CLOUD COMPUTING E SICUREZZA: La prospettiva · PDF fileFormazione e training per...
-
Upload
phungtuong -
Category
Documents
-
view
213 -
download
1
Transcript of CLOUD COMPUTING E SICUREZZA: La prospettiva · PDF fileFormazione e training per...
NETWORK INTEGRATION and SOLUTIONS
Massimo Solari
CLOUD COMPUTING E SICUREZZA:
La prospettiva Europea
Sessione Studio AIEA
Milano, 3 novembre 2010
NETWORK INTEGRATION and SOLUTIONSBreve Presentazione
NIS - Network Integration and Solutions
operativa dal 1993
aggrega professionisti dell’Information Technology provenienti da esperienza accademica ed industriale
fonde capacita di progettazione industriale e ricerca applicata
NIS si propone quale azienda di consulenza nell’ambito dell’Information and
Communication Technology. L’azienda è organizzata in tre Business Area:
IT Governance e Security
Enterprise Application Integration
Education
NIS è presente sul territorio italiano con tre sedi dislocate a Genova, Milano e Roma.
Il fatturato dell’azienda è cresciuto costantemente negli ultimi anni e ha superato
nell’Esercizio 2009 i 4 milioni di Euro.
Analogamente, le Risorse Umane dell’azienda sono aumentate fino a raggiungere
attualmente circa 60 addetti a tempo pieno (80% dipendenti a tempo indeterminato).
NETWORK INTEGRATION and SOLUTIONSBreve Presentazione
NIS si propone quale azienda di consulenza nell’ambito dell’Information and
Communication Technology.
L’azienda è organizzata in tre Business Area:
NETWORK INTEGRATION and SOLUTIONSBusiness Area
IT Governance e Security
Enterprise Application Integration
Education
Nell’ambito IT Governance e Security e specificamente nella System Integration, le competenze dell’Azienda sono tradizionalmente legate alla High Availability ed al Disaster Recovery, per la quale l’azienda può vantare esperienze significative in ambito industriale.
L'offerta di NIS include:
progettazione e realizzazione di infrastrutture di rete, sia a livello locale che geografico. Particolare interesse rivestono gli aspetti legati alla High Availability (Sistemi per l’alta disponibilità dei servizi erogati tramite la rete) ed al Disaster Recovery. Tra questi rientrano progetti di replicazione locale e remota dei dati, protezione mediante soluzioni di backup e vaulting, disponibilità dei servizi
configurazione, amministrazione e tuning di piattaforme operanti con Sistema operativo Solaris 2.x, 8, 9, 10, HP-UX11 e AIX6. Nell’ambito della System Administration sono incluse tutte le problematiche inerenti la configurazione dei File System e dei Volumi di Storage
progettazione di basi dati e installazione, configurazione e amministrazione di Database Server Oracle.
NETWORK INTEGRATION and SOLUTIONSIT Governance e Security e System Integration
Nell’ambito IT Governance e Security nell’area dell’Information Management
System, NIS possiede tramite il proprio personale le seguenti certificazioni
professionali:
Certificazione Internazionale CISA (Certified Information System Auditor);
Certificazione Internazionale IRCA (Information Security Management System
Auditor) come Lead Auditor secondo lo schema della norma ISO27001;
Certificazione KHC (Know How Certification) come Lead Auditor secondo lo schema
ISO27001
Certificazione ITSmf come Lead Auditor secondo lo schema ISO20000
Qualifica professionale risconosciuta dal BSI come Lead Auditor secondo lo schema
BS25999
NETWORK INTEGRATION and SOLUTIONSIT Governance e Security e Information Management System
Grazie all’elevato prestigio delle certificazioni sopra menzionate, NIS è in grado di
proporsi come società altamente qualificata per lo svolgimento delle seguenti attività:
consulenza per la realizzazione di un Sistema di IT Governance;
consulenza per Internal Auditing;
consulenza per la realizzazione di un Information Security Management System
(ISMS) a norma ISO27001;
consulenza per la realizzazione di un Business Continuity Management System
(BCMS) a norma BS25999;
Audit di I, II e III parte su Sistemi informativi a norma ISO27001;
Consulenza in ambito ITIL;
Audit di I, II e III parte sui processi di business a norma ISO20000;
Formazione e training per implementazione e auditing di SGSI a norma ISO27001 e
per Sistemi integrati ISO9001, ISO27001 e ISO20000.
NETWORK INTEGRATION and SOLUTIONSIT Governance e Security e Information Management System
Nell’ambito del Enterprise Application Integration l’attività della Business Area è
focalizzata sulle tecnologie di integrazione a livello applicativo (Enterprise Application
Integration).
Le competenze sono relative alla progettazione di soluzioni multistrato e basi di dati,
creazione di interfacce client basate su tecnologie web tradizionali e mobile devices
(J2EE, J2ME). Particolare risalto è dato alla competenza nella definizione di flussi e
processi applicativi, alla loro integrazione basata sugli standard e all’utilizzo dei Web
Services per fornire una soluzione altamente flessibile e conforme agli standard
tecnologici.
In particolare, NIS ha maturato specifiche competenze relativamente alle soluzioni di
middleware di comunicazione e alla gestione di basi dati tramite interfacciamento
Web.
NETWORK INTEGRATION and SOLUTIONSEnterprise Application Integration
Relativamente all’Area Education, l’offerta NIS comprende la rilevazione dei fabbisogni formativi e la conseguente progettazione ed erogazione di corsi ad hoc mirati a soddisfare le esigenze di sviluppo delle competenze delle singole aziende, seguendo l’azienda stessa durante tutto il percorso di formazione e mantenendo il contatto per ogni successiva necessità.
NIS propone un catalogo formativo relativo a corsi standard sulle seguenti tematiche:
Tecnologia JAVA , .NET
Symantec (Educational Services Partner)
Quint Wellington RedWood (Partner – ITIL v2, V3 ISO/IEC 20000)
Amministrazione di Sistema Solaris
Programmazione C++, C
XML
ORACLE
Tecnologia Symantec Availability per soluzioni di High Avilability e Data Protection (trainer ufficiali autorizzati da Symantec)
Implementazione SGSI a norma ISO27001
Formazione per valutatori di terze parti a norma ISO27001
COBIT, ITIL
NETWORK INTEGRATION and SOLUTIONSEducation
Ricerca
NIS partecipa a progetti di ricerca sull’Innovazione Tecnologica sponsorizzati da Enti ed Organizzazioni Nazionali ed Europee. Il costante aggiornamento scientifico -tecnologico viene visto e vissuto come una condizione essenziale per il mantenimento della competitività aziendale, in uno scenario mondiale di continua trasformazione.
L’Azienda aderisce inoltre a numerose iniziative atte a promuovere lo sviluppo tecnologico nel nostro Paese,finanziando in proprio Premi per Tesi, Borse di Studio, Stage e corsi aziendali, partecipazioni a conferenze e congressi.
NETWORK INTEGRATION and SOLUTIONSRicerca
Al fine di valorizzare la propria offerta, NIS ha stabilito delle partnership con i principali produttori di tecnologie informatiche; ciò consente non solo di perfezionare le competenze del personale di NIS relativamente ai prodotti offerti dai principali attori del mercato, ma di fornire consulenza di alto livello comprovata dalle certificazioni ottenute anche a livello di workgroup.
NIS attualmente è partner accreditato:Silver Partner di Symantec (soluzioni Storage Foundation, Storage Foundation HA, NetBackup, Backup Exec for Windows Server, security Information Manager, Altiris), anche per la Delivery dei Servizi Professionali e di attività di progetto.
Altri Partner Tecnologici: ITWAY, TechData, Ingram Micro
Altri Partner di Servizi: Sogea, Rina, Certification Europe Italia
Partner Education: Symantec, Quint
Affiliazioni: Assolombarda, AIEA, Assindustria Genova, Dixet, Confidi Milano, Irca, KHC, itSMF, Azienda Amica
NETWORK INTEGRATION and SOLUTIONSPartnerShip
La presentazione è tratta dal documento prodotto da ENISA intitolato:
“Cloud Computing: benefits, risks and recommendations for information security”
(november 2009)
e opportunamente integrata con contributi originali.
ENISA – European Network and Information
Security Agency
CLOUD COMPUTING E GRIDObiettivo Generale
TIPOLOGIE DI RETI GRIDINTRAGRID
TIPOLOGIA DI RETI GRIDEXTRAGRID
TIPOLOGIA DI RETI GRIDINTERGRID
IL CLOUD COMPUTINGDefinizione Operativa
Il Cloud Computing è un modello di servizio a richiesta per la fornitura di risorse IT, spesso basato su virtualizzazione e tecnologie computazionali distribuite.
Un’architettura di Cloud Computing dispone di:
Risorse virtuali;
Flessibilità e scalabilità istantanea;
Risorse condivise;
Servizio a richiesta.
CATEGORIE DI CLOUD COMPUTINGPer tipologia di servizio
Tre categorie di servizio:
SaaS – Software as a Service
PaaS – Platform as a Service
IaaS – Infrastructure as a Service
CATEGORIE DI CLOUD COMPUTINGPer tipologia di ambito
A seconda della tipologia di accesso o di contratto:
PUBBLICA PRIVATA’ PARTNER
PROSPETTIVE DI CRESCITA DEL CLOUD COMPUTING
Alcuni dati tratti da analisi IDC:
Mercato Mondiale
$17.4 bn nel 2009 e $44.2 bn nel 2013
Mercato Europeo
€ 971 m nel 2009 e € 6005 m nel 2013
LA SICUREZZA DELL’INFORMAZIONEImpatti
LA SICUREZZA DELLE INFORMAZIONIBenefici
Sicurezza e Benefici di Scala
Sicurezza come strumento di differenziazione sul mercato
Interfacce standard di gestione
Flessibilità e scalabilità delle risorse
Audit come strumento di garanzia
Aggiornamenti e gestione degli incidenti efficiente ed efficace
Benefici per la concentrazione di risorse
Relativamente a Sicurezza e benefici di Scala delle reti di Cloud Computing ,
si identificano i seguenti benefici:
Locazioni multiple (ridondanza del dato);
Reti robuste;
Risposta veloce agli incidenti (recovery veloce)
Personale specializzato
LA SICUREZZA DELLE INFORMAZIONIBenefici
Relativamente a Sicurezza come strumento di differenziazione sul mercato delle
reti di Cloud Computing ,
si identificano i seguenti benefici:
Reputazione del provider;
Servizi messi a disposizione;
Certificazione del Provider
Possibilità di effettuare audit di seconda parte
LA SICUREZZA DELLE INFORMAZIONIBenefici
Relativamente a Interfacce Standard di Gestione delle reti di Cloud Computing ,
si identificano i seguenti benefici:
Interfacce standard per tutti i clienti;
Facilità e uniformità di gestione;
Facilità di cambio provider
LA SICUREZZA DELLE INFORMAZIONIBenefici
Relativamente a Flessibilità e Scalabilità delle risorse delle reti di Cloud
Computing ,
si identificano i seguenti benefici:
Utilizzo di piattaforme upgradate e tecnologie di ultima generazione;
Riallocazione di risorse per sfuggire agli attacchi;
Gestione del carico di servizi (capacity)
LA SICUREZZA DELLE INFORMAZIONIBenefici
Relativamente a Audit come strumento di garanzia delle reti di Cloud Computing
,
si identificano i seguenti benefici:
Utilizzo della virtualizzazione per indagini digitali;
Parallelizzazione delle indagini;
Migliore gestione dei log
Disponibilità di personale per forensics
LA SICUREZZA DELLE INFORMAZIONIBenefici
Relativamente a Aggiornamenti e Gestione degli Incidenti delle reti di Cloud
Computing ,
si identificano i seguenti benefici:
SLA calibrati;
Internal audit;
Audit di seconda e terza parte
LA SICUREZZA DELLE INFORMAZIONIBenefici
Relativamente a Benefici per la concentrazione di Risorse delle reti di Cloud
Computing ,
si identificano i seguenti benefici:
Facilità di perimetrizzazione dell’ambito;
Facilità di accesso alle risorse fisiche;
Facilità di gestione.
LA SICUREZZA DELLE INFORMAZIONIBenefici
LA SICUREZZA DELLE INFORMAZIONIRischi
Perdita di Governo
Dipendenza dal Provider
Perdita di isolamento Informazioni
Perdita di conformità
Compromissione interfaccia di gestione
Protezione dei dati
Cancellazione dati non sicura
Comportamenti dolosi (insider)
Relativamente a Perdita di Governo delle reti di Cloud Computing ,
si identificano i seguenti rischi:
Contrasto di policies col Provider;
Ruoli non definiti correttamente;
Mancanza di committment sul business aziendale da parte del provider
Rigidità di gestione
Impossibilità di effettuare hardening, intrusion test, audit, etc
Tempi di reazione non idonei
LA SICUREZZA DELLE INFORMAZIONIRischi
Relativamente a Dipendenza dal Provider delle reti di Cloud Computing ,
si identificano i seguenti rischi:
Utilizzo di architetture proprietarie;
Utilizzo di tool e metodologie proprietarie per la gestione IT;
Difficoltà nella migrazione ad altro provider
LA SICUREZZA DELLE INFORMAZIONIRischi
Relativamente a Perdita isolamento informazioni delle reti di Cloud Computing ,
si identificano i seguenti rischi:
Meccanismi tecnologici di separazione degli ambienti deboli;
Impatti su eventi di altri clienti;
LA SICUREZZA DELLE INFORMAZIONIRischi
Relativamente a Perdita di conformità delle reti di Cloud Computing ,
si identificano i seguenti rischi:
Impossibilità di mantenere certificazioni acquisite;
Indisponibilità del provider per audit di terze parti;
Indisponibilità del provider ad acquisire cetificazioni
Mancanza di requisiti per specifiche certificazioni (es. PCI DSS)
LA SICUREZZA DELLE INFORMAZIONIRischi
Relativamente a Compromissione interfaccia di gestione delle reti di Cloud
Computing ,
si identificano i seguenti rischi:
Impossibilità di accesso remoto;
Impossibilità di accesso fisico;
Indisponibilità piattaforma sw di gestione
LA SICUREZZA DELLE INFORMAZIONIRischi
Relativamente a Protezione dei Dati delle reti di Cloud Computing ,
si identificano i seguenti rischi:
Impossibilità di verificare le politiche di gestione dei dati;
Trasferimento dei dati;
Repliche e consistenza dei dati
LA SICUREZZA DELLE INFORMAZIONIRischi
Relativamente a Cancellazione dei Dati delle reti di Cloud Computing ,
si identificano i seguenti rischi:
Cancellazione logica e fisica;
Copie non autorizzate non cancellate;
Problematiche condivisione dispositivi fisici con altri clienti
Impossibilità formattazione HD
LA SICUREZZA DELLE INFORMAZIONIRischi
Relativamente a Comportamenti dolosi delle reti di Cloud Computing ,
si identificano i seguenti rischi:
Autorizzazioni (forti) amministratori provider;
Comportamenti dolosi degli insider;
Possibilità di danno accresciuta
LA SICUREZZA DELLE INFORMAZIONIRischi
LA SICUREZZA DELLE INFORMAZIONIRaccomandazioni
Valutare i livelli di Sicurezza garantiti dal Provider
Esaminare tutti gli aspetti legali del contratto
Esaminare la conformità del Provider verso adempimenti legali
Raccomandazioni in termini di Ricerca su tematiche inerenti la sicurezza
Relativamente a Valutare i livelli di sicurezza garantiti dal provider delle reti di
Cloud Computing ,
si identificano le seguenti raccomandazioni:
Esaminare certificazioni in essere;
Richiedere audit di seconda parte;
Valutare attentamente la scelta di esternalizzare i servizi IT
Confrontare differenti provider
Esaminare i contratti
Esaminare gli SLA
LA SICUREZZA DELLE INFORMAZIONIRaccomandazioni
Relativamente a Esaminare gli aspetti legali del contratto delle reti di Cloud
Computing ,
si identificano le seguenti raccomandazioni:
Verificare se le clausole di interesse sono nel contratto standard (preferito);
Verificare se è possibile inserirle dopo negoziazione;
Imporre penali proporzionali agli impatti sul business dell’azienda
LA SICUREZZA DELLE INFORMAZIONIRaccomandazioni