Sicurezza e Interoperabilità nei sistemi multicloud
Transcript
Sicurezza e Interoperabilità nei sistemi multicloud
Sicurezza e Interoperabilità nei sistemi multicloud Antonio Corradi - DISI Dipartimento di Informatica - Scienze e Ingegneria Università di BOLOGNA Il Cloud computing Una tecnologia disponibile alle aziende attraverso un nuovo paradigma computazionale che nasce dall’esigenza di risolvere i problemi legati ai costi aziendali dell’IT •Il Cloud permette di offrire servizi informatici IT in modo dinamico e maggiormente commisurati alle esigenze delle moderne imprese •Il Cloud permette di effettuare il provisioning di risorse IT ‘as-a-Service’, o *-aaS, come se fossero utility, e il loro controllo e gestione via Web 3 30.10.2012 // Sicurezza e Interoperabilità nei Sistemi Multicloud / / Antonio Corradi Offerta e Architettura a livelli SaaS PaaS IaaS 4 Software as a Service, Platform as a Service, Infrastructure as a Service 30.10.2012 // Sicurezza e Interoperabilità nei Sistemi Multicloud / / Antonio Corradi Risorse come servizi *-aaS in Cloud Offerte differenziate di risorse fornite come servizi, e disponibili ed usabili attraverso il Web SaaS Software as a Service Le risorse sono le applicazioni disponibili via Web in Cloud PaaS Platform as a Service Le risorse sono le intere piattaforme software per la esecuzione di diverse applicazioni, per più programmi disponibili da utilizzare in interazione tra loro in Cloud Iaas Infrastructure as a Service Le risorse sono intese in modo ampio e completo, dalle piattaforme hardware, ai sistemi operativi, al supporto fino alle applicazioni: partendo anche dalla virtualizzazione a basso livello fino a fornire piattaforme complete in Cloud 5 30.10.2012 // Sicurezza e Interoperabilità nei Sistemi Multicloud / / Antonio Corradi Alcune soluzioni *-aaS Esempi molto diffusi e in continua crescita e diffusione SaaS servizi a richiesta via Web Dai desktop come Google Apps (Gmail, Google calendar e docs), Microsoft Window live (Hotmail, Messenger, …) fino ai motori di ricerca, Google, Yahoo, Alle social network, come Facebook, LinkedIn, Twitter, … PaaS tipicamente piattaforme virtuali nuove via Web Applicazioni che costituiscono nuove piattaforme come GAE Google Application Engine, con integrazione completa di nuovi strumenti Google Maps, Sites, … Iaas complete infrastrutture disponibili via Web Molti esempi di infrastrutture e server virtuali, come Amazon Web Services (S3), Elastic Computing Cloud (EC2), ad includere desktop di controllo e monitoraggio dell’esecuzione, Sun global desktop, Zimdesk, … 6 30.10.2012 // Sicurezza e Interoperabilità nei Sistemi Multicloud / / Antonio Corradi Cloud computing: esempi di offerta • • • • • • • 7 Google docs, salesForce, hotmail, Gmail, … Web applications (Web 2.0) molto diffuse e usate, oltre alle reti sociali Google App Engine Google App Engine, sandbox for management e security, vari linguaggi (Python e Java) HP/Yahoo/Intel Open Cirrus Test Bed: virtualized images, Xen, simple SLA console Amazon Elastic Computing – EC2: Amazon WS (SLA), Amazon Machine Image (DB+Software and middleware+OS) e Xen, Dynamo IBM Cloud: virtualized images (DB+Software and middleware+OS), Xen, Tivoli (monitoring and management), simple SLA console Microsoft Azure: soluzione Microsoft Ricerca e altri sistemi in corso d’opera: RESERVOIR EU FP7 project, OpenStack, Eucalyptus, 3Tera, … 30.10.2012 // Sicurezza e Interoperabilità nei Sistemi Multicloud / / Antonio Corradi Modello completo di servizio Alcuni ruoli e offerte ancora poco conosciuti Cloud auditor, broker, carrier 8 30.10.2012 // Sicurezza e Interoperabilità nei Sistemi Multicloud / / Antonio Corradi Standard Cloud del NIST National Institute of Standard and Technology 9 30.10.2012 // Sicurezza e Interoperabilità nei Sistemi Multicloud / / Antonio Corradi Cloud computing: percezione Sicurezza Integrazione 10 30.10.2012 // Sicurezza e Interoperabilità nei Sistemi Multicloud / / Antonio Corradi Problemi tecnologici legati alla Sicurezza Per diverse aree applicative (dati più o meno sensibili) • CRM, content management, mail/office, well-being, e-health, … Problemi di sicurezza • • • • • • • Localizzazione dei dati Data-center distribuiti geograficamente world-wide, con possibilità diverse per il controllo sulla localizzazione fisica dei dati Trasporto e accesso ai dati Sicurezza garantita del dato su tutto il percorso fra il Web browser e il Cloud dove si trovano il servizio e i dati Security e Privacy dei dati Cifratura dei dati per proteggerli da intrusioni da parte di altri utilizzatori della stessa piattaforma Cloud e del Cloud provider Possibilità di accesso diversificato ai dati a seconda dei ruoli … CSA linee guida: Security guidance for critical areas… Cloud 11 30.10.2012 // Sicurezza e Interoperabilità nei Sistemi Multicloud / / Antonio Corradi Aspetti legali relativi alla Sicurezza Chiara separazione di responsabilità • Accordo negoziale tra Client e Provider del Cloud Problemi legali • • • • • • • Protezione dei dati Disponibilità Standard minimi e garanzie della QoS Confidenzialità Proprietà intellettuale Negligenze Professionali Outsourcing dei servizi e cambiamenti sul controllo dati Standard Europei ENISA (European Network and Information Security Agency) Risk assessment: Cloud Computing - Benefits, risks and recommendations for information security EU sta definendo una normativa per la garanzia dell’accesso ai dati 12 30.10.2012 // Sicurezza e Interoperabilità nei Sistemi Multicloud / / Antonio Corradi Interoperabilità e Portabilità Portabilità Problemi collegati al lock-in del cliente verso un provider, rendendo non possibile uscire con le proprie risorse verso un altro provider • Possibilità di passare da un provider ad un altro valutando il contratto e le offerte economiche senza avere problemi sulle soluzioni, il formato dei dati, … • Capire il contratto e prevedere come uscirne Interoperabilità anche come mix dei servizi Ecosistema unificato di risorse attraverso federazione di Cloud provider •Possibilità di servizi forniti da provider diversi e che possano interagire •Valutare tutte le specificità tecnologiche non-open e peculiari del provider 13 30.10.2012 // Sicurezza e Interoperabilità nei Sistemi Multicloud / / Antonio Corradi Standard per il Cloud Gli standard danno delle garanzie nel senso della portabilità e interoperabilità, oltre che nelle verifiche degli strumenti correlati alla sicurezza Molte proposte di standard Cloud non sono troppo interoperabili tra loro e richiedono una attenta analisi da parte del cliente DMFT (Distributed Management Task Force) Standard Iaas - propone uno standard per la virtualizzazione delle risorse (OVF) e un’infrastruttura di gestione (CIMI) OGF (Open Grid Forum) Standard Paas - propone uno standard (Open Cloud Computing Interfce OCCI) di API per l’intero controllo di Cloud diversi SNIA (Storage Network Industry Association) Standard Paas - propone uno standard per il data Storage e la più facile virtualizzazione: Cloud Data Management Interface (CMDI) 14 30.10.2012 // Sicurezza e Interoperabilità nei Sistemi Multicloud / / Antonio Corradi Standard per il Cloud - ancora CSA (Cloud Security Alliance) Standard a livello di sicurezza, promuovendo la competenza nel settore Cloud, come strumenti di ausilio nelle valutazioni, e anche con corsi per professionisti OASIS (Organization for the Advancement of Structured Information Standard) Standard di sicurezza, con IDCloud Tech. Comm., e propone uno standard Paas di gestione Cloud Application Management for Platform (CAMP) CCFI (Cloud Computing Interoperability Forum) Standard Cloud, come Unified Cloud Interface (UCI) per una possibilità di API unificate generali comandate via Web NIST (National Institute of Standard and Technology) Agenzia Federale per gli Standard Cloud, promuovendo reti di centri locali OCC (Open Cloud Consortium) Standard reference implementation e benchmark, con linee guida per lo sviluppo differenziate in base alle dimensioni del progetto 15 30.10.2012 // Sicurezza e Interoperabilità nei Sistemi Multicloud / / Antonio Corradi Aspetti percepiti dai Clienti Cloud Invece di sicurezza ci sono problemi di garanzia di privacy • • Tutti i clienti hanno capito che i servizi Cloud sono più sicuri dei servizi in azienda, a tutti i livelli, e con qualità più alta e con costi più bassi Attenzione ad altri requisiti, come la legge applicata, le regole implicite di uscita, di disponibilità, che richiedono una precisa valutazione e una accurata negoziazione Precisa valutazione dei processi aziendali • • Ogni azienda deve valutare in modo interno quali siano le risorse adatte ad essere messe in Cloud Spesso non si valutano i costi dipendenti dalla integrazione e dalla interazione dei middleware, e non si coinvolgono tutte le componenti aziendali, dalla cui partecipazione ed esperienza deriva il successo della soluzione Benefici dell’adozione del Cloud • 16 Ogni azienda scopre molti benefici peculiari, oltre alla riduzione del costo 30.10.2012 // Sicurezza e Interoperabilità nei Sistemi Multicloud / / Antonio Corradi Roadmap per il Cloud computing Aspetti di sicurezza diventano problemi di privacy Piuttosto che perimetro di sicurezza tecnica dei dati, l’aspetto della separazione dei dati in ambienti multiclient Aspetti legali possono diventare cruciali EU tende a indicare come problema la localizzazione dei dati: si sta normando un accesso garantito ai dati dovunque siano Il vantaggio del costo meno importante rispetto ad altri Elasticità e agilità stanno diventando gli aspetti più competitivi rispetto al risparmio Risorse Cloud integrate con risorse aziendali in-house Sta imponendosi una visione mista con risorse Cloud e aziendali interne e con un forte requisito di interoperabilità Necessità di procedure di ingresso e uscita Le aziende devono essere garantite dei costi sicuri di ingresso e di eventuale uscita in/da una soluzione Cloud 17 30.10.2012 // Sicurezza e Interoperabilità nei Sistemi Multicloud / / Antonio Corradi