8
Sécurité, BCP, DRPDomaine 7
Interopérabilité et portabilitéDomaine 6
Gestion de l’information et sécurité des donnéesDomaine 5
Gestion de la conformité et auditDomaine 4
Juridique : contrat et enquête électroniqueDomaine 3
Gouvernance et gestion du risqueDomaine 2
Cadre architecturalDomaine 1
9
Le Guide de Sécurité version 3
• Exemple : Domaine 14 : « Security as a Service »
�Achat d’un service cloud de courriel
– Les fournisseurs doivent pouvoir donner l’option de chiffrer vos courriels à l’aider de règles.
– Les fournisseurs doivent passer les courriels à l’antivirus avant de vous délivrer le message
– Les fournisseurs de services doivent vous fournir des capacité d’analyse de contenu qui vous permette de forcer la politique.
10
Le Guide de Sécurité version 3
• Exemple : Domaine 4 : « Conformité »
�Achat d’un service de courriel et de gestion de calendrier
– Si vous êtes dans un environnement hautement régulé (gouvernement, finance, santé…)
– Alors
• Localisation des données
• Localisation des sauvegardes
• Localisation des données en transit
La Pile GRC
(Gouvernance, Risk management , Compliance)
• Famille de 4 projets de recherche donnant 4 outils
– CCM : Cloud Control Matrix
– CAIQ : Consensus Assessment Initiative Questionnaire
– Cloud Audit
– Cloud Trust Protocol
12
13
La pile GRC : vue client/fournisseur
Client : Quels sont les contrôles qui devraient être en place ?Fournisseur : Quels sont les contrôles que je devrais mettre en place?
Client : Comment je me renseigne à propos des contrôles mis en place chez le fournisseur ?Fournisseur : Comment je fais la démonstration de mes contrôles
Fournisseur : Comment je publie les informations d’audit ?Client : Comment je récupère les informations d’audit ?
Client : Comment puis-je savoir si les contrôles dont j’ai besoin sont toujours fonctionnels ?Fournisseur : Comment je puis fournir la transparence des mes services à mes clients ?
Contrôle et
surveillance
dynamique
14
L’outil Cloud Control Matrix (CCM)
• Cloud Control Matrix (CCM)
– Premier cadre spécifiquement écrit pour apprécier les risques dans la chaine d’approvisionnement du cloud computing
– Liste les contrôles couvrant les 14 domaines identifiés dans le guide de sécurité
– Mappés avec les contrôles des cadres courants tels que COBIT 4.1, PCI/DSS, ISO 27001,HIPAA, NIST SP800-53 R3 et Jericho Forum
https://cloudsecurityalliance.org/research/ccm/
La CCM : exemple
15
• Contrôle IS-19 : Gestion des clefs de chiffrement
– Politiques et procédures doivent être établies et les mécanismes implémentés pour supporter le chiffrement des données stockées et en transit
Extrait section sécurité des données :
16
La pile GRC : vue globale
Client : Quels sont les contrôles qui devraient être en place ?Fournisseur : Quels sont les contrôles que je devrais mettre en place?
Client : Comment je me renseigne à propos des contrôles mis en place chez le fournisseur ?Fournisseur : Comment je fais la démonstration de mes contrôles
Fournisseur : Comment je publie les informations d’audit ?Client : Comment je récupère les informations d’audit ?
Client : Comment puis-je savoir si les contrôles dont j’ai besoin sont toujours fonctionnels ?Fournisseur : Comment je puis fournir la transparence des mes services à mes clients ?
Contrôle et
surveillance
dynamique
Le questionnaire CAI
17
• Liste de 197 questions couvrant la CCM
– Peut être utilisé par les fournisseurs ou par les utilisateurs de services Cloud
– Permet d’identifier les pratiques et contrôles de sécurité
– Évaluer les niveaux de service
– Ne rien « oublier » dans votre contrat
– Mappés avec les contrôles des cadres courants tels que COBIT 4.1, PCI ISO 27001 ou HIPAA, NIST SP800-53
Le questionnaire CAI
• Gestion des clef de chiffrement
– Question IS-19-2 : Est-ce que les images et les données sont protégées par chiffrement lors de leur transit entres hyperviseurs ou d’un réseau à un autre ?
– IS 19.4 : Est-ce qu’il existe une procédure de gestion des clés de chiffrement ?
18
19
La pile GRC : vue globale
Client : Quels sont les contrôles qui devraient être en place ?Fournisseur : Quels sont les contrôles que je devrais mettre en place?
Client : Comment je me renseigne à propos des contrôles mis en place chez le fournisseur ?Fournisseur : Comment je fais la démonstration de mes contrôles
Fournisseur : Comment je publie les informations d’audit ?Client : Comment je récupère les informations d’audit ?
Client : Comment puis-je savoir si les contrôles dont j’ai besoin sont toujours fonctionnels ?Fournisseur : Comment je puis fournir la transparence des mes services à mes clients ?
Contrôle et
surveillance
dynamique
Cloud Audit (1/2)
• Propose une interface entre utilisateurs et fournisseurs permettant la collection automatisée d’information d’audit
• L’espace de nom utilisé par cloud audit reflète les contrôles du cadre de référence
• Basé sur le protocole HTTP (Requêtes GET)– Convention de nommage et structure définies
– Support Cobit 4.1, ISO 27002, PCI/DSS, HIPAA et NIST 800-53
– Draft RFC
20
Cloud Audit (2/2)
• Exemples : Contrôle de la gestion des clefs de chiffrement– Cobit 4.1 : ControleDS5.8
– NIST : SP800-53 R3 SC-12
– Cloud Security Alliance : IS-19
• Requête Cobit 4.1– GET /.well-known/cloudaudit/org/itgi/COBIT/4-1/DS5-8/
• Requête CSA– GET /.well-known/cloudaudit/org/cloudsecurityalliance/guidance/IS-19/
• Requête ISO 27002-2005– GET /.well-known/cloudaudit/org/iso/27002-2005/12-3-2/
• Réponse : « Yes » ou « No » + Métadonnées (Informations de démonstration du
contrôle)21
Cloud Audit et gestion des clefs
22
Existe t’il une
politique de
gestion des clefs
de chiffrement ? GET /.well-known/cloudaudit/org/itgi/COBIT/4-1/DS5-8/
<200 Ok, Yes +
Politique de gestion des clefs
23
24
La pile GRC : vue globale
Client : Quels sont les contrôles qui devraient être en place ?Fournisseur : Quels sont les contrôles que je devrais mettre en place?
Client : Comment je me renseigne à propos des contrôles mis en place chez le fournisseur ?Fournisseur : Comment je fais la démonstration de mes contrôles
Fournisseur : Comment je publie les informations d’audit ?Client : Comment je récupère les informations d’audit ?
Client : Comment puis-je savoir si les contrôles dont j’ai besoin sont toujours fonctionnels ?Fournisseur : Comment je puis fournir la transparence de mes services à mes clients ?
Contrôle et
surveillance
dynamique
Cloud Trust Protocol (CTP)
Quels sont les
évènements de
sécurité de mon
infrastructure ?
Qui a accès
à mes
données ?
Où sont mes
données ?Quelles sont les
vulnérabilités de
mon
infrastructure ?
Quelle est ma
configuration
cloud
actuellement?
Cloud Trust protocol
• Objectif : Établir une relation de confiance avec les fournisseurs
– « La confiance n’exclut pas le contrôle »
– Rendre visible ce qui se passe dans le cloud
– Rétablissement de la transparence
– Augmente la confiance de l’utilisateur ou client potentiel
– Apparition de la notion d’éléments de transparence
26
Cloud Trust protocol
• Éléments de transparence– Informations : configurations, évaluation des vulnérabilités, journaux
applicatif, statistiques, historique, architecture, technologie, procédures etc…
• Comment ?– En répondant aux clients en temps réel ou pas (courriel)
– Requêtes HTTP
• Ce que vous pouvez avoir (entre autres):– Liste des utilisateurs et leurs permissions
– Quelle est la configuration technologique de {$hyperviseur, $switch virtuel, $firewall virtuel, $IDS}
• Nouveau service :
– TaaS (Transparency as a Service) 27
CTP : Mécanique
28
29
La pile GRC : vue globale
Client : Quels sont les contrôles qui devraient être en place ?Fournisseur : Quels sont les contrôles que je devrais mettre en place?
Client : Comment je me renseigne à propos des contrôles mis en place chez le fournisseur ?Fournisseur : Comment je fais la démonstration de mes contrôles
Fournisseur : Comment je publie les informations d’audit ?Client : Comment je récupère les informations d’audit ?
Client : Comment puis-je savoir si les contrôles dont j’ai besoin sont toujours fonctionnels ?Fournisseur : Comment je puis fournir la transparence de mes services à mes clients ?
Contrôle et
surveillance
dynamique
Fournit Outils Description
Éléments de contrôle fondamentaux
Guide les fournisseurs et assiste les clients pour l’évaluation « sécurité » d’un fournisseur de Cloud Computing
Questionnaire de préaudit permettant d’inventorier les contrôles
Documente quels contrôles de sécurité sont implantés
Délivre les résultats d’audits
Interface pour automatiser la collecte des informations d’audit du fournisseur
Surveillance en continue des éléments de transparence
Mécanismes pour demander et recevoir les affirmations et preuves de l’état courant des services chez le fournisseur
La pile GRC : Synthèse
31
Pour conclure
• CSA :Organisation jeune (3 ans)– Outils jeunes mais basés sur des
cadres de références
– Leader en matière de sécurité du Cloud Computing
• Fort développement– 60 chapitres
• Supportée par des compagnies et organisations majeures– ISACA International
• Outils automatisés: en cours de développement