Jak bezpiecznie przenieść się do chmury – audyt i testy w chmurze

W nowym odcinku z cyklu “Jak bezpiecznie przenieść się do chmury” będziemy opowiadać o tym, jakie standardy bezpieczeństwa powinna spełniać usługa chmurowa i jak możemy sprawdzić, czy te standardy faktycznie spełnia.

Artykuł jest częścią zaplanowanego na cały rok cyklu artykułów oraz webinarów sponsorowanych przez firmę Aruba Cloud – dostawcę usług chmurowych z centrum przetwarzania w Polsce.

W poprzednich artykułach i webinarze opisałem architekturę modelu cloud computingu wg NIST SP 800-145, jakie czyhają pułapki, wyzwania i zagrożenia ze względu na rodzaj i rozmieszczeniu usługi i jakie są z tym związane ryzyka natury organizacyjno-prawnej i zarządzania zgodnością na przykładzie pojęcia GRC – Governance, Risk management and Compliance. W tym odcinku cyklu zaprezentuję kilka sposobów i technik weryfikacji czy usługa chmurowa spełnia nasze wymagania w zakresie bezpieczeństwa. W pierwszej części skupię się na audycie przedstawiając praktyki, standardy i narzędzia opracowane przez międzynarodowe organizacje m.in. CSA, ISACA, DMTF. W drugiej części opiszę co możemy zrobić w chmurze w ramach testów bezpieczeństwa, jakie są ograniczenia i możliwości oraz o jakie zapisy umowne należy zadbać.

Zapraszamy na webinar
Skoro tu zajrzeliście, to zapraszamy na nasz webinar poświęcony kwestiom RODO/GDPR w chmurze. Już teraz możecie zapisać się na termin 23 kwietnia o godzinie 20 lub 24 kwietnia o godzinie 12 – staramy się dopasować do Waszych potrzeb. W obu terminach poruszane będą te same tematy – choć Wasze pytania mogą się różnić.

W programie między innymi omówienie kwestii zapewnienia zgodności z RODO w różnych rodzajach usług w chmurze oraz problemy związane z komunikacją i współpracą z dostawcą usług chmurowych.

Audyt w modelu cloud computing
Jednym ze sposobów na ocenę w jaki sposób dostawca usługi chmurowej zapewnia odpowiednie zarządzanie ryzykiem oraz spełnia nasze wymagania dotyczące bezpieczeństwa organizacyjno-prawnego i technicznego jest wykonanie przeglądu bądź audytu. Punktem wyjścia do określenia jaki będzie jego cel, zakres i podejście do realizacji jest zrozumienie jakie są ryzyka na poszczególnych warstwach usługi (stos SPI) i kto jest odpowiedzialny za wdrożenie odpowiednich zabezpieczeń. Ryzyka mogą być związane z kwestiami organizacyjno-prawnymi (regulacje, zgodność, nadzór) oraz technicznymi. W celu ich identyfikacji oraz sposobu ich zabezpieczenia możemy się posłużyć opracowanymi i powszechnie stosowanymi standardami i narzędziami dedykowanymi dla modelu cloud computing. Zaprezentuję kilka, które są mi najbardziej znane i które miałem okazję wykorzystywać w praktyce. Większość z nich jest darmowa i publicznie dostępna.

Cloud Computing Management Audit/Assurance Program – dostępny za darmo dla członków ISACA. Prosty program składający się z dwóch głównych sekcji (Governance, Operations) i podzielonych na kilka domen. W każdej z nich są zdefiniowane cele kontrolne (czy inaczej wymagania) oraz mechanizmy (zabezpieczenia) jakie powinny być wdrożone żeby je spełnić. Do każdego mechanizmu są zaprojektowane czynności sprawdzające pozwalające uzyskać odpowiedź czy dane zabezpieczenie istnieje, jest wdrożone i skutecznie realizowane oraz istnieje odniesienie do sztandarowego standardu opracowanego przez ISACA czyli COBIT 5.

Podręcznik IT Control Objectives for cloud computing jest kolejnym produktem opracowanym przez ISACA. Zawiera on dokładny opis dla każdej domeny, określone priorytety zabezpieczeń ze względu na rodzaj i rozmieszczenie usługi chmurowej oraz znacznie bardziej rozbudowaną wersję powyższego programu audytu.

Cloud Control Matrix (CCM) i Consensus Assessment Initiative (CAI) – ściśle ze sobą powiązane narzędzia opracowane i opublikowane przez Cloud Security Alliance. Pierwszy w sposób bardzo szczegółowy opisuje jakie zabezpieczenia powinny się znaleźć w danej domenie, do jakich komponentów architektury się odnoszą (fizyczne, sieciowe, obliczeniowe, przechowywanie danych, aplikacje, dane), do jakiego rodzaju usługi (Software, Platform, Infrastructure) oraz kto jest odpowiedzialny za ich wdrożenie. Dodatkowo każde zabezpieczenie jest zmapowane do wymagań powszechnie stosowanych norm, standardów czy regulacji m.in. wspomniany COBIT 5, PCI DSS (dotyczący ochrony danych kartowych) , GDPR (znane w Polsce bardziej jako RODO – nowe rozporządzenie dotyczące ochrony danych osobowych), ISO 27001:2013 (jedna z bardziej znanych i stosowanych norm dotycząca systemów zarządzania bezpieczeństwem informacji) czy mniej znane w Polsce – AICPA, FedRAMP czy HIPAA. Takie rozwiązanie umożliwia proste zdefiniowanie programu audytu zgodności z obowiązującymi nas wymaganiami regulacji czy standardów. Do tego bardzo przydatne będzie drugie narzędzie, CAI, które jest listą kontrolną/kwestionariuszem zawierającą około 300 pytań, które pozwalają uzyskać odpowiedź czy dostawca stosuje zabezpieczenia opisane w CCM.

Powyżej przedstawione narzędzia są proste w założeniu, ale posiadają kilka ograniczeń w ich zastosowaniu ze względu na specyfikę modelu cloud computing. Do realizacji części czynności audytowych wymagany jest kontakt z dostawcą usługi lub nawet wizyta w centrum danych w celu zebrania dowodów na istnienie i stosowanie zabezpieczeń. Przy rozproszonym charakterze chmury może to być trudne i wymagające odpowiednich zasobów (czas, ludzie, pieniądze). Możemy oczywiście wysłać przygotowaną listę pytań do dostawcy usługi, ale uzyskamy jedynie deklarację, a nie realne zapewnienie bezpieczeństwa. Co możemy zrobić kiedy nie mamy zasobów na audyt w centrum danych, nie jest to dla nas opłacalne lub kontakt z dostawcą jest utrudniony. Jednym ze sposobów na potwierdzenie funkcjonowania systemów zarządzania bezpieczeństwem jest posiadanie poświadczających certyfikatów wystawionych przez zewnętrzny, akredytowany podmiot. Zgodność z wymaganiami normy jest cyklicznie oceniana przez niezależną stronę. Na ich podstawie możemy ocenić w jaki sposób dostawcy podchodzą do bezpieczeństwa świadczonych usług. Wśród nich możemy wymienić m.in.:

Normy ISO:
ISO/IEC 27001:2013 certyfikat potwierdzający wdrożenie i funkcjonowanie Systemu Zarządzania Bezpieczeństwem Informacji,
ISO/IEC 27017 – zgodna z ISO/IEC 27001:2013 i uzupełniająca ISO/IEC 27002:2013, która kładzie szczególny nacisk na specyficzne zagrożenia i ryzyka związane z chmurą obliczeniową,
ISO/IEC 27018:2014 –Praktyczne zasady ochrony informacji danych osobowych w przetwarzaniu w chmurze, uzupełniająca ISO/IEC 27002:2013 o aspekty ochrony danych osobowych w chmurze.

źródło: zaufanatrzeciastrona.pl

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *