SlideShare a Scribd company logo

Studio e implementazione di una soluzione per l'automazione di test di sicurezza in ambiente AWS

Andrea Foppiani
Andrea Foppiani

To try the tool visit - https://www.moon-cloud.eu/en/ Il processo decisionale di un’organizzazione nell’abbracciare tecnologie di cloud computing può talvolta essere bloccato dalla difficoltà di valutarne i rischi ad esse connessi. Per mitigare questo problema la comunità di ricerca ha introdotto nuove tecniche per incrementare la fiducia e la trasparenza nel cloud computing, supportate da pratiche quali l’audit, la certificazione e la valutazione e controllo di conformità. Ad oggi i maggiori cloud provider stanno iniziando ad offrire strumenti per incrementare la trasparenza dei loro servizi. Questa tesi si concentra sulle soluzioni proposte da Amazon AWS con l’obiettivo di sperimentarne l’efficacia e verificarne l’integrabilità con soluzioni di Automazione e Governance di sicurezza, nello specifico Moon Cloud. Per informazioni su Moon Cloud visitare il sito http://www.moon-cloud.eu Il lavoro di tesi è stato così organizzato: Viene presentato l’ecosistema di servizi AWS, le politiche di sicurezza/conformità e lo “shared responsabilità model”, concetto fondamentale per valutare il perimetro di responsabilità di AWS e del cliente nei controlli di sicurezza applicabili ad una soluzione IT progettata nel cloud. Le attività sperimentali sono focalizzate sulla applicabilità “industriale” dei controlli di sicurezza progettando ed implementando due architetture Cloud, che sono state integrate con la piattaforma Moon Cloud. Il primo scenario sperimentale si concentra sull’importanza dell’analisi delle vulnerabilità all’interno di un contesto infrastrutturale IaaS rappresentato da istanze EC2 (macchine virtuali) analizzate mediante il servizio AWS inspector. La configurazione ed implementazione del servizio inspector viene descritta nel dettaglio illustrando come le API di tale servizio siano state integrate con la piattaforma Moon Cloud per consentire l’esecuzione di test di sicurezza a supporto di un flusso di lavoro CI/CD in un contesto DevSecOps. Il secondo scenario applicativo si sviluppa in un contesto PaaS realizzando uno stack applicativo definito “server less”, in quanto basato su soli servizi la cui gestione è in capo al solo service provider.In questo scenario è stato possibile sperimentare il servizio di sicurezza Amazon Macie. Esso è un servizio di sicurezza che utilizza l'apprendimento automatico e le “regular expressions” per rilevare, classificare e fungere da catalizzatore per le attività a protezione dei dati sensibili in AWS diventando uno strumento a supporto della conformità al GDPR. Moon Cloud è stata integrata con le API di Macie per poter eseguire controlli che consentano di catturarne gli allarmi generati e verificare l’attivazione dello strumento con tutti i repository di un dato account AWS.

1 of 14
Studio e implementazione di una soluzione per l’automazione di test di sicurezza in ambiente AWS Relatore Prof. Marco Anisetti Correlatori Prof. Claudio Agostino Ardagna Dott. Filippo Gaudenzi Tesi di laurea di Andrea Foppiani Matr. 870632
Cloud computing - opportunità o criticità? 2 Il cloud computing è una delle maggiori opportunità e allo stesso tempo criticità dei giorni nostri. Garantire le proprietà di sicurezza fondamentali è uno dei requisiti chiave per chi voglia diventare leader nell’erogazione di servizi di cloud computing.
Obiettivi della tesi: 3 - Analizzare stato dell’arte e criticità della sicurezza nel cloud computing - Analizzare il CSP AWS: ○ come ha gestito tali criticità ○ quali strumenti e servizi per la gestione della sicurezza esso metta a disposizione - Progettare e implementare due architetture con paradigmi IaaS e PaaS nelle quali sperimentare il funzionamento degli strumenti di sicurezza di AWS - Progettare e implementare una “soluzione automatizzata di test di sicurezza in ambiente AWS” , che integri gli strumenti di sicurezza AWS Inspector e Amazon Macie con la piattaforma Moon Cloud
Stato dell’arte della sicurezza nel cloud computing: 4 Aspetti chiave di sicurezza e conformità: - Nuove vulnerabilità, minacce e attacchi ai vari livelli - Tecniche e meccanismi a protezione dei dati - Tecniche di garanzia della sicurezza Problemi principali nell’adozione del cloud computing - Difficoltà nella valutazione del rischio - Sicurezza e privacy nel cloud - Mancanza di trasparenza (chi accede a cosa) - Impossibilità di controllo “fisico” dell’infrastruttura del provider Gartner Data Center Conference Attendee Pool, 2013 Percezione problemi di sicurezza e privacy nel cloud pubblico Percezione problemi nell’adozione del cloud pubblico Come risolvere i problemi percepiti dal consumatore ? - Certificazione di sistemi e infrastrutture - Contratti tra consumatore e CSP - Strumenti a supporto del consumatore
Lo “shared responsibility model” secondo AWS: 5 - Sicurezza e conformità sono una responsabilità condivisa tra AWS e il cliente. - La scelta dei servizi parte della propria soluzione è la chiave per definire il perimetro di tali responsabilità. - Sicurezza del cloud (CSP) vs. sicurezza nel cloud (cliente)
Integrazione tra AWS e Moon Cloud - funzionamento: 6 - Moon Cloud esegue i controlli all’interno di container “Docker” - L’autenticazione di Moon Cloud ad AWS avviene mediante un’utenza IAM (“least privilege”) - Il container accede programmaticamente alle API di AWS (AWS SDK libreria boto3) - I controlli eseguiti dal container sono realizzati in codice python - I risultati dei controlli vengono ritornati da AWS a Moon Cloud
7 Obiettivo controllo: - automazione analisi vulnerabilità in un contesto CI/CD Caratteristiche: - contesto IaaS (istanze EC2 target) - utilizzo delle API di AWS Inspector - supporto ad un flusso DevSecOps Scenario 1
Flusso logico del controllo realizzato 8
9 Scenario 2 Obiettivi controlli: - verifica attivazione di Amazon Macie su tutti i bucket di un dato account AWS - lettura/visualizzazione/cancellazione alert di sicurezza generati da Amazon Macie in una coda SQS Caratteristiche: - contesto PaaS (architettura “server less”) - utilizzo delle API di Amazon Macie - supporto alla conformità GDPR
Flusso logico del primo controllo realizzato 10
Flusso logico del secondo controllo realizzato 11
Risultati ottenuti: 12 - Progettazione e implementazione di due architetture cloud computing IaaS e PaaS in AWS - Testing e verifica sperimentale dei principali servizi di sicurezza dell’ecosistema AWS mediante applicazioni pratiche negli scenari realizzati. - Realizzazione di controlli di sicurezza generalizzabili a supporto di attività quali CI/CD, DevSecOps, conformità GDPR
Sviluppi futuri: 13 - Monitoraggio dell’evoluzione del servizio Amazon Macie supportata da uno sperimentazione su un campione maggiormente rappresentativo di dati che ne consenta una valutazione statistica della componente di AI. - Ampliamento delle integrazioni disponibili tra Moon Cloud e AWS a fronte di nuovi servizi di sicurezza disponibili e/o ampliamento delle API dei servizi esistenti. - Analisi costi/benefici degli strumenti di sicurezza analizzati che preveda una comparazione con strumenti competitor non integrati nell'ecosistema AWS.
Grazie per la cortese attenzione Contatti: andrea.foppiani1@studenti.unimi.it 14

Recommended

Progettazione e sviluppo di un editor per la certificazione di sicurezza dei ...
Progettazione e sviluppo di un editor per la certificazione di sicurezza dei ...Progettazione e sviluppo di un editor per la certificazione di sicurezza dei ...
Progettazione e sviluppo di un editor per la certificazione di sicurezza dei ...
Università degli Studi di Milano - Sede di Crema
 
SPECS - un cloud sicuro per le PA
SPECS - un cloud sicuro per le PASPECS - un cloud sicuro per le PA
SPECS - un cloud sicuro per le PA
Alessandra De Benedictis
 
Tesi - L'autenticazione nel cloud computing
Tesi - L'autenticazione nel cloud computingTesi - L'autenticazione nel cloud computing
Tesi - L'autenticazione nel cloud computing
francesco pesare
 
2011.06.30 scenari applicativi per il cloud computing
2011.06.30 scenari applicativi per il cloud computing2011.06.30 scenari applicativi per il cloud computing
2011.06.30 scenari applicativi per il cloud computing
Marco Parenzan
 
Cloud Computing Economia Numeri Mercato
Cloud Computing Economia Numeri MercatoCloud Computing Economia Numeri Mercato
Cloud Computing Economia Numeri Mercato
VMEngine
 
SAP nel Cloud: Analisi della Sicurezza Logica e Compliance
SAP nel Cloud: Analisi della Sicurezza Logica e ComplianceSAP nel Cloud: Analisi della Sicurezza Logica e Compliance
SAP nel Cloud: Analisi della Sicurezza Logica e Compliance
Università degli Studi di Milano - Sede di Crema
 
CloudCamp4SMEs Lancio corsi IT | Le opportunità di formazione per le Piccole ...
CloudCamp4SMEs Lancio corsi IT | Le opportunità di formazione per le Piccole ...CloudCamp4SMEs Lancio corsi IT | Le opportunità di formazione per le Piccole ...
CloudCamp4SMEs Lancio corsi IT | Le opportunità di formazione per le Piccole ...
Confindustria Emilia-Romagna Ricerca
 
Lezione 5 del 14 febbraio 2012 - CLOUD COMPUTING parte 2a
Lezione 5 del 14 febbraio 2012 - CLOUD COMPUTING parte 2aLezione 5 del 14 febbraio 2012 - CLOUD COMPUTING parte 2a
Lezione 5 del 14 febbraio 2012 - CLOUD COMPUTING parte 2a
Gianluigi Cogo
 

Recommended

Progettazione e sviluppo di un editor per la certificazione di sicurezza dei ...
Progettazione e sviluppo di un editor per la certificazione di sicurezza dei ...Progettazione e sviluppo di un editor per la certificazione di sicurezza dei ...
Progettazione e sviluppo di un editor per la certificazione di sicurezza dei ...
Università degli Studi di Milano - Sede di Crema
 
SPECS - un cloud sicuro per le PA
SPECS - un cloud sicuro per le PASPECS - un cloud sicuro per le PA
SPECS - un cloud sicuro per le PA
Alessandra De Benedictis
 
Tesi - L'autenticazione nel cloud computing
Tesi - L'autenticazione nel cloud computingTesi - L'autenticazione nel cloud computing
Tesi - L'autenticazione nel cloud computing
francesco pesare
 
2011.06.30 scenari applicativi per il cloud computing
2011.06.30 scenari applicativi per il cloud computing2011.06.30 scenari applicativi per il cloud computing
2011.06.30 scenari applicativi per il cloud computing
Marco Parenzan
 
Cloud Computing Economia Numeri Mercato
Cloud Computing Economia Numeri MercatoCloud Computing Economia Numeri Mercato
Cloud Computing Economia Numeri Mercato
VMEngine
 
SAP nel Cloud: Analisi della Sicurezza Logica e Compliance
SAP nel Cloud: Analisi della Sicurezza Logica e ComplianceSAP nel Cloud: Analisi della Sicurezza Logica e Compliance
SAP nel Cloud: Analisi della Sicurezza Logica e Compliance
Università degli Studi di Milano - Sede di Crema
 
CloudCamp4SMEs Lancio corsi IT | Le opportunità di formazione per le Piccole ...
CloudCamp4SMEs Lancio corsi IT | Le opportunità di formazione per le Piccole ...CloudCamp4SMEs Lancio corsi IT | Le opportunità di formazione per le Piccole ...
CloudCamp4SMEs Lancio corsi IT | Le opportunità di formazione per le Piccole ...
Confindustria Emilia-Romagna Ricerca
 
Lezione 5 del 14 febbraio 2012 - CLOUD COMPUTING parte 2a
Lezione 5 del 14 febbraio 2012 - CLOUD COMPUTING parte 2aLezione 5 del 14 febbraio 2012 - CLOUD COMPUTING parte 2a
Lezione 5 del 14 febbraio 2012 - CLOUD COMPUTING parte 2a
Gianluigi Cogo
 
Raggiungere gli obiettivi di sicurezza nel Cloud
Raggiungere gli obiettivi di sicurezza nel CloudRaggiungere gli obiettivi di sicurezza nel Cloud
Raggiungere gli obiettivi di sicurezza nel Cloud
Amazon Web Services
 
Fondamenti di cloud computing
Fondamenti di cloud computingFondamenti di cloud computing
Fondamenti di cloud computing
Gianluigi Cogo
 
Building infrastructure as code with typescript and aws cdk
Building infrastructure as code with typescript and aws cdkBuilding infrastructure as code with typescript and aws cdk
Building infrastructure as code with typescript and aws cdk
Andrea Valentini
 
Smau Milano 2014 Massimo Maggiore
Smau Milano 2014 Massimo MaggioreSmau Milano 2014 Massimo Maggiore
Smau Milano 2014 Massimo Maggiore
SMAU
 
Aws (amazon web services) - Slide
Aws (amazon web services) - SlideAws (amazon web services) - Slide
Aws (amazon web services) - Slidealessioemireni
 
Kubernetes e bello, sicuro è meglio!
Kubernetes e bello, sicuro è meglio!Kubernetes e bello, sicuro è meglio!
Kubernetes e bello, sicuro è meglio!
Giuliano Latini
 
Owasp parte1-rel1.1
Owasp parte1-rel1.1Owasp parte1-rel1.1
Owasp parte1-rel1.1claudiodigiovanni
 
e-SUAP - General software architecture (Italiano)
e-SUAP - General software architecture (Italiano)e-SUAP - General software architecture (Italiano)
e-SUAP - General software architecture (Italiano)
Sabino Labarile
 
Cloud Computing reale: le basi, il presente ed il futuro del Cloud Computing
Cloud Computing reale: le basi, il presente ed il futuro del Cloud ComputingCloud Computing reale: le basi, il presente ed il futuro del Cloud Computing
Cloud Computing reale: le basi, il presente ed il futuro del Cloud Computing
festival ICT 2016
 
Tesi Laurea I Livello - Vaiano
Tesi Laurea I Livello - VaianoTesi Laurea I Livello - Vaiano
Tesi Laurea I Livello - Vaiano
Marco Vaiano
 
Cloud computing
Cloud computingCloud computing
Cloud computing
Gianluigi Cogo
 
Il futuro fra le nuvole
Il futuro fra le nuvoleIl futuro fra le nuvole
Il futuro fra le nuvole
Gianluigi Cogo
 
RHACS: creare, distribuire ed eseguire applicazioni cloud native in modo più ...
RHACS: creare, distribuire ed eseguire applicazioni cloud native in modo più ...RHACS: creare, distribuire ed eseguire applicazioni cloud native in modo più ...
RHACS: creare, distribuire ed eseguire applicazioni cloud native in modo più ...
Par-Tec S.p.A.
 
Cloud Computing Motore Dell Innovazione I C T
Cloud Computing Motore Dell Innovazione I C TCloud Computing Motore Dell Innovazione I C T
Cloud Computing Motore Dell Innovazione I C T
VMEngine
 
Il Cloud chiavi in mano | Matteo Occhipinti (CA Technologies) | Milano
Il Cloud chiavi in mano | Matteo Occhipinti (CA Technologies) | MilanoIl Cloud chiavi in mano | Matteo Occhipinti (CA Technologies) | Milano
Il Cloud chiavi in mano | Matteo Occhipinti (CA Technologies) | Milano
CA Technologies Italia
 
I Love Cloud by Soluzioni Futura
I Love Cloud by Soluzioni FuturaI Love Cloud by Soluzioni Futura
I Love Cloud by Soluzioni Futura
Soluzioni Futura
 
I Love Cloud by Soluzioni Futura
I Love Cloud by Soluzioni FuturaI Love Cloud by Soluzioni Futura
I Love Cloud by Soluzioni Futura
Valerio Versace
 
Automatic Cloud Deployment: un caso di studio basato sul software OwnCloud
Automatic Cloud Deployment: un caso di studio basato sul software OwnCloudAutomatic Cloud Deployment: un caso di studio basato sul software OwnCloud
Automatic Cloud Deployment: un caso di studio basato sul software OwnCloud
Sonia Pepe
 
Virtual Agency
Virtual AgencyVirtual Agency
Virtual Agency
Enrico Micco
 
Cloud Computing: Tecnologie ed Opportunità - Domenico Talia
Cloud Computing: Tecnologie ed Opportunità - Domenico TaliaCloud Computing: Tecnologie ed Opportunità - Domenico Talia
Cloud Computing: Tecnologie ed Opportunità - Domenico TaliaCentro di competenza ICT-SUD
 

More Related Content

Similar to Studio e implementazione di una soluzione per l'automazione di test di sicurezza in ambiente AWS

Raggiungere gli obiettivi di sicurezza nel Cloud
Raggiungere gli obiettivi di sicurezza nel CloudRaggiungere gli obiettivi di sicurezza nel Cloud
Raggiungere gli obiettivi di sicurezza nel Cloud
Amazon Web Services
 
Fondamenti di cloud computing
Fondamenti di cloud computingFondamenti di cloud computing
Fondamenti di cloud computing
Gianluigi Cogo
 
Building infrastructure as code with typescript and aws cdk
Building infrastructure as code with typescript and aws cdkBuilding infrastructure as code with typescript and aws cdk
Building infrastructure as code with typescript and aws cdk
Andrea Valentini
 
Smau Milano 2014 Massimo Maggiore
Smau Milano 2014 Massimo MaggioreSmau Milano 2014 Massimo Maggiore
Smau Milano 2014 Massimo Maggiore
SMAU
 
Aws (amazon web services) - Slide
Aws (amazon web services) - SlideAws (amazon web services) - Slide
Aws (amazon web services) - Slidealessioemireni
 
Kubernetes e bello, sicuro è meglio!
Kubernetes e bello, sicuro è meglio!Kubernetes e bello, sicuro è meglio!
Kubernetes e bello, sicuro è meglio!
Giuliano Latini
 
e-SUAP - General software architecture (Italiano)
e-SUAP - General software architecture (Italiano)e-SUAP - General software architecture (Italiano)
e-SUAP - General software architecture (Italiano)
Sabino Labarile
 
Cloud Computing reale: le basi, il presente ed il futuro del Cloud Computing
Cloud Computing reale: le basi, il presente ed il futuro del Cloud ComputingCloud Computing reale: le basi, il presente ed il futuro del Cloud Computing
Cloud Computing reale: le basi, il presente ed il futuro del Cloud Computing
festival ICT 2016
 
Tesi Laurea I Livello - Vaiano
Tesi Laurea I Livello - VaianoTesi Laurea I Livello - Vaiano
Tesi Laurea I Livello - Vaiano
Marco Vaiano
 
Cloud computing
Cloud computingCloud computing
Cloud computing
Gianluigi Cogo
 
Il futuro fra le nuvole
Il futuro fra le nuvoleIl futuro fra le nuvole
Il futuro fra le nuvole
Gianluigi Cogo
 
RHACS: creare, distribuire ed eseguire applicazioni cloud native in modo più ...
RHACS: creare, distribuire ed eseguire applicazioni cloud native in modo più ...RHACS: creare, distribuire ed eseguire applicazioni cloud native in modo più ...
RHACS: creare, distribuire ed eseguire applicazioni cloud native in modo più ...
Par-Tec S.p.A.
 
Cloud Computing Motore Dell Innovazione I C T
Cloud Computing Motore Dell Innovazione I C TCloud Computing Motore Dell Innovazione I C T
Cloud Computing Motore Dell Innovazione I C T
VMEngine
 
Il Cloud chiavi in mano | Matteo Occhipinti (CA Technologies) | Milano
Il Cloud chiavi in mano | Matteo Occhipinti (CA Technologies) | MilanoIl Cloud chiavi in mano | Matteo Occhipinti (CA Technologies) | Milano
Il Cloud chiavi in mano | Matteo Occhipinti (CA Technologies) | Milano
CA Technologies Italia
 
I Love Cloud by Soluzioni Futura
I Love Cloud by Soluzioni FuturaI Love Cloud by Soluzioni Futura
I Love Cloud by Soluzioni Futura
Soluzioni Futura
 
I Love Cloud by Soluzioni Futura
I Love Cloud by Soluzioni FuturaI Love Cloud by Soluzioni Futura
I Love Cloud by Soluzioni Futura
Valerio Versace
 
Automatic Cloud Deployment: un caso di studio basato sul software OwnCloud
Automatic Cloud Deployment: un caso di studio basato sul software OwnCloudAutomatic Cloud Deployment: un caso di studio basato sul software OwnCloud
Automatic Cloud Deployment: un caso di studio basato sul software OwnCloud
Sonia Pepe
 
Virtual Agency
Virtual AgencyVirtual Agency
Virtual Agency
Enrico Micco
 
Cloud Computing: Tecnologie ed Opportunità - Domenico Talia
Cloud Computing: Tecnologie ed Opportunità - Domenico TaliaCloud Computing: Tecnologie ed Opportunità - Domenico Talia
Cloud Computing: Tecnologie ed Opportunità - Domenico TaliaCentro di competenza ICT-SUD
 

Similar to Studio e implementazione di una soluzione per l'automazione di test di sicurezza in ambiente AWS (20)

Raggiungere gli obiettivi di sicurezza nel Cloud
Raggiungere gli obiettivi di sicurezza nel CloudRaggiungere gli obiettivi di sicurezza nel Cloud
Raggiungere gli obiettivi di sicurezza nel Cloud
 
Fondamenti di cloud computing
Fondamenti di cloud computingFondamenti di cloud computing
Fondamenti di cloud computing
 
Building infrastructure as code with typescript and aws cdk
Building infrastructure as code with typescript and aws cdkBuilding infrastructure as code with typescript and aws cdk
Building infrastructure as code with typescript and aws cdk
 
Smau Milano 2014 Massimo Maggiore
Smau Milano 2014 Massimo MaggioreSmau Milano 2014 Massimo Maggiore
Smau Milano 2014 Massimo Maggiore
 
Aws (amazon web services) - Slide
Aws (amazon web services) - SlideAws (amazon web services) - Slide
Aws (amazon web services) - Slide
 
Kubernetes e bello, sicuro è meglio!
Kubernetes e bello, sicuro è meglio!Kubernetes e bello, sicuro è meglio!
Kubernetes e bello, sicuro è meglio!
 
Owasp parte1-rel1.1
Owasp parte1-rel1.1Owasp parte1-rel1.1
Owasp parte1-rel1.1
 
e-SUAP - General software architecture (Italiano)
e-SUAP - General software architecture (Italiano)e-SUAP - General software architecture (Italiano)
e-SUAP - General software architecture (Italiano)
 
Cloud Computing reale: le basi, il presente ed il futuro del Cloud Computing
Cloud Computing reale: le basi, il presente ed il futuro del Cloud ComputingCloud Computing reale: le basi, il presente ed il futuro del Cloud Computing
Cloud Computing reale: le basi, il presente ed il futuro del Cloud Computing
 
Tesi Laurea I Livello - Vaiano
Tesi Laurea I Livello - VaianoTesi Laurea I Livello - Vaiano
Tesi Laurea I Livello - Vaiano
 
Cloud computing
Cloud computingCloud computing
Cloud computing
 
Il futuro fra le nuvole
Il futuro fra le nuvoleIl futuro fra le nuvole
Il futuro fra le nuvole
 
RHACS: creare, distribuire ed eseguire applicazioni cloud native in modo più ...
RHACS: creare, distribuire ed eseguire applicazioni cloud native in modo più ...RHACS: creare, distribuire ed eseguire applicazioni cloud native in modo più ...
RHACS: creare, distribuire ed eseguire applicazioni cloud native in modo più ...
 
Cloud Computing Motore Dell Innovazione I C T
Cloud Computing Motore Dell Innovazione I C TCloud Computing Motore Dell Innovazione I C T
Cloud Computing Motore Dell Innovazione I C T
 
Il Cloud chiavi in mano | Matteo Occhipinti (CA Technologies) | Milano
Il Cloud chiavi in mano | Matteo Occhipinti (CA Technologies) | MilanoIl Cloud chiavi in mano | Matteo Occhipinti (CA Technologies) | Milano
Il Cloud chiavi in mano | Matteo Occhipinti (CA Technologies) | Milano
 
I Love Cloud by Soluzioni Futura
I Love Cloud by Soluzioni FuturaI Love Cloud by Soluzioni Futura
I Love Cloud by Soluzioni Futura
 
I Love Cloud by Soluzioni Futura
I Love Cloud by Soluzioni FuturaI Love Cloud by Soluzioni Futura
I Love Cloud by Soluzioni Futura
 
Automatic Cloud Deployment: un caso di studio basato sul software OwnCloud
Automatic Cloud Deployment: un caso di studio basato sul software OwnCloudAutomatic Cloud Deployment: un caso di studio basato sul software OwnCloud
Automatic Cloud Deployment: un caso di studio basato sul software OwnCloud
 
Virtual Agency
Virtual AgencyVirtual Agency
Virtual Agency
 
Cloud Computing: Tecnologie ed Opportunità - Domenico Talia
Cloud Computing: Tecnologie ed Opportunità - Domenico TaliaCloud Computing: Tecnologie ed Opportunità - Domenico Talia
Cloud Computing: Tecnologie ed Opportunità - Domenico Talia
 

Studio e implementazione di una soluzione per l'automazione di test di sicurezza in ambiente AWS

  • 1. Studio e implementazione di una soluzione per l’automazione di test di sicurezza in ambiente AWS Relatore Prof. Marco Anisetti Correlatori Prof. Claudio Agostino Ardagna Dott. Filippo Gaudenzi Tesi di laurea di Andrea Foppiani Matr. 870632
  • 2. Cloud computing - opportunità o criticità? 2 Il cloud computing è una delle maggiori opportunità e allo stesso tempo criticità dei giorni nostri. Garantire le proprietà di sicurezza fondamentali è uno dei requisiti chiave per chi voglia diventare leader nell’erogazione di servizi di cloud computing.
  • 3. Obiettivi della tesi: 3 - Analizzare stato dell’arte e criticità della sicurezza nel cloud computing - Analizzare il CSP AWS: ○ come ha gestito tali criticità ○ quali strumenti e servizi per la gestione della sicurezza esso metta a disposizione - Progettare e implementare due architetture con paradigmi IaaS e PaaS nelle quali sperimentare il funzionamento degli strumenti di sicurezza di AWS - Progettare e implementare una “soluzione automatizzata di test di sicurezza in ambiente AWS” , che integri gli strumenti di sicurezza AWS Inspector e Amazon Macie con la piattaforma Moon Cloud
  • 4. Stato dell’arte della sicurezza nel cloud computing: 4 Aspetti chiave di sicurezza e conformità: - Nuove vulnerabilità, minacce e attacchi ai vari livelli - Tecniche e meccanismi a protezione dei dati - Tecniche di garanzia della sicurezza Problemi principali nell’adozione del cloud computing - Difficoltà nella valutazione del rischio - Sicurezza e privacy nel cloud - Mancanza di trasparenza (chi accede a cosa) - Impossibilità di controllo “fisico” dell’infrastruttura del provider Gartner Data Center Conference Attendee Pool, 2013 Percezione problemi di sicurezza e privacy nel cloud pubblico Percezione problemi nell’adozione del cloud pubblico Come risolvere i problemi percepiti dal consumatore ? - Certificazione di sistemi e infrastrutture - Contratti tra consumatore e CSP - Strumenti a supporto del consumatore
  • 5. Lo “shared responsibility model” secondo AWS: 5 - Sicurezza e conformità sono una responsabilità condivisa tra AWS e il cliente. - La scelta dei servizi parte della propria soluzione è la chiave per definire il perimetro di tali responsabilità. - Sicurezza del cloud (CSP) vs. sicurezza nel cloud (cliente)
  • 6. Integrazione tra AWS e Moon Cloud - funzionamento: 6 - Moon Cloud esegue i controlli all’interno di container “Docker” - L’autenticazione di Moon Cloud ad AWS avviene mediante un’utenza IAM (“least privilege”) - Il container accede programmaticamente alle API di AWS (AWS SDK libreria boto3) - I controlli eseguiti dal container sono realizzati in codice python - I risultati dei controlli vengono ritornati da AWS a Moon Cloud
  • 7. 7 Obiettivo controllo: - automazione analisi vulnerabilità in un contesto CI/CD Caratteristiche: - contesto IaaS (istanze EC2 target) - utilizzo delle API di AWS Inspector - supporto ad un flusso DevSecOps Scenario 1
  • 8. Flusso logico del controllo realizzato 8
  • 9. 9 Scenario 2 Obiettivi controlli: - verifica attivazione di Amazon Macie su tutti i bucket di un dato account AWS - lettura/visualizzazione/cancellazione alert di sicurezza generati da Amazon Macie in una coda SQS Caratteristiche: - contesto PaaS (architettura “server less”) - utilizzo delle API di Amazon Macie - supporto alla conformità GDPR
  • 10. Flusso logico del primo controllo realizzato 10
  • 11. Flusso logico del secondo controllo realizzato 11
  • 12. Risultati ottenuti: 12 - Progettazione e implementazione di due architetture cloud computing IaaS e PaaS in AWS - Testing e verifica sperimentale dei principali servizi di sicurezza dell’ecosistema AWS mediante applicazioni pratiche negli scenari realizzati. - Realizzazione di controlli di sicurezza generalizzabili a supporto di attività quali CI/CD, DevSecOps, conformità GDPR
  • 13. Sviluppi futuri: 13 - Monitoraggio dell’evoluzione del servizio Amazon Macie supportata da uno sperimentazione su un campione maggiormente rappresentativo di dati che ne consenta una valutazione statistica della componente di AI. - Ampliamento delle integrazioni disponibili tra Moon Cloud e AWS a fronte di nuovi servizi di sicurezza disponibili e/o ampliamento delle API dei servizi esistenti. - Analisi costi/benefici degli strumenti di sicurezza analizzati che preveda una comparazione con strumenti competitor non integrati nell'ecosistema AWS.
  • 14. Grazie per la cortese attenzione Contatti: andrea.foppiani1@studenti.unimi.it 14