2. Les Outils de la Cloud Security
Alliance (CSA)
Yann Rivière, CISSP, CCSK
@yannriviere
8 Novembre 2012
2
http://www.isaca-quebec.ca/
3. Qui suis-je ?
– Yann Rivière
– Fujitsu Canada, équipe sécurité du bureau de Québec
– Passé : Industries de la défense et de l’automobile
• Thales (Défense, Sécurité, Aérospatial)
– Équipe sécurité des infrastructures
• British Telecom
– Équipe sécurité des clients
– Client : Valeo, Industriel automobile
– Centre de compétence sécurité du groupe
Projet Google Apps entre autres.
3
4. Plan
– Présenter les outils de la Cloud Security Alliance
(CSA)
– Retour d’expérience: Google Apps dans l’industrie
automobile
4
5. Qu’est-ce que la CSA ?
• Organisation à but non lucratif
– 35 678 membres individuels
– 123 membres corporatifs
– 64 chapitres
• Mission de la CSA
– Promouvoir l’utilisation des meilleures pratiques
sécurité dans le « Cloud Computing »
– Permettre un usage sécuritaire par l’éducation et la
mise à disposition d’outils
5
7. Les outils de la CSA
• Le guide de sécurité v3
• Security Guidance for Critical Areas of Focus in Cloud
Computing
• https://cloudsecurityalliance.org/guidance
• La Pile GRC (Governance, Risk Management and
Compliance)
7
7
8. Le Guide de Sécurité version 3
• Recueil des Section 1. Domaine 1 Cadre architectural
meilleures pratiques Architecture
pour sécuriser le
Cloud Computing
Domaine 2 Gouvernance et gestion du risque
Domaine 3 Juridique : contrat et enquête électronique
Section 2. Domaine 4 Gestion de la conformité et audit
Gouvernance
• Projet phare de la Domaine 5 Gestion de l’information et sécurité des données
CSA Domaine 6 Interopérabilité et portabilité
• V 3.0 publiée en
Novembre 2011 Domaine 7 Sécurité, BCP, DRP
Domaine 8 Opération du centre de données
• Aligné sur les cadres
Domaine 9 Gestion des incidents
Section 3.
Domaine 10 Sécurité des applications
internationaux
Opérations
Domaine 11 Chiffrement et gestion des clés
– Cobit 4.1, PCI/DSS,
ISO 27001,SP 800-53
Domaine 12 Identité, droit et gestion des accès
Domaine 13 Virtualisation
Domaine 14 SECurity As a Service
8
9. Le Guide de Sécurité version 3
• Exemple : Domaine 14 : « Security as a Service »
Achat d’un service cloud de courriel
– Les fournisseurs doivent pouvoir donner l’option de
chiffrer vos courriels à l’aider de règles.
– Les fournisseurs doivent passer les courriels à
l’antivirus avant de vous délivrer le message
– Les fournisseurs de services doivent vous fournir des
capacité d’analyse de contenu qui vous permette de
forcer la politique.
9
10. Le Guide de Sécurité version 3
• Exemple : Domaine 4 : « Conformité »
Achat d’un service de courriel et de gestion de
calendrier
– Si vous êtes dans un environnement hautement
régulé (gouvernement, finance, santé…)
– Alors
• Localisation des données
• Localisation des sauvegardes
• Localisation des données en transit
10
11. La Pile GRC
(Gouvernance, Risk management , Compliance)
• Famille de 4 projets de recherche donnant 4 outils
– CCM : Cloud Control Matrix
– CAIQ : Consensus Assessment Initiative Questionnaire
– Cloud Audit
– Cloud Trust Protocol
13. La pile GRC : vue client/fournisseur
Client : Quels sont les contrôles qui
devraient être en place ?
Fournisseur : Quels sont les contrôles
que je devrais mettre en place?
Client : Comment je me renseigne à
propos des contrôles mis en place chez
le fournisseur ?
Fournisseur : Comment je fais la
démonstration de mes contrôles
Fournisseur : Comment je publie les
informations d’audit ?
Client : Comment je récupère les
informations d’audit ?
Client : Comment puis-je savoir si les contrôles
Contrôle et dont j’ai besoin sont toujours fonctionnels ?
surveillance Fournisseur : Comment je puis fournir la
dynamique
transparence des mes services à mes clients ? 13
14. L’outil Cloud Control Matrix (CCM)
• Cloud Control Matrix (CCM)
– Premier cadre spécifiquement
écrit pour apprécier les risques
dans la chaine
d’approvisionnement du cloud
computing
– Liste les contrôles couvrant les
14 domaines identifiés dans le
guide de sécurité
– Mappés avec les contrôles des
cadres courants tels que COBIT https://cloudsecurityalliance.org/research/ccm/
4.1, PCI/DSS, ISO 27001,HIPAA,
NIST SP800-53 R3 et Jericho
Forum
14
15. La CCM : exemple
Extrait section sécurité des données :
• Contrôle IS-19 : Gestion des clefs de chiffrement
– Politiques et procédures doivent être établies et les
mécanismes implémentés pour supporter le
chiffrement des données stockées et en transit 15
16. La pile GRC : vue globale
Client : Quels sont les contrôles qui
devraient être en place ?
Fournisseur : Quels sont les contrôles
que je devrais mettre en place?
Client : Comment je me renseigne à
propos des contrôles mis en place chez
le fournisseur ?
Fournisseur : Comment je fais la
démonstration de mes contrôles
Fournisseur : Comment je publie les
informations d’audit ?
Client : Comment je récupère les
informations d’audit ?
Client : Comment puis-je savoir si les contrôles
Contrôle et dont j’ai besoin sont toujours fonctionnels ?
surveillance Fournisseur : Comment je puis fournir la
dynamique
transparence des mes services à mes clients ? 16
17. Le questionnaire CAI
• Liste de 197 questions
couvrant la CCM
– Peut être utilisé par les
fournisseurs ou par les
utilisateurs de services Cloud
– Permet d’identifier les
pratiques et contrôles de
sécurité
– Évaluer les niveaux de
service
– Ne rien « oublier » dans
votre contrat
– Mappés avec les contrôles
des cadres courants tels que
COBIT 4.1, PCI ISO 27001 ou
HIPAA, NIST SP800-53
17
18. Le questionnaire CAI
• Gestion des clef de chiffrement
– Question IS-19-2 : Est-ce que les images et les
données sont protégées par chiffrement lors de
leur transit entres hyperviseurs ou d’un réseau à
un autre ?
– IS 19.4 : Est-ce qu’il existe une procédure de
gestion des clés de chiffrement ?
18
19. La pile GRC : vue globale
Client : Quels sont les contrôles qui
devraient être en place ?
Fournisseur : Quels sont les contrôles
que je devrais mettre en place?
Client : Comment je me renseigne à
propos des contrôles mis en place chez
le fournisseur ?
Fournisseur : Comment je fais la
démonstration de mes contrôles
Fournisseur : Comment je publie les
informations d’audit ?
Client : Comment je récupère les
informations d’audit ?
Client : Comment puis-je savoir si les contrôles
Contrôle et dont j’ai besoin sont toujours fonctionnels ?
surveillance Fournisseur : Comment je puis fournir la
dynamique
transparence des mes services à mes clients ? 19
20. Cloud Audit (1/2)
• Propose une interface entre utilisateurs et fournisseurs
permettant la collection automatisée d’information d’audit
• L’espace de nom utilisé par cloud audit reflète les contrôles du
cadre de référence
• Basé sur le protocole HTTP (Requêtes GET)
– Convention de nommage et structure définies
– Support Cobit 4.1, ISO 27002, PCI/DSS, HIPAA et NIST 800-53
– Draft RFC
20
21. Cloud Audit (2/2)
• Exemples : Contrôle de la gestion des clefs de chiffrement
– Cobit 4.1 : ControleDS5.8
– NIST : SP800-53 R3 SC-12
– Cloud Security Alliance : IS-19
• Requête Cobit 4.1
– GET /.well-known/cloudaudit/org/itgi/COBIT/4-1/DS5-8/
• Requête CSA
– GET /.well-known/cloudaudit/org/cloudsecurityalliance/guidance/IS-19/
• Requête ISO 27002-2005
– GET /.well-known/cloudaudit/org/iso/27002-2005/12-3-2/
• Réponse : « Yes » ou « No » + Métadonnées (Informations de démonstration du 21
contrôle)
22. Cloud Audit et gestion des clefs
Existe t’il une
politique de
gestion des clefs
de chiffrement ? GET /.well-known/cloudaudit/org/itgi/COBIT/4-1/DS5-8/
<200 Ok, Yes +
Politique de gestion des clefs
22
24. La pile GRC : vue globale
Client : Quels sont les contrôles qui
devraient être en place ?
Fournisseur : Quels sont les contrôles
que je devrais mettre en place?
Client : Comment je me renseigne à
propos des contrôles mis en place chez
le fournisseur ?
Fournisseur : Comment je fais la
démonstration de mes contrôles
Fournisseur : Comment je publie les
informations d’audit ?
Client : Comment je récupère les
informations d’audit ?
Contrôle et Client : Comment puis-je savoir si les contrôles
surveillance dont j’ai besoin sont toujours fonctionnels ?
dynamique Fournisseur : Comment je puis fournir la
transparence de mes services à mes clients ? 24
25. Cloud Trust Protocol (CTP)
Quelle est ma
Qui a accès
Où sont mes configuration
à mes
données ? cloud Quels sont les
Quelles sont les données ?
actuellement? évènements de
vulnérabilités de
sécurité de mon
mon
infrastructure ?
infrastructure ?
26. Cloud Trust protocol
• Objectif : Établir une relation de confiance avec les
fournisseurs
– « La confiance n’exclut pas le contrôle »
– Rendre visible ce qui se passe dans le cloud
– Rétablissement de la transparence
– Augmente la confiance de l’utilisateur ou client potentiel
– Apparition de la notion d’éléments de transparence
26
27. Cloud Trust protocol
• Éléments de transparence
– Informations : configurations, évaluation des vulnérabilités, journaux
applicatif, statistiques, historique, architecture, technologie,
procédures etc…
• Comment ?
– En répondant aux clients en temps réel ou pas (courriel)
– Requêtes HTTP
• Ce que vous pouvez avoir (entre autres):
– Liste des utilisateurs et leurs permissions
– Quelle est la configuration technologique de {$hyperviseur, $switch
virtuel, $firewall virtuel, $IDS}
• Nouveau service :
– TaaS (Transparency as a Service) 27
29. La pile GRC : vue globale
Client : Quels sont les contrôles qui
devraient être en place ?
Fournisseur : Quels sont les contrôles
que je devrais mettre en place?
Client : Comment je me renseigne à
propos des contrôles mis en place chez
le fournisseur ?
Fournisseur : Comment je fais la
démonstration de mes contrôles
Fournisseur : Comment je publie les
informations d’audit ?
Client : Comment je récupère les
informations d’audit ?
Contrôle et Client : Comment puis-je savoir si les contrôles
surveillance dont j’ai besoin sont toujours fonctionnels ?
dynamique Fournisseur : Comment je puis fournir la
transparence de mes services à mes clients ? 29
30. La pile GRC : Synthèse
Fournit Outils Description
Éléments de contrôle Guide les fournisseurs et
fondamentaux assiste les clients pour
l’évaluation « sécurité »
d’un fournisseur de Cloud
Computing
Questionnaire de Documente quels
préaudit permettant contrôles de sécurité sont
d’inventorier les implantés
contrôles
Délivre les résultats Interface pour automatiser
d’audits la collecte des
informations d’audit du
fournisseur
Surveillance en Mécanismes pour
continue des éléments demander et recevoir les
de transparence affirmations et preuves de
l’état courant des services
chez le fournisseur
31. Pour conclure
• CSA :Organisation jeune (3 ans)
– Outils jeunes mais basés sur des
cadres de références
– Leader en matière de sécurité du
Cloud Computing
• Fort développement
– 60 chapitres
• Supportée par des compagnies
et organisations majeures
– ISACA International
• Outils automatisés: en cours
de développement
31