security whitepaper

SECURITY WHITEPAPER CLOUD PLATFORM
La sicurezza del cloud computing
L’offerta di servizi OMNIALAB/SolutionDOC ECM CLOUD Platform è basata sulla piattaforma, IaaS
Infrastructure as a Services di AWS Amazon.
Amazon.com Inc. è una compagnia di commercio elettronico statunitense con sede a Seattle, nello stato di
Washington. Fondata da Jeff Bezos nel 1994 iniziò come libreria online, sebbene presto allargò la gamma
dei prodotti venduti a DVD, CD musicali, software, videogiochi, prodotti elettronici, abbigliamento, mobilio,
cibo, giocattoli e altro ancora. Amazon ha creato poi altri siti in Canada, Regno Unito, Germania, Austria,
Francia, Italia, Spagna, Cina e Giappone e spedisce i suoi prodotti in tutto il mondo.
Nel 2006 Amazon decide di muovere i primi passi in esplorazione del pionieristico mercato del Cloud
Computing, con il lancio del servizio di storage online chiamato S3. Un numero illimitato di file, di
dimensioni comprese tra 1 byte e 5 giga, possono essere memorizzati in S3 e distribuiti via HTTP o
BitTorrent, il servizio costa 15 centesimi di dollaro per gigabyte memorizzato al mese e 20 centesimi di
dollaro per gigabyte trasferito al mese. Sempre nel 2006 Amazon lancia EC2 ("Elastic Compute Cloud"), una
site farm virtuale dove gli utenti possono usare l'infrastruttura di Amazon, ad alta stabilità, per l’esecuzione
delle proprie applicazioni (come ad esempio simulazioni). Nel 2008, Amazon migliora il servizio
aggiungendo Elastic Block Store (EBS), offrendo una capacità di memorizzazione persistente per Amazon
EC2 ed istanze di Elastic IP addresses, indirizzi IP statici progettati ad-hoc per le caratteristiche dinamiche
del Cloud Computing. Nel 2008 viene lanciato EC2 Windows Client: una versione di EC2 in grado di
eseguire Microsoft Windows Server e Microsoft SQL Server.
Terminata una fase esplorativa iniziale, alla fine del 2008 Amazon scioglie le riserve e dichiara agli
investitori che il Cloud Computing diventerà il suo "core business" entro il 2012.
Attualmente la Piattaforma di Cloud Computing AWS Amazon è la più grande e affidabile al mondo.
L’offerta AWS Amazon si suddivide nei seguenti servizi:
q Amazon CloudFront, un content delivery network (CDN) per distribuire gli oggetti salvati in S3
nelle località cosidette “di confine” vicino al richiedente.
q Amazon CloudWatch, fornisce il monitoraggio delle risorse e delle applicazioni AWS
q Amazon Elastic Beanstalk fornisce uno sviluppo e una gestione rapide delle applicazioni nel cloud
q Amazon Elastic Block Store (EBS) fornisce blocchi di volumi di storage persistenti per EC2
q Amazon Elastic Compute Cloud (EC2) fornisce server virtuali e scalabili utilizzando Xen
q Amazon Elastic MapReduce permette al business, ai ricercatori, agli analisti di dati e agli
sviluppatori di processare facilmente e in modo economico vaste quantità di dati. Usa un framework
Hadoop che gira in una infrastruttura a EC2 e Amazon S3.
q Amazon Mechanical Turk (Mturk) gestisce piccole unità di lavoro distribuite tra persone
q Amazon Relational Database Service (RDS) fornisce un database scalabile con support MySQL o
Oracle.
q Amazon Route 53 fornisce un servizio web di Domain Name System (DNS) scalabile ed in alta
affidabilità;
q Amazon Simple Email Service (SES) fornisce la spedizione bulk e transazione di posta elettronica;
Omnialab srl a socio unico Via Alcide De Gasperi, 37 – 33100 Udine Cod. Fisc. e P. IVA 02628600302 Registro Imprese di Udine REA 275734 Capitale sociale € 10.000,00 i.v.
q Amazon Simple Storage Service (S3) Fornisce uno storage basato su Web Service;
q Amazon Simple Queue Service (SQS) Fornisce una coda di messaggi per le applicazioni web;
CERTIFICATIONS AND ACCREDITATIONS AWS AMAZON SOC 1/SSAE 16/ISAE 3402 Amazon Web Services ha pubblicato un Service Organization Control 1 (SOC1), Report Type 2. La verifica
di questo Report è fatta in conformità con lo Statement on Standard for Attestation Engagements. No. 16
(SSAE 16) e l’ International Standards for Assurance Engagements No. 3402 (ISAE 3402) degli standard
professionali. Questa doppia verifica incontra un vasto spettro di richieste di controllo sia negli Stati Uniti
che da parte degli organi internazionali preposti. La verifica SOC 1 attesta che gli obiettivi di controllo della
AWS sono concepiti in modo appropriato e che i controlli individuali definiti per salvaguardare i dati del
cliente sono efficaci. Il nostro impegno per il report SOC1 è in continua elaborazione e abbiamo in
programma di continuare il processo periodico di verifiche. Questo controllo è la sostituzione dello
Statement on Auditing Standards No. 70 (SAS 70) Type II report. FISMA Moderate AWS consente ai clienti dell’Agenzia del Governo USA di raggiungere e mantenere la conformità
con la Federal Information Security Management Act (FISMA). La FISMA richiede alle agenzie federali
di sviluppare, documentare e implementare un servizio di sicurezza informatica per i suoi dati e infrastrutture
basato sul National Institute of Standards and Technology Special Publication 800-53, Revision 3 standard.
Le misure di Autorizzazione e Accreditamento richieste dal FISMA chiedono ad AWS di implementare e
operare una serie ampia di configurazioni e controlli della sicurezza. Ciò include la documentazione dei
processi di gestione, operativi e tecnici usati per garantire la sicurezza della infrastruttura fisica e virtuale e la
verifica della terza parte sui processi e controlli stabiliti. AWS ha completato l’implementazione del
controllo è superato con successo il test di sicurezza indipendente e la valutazione richiesta per operare a
livello del FISMA-Moderate. AWS fornisce questo controllo e verifiche sulla documentazione alle agenzie
governative che possono usarlo per certificare i loro sistemi alla FISMA-Moderate. AWS è stata anche
certificata e accreditata per operare al FISMA-Low Level.
PCI DSS Level 1
AWS ha acquisito la conformità a Level 1 PCI. Siamo stati convalidati con successo come fornitore di
servizi Level 1 dalla Payment Card Industry (PCI) Data Security Standard (DSS). Commercianti e altri
fornitori di servizi possono eseguire le loro applicazioni sulla nostra infrastruttura tecnologica PCIcompatibile per archiviare, elaborare e trasmettere informazioni della carta di credito nel cloud. Altre aziende
possono beneficiarne eseguendo le loro applicazioni su altre strutture tecnologiche PCI- compatibili. Altri
servizi convalidati PCI includono: Amazon Elastic Compute Cloud (EC2), Amazon Simple Storage Service
(S3), Amazon Elastic Block Storage (EBS) e Amazon Virtual Private Cloud (VPC), Amazon Relational
Database Service (RDS), Amazon Elastic Load Balancing (ELB), Amazon Identity and Access Management
(IAM), e l’infrastruttura fisica di base e la AWS Management Environment. Per maggiori informazioni
visita il nostro PCI DSS Level 1 FAQs
ISO 27001
AWS ha ottenuto la certificazione ISO 27001 per il nostro Information Security Management System
(ISMS) che comprende la nostra infrastruttura, centri dati e servizi che includono Amazon Elastic Compute
pag. 2 di 4
Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3) e Amazon Virtual Private Cloud
(Amazon VPC). L’ ISO 27001/27002 standard di sicurezza è adottato ampiamente a livello globale
e pone le nostre richieste e pratiche con un approccio sistematico alla gestione aziendale e
all’informazione del cliente basato sulla valutazione dei rischi periodici. Per ottenere questa certificazione,
una società deve dimostrare di avere un approccio sistematico e continuo per gestire i rischi della
sicurezza dell’informazione che possono interessare la confidenzialità, l’integrità e disponibilità
della società e le informazioni del cliente. Questa certificazione rafforza l’impegno di Amazon di
fornire trasparenza nelle nostre pratiche e controlli di sicurezza. La certificazione AWS ISO 27001
ricomprende tutti centri dati AWS nelle varie regioni del mondo e ha stabilito un programma formale per
mantenere questa certificazione. Una copia del nostro certificato ISO, disponibile per i nostri clienti,
descrive l’ambito ISMS e l’elenco dei centri dati della nostra certificazione ISO 27001. Per maggiori
informazioni visita il nostro ISO 27001 FAQs.
International Traffic In Arms Compliance
La regione AWS GovCloud (US) rispetta i requisiti della US International Traffic in Arms Regulations
(ITAR). Come da direttive e rispetto del programma globale di ITAR, le società soggette alle regole di
esportazione ITAR devono controllare le esportazioni intenzionali limitando gli accessi alle informazioni
protette sui cittadini Americani (US) e limitando anche le informazioni sui luoghi di tali dati relativi al
territorio Americano (US). AWS GovCloud (US) fornisce un ambiente fisicamente localizzato negli Stati
Uniti e dove l’accesso del personale AWS è limitato ai soli cittadini Americani (US) e quindi
permettendo alle società qualificate di trasmettere, elaborare e archiviare articoli e dati protetti in rispetto
della ITAR. L’ambiente AWS GovCloud (US) è stato verificato da una società indipendente che ha validato
che i controlli in essere di supporto ai clienti che esportano rispettino tali normative.
Il Federal Information Processing Standard (FIPS) Publication 140-2 è un sistema standard di sicurezza del
governo americano che indica i requisiti di sicurezza per i moduli crittografici di protezione delle
informazioni sensibili. Per supportare i clienti con i requisiti FIPS 140-2, i punti finali dell’ Amazon
Virtual Private Cloud VPN e del SSL-carico finale equilibratore nell’ AWS GovCloud (US) funzionano
utilizzando un hardware validato FIPS 140-2. AWS lavora con i clienti AWS GovCloud (US) per fornire le
informazioni di cui necessitano per aiutare la gestione in conformità quando utilizzano l’ambiente AWS
GovCloud (US).
HIPAA
La piattaforma AWS fornisce flessibilità e controllo del cliente che permettono la dislocazione di soluzioni
che vanno incontro alle specifiche richieste certificate da parte delle industrie. Per esempio i clienti su AWS
hanno costruito delle soluzioni applicative legate all’assistenza sanitaria in conformità con l’
HIPPA’s Security and Privacy Rules
Il servizio OMNIALAB/SolutionDOC Cloud Platform e Legal SolutionDOC sfrutta la piattaforma Amazon
per erogare i propri servizi, in particolare, il servizio è basato sui seguenti componenti:
Amazon Elastic Compute Cloud (EC2) il servizio EC2 ci consente di definire l’infrastruttura virtuale
delle nostre macchine virtuali, quindi capacità di calcolo e memoria di elaborazione.
Ad ogni macchina virtuale EC2 vengono associati 2 Amazon Elastic Block Store (EBS) uno dove risiedono
i dati del sistema operativo e uno dove vengono salvati i dati relativi ai DataBase SQL Server e i file
archiviati.
Inoltre vengono effettuati backup giornalieri e differenziati delle macchine virtuali sia su snapshot dell’intera
pag. 3 di 4
macchina dedicata, e sia dei volumi EBS su Amazon Simple Storage Service (S3) cifrando i dati. Tale
procedura ci consente di ricreare in tempi brevi la macchina virtuale dedicata al cliente, con tempi molto
bassi di ripristino.
MONITORAGGIO E CONTROLLO
Tutte le macchine (istanze) dedicate ai clienti, vengono monitorate da un sistema di Asset management di
OMNIALAB che controlla:
q
q
q
q
q
q
q
q
q
Accessibilità alla istanza virtuale
Utilizzo CPU
Utilizzo RAM
Spazio disco
Servizi di sistema
Servizi di backup
Servizi di Archiviazione
Raggiungibilità del servizio
Accesso da parte degli amministratori di sistema Tutti gli incidenti rilevati dal sistema vengono aperti automaticamente dal sistema, gestiti dai nostri operatori
qualificati, garantendo la massima tempestività.
REV 0.3_Udine_10_01_2013
pag. 4 di 4

Download Report