Les Outils de la CSA (Cloud Security Alliance)

2 249 vues

Publié le

Tour d'horizon des outils de la Cloud Security Alliance pour un usage sécuritaire du Cloud Computing en entreprise

Publié dans : Technologie
0 commentaire
2 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
2 249
Sur SlideShare
0
Issues des intégrations
0
Intégrations
172
Actions
Partages
0
Téléchargements
79
Commentaires
0
J’aime
2
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Les Outils de la CSA (Cloud Security Alliance)

  1. 1. 1
  2. 2. Les Outils de la Cloud Security Alliance (CSA) Yann Rivière, CISSP, CCSK @yannriviere 8 Novembre 2012 2 http://www.isaca-quebec.ca/
  3. 3. Qui suis-je ?– Yann Rivière– Fujitsu Canada, équipe sécurité du bureau de Québec– Passé : Industries de la défense et de l’automobile • Thales (Défense, Sécurité, Aérospatial) – Équipe sécurité des infrastructures • British Telecom – Équipe sécurité des clients – Client : Valeo, Industriel automobile – Centre de compétence sécurité du groupe Projet Google Apps entre autres. 3
  4. 4. Plan– Présenter les outils de la Cloud Security Alliance (CSA)– Retour d’expérience: Google Apps dans l’industrie automobile 4
  5. 5. Qu’est-ce que la CSA ?• Organisation à but non lucratif – 35 678 membres individuels – 123 membres corporatifs – 64 chapitres• Mission de la CSA – Promouvoir l’utilisation des meilleures pratiques sécurité dans le « Cloud Computing » – Permettre un usage sécuritaire par l’éducation et la mise à disposition d’outils 5
  6. 6. Les membres 6 6
  7. 7. Les outils de la CSA• Le guide de sécurité v3 • Security Guidance for Critical Areas of Focus in Cloud Computing • https://cloudsecurityalliance.org/guidance• La Pile GRC (Governance, Risk Management and Compliance) 7 7
  8. 8. Le Guide de Sécurité version 3• Recueil des Section 1. Domaine 1 Cadre architectural meilleures pratiques Architecture pour sécuriser le Cloud Computing Domaine 2 Gouvernance et gestion du risque Domaine 3 Juridique : contrat et enquête électronique Section 2. Domaine 4 Gestion de la conformité et audit Gouvernance• Projet phare de la Domaine 5 Gestion de l’information et sécurité des données CSA Domaine 6 Interopérabilité et portabilité• V 3.0 publiée en Novembre 2011 Domaine 7 Sécurité, BCP, DRP Domaine 8 Opération du centre de données• Aligné sur les cadres Domaine 9 Gestion des incidents Section 3. Domaine 10 Sécurité des applications internationaux Opérations Domaine 11 Chiffrement et gestion des clés – Cobit 4.1, PCI/DSS, ISO 27001,SP 800-53 Domaine 12 Identité, droit et gestion des accès Domaine 13 Virtualisation Domaine 14 SECurity As a Service 8
  9. 9. Le Guide de Sécurité version 3• Exemple : Domaine 14 : « Security as a Service » Achat d’un service cloud de courriel – Les fournisseurs doivent pouvoir donner l’option de chiffrer vos courriels à l’aider de règles. – Les fournisseurs doivent passer les courriels à l’antivirus avant de vous délivrer le message – Les fournisseurs de services doivent vous fournir des capacité d’analyse de contenu qui vous permette de forcer la politique. 9
  10. 10. Le Guide de Sécurité version 3• Exemple : Domaine 4 : « Conformité » Achat d’un service de courriel et de gestion de calendrier – Si vous êtes dans un environnement hautement régulé (gouvernement, finance, santé…) – Alors • Localisation des données • Localisation des sauvegardes • Localisation des données en transit 10
  11. 11. La Pile GRC (Gouvernance, Risk management , Compliance)• Famille de 4 projets de recherche donnant 4 outils – CCM : Cloud Control Matrix – CAIQ : Consensus Assessment Initiative Questionnaire – Cloud Audit – Cloud Trust Protocol
  12. 12. 12
  13. 13. La pile GRC : vue client/fournisseurClient : Quels sont les contrôles quidevraient être en place ?Fournisseur : Quels sont les contrôlesque je devrais mettre en place? Client : Comment je me renseigne à propos des contrôles mis en place chez le fournisseur ? Fournisseur : Comment je fais la démonstration de mes contrôles Fournisseur : Comment je publie les informations d’audit ? Client : Comment je récupère les informations d’audit ? Client : Comment puis-je savoir si les contrôles Contrôle et dont j’ai besoin sont toujours fonctionnels ? surveillance Fournisseur : Comment je puis fournir la dynamique transparence des mes services à mes clients ? 13
  14. 14. L’outil Cloud Control Matrix (CCM)• Cloud Control Matrix (CCM) – Premier cadre spécifiquement écrit pour apprécier les risques dans la chaine d’approvisionnement du cloud computing – Liste les contrôles couvrant les 14 domaines identifiés dans le guide de sécurité – Mappés avec les contrôles des cadres courants tels que COBIT https://cloudsecurityalliance.org/research/ccm/ 4.1, PCI/DSS, ISO 27001,HIPAA, NIST SP800-53 R3 et Jericho Forum 14
  15. 15. La CCM : exempleExtrait section sécurité des données :• Contrôle IS-19 : Gestion des clefs de chiffrement – Politiques et procédures doivent être établies et les mécanismes implémentés pour supporter le chiffrement des données stockées et en transit 15
  16. 16. La pile GRC : vue globaleClient : Quels sont les contrôles quidevraient être en place ?Fournisseur : Quels sont les contrôlesque je devrais mettre en place? Client : Comment je me renseigne à propos des contrôles mis en place chez le fournisseur ? Fournisseur : Comment je fais la démonstration de mes contrôles Fournisseur : Comment je publie les informations d’audit ? Client : Comment je récupère les informations d’audit ? Client : Comment puis-je savoir si les contrôles Contrôle et dont j’ai besoin sont toujours fonctionnels ? surveillance Fournisseur : Comment je puis fournir la dynamique transparence des mes services à mes clients ? 16
  17. 17. Le questionnaire CAI• Liste de 197 questions couvrant la CCM – Peut être utilisé par les fournisseurs ou par les utilisateurs de services Cloud – Permet d’identifier les pratiques et contrôles de sécurité – Évaluer les niveaux de service – Ne rien « oublier » dans votre contrat – Mappés avec les contrôles des cadres courants tels que COBIT 4.1, PCI ISO 27001 ou HIPAA, NIST SP800-53 17
  18. 18. Le questionnaire CAI• Gestion des clef de chiffrement – Question IS-19-2 : Est-ce que les images et les données sont protégées par chiffrement lors de leur transit entres hyperviseurs ou d’un réseau à un autre ? – IS 19.4 : Est-ce qu’il existe une procédure de gestion des clés de chiffrement ? 18
  19. 19. La pile GRC : vue globaleClient : Quels sont les contrôles quidevraient être en place ?Fournisseur : Quels sont les contrôlesque je devrais mettre en place? Client : Comment je me renseigne à propos des contrôles mis en place chez le fournisseur ? Fournisseur : Comment je fais la démonstration de mes contrôles Fournisseur : Comment je publie les informations d’audit ? Client : Comment je récupère les informations d’audit ? Client : Comment puis-je savoir si les contrôles Contrôle et dont j’ai besoin sont toujours fonctionnels ? surveillance Fournisseur : Comment je puis fournir la dynamique transparence des mes services à mes clients ? 19
  20. 20. Cloud Audit (1/2)• Propose une interface entre utilisateurs et fournisseurs permettant la collection automatisée d’information d’audit• L’espace de nom utilisé par cloud audit reflète les contrôles du cadre de référence• Basé sur le protocole HTTP (Requêtes GET) – Convention de nommage et structure définies – Support Cobit 4.1, ISO 27002, PCI/DSS, HIPAA et NIST 800-53 – Draft RFC 20
  21. 21. Cloud Audit (2/2)• Exemples : Contrôle de la gestion des clefs de chiffrement – Cobit 4.1 : ControleDS5.8 – NIST : SP800-53 R3 SC-12 – Cloud Security Alliance : IS-19• Requête Cobit 4.1 – GET /.well-known/cloudaudit/org/itgi/COBIT/4-1/DS5-8/• Requête CSA – GET /.well-known/cloudaudit/org/cloudsecurityalliance/guidance/IS-19/• Requête ISO 27002-2005 – GET /.well-known/cloudaudit/org/iso/27002-2005/12-3-2/• Réponse : « Yes » ou « No » + Métadonnées (Informations de démonstration du 21 contrôle)
  22. 22. Cloud Audit et gestion des clefs Existe t’il une politique degestion des clefsde chiffrement ? GET /.well-known/cloudaudit/org/itgi/COBIT/4-1/DS5-8/ <200 Ok, Yes + Politique de gestion des clefs 22
  23. 23. 23
  24. 24. La pile GRC : vue globaleClient : Quels sont les contrôles quidevraient être en place ?Fournisseur : Quels sont les contrôlesque je devrais mettre en place? Client : Comment je me renseigne à propos des contrôles mis en place chez le fournisseur ? Fournisseur : Comment je fais la démonstration de mes contrôles Fournisseur : Comment je publie les informations d’audit ? Client : Comment je récupère les informations d’audit ?Contrôle et Client : Comment puis-je savoir si les contrôlessurveillance dont j’ai besoin sont toujours fonctionnels ?dynamique Fournisseur : Comment je puis fournir la transparence de mes services à mes clients ? 24
  25. 25. Cloud Trust Protocol (CTP) Quelle est ma Qui a accès Où sont mes configuration à mes données ? cloud Quels sont lesQuelles sont les données ? actuellement? évènements devulnérabilités de sécurité de mon mon infrastructure ? infrastructure ?
  26. 26. Cloud Trust protocol• Objectif : Établir une relation de confiance avec les fournisseurs – « La confiance n’exclut pas le contrôle » – Rendre visible ce qui se passe dans le cloud – Rétablissement de la transparence – Augmente la confiance de l’utilisateur ou client potentiel – Apparition de la notion d’éléments de transparence 26
  27. 27. Cloud Trust protocol• Éléments de transparence – Informations : configurations, évaluation des vulnérabilités, journaux applicatif, statistiques, historique, architecture, technologie, procédures etc…• Comment ? – En répondant aux clients en temps réel ou pas (courriel) – Requêtes HTTP• Ce que vous pouvez avoir (entre autres): – Liste des utilisateurs et leurs permissions – Quelle est la configuration technologique de {$hyperviseur, $switch virtuel, $firewall virtuel, $IDS}• Nouveau service : – TaaS (Transparency as a Service) 27
  28. 28. CTP : Mécanique 28
  29. 29. La pile GRC : vue globaleClient : Quels sont les contrôles quidevraient être en place ?Fournisseur : Quels sont les contrôlesque je devrais mettre en place? Client : Comment je me renseigne à propos des contrôles mis en place chez le fournisseur ? Fournisseur : Comment je fais la démonstration de mes contrôles Fournisseur : Comment je publie les informations d’audit ? Client : Comment je récupère les informations d’audit ?Contrôle et Client : Comment puis-je savoir si les contrôlessurveillance dont j’ai besoin sont toujours fonctionnels ?dynamique Fournisseur : Comment je puis fournir la transparence de mes services à mes clients ? 29
  30. 30. La pile GRC : SynthèseFournit Outils DescriptionÉléments de contrôle Guide les fournisseurs etfondamentaux assiste les clients pour l’évaluation « sécurité » d’un fournisseur de Cloud ComputingQuestionnaire de Documente quelspréaudit permettant contrôles de sécurité sontd’inventorier les implantéscontrôlesDélivre les résultats Interface pour automatiserd’audits la collecte des informations d’audit du fournisseurSurveillance en Mécanismes pourcontinue des éléments demander et recevoir lesde transparence affirmations et preuves de l’état courant des services chez le fournisseur
  31. 31. Pour conclure• CSA :Organisation jeune (3 ans) – Outils jeunes mais basés sur des cadres de références – Leader en matière de sécurité du Cloud Computing• Fort développement – 60 chapitres• Supportée par des compagnies et organisations majeures – ISACA International• Outils automatisés: en cours de développement 31

×