A novel vocational training programme on cloud computing skills 540226-LLP-1-2013-1-GR-LEONARDO-LMP

Project acronym: Project name: Project code: Document Information Document ID name: NEBULA A novel vocational training programme on cloud computing skills 540226-LLP-1-2013-1-GR-LEONARDO-LMP Nebula_WP4_D4.3.1_Learning_Material_and_Content_2015_30_04 Document title: Nebula VET program learning material and content Type: Slides Date of Delivery: 30/04/2015 Work package: WP4 Activity D.4.3.1 Dissemination level: Public Document History Versions Date Changes Type of change Delivered by Version 1.0 15/04/2015 Initial Document - UCBL and INSA of Lyon Version 2.0 26/06/2015 Edition Modifications according to feedback provided by partners UCBL and INSA of Lyon Version 2.1 02/09/2015 Edition Insertion of license type UCBL and INSA of Lyon Acknowledgement The persons of UCBL in charge of producing the course are Parisa Ghodous, Catarina Ferreira Da Silva, Jean Patrick Gelas and Mahmoud Barhamgi. The persons from UCBL involved in preparing, translation and review are Hind Benfenatki, Gavin Kemp and Olivier Georgeon. The persons of INSA of Lyon in charge of producing the course are Frédérique Biennier, Nabila Benharkat. The persons from INSA of Lyon involved in preparing, translation and review are Francis Ouedraogo and Youakim Badr. Disclaimer The information in this document is subject to change without notice. All rights reserved. This work is licensed under a Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 International License. This publication reflects the views only of the author, and the Commission cannot be held responsible for any use, which may be made of the information contained therein.

ΣΚΟΠΟΣ ΜΑΘΗΣΙΑΚΗΣ ΕΝΟΤΗΤΑΣ 3 Ο σκοπός της συγκεκριµένης µαθησιακής ενότητας είναι να µάθουν οι σπουδαστές να αναλύουν και να αξιολογούν τους κινδύνους και τις νοµικές προεκτάσεις της διαδικασίας µετάβασης στο cloud computing.

ΑΝΑΛΥΣΗ ΚΙΝ ΥΝΟΥ, ΑΣΦΑΛΕΙΑ, ΚΑΙ ΝΟΜΙΚΕΣ ΠΡΟΕΚΤΑΣΕΙΣ ΤΗΣ ΙΑ ΙΚΑΣΙΑΣ ΜΕΤΑΒΑΣΗΣ ΣΤΟ CLOUD COMPUTING Κεφάλαιο 2: ηµιουργία µιας ασφαλούς cloud αρχιτεκτονικής

ΑΝΑΛΥΣΗ ΚΙΝ ΥΝΟΥ Γνωρίζετε κάποιες µεθόδους ανάλυσης κινδύνων? Είστε ενήµεροι για το σχέδιο ασφαλείας του οργανισµού σας? Γνωρίζετε τα µοντέλα ασφαλείας στο cloud computing? Πως µπορείτε να αξιολογήσετε τους στρατηγικούς οργανωτικούς κινδύνους? Πως µπορείτε να αξιολογήσετε τους κινδύνους που σχετίζονται µε την πλατφόρµα του cloud computing?

ΑΝΑΛΥΣΗ ΚΙΝ ΥΝΟΥ Στο κεφάλαιο 2: Θα µάθετε τις βασικές αρχές των µεθόδων διαχείρισης των κινδύνων που σχετίζονται µε την ασφάλεια. Θα βρείτε πληροφορίες που επιτρέπουν α) την σύγκριση των διάφορων µεθόδων διαχείρισης κινδύνου και β) την οργάνωση ενός σχεδίου ασφαλείας. Θα µάθετε τα βασικά µοντέλα ασφαλείας στο cloud computing. Θα βρείτε πληροφορίες για τα µοντέλα ασφαλείας της πλατφόρµας του cloud computing. Θα µάθετε για τους κινδύνους που σχετίζονται µε την διαδικασία µετάβασης στο cloud computing και τις επιπτώσεις που αυτή έχει στην οργάνωση των επιχειρησιακών δραστηριοτήτων του οργανισµού.

ΚΕΦΑΛΑΙΟ 2 - ΕΠΙΣΚΟΠΗΣΗ 1. Μοντέλα εντοπισµού και ανάλυσης κίνδυνων που σχετίζονται µε την ασφάλεια του πληροφοριακού συστήµατος 2. Κίνδυνοι

ΜΕΘΟ ΟΙ ΣΧΕ ΙΑΣΜΟΥ ΑΣΦΑΛΩΝ ΣΥΣΤΗΜΑΤΩΝ Προδιαγραφές πολιτικής ασφαλείας Στόχοι ασφάλειας Εντοπισµός κινδύνων Μοντέλα εντοπισµού και ανάλυσης κίνδυνων που σχετίζονται µε την ασφάλεια του πληροφοριακού συστήµατος Ebios Octave Σχεδιασµός και οργάνωση ασφαλών υποδοµών Safe SRA Εισαγωγή περιορισµών ασφάλειας στο πληροφοριακό σύστηµα / στη διαδικασία σχεδιασµού.

ΚΑΤΗΓΟΡΙΟΠΟΙΗΣΗ ΤΡΩΤΩΝ / ΕΥΑΙΣΘΗΤΩΝ ΣΗΜΕΙΩΝ (VULNERABILITIES) Οργάνωση που σχετίζεται µε τα τρωτά / ευαίσθητα σηµεία του συστήµατος (vulnerabilities) ιαχείριση αντιγράφων ασφαλείας (backup management) ιαχείριση ρόλου και δικαιωµάτων πρόσβασης Συστατικά στοιχεία λογισµικού που σχετίζονται µε τα τρωτά / ευαίσθητα σηµεία (vulnerabilities) Έλεγχος κώδικα Πιστοποίηση λογισµικού Υποδοµές επικοινωνίας που σχετίζονται µε τα τρωτά / ευαίσθητα σηµεία (vulnerabilities) Εισχώρηση (intrusion) Άρνηση υπηρεσίας Περιβάλλον που σχετίζεται µε τα τρωτά / ευαίσθητα σηµεία (vulnerabilities)

ΜΕΘΟ ΟΙ ΙΑΧΕΙΡΙΣΗΣ ΕΝΟΣ ΣΧΕ ΙΟΥ ΑΣΦΑΛΕΙΑΣ (Security Project) Σχεδιασµός και οργάνωση ενός τυπικού σχεδίου ασφαλείας (security project) Προκαταρκτική µελέτη-> Πλαίσιο και καθορισµός απαιτήσεων και προδιαγραφών Προδιαγραφές -> Εντοπισµός απειλών και τρωτών / ευαίσθητων σηµείων (vulnerabilities) Πρόβλεψη λύσεων για την αντιµετώπιση των κινδύνων Ανάπτυξη σχεδίου ασφαλείας Κρίσιµη ανάγκη Επιλογή κατάλληλων τεχνολογιών Οργάνωση αρχιτεκτονικής Σχεδιασµός συνολικής αρχιτεκτονικής (ολιστική προσέγγιση) Αναγνώριση καθηκόντων και αρµοδιοτήτων Τεχνογνωσία από τις διάφορες διαθέσιµες µεθόδους διαχείρισης (EBIOS, MEHARI, OCTAVE, SNA, Safe )

ΣΥΓΚΡΙΣΗ ΙΑΦΟΡΕΤΙΚΩΝ ΜΕΘΟ ΩΝ EBIOS Ανάλυση απαιτήσεων Σχεδιασµός Υλοποίηση Εντοπισµός κινδύνων και στόχων για την ασφάλεια. Πρότυπα προστασίας OCTAVE SNA MEHARI Εντοπισµός του τρόπου πρόσβασης στο πληροφοριακό σύστηµα Συστατικά στοιχεία της τεχνολογίας της πληροφορίας και εντοπισµός των επιχειρηµατικών διαδικασιών Περιορισµένη ανάλυση κινδύνου Βέλτιστες πρακτικές και οργάνωση των στόχων για την ασφάλεια Σχεδιασµός ενός συστήµατος που απορροφάει τις επιθέσεις Βέλτιστες πρακτικές Έλεγχος και υλοποίηση + διαχείριση σχεδίου/έργου (project management) Πληροφορίες για τις επιθέσεις και υλοποίηση βάσεων γνώσης Ταµπλό ασφαλείας (enterprise security dashboards)

ΚΙΝ ΥΝΟΙ ΣΤΟ CLOUD Είναι η ασφάλεια διαφορετική στο Cloud? Το Cloud έχει τα δικά του τρωτά / ευαίσθητα σηµεία (vulnerabilities) Αρχιτεκτονική Hypervisor Κατανεµηµένο σύστηµα ιαφορετικά συστατικά στοιχεία λογισµικού Οργάνωση ιαφορετικοί δρώντες Περιοχές ευθύνης Κατανεµηµένο σύστηµα που παρέχει την δυνατότητα να τεθούν σε λειτουργία (ή να τροποποιηθούν) οι εφαρµογές ή/και να ανανεωθεί το στατικό περιεχόµενο χωρίς να χρειάζεται επανεκκίνηση του web application server που χρησιµοποιεί (hot deployment ) υσκολίες που σχετίζονται µε τις συνθήκες χρήσης Προσωπικά δεδοµένα υσκολίες ανάγνωσης και κατανόησης

ΜΟΝΤΕΛΟ ΑΣΦΑΛΕΙΑΣ JERICHO FORUM Τρεις άξονες καθορίζουν τον έλεγχο του υπολογιστικού νέφους Που υλοποιείται το υπολογιστικό νέφος? Ποιος διαχειρίζεται το υπολογιστικό νέφος? Τι είδους λογισµικό χρησιµοποιείται? Πηγή: Jericho s Forum

CLOUD SECURITY ALLIANCE Οργανισµός που προτείνει λύσεις για ένας ασφαλές υπολογιστικό περιβάλλον στο cloud computing Πρότυπα προδιαγραφών για το λογισµικό Ανάλυση κινδύνου και σηµαντικότερων απειλών (https://cloudsecurityalliance.org/topthreats/csathreats.v1.0.pdf) Η CSA παρέχει επίσης ένα εργαλείο ανάλυσης κινδύνου (https://cloudsecurityalliance.org/download/grc-stack/) Πηγή: CSA

ΚΙΝ ΥΝΟΙ ΚΑΙ ΕΛΕΓΧΟΣ XaaS Κριτήρια για την ασφάλεια (security criteria) IaaS Εµπιστευτικότητα (confidentiality) Ασφαλές δίκτυο και φυσική πρόσβαση στις υποδοµές Ακεραιότητα (integrity) Έλεγχος των χρηστών και της ακεραιότητας της διαδικασίας φιλοξενίας (hosting) σε κάθε cloud κόµβο ιαθεσιµότητα (availability) ιαθεσιµότητα πόρων (εύρος ζώνης, αποθηκευτικός χώρος, δίκτυο, εικονικές µηχανές, κτλ.) Μη αποκήρυξη (non repudiation) ιαχείριση, παρακολούθηση, και καταγραφή των δραστηριοτήτων που σχετίζονται µε τους πόρους στο δίκτυο, τον αποθηκευτικό χώρο, στις εικονικές µηχανές, κτλ. PaaS Σχεδιασµός διεπαφών Ακεραιότητα διεπαφής ιαθεσιµότητα της Καταγραφή πρόσβασης στην προγραµµατισµού εφαρµογών (APIs) και έλεγχος πρόσβασης στην πλατφόρµα προγραµµατισµού εφαρµογών (API) διεπαφής προγραµµατισµού εφαρµογών και της cloud πλατφόρµας πλατφόρµα SaaS ιαχείριση της ασφάλειας των δεδοµένων ιαχείριση των ανταλλασσόµενων µηνυµάτων και της ακεραιότητας των επεξεργασµένων δεδοµένων ιαθεσιµότητα δεδοµένων και εφαρµογών Εντοπισµός και καταγραφή πρόσβασης στις εφαρµογές και στα δεδοµένα

ΚΙΝ ΥΝΟΥ ΠΟΥ ΣΧΕΤΙΖΟΝΤΑΙ ΜΕ ΤΟ ΜΟΝΤΕΛΟ ΑΝΑΠΤΥΞΗΣ Μοντέλο ανάπτυξης Ιδιωτικό Cloud Προκλήσεις για την ασφάλεια Η εµπιστευτικότητα και ακεραιότητα των δεδοµένων πρέπει να προβλεφθεί όπως στο τυπικό πληροφοριακό σύστηµα. Ο Cloud manager / ιδιοκτήτης είναι υπεύθυνος για τις συνέπειες σε περίπτωση απώλειας ή καταστροφής. ηµόσιο Cloud Εµπιστευτικότητα και ακεραιότητα δεδοµένων όπως στο ιδιωτικό Cloud συµπεριλαµβανοµένης της παροχής εργαλείων αποµόνωσης των δεδοµένων ώστε τα δεδοµένα των πελατών να µην µπλέκονται και αναµειγνύονται. Ελέγξτε ότι το νοµικό περιβάλλον της cloud υπηρεσίας που επιλέγετε προβλέπει την εµπιστευτικότητα των δεδοµένων. Cloud κοινότητα ως Το συνολικό πλαίσιο ασφαλείας θα πρέπει να είναι συνεπές και µε τις επιµέρους πολιτικές ασφαλείας των επιχειρήσεων. Αυτό βέβαια είναι αρκετά δύσκολο µιας και οι επιχειρήσεις δεν έχουν τις ίδιες πολιτικές και στρατηγικές ασφαλείας για την µετάβαση σε µια cloud υπηρεσία. Υβριδικό Cloud Πρόβλεψη όλων των προαναφερόµενων προκλήσεων που σχετίζονται µε την ασφάλεια.

ΚΑΤΗΓΟΡΙΟΠΟΙΗΣΗ Ε ΟΜΕΝΩΝ Ένδειξη (χρώµα) Κατηγοριοποίηση Κόκκινο Άκρως απόρρητα δεδοµένα Περιγραφή Άκρως ευαίσθητα δεδοµένα που δεν πρέπει να διαρρεύσουν. Οποιαδήποτε διαρροή και αποκάλυψη συνεπάγεται τεράστια ζηµιά. Πορτοκαλί Μυστικά δεδοµένα Πολύ ευαίσθητα δεδοµένα στα οποία έχουν πρόσβαση µόνο τα µέλη της επιχείρησης ή του οργανισµού. Οποιαδήποτε διαρροή ή αποκάλυψη πέρα από το εσωτερικό της επιχείρησης ή πέρα από το πλαίσιο πρόσβασης που έχει οριστεί, µπορεί να δηµιουργήσει ζηµιά στην επιχείρηση. Πράσινο Εµπιστευτικά Ευαίσθητα δεδοµένα στα οποία έχουν πρόσβαση µόνο δεδοµένα εξουσιοδοτηµένοι συνεργάτες ή µέλη της κοινότητας. Οποιαδήποτε διαρροή ή αποκάλυψη πέρα από το πλαίσιο πρόσβασης που έχει οριστεί, επηρεάζει αρνητικά την ασφάλεια των δεδοµένων. Ανοικτό πράσινο εδοµένα περιορισµένης πρόσβασης Όχι τόσο ευαίσθητα δεδοµένα στα οποία έχουν πρόσβαση τα µέλη του οργανισµού. Η διαρροή ή η αποκάλυψη αυτών των δεδοµένων µπορεί να έχει αρνητικές επιπτώσεις. BLANC Μη κατηγοριοποιηµένα δεδοµένα Μη ευαίσθητα δεδοµένα στα οποία έχει πρόσβαση ο οποιοσδήποτε χωρίς περιορισµούς, εφόσον τα πνευµατικά δικαιώµατα είναι σεβαστά. εν απαιτείται εξουσιοδότηση.

ΕΠΙΧΕΙΡΗΜΑΤΙΚΟ ΜΟΝΤΕΛΟ ΑΣΦΑΛΕΙΑΣ Ενσωµάτωση οργανωτικών προδιαγραφών Καθορισµός της αξίας των δεδοµένων και των διαδικασιών από οικονοµική, προσωπική, και στρατηγική οπτική Καθορισµός δρώντων (actors) και δικαιωµάτων (rights) Ποιος µπορεί να έχει πρόσβαση, να εκκινήσει διαδικασίες, να χρησιµοποιήσει δεδοµένα Πότε, από πού, και πως Functional&OrganizationlSpecification FunctionalSpecification OragnizationalSpecification AccessControl OtherFunctional Financial Strategic personnal When FromWhere Who How Πηγή: W. F. Ouedraogo PhD Thesis p. 196

ΜΟΝΤΕΛΟ ΠΛΑΤΦΟΡΜΑΣ ΚΑΙ ΣΧΕΤΙΚΟΙ ΚΙΝ ΥΝΟΙ Καθορισµός µοντέλου ανάπτυξης υπηρεσιών cloud Ιδιοκτησία (ownership) XaaS µοντέλο ανάπτυξης Εντοπισµός συγκεκριµένων απειλών Εµπιστοσύνη 0..* Trust 0..1based on0..* Platform 1..1 has 1..* Resource 0..* concern 1..* Threat assess 1..1 0..1 has 0..* GeneralSpecification SecuritySpecification Clien define 1..* 0..* define 1..* 1..* 1..* implement 0..* concerne CloudDeployType CloudServiceType 1..1 SecurityMechanism 0..1 Vulnerability 1..* can be reduced by 0..* CounterMeasure 0..1 1..* use Logical Application Infrastructure Communication Confidentiality NonRepudiation Integrity Availability Πηγή: W. F. Ouedraogo PhD Thesis p. 209

ΠΕΡΙΠΤΩΣΗ ΜΕΛΕΤΗΣ Επέλεξε την οργάνωση της ροής εργασιών (workflow) της ηλεκτρονικής υπηρεσίας (περίπτωση χρήσης) Σχολίασε τις προδιαγραφές για την ασφάλεια (που εξαρτώνται από τις λειτουργικές προδιαγραφές και την οργάνωση των διαδικασιών) όπως απαιτείται από τις ερωτήσεις στο Quiz file.

ΠΕΡΙΠΤΩΣΗ ΜΕΛΕΤΗΣ Βασιζόµενοι στην στρατηγική µετάβασης στο υπολογιστικό νέφος, περιγράψτε το κατάλληλο περιβάλλον ανάπτυξης cloud, χρησιµοποιώντας το quiz file.