Tuesday, October 27, 2009

Initial Thoughts on Cloud A6

I'm a little late to this issue, but let me start by saying I read Craig Balding's RSA Europe 2009 Presentation this evening. In it he mentioned something called cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 A6 Working Group. I learned this is related to several blog posts and a Twitter discussion. In brief:

  • In May, Chris Hoff posted Incomplete Thought: The Crushing Costs of Complying With Cloud Customer “Right To Audit” Clauses, where Chris wrote Cloud providers I have spoken to are being absolutely hammered by customers acting on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir “right to audit” clauses in contracts.

  • In June, Craig posted Stop cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Madness! Cloud Onboarding Audits - An Open Question... where he wondered Is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re an existing system/application/protocol whereby I can transmit my policy requirements to a provider, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can respond in real-time with compliance level and any additional costs, with less structured/known requirements responded to by a human (but transmitted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same way)?

  • Later in June, Craig posted in Vulnerability Scanning and Clouds: An Attempt to Move cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Dialog On... where he spoke of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need for customers to conduct vulnerability assessments of cloud providers: A “ScanAuth” API call empowers cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 customer (or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir nominated 3rd party) to scan cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir hosted Cloud infrastructure confident in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 knowledge cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y won’t fall foul of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 providers Terms of Service.

  • In July, Chris extended Craig's idea with Extending cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Concept: A Security API for Cloud Stacks, building on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 aforementioned Twitter discussions. Chris mentioned The Audit, Assertion, Assessment, and Assurance API (A6) (Title credited to @CSOAndy)... Specifically, let’s take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capabilities of something like SCAP and embed a standardized and open API layer into each IaaS, PaaS and SaaS offering (see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 API blocks in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 diagram below) to provide not only a standardized way of scanning for network vulnerabilities, but also configuration management, asset management, patch remediation, compliance, etc.


Still with me? In August Network World posted A6 promises a way to check up on public cloud security, which said:

What cloud services users need is a way to verify that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y expect is being delivered, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is an effort underway for an interface that would do just that.

Called A6 (Audit, Assertion, Assessment and Assurance API) cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proposal is still in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 works, driven by two people: Chris Hoff - who came up with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea and works for Cisco - and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Iron Fog blog who identifies himself as Ben, an information security consultant in Toronto.

The usefulness of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 API would be that cloud providers could offer customers a look into certain aspects of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 service without compromising cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r customers’ assets or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cloud provider’s network itself.

Work on a draft of A6 is posted here http://www.scribd.com/doc/18515297/A6-API-Documentation-Draft-011. It’s incomplete, but offers a sound framework for what is ultimately needed.


So let's see what that says:

The A6 API was designed with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following concepts in mind:

  1. The security stack MUST provide external systems with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to query a utility computing provider for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir security state.
Ok, that's pretty generic. We don't know what is meant by "security state," but we're just starting.
  • The stack MUST provide sufficient information for an evaluation of security state asserted by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 provider. Same issue as #1.

  • The information exposed via public interfaces MUST NOT provide specific information about vulnerabilities or result in detailed security configurations being exposed to third parties or trusted customers. Hmm, I'm lost. I'm supposed to determine "security state" but without "specific information about vulnerabilities"?

  • The information exposed via public interfaces SHOULD NOT provide third parties or trusted customers with sufficient data as to infer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security state of a specific element within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 providers environment. Same issue as #4.

  • The stack SHOULD reuse existing standards, tools and technologies wherever possible. Neutral, throwaway concern.


  • That's about it, with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following appearing below:

    In classic outsourcing deals cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se security policies and controls would be incorporated into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 procurement contract; with cloud computing providers, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to enter in specific contractual obligations for security or allow for third party audits is eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r limited or non-existent. However, this limitation does not reduce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need for consuming organizations to protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir data.

    The A6 API is intended to close this gap by providing consuming organizations with near real-time views into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir cloud computing provider. While this does not allow for consuming organizations to enforce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir security policies and controls upon cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 provider, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y will have information to allow cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to assess cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir risk exposure.


    Before I drop cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question you're all waiting for, let me say that I think it is great people are thinking about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se problems. Much better to have a discussion than to assume cloud = secure.

    However, my question is this: how does this provide "consuming organizations with near real-time views into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir cloud computing provider"?

    Here is what I think is happening. Craig started this thread because he wanted a way to conduct audit and compliance (remember I highlighted those terms) activities against cloud providers without violating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir terms of service. I am sure Craig would agree that compliance != security.

    The danger is that someone will believe that complaince = security, thinking one could conceivably determine security state by scanning for network vulnerabilities, but also configuration management, asset management, patch remediation, compliance, etc..

    This is like network access control all over again. A good "security state" means you're allowed on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network because your system is configured "properly," cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system is "patched," and so on. Never mind that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system is 0wned. Never mind that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is no API for quering 0wnage.

    Don't get me wrong, this is a really difficult problem. It is exceptionally difficult to assess true system state by asking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system, since you are at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mercy of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder. It could be worse with cloud and virtual infrastructure if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder owns cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 virtual infrastructure. Customer queries cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 A6 API and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cloud returns a healthy response, despite cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reality. Shoot, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cloud could say it IS healthy by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 definition of patches or configuration and still be 0wned.

    I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's more thought required here, but that doesn't mean A6 is a waste of time -- if we are clear that it's more about compliance and really nothing about security, or especially trustworthiness of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 assets.

    5 comments:

    Christofer Hoff said...

    Richard:

    Methinks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 horse is a little bit afar from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cart...

    So I'm close to spinning up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next rev. of effort around A6; I've just been so stinking busy. I have two very large cloud providers who are going to be contributing to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 project.

    You're missing a couple of key elements regarding A6 that quite frankly I am guilty of not supplying.

    Quickly, to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point about A6 providing "security" views of a provider -- A6 will go much, much deeper than simply running vulnerability scans.

    Specifically, with things like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vCloud API, you get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capability of extracting configuration information regarding all sorts of things: networking, topology, storage, policy, etc...

    You can imagine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n that beyond "compliance" you can make decisions about policy and enforcement because you gain back visibility...

    Your assessment is not out of line given what we've provided and I promise an update soon, but feel free to ping me if you want more information ahead of time.

    /Hoff

    rdr said...

    Very random question, I found you blog when searching for a price list for an item I purchased at auction. Can you please let me know what a 2004 Niksun NetVcr02 might be worth. I tried searching cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 internet but couldnt find pricing information.

    thanks

    vmcto said...

    I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r issue that this doesn't address at this point (no criticism, as you said it's very early) is reporting of an "incident".

    How do I know as a cloud consumer that an "incident" that may have compromised security occurred, was identified, and remediated?

    How does that fit into my demonstration of controls for my compliance and risk management?

    CyberG said...

    I think any security professional that endorses Cloud Computing is clueless. While it might make sense for a large corporation to run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own internal cloud, who in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir right mind would think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir data would be safe lumped togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r with ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r company's data. Can you say massive target? Not to mention, you are being subjected to outsourcing across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 board. It might be one vendor your cutting a check to, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 backend storage and HA infrastructure will be farmed out to a bunch of third tier providers you've never heard. That is until your data vanishes overnight, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sudden that vendor is a household name (i.e. Choicepoint).

    A Ponemon Research report suggests cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:
    "As yet more companies own up to large-scale losses of personal data, a survey has found that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk of confidential data being lost or stolen is 43% higher when it is outsourced racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than held in-house."

    I'm also really glad Richard is driving home cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point, compliance doesn't equal security. This needs to be hammered into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 heads of all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CISOs, CTOs, etc so this insane "Check box" security culture will go away.

    Unknown said...

    It seems too many orgs can't evaluate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own security and systems, let alone provide not only that, but a sanitized way of displaying that information to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 customer in a way that illustrates security (or better yet, just compliance to whatever finite checks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are in this system). Let alone realtime at will...

    But still, I think discussion on this is better than throwing up hands.

    Maybe this is really just supposed to be a color-coded dashboard or security scorecard. In which case, why would any company not show anything besides green, green, green, at least until something breaks in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 media.