Vurdering av risiko og sikkerhet i skytjenester Håvard Reknes hmr@difi.no +47 469 28 494
LinkedIn Password Hack 2012 Hva skjedde? ENISA - Top security risks CSA - En praktisk veiledning for vurdering av sikkerhet i skytjenester Gruppeoppgaver LinkedIn Password Hack 2012 Hvilke tiltak ble iverksatt?
https://www.enisa.europa.eu/
Top Security Risks
Tap av styring og kontroll vs.
=
Usikker eller ufullstendig sletting av data
The mother of all cloud computing security certifications * https://cloudsecurityalliance.org/guidance/#_overview * CIO June 28, 2018 https://www.cio.com/article/3207553/certifications/the-most-valuable-cloud-computing-certifications-today.html
En praktisk veiledning for vurdering av sikkerhet i skytjenester https://cloudsecurityalliance.org/download/security-guidance-v4/
Del I: Generelt Del II: Styring Del III: Drift
133 kontrollkrav (16 kontrollområder) 295 Ja/Nei-spørsmål (CAIQ)
Security, Trust & Assurance Registry (STAR) https://cloudsecurityalliance.org/star/#_registry
16 kontrollområder AIS Application & Interface Security DSI Data Security & Information Lifecycle Management HRS Human Resources MOS Mobile Security AAC Audit Assurance & Compliance DCS Datacenter Security IAM Identity & Access Management SEF Security Incident Management, E-Discovery, & Cloud Forensics BCR Business Continuity Management & Operational Resilience EKM Encryption & Key Management IVS Infrastructure & Virtualization Security STA Supply Chain Management, Transparency, and Accountability CCC Change Control & Configuration Management GRM Governance and Risk Management IPY Interoperability & Portability TVM Threat and Vulnerability Management
DSI Data Security & Information Lifecycle Management 7 spørsmål Control specification DSI-01 Classification DSI-02 Data Inventory / Flows DSI-03 E-commerce Transactions DSI-04 Handling / Labeling / Security Policy DSI-05 Nonproduction Data DSI-06 Ownership / Stewardship DSI-07 Secure Disposal
DSI-01 Classification Kontrollspørsmål (CAIQ) DSI-01.4 Can you provide the physical location/geography of storage of a tenant s data upon request? DSI-01.5 Can you provide the physical location/geography of storage of a tenant's data in advance?
16 kontrollområder AIS Application & Interface Security DSI Data Security & Information Lifecycle Management HRS Human Resources MOS Mobile Security AAC Audit Assurance & Compliance DCS Datacenter Security IAM Identity & Access Management SEF Security Incident Management, E-Discovery, & Cloud Forensics BCR Business Continuity Management & Operational Resilience EKM Encryption & Key Management IVS Infrastructure & Virtualization Security STA Supply Chain Management, Transparency, and Accountability CCC Change Control & Configuration Management GRM Governance and Risk Management IPY Interoperability & Portability TVM Threat and Vulnerability Management
AAC Audit Assurance & Compliance 8 spørsmål Control specification AAC-01 Audit Planning AAC-02 Independent Audits AAC-03 Information System Regulatory Mapping
Gruppearbeid - Datacenter Security Kontrollområdet «DCS Datacenter Security» har 9 kontrollkrav: DCS-01 - Asset Management DCS-02 - Controlled Access Points DCS-03 - Equipment Identification DCS-04 - Offsite Authorization DCS-05 - Offsite Equipment DCS-06 - Policy DCS-07 - Secure Area Authorization DCS-08 - Unauthorized Persons Entry DCS-09 - User Access Krav DCS-07 har følgende spørsmål: Do you allow tenants to specify which of your geographic locations their data is allowed to move into/out of (to address legal jurisdictional considerations based on where data is stored vs. accessed)? Oppgave: Vurder svaret på kontrollkrav DCS-07 på et par utvalgte tjenester som du finner i STAR-registeret https://cloudsecurityalliance.org/star/#_registry
Gruppearbeid Threat and Vulnerability Management Kontrollområdet «TVM Threat and Vulnerability Management» har 3 kontrollkrav: TVM-01 - Antivirus / Malicious Software TVM-02 - Vulnerability / Patch Management TVM-03 - Mobile Code Krav TVM-01 har to spørsmål: TVM-01.1 Do you have anti-malware programs that support or connect to your cloud service offerings installed on all of your systems? TVM-01.2 Do you ensure that security threat detection systems using signatures, lists, or behavioral patterns are updated across all infrastructure components within industry accepted time frames? Oppgave: Vurder svaret på kontrollkrav TVM-01 på et par utvalgte tjenester som du finner i STAR-registeret https://cloudsecurityalliance.org/star/#_registry
Preventative Detective Corrective EKM-02 IVS-01 GRM-07 IAM-12 IVS-06 GRM-08 GRM-03 SEF-04 GRM-09 GRM-06 GRM-05 SEF-01 GRM-10 SEF-05 TVM-02
CCM Oppsummert Er ikke et rammeverk for risikovurdering Er ikke en metode for å identifisere alle dine sikkerhetskrav CCM er metode for å raskt evaluere ulike skytjenester og om det er akseptabelt for din virksomhet å flytte dine data og applikasjoner til skyen.
Sikkerhetsvurdering steg-for-steg 1. Hvilke data og applikasjoner/prosesser er aktuelt å flytte til skyen? 2. Hvor viktig er disse dataene eller denne funksjonen for din virksomhet? Hva vil konsekvensen være om våre data blir gjort tilgjengelig og distribuert offentlig? Hva vil konsekvensen være om skyleverandørens ansatte får tilgang til våre data? Hva vil konsekvensen være om våre prosesser eller funksjoner blir manipulert av en utenforstående? Hva vil konsekvensen være om våre prosesser eller funksjoner ikke leverer forventet resultat? Hva vil konsekvensen være om våre data plutselig blir endret? Hva vil konsekvensen være om våre data og systemer ikke er tilgjengelig over tid?
3. Vurder hvilken leveransemodell som passer best Public cloud Private, internal/on-premises Private, external (both dedicated or shared infrastructure) Community Hybrid
4. Vurder leveransemodell og evaluer aktuelle leverandører Hvilken grad av kontroll vil du ha hos den enkelte skyintegrator? Vurder å gjennomføre en full risk assessment.
5. Få oversikt over dataflyten Hvordan ser dataflyten ut mellom din virksomhet, skytjenesten og evt. dine kunder og/eller andre noder? 6. Konkluder For å kunne ta beslutning må du forstå: - hvor viktig de aktuelle data eller funksjonen er for din virksomhet - hvor stor risiko du er villig til å ta - hvilke kombinasjoner av leveransemodell og tjenestemodell er akseptable - potensiell risiko for sensitiv informasjon og drift