Il Cloud computing
Transcript
Il Cloud computing
Stefano Testoni CEFRIEL Politecnico di Milano e-mail: [email protected] © CEFRIEL 2015 - Tutti i diritti riservati Il Cloud Computing e la sicurezza: aspetti tecnici, rischi e opportunità Il presente documento è stato sviluppato in forma originale da CEFRIEL, a beneficio esclusivo dei partecipanti al corso. Tale documento o parte dei suoi contenuti non può essere riprodotto, distribuito, divulgato, ceduto, in tutto o in parte, a soggetti terzi, né da questi ultimi utilizzato, senza il preventivo consenso scritto di CEFRIEL. I disegni, le tabelle, i dati e qualsivoglia altra informazione, anche di tipo illustrativo e/o descrittivo contenuti in tale documento, sono materiale riservato di proprietà di CEFRIEL o dei legittimi proprietari espressamente menzionati Tutti i marchi (e/o riferimenti di qualunque tipo) inseriti nel presente documento appartengono ai legittimi proprietari e sono pubblicati in osservanza delle normative vigenti. © CEFRIEL 2015 - Tutti i diritti riservati Who am I? Stefano Testoni (mail: [email protected]) Security Expert @ CEFRIEL Attività usuali: Security Architect, Pentester, Security PM, Security Technology Researcher, Security Concept Builder © CEFRIEL 2015 - Tutti i diritti riservati Cos’è il Cloud Computing Chiedete ad un Teeneger di adottare il Cloud Computing... © CEFRIEL 2015 - Tutti i diritti riservati 4 #SPETTACOLOTUTTOGRATIS!! Communication Selfie & Sharing Social © CEFRIEL 2015 - Tutti i diritti riservati 5 Cos’è il Cloud Computing ...ora chiedete ad un Security Manager di adottare il Cloud Computing © CEFRIEL 2015 - Tutti i diritti riservati 6 © CEFRIEL 2015 - Tutti i diritti riservati 7 Il Cloud Computing è qualcosa di nuovo © CEFRIEL 2015 - Tutti i diritti riservati 8 Modello del Cloud Computing Definizione Il Cloud Computing è un modello IT integrato di distribuzione, sviluppo e messa in produzione che permette la realizzazione in tempo reale di servizi e soluzioni erogate attraverso Internet Definizione IDC Modello di Cloud Computing secondo NIST Ondemand selfservice E’ il modello di riferimento per l’erogazione di servizi Cloud © CEFRIEL 2015 - Tutti i diritti riservati Broad network access Resource pooling SaaS PaaS Software as a Service Platform as a Service Rapid elasticity Measured service IaaS Infrastructure as a Service l’evoluzione INNOVATIVO E SPERIMENTALE CONSOLIDATO E AFFIDABILE Il cloud computing è qualcosa di relativamente recente, ongoing.... © CEFRIEL 2015 - Tutti i diritti riservati 10 Commodity Hardware e Affidabilità www.backblaze.com © CEFRIEL 2015 - Tutti i diritti riservati 11 l’adozione ..e come tale deve essere sperimentato, accuratamente studiato ed analizzato prima che possa supportare efficacemente i processi aziendali (anche i più critici) © CEFRIEL 2015 - Tutti i diritti riservati 12 I servizi Cloud, scenario variegato IaaS: pochi attori dominanti SaaS: scenario variegato Gartner's latest 2014 IaaS Magic Quadrant © CEFRIEL 2015 - Tutti i diritti riservati 14 La Sicurezza Classica IaaS: pochi attori dominanti SaaS: scenario variegato Gartner's latest 2014 IaaS Magic Quadrant I modelli di sicurezza classica potrebbero non bastare in questo nuovo contesto © CEFRIEL 2015 - Tutti i diritti riservati 15 La security è un «work in progress» IaaS: pochi attori dominanti SaaS: scenario variegato Gartner's latest 2014 IaaS Magic Quadrant © CEFRIEL 2015 - Tutti i diritti riservati 16 Il costo e le features di sicurezza Adottare il Cloud per ridurre i costi..... attenzione...molte features di sicurezza nel Cloud Computing sono offerte come servizio ad un costo aggiuntivo © CEFRIEL 2015 - Tutti i diritti riservati Per non incappare in errori di valutazione Ci si aspetta di avere servizi sicuri con un investimento ridicolo in sicurezza informatica? Valutare se Adottarli? © CEFRIEL 2015 - Tutti i diritti riservati Comprendere i Rischi 18 Per non incappare in errori di valutazione Ci si aspetta di avere servizi sicuri con un investimento ridicolo in sicurezza informatica? Valutare se Adottarli? © CEFRIEL 2015 - Tutti i diritti riservati Comprendere i Rischi? 19 Il parere di Stallman “Credo che a chi lavora nel marketing piaccia il termine “cloud computing” in quanto privo di sostanziale significato. Il significato del termine non è una sostanza, ma un atteggiamento: “Lascia che Tom, Dick e Harry tengano i tuoi dati, lascia che qualsiasi Tom, Dick e Harry si occupi dei tuoi dati (e li controlli)”. Probabilmente il termine “careless computing” sarebbe più calzante. […] Il Governo potrebbe incoraggiare le persone a piazzare i dati dove esso sia in grado di raggiungerli senza mostrare mandati di perquisizione, piuttosto che in luoghi di proprietà propria. A ogni modo, finché abbastanza di noi continueranno a tenere i propri dati sotto il proprio controllo, potremo ancora continuare a farlo. E faremmo bene a continuare così, o questa opzione potrebbe scomparire” © CEFRIEL 2015 - Tutti i diritti riservati Richard Stallman è uno dei principali esponenti del movimento del software libero. Nel settembre del 1983 diede avvio al progetto GNU con l'intento di creare un sistema operativo simile a Unix ma composto interamente da software libero LINUX 20 Le due parrocchie patrimonio personale stimato da Bloomberg pari a 72.7 Miliardi di dollari le stime ufficiali della Linux Foundation stabiliscono il valore del Kernel Linux a 1.2 miliardi di dollari. L’approccio di Stallman è quello di cercare di rendere l’informatica libera, gratuita e accessibile a tutti © CEFRIEL 2015 - Tutti i diritti riservati 21 Stallman: dite no al cloud computing Le argomentazioni di questa posizione: non ci sarebbe alcun bisogno di ricorrere alla computazione remota di massa per tirare avanti, bastano e avanzano gli strumenti attualmente in circolazione. La potenza delle componenti IT cresce significativamente più velocemente del fabbisogno IT aziendale. Virtualizzazione Ottimizzazione © CEFRIEL 2015 - Tutti i diritti riservati Stallman: dite no al cloud computing Le argomentazioni di questa posizione: non ci sarebbe alcun bisogno di ricorrere alla computazione remota di massa per tirare avanti, bastano e avanzano gli strumenti attualmente in circolazione. "Una ragione per non usare le web application è la perdita del controllo“: i dati fluiscono liberamente tra qualsiasi postazione o thin client in giro per il mondo e i datacenter, a scapito della capacità del legittimo proprietario di disporne a suo piacimento. Stima del valore dei dati per l’azienda Quali requisiti di sicurezza del dato? http://www.laleggepertutti.it/32536_facebook-cancellazione-impossibile-non-tutti-i-dati-spariscono-col-nostro-account © CEFRIEL 2015 - Tutti i diritti riservati Stallman: dite no al cloud computing Le argomentazioni di questa posizione: non ci sarebbe alcun bisogno di ricorrere alla computazione remota di massa per tirare avanti, bastano e avanzano gli strumenti attualmente in circolazione. "Una ragione per non usare le web application è la perdita del controllo“: i dati fluiscono liberamente tra qualsiasi postazione o thin client in giro per il mondo e i datacenter, a scapito della capacità del legittimo proprietario di disporne a suo piacimento. https://krebsonsecurity.com/2015/06/password-manager-lastpass-warns-of-breach/ © CEFRIEL 2015 - Tutti i diritti riservati Stallman: dite no al cloud computing Le argomentazioni di questa posizione: non ci sarebbe alcun bisogno di ricorrere alla computazione remota di massa per tirare avanti, bastano e avanzano gli strumenti attualmente in circolazione. "Una ragione per non usare le web application è la perdita del controllo“: i dati fluiscono liberamente tra qualsiasi postazione o thin client in giro per il mondo e i datacenter, ma a scapito della capacità del legittimo proprietario di disporne a suo piacimento. Cosa accadrebbe nel caso in cui un account venisse sottratto al suo titolare? © CEFRIEL 2015 - Tutti i diritti riservati Stallman: dite no al cloud computing Le argomentazioni di questa posizione: non ci sarebbe alcun bisogno di ricorrere alla computazione remota di massa per tirare avanti, bastano e avanzano gli strumenti attualmente in circolazione. "Una ragione per non usare le web application è la perdita del controllo“: i dati fluiscono liberamente tra qualsiasi postazione o thin client in giro per il mondo e i datacenter, ma a scapito della capacità del legittimo proprietario di disporne a suo piacimento. Cosa accadrebbe nel caso in cui un account venisse sottratto al suo titolare? Autenticazione Interfacce 2014 celebrity photo hack From Wikipedia, the free encyclopedia On August 31, 2014, a collection of almost 500 private pictures of various celebrities, mostly women, and with many containing nudity, were posted on the imageboard 4chan, and later disseminated by other users on websites and social networks such as Imgur, Reddit and Tumblr. © CEFRIEL 2015 - Tutti i diritti riservati The images were believed to have been obtained via a breach of Apple's cloud services suite iCloud. Apple later confirmed that the hackers responsible for the leak had obtained the images using a "very targeted attack" on account information, such as passwords, rather than any specific security vulnerability in the iCloud service itself. Account or traffic hijacking Esempio: Account or traffic hijacking In Aprile 2010 Amazon ha subito un Cross Site Scripting (XSS) che ha permesso agli attaccanti di dirottare gli accessi al sito. Il bug XSS è stato iniettato all’interno del sito Amazon Wireless allo scopo di rubare le sessioni ID usate per garantire agli utenti l’accesso ai propri account dopo aver inserito la password. Il bug ha esposto le credenziali degli utenti che hanno cliccato su un fake link mentre erano loggati sulla homepage Amazon.com. © CEFRIEL 2015 - Tutti i diritti riservati 28 Stallman: dite no al cloud computing Le argomentazioni di questa posizione: non ci sarebbe alcun bisogno di ricorrere alla computazione remota di massa per tirare avanti, bastano e avanzano gli strumenti attualmente in circolazione. "Una ragione per non usare le web application è la perdita del controllo“: i dati fluiscono liberamente tra qualsiasi postazione o thin client in giro per il mondo e i datacenter, ma a scapito della capacità del legittimo proprietario di disporne a suo piacimento. Cosa accadrebbe nel caso in cui un account venisse sottratto al suo titolare? L'avvento del cloud computing secondo Stallman non fa altro che riproporre l'antica questione del software free contrapposto a quello non libero: "È un male proprio come usare i programmi proprietari". In ballo ci sarebbe persino la libertà personale: "Fate il vostro lavoro su un vostro computer con un programma che rispetti le vostre libertà: usando un programma proprietario sul server di qualcun altro si è senza difese. Vi state mettendo nelle mani di chiunque abbia sviluppato quel software". Cloud computing vendor lock-in: Avoiding security pitfalls Cifratura? Compliance? © CEFRIEL 2015 - Tutti i diritti riservati http://www.laleggepertutti.it/32536_facebook-cancellazione-impossibile-non-tutti-i-dati-spariscono-col-nostro-account Datagate: Progetto NSA Prism © CEFRIEL 2015 - Tutti i diritti riservati 30 Stallman: dite no al cloud computing Le argomentazioni di questa posizione: non ci sarebbe alcun bisogno di ricorrere alla computazione remota di massa per tirare avanti, bastano e avanzano gli strumenti attualmente in circolazione. "Una ragione per non usare le web application è la perdita del controllo“: i dati fluiscono liberamente tra qualsiasi postazione o thin client in giro per il mondo e i datacenter, ma a scapito della capacità del legittimo proprietario di disporne a suo piacimento. Cosa accadrebbe nel caso in cui un account venisse sottratto al suo titolare? L'avvento del cloud computing secondo Stallman non fa altro che riproporre l'antica questione del software free contrapposto a quello non libero: "È un male proprio come usare programmi proprietari". In ballo ci sarebbe persino la libertà personale: "Fate il vostro lavoro su un vostro computer con un programma che rispetti le vostre libertà: usando un programma proprietario sul server di qualcun altro si è senza difese. Vi state mettendo nelle mani di chiunque abbia sviluppato quel software". Il rischio, prosegue Stallman, è che se all'inizio questi servizi possono apparire più economici (o addirittura gratuiti) rispetto alle abitudini attuali, nel lungo periodo possano invece rivelarsi oltremodo costosi. E soprattutto, l'intera mole di informazioni personali (foto, appunti, appuntamenti in agenda) o aziendali (budget, bilanci, piani strategici) sarebbe affidata alla onestà e alla solidità di una azienda, esponendosi a tutti i rischi di boicottaggio o incidenti che questo comporta. © CEFRIEL 2015 - Tutti i diritti riservati Esplosione dei costi http://www.symantec.com/co ntent/en/us/about/media/pdfs/ b-state-of-cloud-globalresults-2013.en-us.pdf L’indagine effettuata da Symantec rileva che il 77% delle imprese intervistate sono state affette da costi imprevisti legati alla tecnologia Cloud © CEFRIEL 2015 - Tutti i diritti riservati Per non incappare in errori di valutazione Ci si aspetta di avere servizi sicuri con un investimento ridicolo in sicurezza informatica? Valutare se Adottarli? © CEFRIEL 2015 - Tutti i diritti riservati Comprendere i Rischi? 33 Un valido aiuto “The notorious nine” è un documento che supporta nell’identificazione dei rischi associati al Cloud Computing © CEFRIEL 2015 - Tutti i diritti riservati 1 Data breaches 2 Data loss 3 Account or service traffic hijacking 4 Insecure interfaces and APIs 5 Denial of Service 6 Malicious insiders 7 Abuse of cloud services 8 Insufficient due diligence 9 Shared technology vulnerabilities 34 Qualche spunto sui rischi.... Il Rischio non si crea e non si distrugge, ma in alcuni casi si può trasferire.... Libero adattamento di una massima di Antoine-Laurent de Lavoisier © CEFRIEL 2015 - Tutti i diritti riservati 35 Qualche spunto sui rischi.... Il Cloud computing "amplifica" alcune tipologie di rischio.... La perdita di Governance ed i problemi legislativi costituiscono uno dei principali punti di attenzione nell’adozione di soluzioni di Cloud Computing Osservatorio Cloud & ICT Scool of Management Politecnico di Milano © CEFRIEL 2015 - Tutti i diritti riservati 36 Qualche spunto sui rischi.... Il Cloud computing non riduce i rischi di sicurezza informatica, al contrario, ne introduce di nuovi Attacchi ai sistemi e servizi Perdita dei dati Utilizzo Illecito del Cloud © CEFRIEL 2015 - Tutti i diritti riservati 37 Attenzione! Non è oro tutto quello che luccica! 39 © CEFRIEL 2015 - Tutti i diritti riservati © CEFRIEL 2015 - Tutti i diritti riservati 40