les outils de la csa (cloud security alliance)

31
1

Upload: yannriviere

Post on 28-Dec-2014

1.124 views

Category:

Technology


1 download

DESCRIPTION

Tour d'horizon des outils de la Cloud Security Alliance pour un usage sécuritaire du Cloud Computing en entreprise

TRANSCRIPT

Page 1: Les Outils de la CSA (Cloud Security Alliance)

1

Page 2: Les Outils de la CSA (Cloud Security Alliance)

2

Les Outils de la Cloud Security

Alliance (CSA)

Yann Rivière, CISSP, CCSK

@yannriviere

8 Novembre 2012

http://www.isaca-quebec.ca/

Page 3: Les Outils de la CSA (Cloud Security Alliance)

3

– Yann Rivière

– Fujitsu Canada, équipe sécurité du bureau de Québec

– Passé : Industries de la défense et de l’automobile

• Thales (Défense, Sécurité, Aérospatial)– Équipe sécurité des infrastructures

• British Telecom– Équipe sécurité des clients

– Client : Valeo, Industriel automobile

– Centre de compétence sécurité du groupe

� Projet Google Apps entre autres.

Qui suis-je ?

Page 4: Les Outils de la CSA (Cloud Security Alliance)

4

Plan

– Présenter les outils de la Cloud Security Alliance (CSA)

– Retour d’expérience: Google Apps dans l’industrie automobile

Page 5: Les Outils de la CSA (Cloud Security Alliance)

5

Qu’est-ce que la CSA ?

• Organisation à but non lucratif– 35 678 membres individuels– 123 membres corporatifs– 64 chapitres

• Mission de la CSA– Promouvoir l’utilisation des meilleures pratiques

sécurité dans le « Cloud Computing »

– Permettre un usage sécuritaire par l’éducation et la

mise à disposition d’outils

Page 6: Les Outils de la CSA (Cloud Security Alliance)

6

Les membres

6

Page 7: Les Outils de la CSA (Cloud Security Alliance)

7

Les outils de la CSA

7

• Le guide de sécurité v3• Security Guidance for Critical Areas of Focus in Cloud

Computing

• https://cloudsecurityalliance.org/guidance

• La Pile GRC (Governance, Risk Management and Compliance)

Page 8: Les Outils de la CSA (Cloud Security Alliance)

Section 3.Opérations

Section 2.Gouvernance

Section 1.Architecture

8

Le Guide de Sécurité version 3

• Recueil des meilleures pratiques pour sécuriser le Cloud Computing

• Projet phare de la CSA

• V 3.0 publiée en Novembre 2011

• Aligné sur les cadres internationaux

– Cobit 4.1, PCI/DSS, ISO 27001,SP 800-53

SECurity As a ServiceDomaine 14

VirtualisationDomaine 13

Identité, droit et gestion des accèsDomaine 12

Chiffrement et gestion des clésDomaine 11

Sécurité des applicationsDomaine 10

Gestion des incidentsDomaine 9

Opération du centre de donnéesDomaine 8

Sécurité, BCP, DRPDomaine 7

Interopérabilité et portabilitéDomaine 6

Gestion de l’information et sécurité des donnéesDomaine 5

Gestion de la conformité et auditDomaine 4

Juridique : contrat et enquête électroniqueDomaine 3

Gouvernance et gestion du risqueDomaine 2

Cadre architecturalDomaine 1

Page 9: Les Outils de la CSA (Cloud Security Alliance)

9

Le Guide de Sécurité version 3

• Exemple : Domaine 14 : « Security as a Service »

�Achat d’un service cloud de courriel

– Les fournisseurs doivent pouvoir donner l’option de chiffrer vos courriels à l’aider de règles.

– Les fournisseurs doivent passer les courriels à l’antivirus avant de vous délivrer le message

– Les fournisseurs de services doivent vous fournir des capacité d’analyse de contenu qui vous permette de forcer la politique.

Page 10: Les Outils de la CSA (Cloud Security Alliance)

10

Le Guide de Sécurité version 3

• Exemple : Domaine 4 : « Conformité »

�Achat d’un service de courriel et de gestion de calendrier

– Si vous êtes dans un environnement hautement régulé (gouvernement, finance, santé…)

– Alors

• Localisation des données

• Localisation des sauvegardes

• Localisation des données en transit

Page 11: Les Outils de la CSA (Cloud Security Alliance)

La Pile GRC

(Gouvernance, Risk management , Compliance)

• Famille de 4 projets de recherche donnant 4 outils

– CCM : Cloud Control Matrix

– CAIQ : Consensus Assessment Initiative Questionnaire

– Cloud Audit

– Cloud Trust Protocol

Page 12: Les Outils de la CSA (Cloud Security Alliance)

12

Page 13: Les Outils de la CSA (Cloud Security Alliance)

13

La pile GRC : vue client/fournisseur

Client : Quels sont les contrôles qui devraient être en place ?Fournisseur : Quels sont les contrôles que je devrais mettre en place?

Client : Comment je me renseigne à propos des contrôles mis en place chez le fournisseur ?Fournisseur : Comment je fais la démonstration de mes contrôles

Fournisseur : Comment je publie les informations d’audit ?Client : Comment je récupère les informations d’audit ?

Client : Comment puis-je savoir si les contrôles dont j’ai besoin sont toujours fonctionnels ?Fournisseur : Comment je puis fournir la transparence des mes services à mes clients ?

Contrôle et

surveillance

dynamique

Page 14: Les Outils de la CSA (Cloud Security Alliance)

14

L’outil Cloud Control Matrix (CCM)

• Cloud Control Matrix (CCM)

– Premier cadre spécifiquement écrit pour apprécier les risques dans la chaine d’approvisionnement du cloud computing

– Liste les contrôles couvrant les 14 domaines identifiés dans le guide de sécurité

– Mappés avec les contrôles des cadres courants tels que COBIT 4.1, PCI/DSS, ISO 27001,HIPAA, NIST SP800-53 R3 et Jericho Forum

https://cloudsecurityalliance.org/research/ccm/

Page 15: Les Outils de la CSA (Cloud Security Alliance)

La CCM : exemple

15

• Contrôle IS-19 : Gestion des clefs de chiffrement

– Politiques et procédures doivent être établies et les mécanismes implémentés pour supporter le chiffrement des données stockées et en transit

Extrait section sécurité des données :

Page 16: Les Outils de la CSA (Cloud Security Alliance)

16

La pile GRC : vue globale

Client : Quels sont les contrôles qui devraient être en place ?Fournisseur : Quels sont les contrôles que je devrais mettre en place?

Client : Comment je me renseigne à propos des contrôles mis en place chez le fournisseur ?Fournisseur : Comment je fais la démonstration de mes contrôles

Fournisseur : Comment je publie les informations d’audit ?Client : Comment je récupère les informations d’audit ?

Client : Comment puis-je savoir si les contrôles dont j’ai besoin sont toujours fonctionnels ?Fournisseur : Comment je puis fournir la transparence des mes services à mes clients ?

Contrôle et

surveillance

dynamique

Page 17: Les Outils de la CSA (Cloud Security Alliance)

Le questionnaire CAI

17

• Liste de 197 questions couvrant la CCM

– Peut être utilisé par les fournisseurs ou par les utilisateurs de services Cloud

– Permet d’identifier les pratiques et contrôles de sécurité

– Évaluer les niveaux de service

– Ne rien « oublier » dans votre contrat

– Mappés avec les contrôles des cadres courants tels que COBIT 4.1, PCI ISO 27001 ou HIPAA, NIST SP800-53

Page 18: Les Outils de la CSA (Cloud Security Alliance)

Le questionnaire CAI

• Gestion des clef de chiffrement

– Question IS-19-2 : Est-ce que les images et les données sont protégées par chiffrement lors de leur transit entres hyperviseurs ou d’un réseau à un autre ?

– IS 19.4 : Est-ce qu’il existe une procédure de gestion des clés de chiffrement ?

18

Page 19: Les Outils de la CSA (Cloud Security Alliance)

19

La pile GRC : vue globale

Client : Quels sont les contrôles qui devraient être en place ?Fournisseur : Quels sont les contrôles que je devrais mettre en place?

Client : Comment je me renseigne à propos des contrôles mis en place chez le fournisseur ?Fournisseur : Comment je fais la démonstration de mes contrôles

Fournisseur : Comment je publie les informations d’audit ?Client : Comment je récupère les informations d’audit ?

Client : Comment puis-je savoir si les contrôles dont j’ai besoin sont toujours fonctionnels ?Fournisseur : Comment je puis fournir la transparence des mes services à mes clients ?

Contrôle et

surveillance

dynamique

Page 20: Les Outils de la CSA (Cloud Security Alliance)

Cloud Audit (1/2)

• Propose une interface entre utilisateurs et fournisseurs permettant la collection automatisée d’information d’audit

• L’espace de nom utilisé par cloud audit reflète les contrôles du cadre de référence

• Basé sur le protocole HTTP (Requêtes GET)– Convention de nommage et structure définies

– Support Cobit 4.1, ISO 27002, PCI/DSS, HIPAA et NIST 800-53

– Draft RFC

20

Page 21: Les Outils de la CSA (Cloud Security Alliance)

Cloud Audit (2/2)

• Exemples : Contrôle de la gestion des clefs de chiffrement– Cobit 4.1 : ControleDS5.8

– NIST : SP800-53 R3 SC-12

– Cloud Security Alliance : IS-19

• Requête Cobit 4.1– GET /.well-known/cloudaudit/org/itgi/COBIT/4-1/DS5-8/

• Requête CSA– GET /.well-known/cloudaudit/org/cloudsecurityalliance/guidance/IS-19/

• Requête ISO 27002-2005– GET /.well-known/cloudaudit/org/iso/27002-2005/12-3-2/

• Réponse : « Yes » ou « No » + Métadonnées (Informations de démonstration du

contrôle)21

Page 22: Les Outils de la CSA (Cloud Security Alliance)

Cloud Audit et gestion des clefs

22

Existe t’il une

politique de

gestion des clefs

de chiffrement ? GET /.well-known/cloudaudit/org/itgi/COBIT/4-1/DS5-8/

<200 Ok, Yes +

Politique de gestion des clefs

Page 23: Les Outils de la CSA (Cloud Security Alliance)

23

Page 24: Les Outils de la CSA (Cloud Security Alliance)

24

La pile GRC : vue globale

Client : Quels sont les contrôles qui devraient être en place ?Fournisseur : Quels sont les contrôles que je devrais mettre en place?

Client : Comment je me renseigne à propos des contrôles mis en place chez le fournisseur ?Fournisseur : Comment je fais la démonstration de mes contrôles

Fournisseur : Comment je publie les informations d’audit ?Client : Comment je récupère les informations d’audit ?

Client : Comment puis-je savoir si les contrôles dont j’ai besoin sont toujours fonctionnels ?Fournisseur : Comment je puis fournir la transparence de mes services à mes clients ?

Contrôle et

surveillance

dynamique

Page 25: Les Outils de la CSA (Cloud Security Alliance)

Cloud Trust Protocol (CTP)

Quels sont les

évènements de

sécurité de mon

infrastructure ?

Qui a accès

à mes

données ?

Où sont mes

données ?Quelles sont les

vulnérabilités de

mon

infrastructure ?

Quelle est ma

configuration

cloud

actuellement?

Page 26: Les Outils de la CSA (Cloud Security Alliance)

Cloud Trust protocol

• Objectif : Établir une relation de confiance avec les fournisseurs

– « La confiance n’exclut pas le contrôle »

– Rendre visible ce qui se passe dans le cloud

– Rétablissement de la transparence

– Augmente la confiance de l’utilisateur ou client potentiel

– Apparition de la notion d’éléments de transparence

26

Page 27: Les Outils de la CSA (Cloud Security Alliance)

Cloud Trust protocol

• Éléments de transparence– Informations : configurations, évaluation des vulnérabilités, journaux

applicatif, statistiques, historique, architecture, technologie, procédures etc…

• Comment ?– En répondant aux clients en temps réel ou pas (courriel)

– Requêtes HTTP

• Ce que vous pouvez avoir (entre autres):– Liste des utilisateurs et leurs permissions

– Quelle est la configuration technologique de {$hyperviseur, $switch virtuel, $firewall virtuel, $IDS}

• Nouveau service :

– TaaS (Transparency as a Service) 27

Page 28: Les Outils de la CSA (Cloud Security Alliance)

CTP : Mécanique

28

Page 29: Les Outils de la CSA (Cloud Security Alliance)

29

La pile GRC : vue globale

Client : Quels sont les contrôles qui devraient être en place ?Fournisseur : Quels sont les contrôles que je devrais mettre en place?

Client : Comment je me renseigne à propos des contrôles mis en place chez le fournisseur ?Fournisseur : Comment je fais la démonstration de mes contrôles

Fournisseur : Comment je publie les informations d’audit ?Client : Comment je récupère les informations d’audit ?

Client : Comment puis-je savoir si les contrôles dont j’ai besoin sont toujours fonctionnels ?Fournisseur : Comment je puis fournir la transparence de mes services à mes clients ?

Contrôle et

surveillance

dynamique

Page 30: Les Outils de la CSA (Cloud Security Alliance)

Fournit Outils Description

Éléments de contrôle fondamentaux

Guide les fournisseurs et assiste les clients pour l’évaluation « sécurité » d’un fournisseur de Cloud Computing

Questionnaire de préaudit permettant d’inventorier les contrôles

Documente quels contrôles de sécurité sont implantés

Délivre les résultats d’audits

Interface pour automatiser la collecte des informations d’audit du fournisseur

Surveillance en continue des éléments de transparence

Mécanismes pour demander et recevoir les affirmations et preuves de l’état courant des services chez le fournisseur

La pile GRC : Synthèse

Page 31: Les Outils de la CSA (Cloud Security Alliance)

31

Pour conclure

• CSA :Organisation jeune (3 ans)– Outils jeunes mais basés sur des

cadres de références

– Leader en matière de sécurité du Cloud Computing

• Fort développement– 60 chapitres

• Supportée par des compagnies et organisations majeures– ISACA International

• Outils automatisés: en cours de développement