docs/2_Architecture_Guides/2.2_Security_Blueprint/7_Connectivity/1.2.7.3_Cloud.md

   1 ---
   2 title: Cloud
   3 ---
   4
   5 # Cloud
   6
   7 ## Download
   8
   9 - **authentication**: Authentication is the security process that validates the
  10   claimed identity of a device, entity or person, relying on one or more
  11   characteristics bound to that device, entity or person.
  12
  13 - **Authorization**: Parses the network to allow access to some or all network
  14   functionality by providing rules and allowing access or denying access based
  15   on a subscriber's profile and services purchased.
  16
  17 <!-- section-config -->
  18
  19 Domain                       | Object         | Recommendations
  20 ---------------------------- | -------------- | --------------------------------------
  21 Application-Cloud-Download-1 | authentication | Must implement authentication process.
  22 Application-Cloud-Download-2 | Authorization  | Must implement Authorization process.
  23
  24 <!-- end-section-config -->
  25
  26 --------------------------------------------------------------------------------
  27
  28 ## Infrastructure
  29
  30 - **Deep Packet Inspection**: **DPI** provides techniques to analyze the payload
  31   of each packet, adding an extra layer of security. **DPI** can detect and
  32   neutralize attacks that would be missed by other security mechanisms.
  33
  34 - A **DoS** protection in order to avoid that the Infrastructure is no more
  35   accessible for a period of time.
  36
  37 - **Scanning tools** such as **SATS** and **DAST** assessments perform
  38   vulnerability scans on the source code and data flows on web applications.
  39   Many of these scanning tools run different security tests that stress
  40   applications under certain attack scenarios to discover security issues.
  41
  42 - **IDS & IPS**: **IDS** detect and log inappropriate, incorrect, or anomalous
  43   activity. **IDS** can be located in the telecommunications networks and/or
  44   within the host server or computer. Telecommunications carriers build
  45   intrusion detection capability in all network connections to routers and
  46   servers, as well as offering it as a service to enterprise customers. Once
  47   **IDS** systems have identified an attack, **IPS** ensures that malicious
  48   packets are blocked before they cause any harm to backend systems and
  49   networks. **IDS** typically functions via one or more of three systems:
  50
  51   1. Pattern matching.
  52   2. Anomaly detection.
  53   3. Protocol behavior.
  54
  55 <!-- pagebreak -->
  56
  57 <!-- section-config -->
  58
  59 Domain                             | Object        | Recommendations
  60 ---------------------------------- | ------------- | ----------------------------------------------------------
  61 Application-Cloud-Infrastructure-1 | Packet        | Should implement a DPI.
  62 Application-Cloud-Infrastructure-2 | DoS           | Must implement a DoS protection.
  63 Application-Cloud-Infrastructure-3 | Test          | Should implement scanning tools like SATS and DAST.
  64 Application-Cloud-Infrastructure-4 | Log           | Should implement security tools (IDS and IPS).
  65 Application-Cloud-Infrastructure-5 | App integrity | Applications must be signed by the code signing authority.
  66
  67 <!-- end-section-config -->
  68
  69 --------------------------------------------------------------------------------
  70
  71 ## Transport
  72
  73 For data transport, it is necessary to **encrypt data end-to-end**. To prevent
  74 **MITM** attacks, no third party should be able to interpret transported data.
  75 Another aspect is the data anonymization in order to protect the leakage of
  76 private information on the user or any other third party.
  77
  78 The use of standards such as **IPSec** provides "_private and secure
  79 communications over IP networks, through the use of cryptographic security
  80 services, is a set of protocols using algorithms to transport secure data over
  81 an IP network._". In addition, **IPSec** operates at the network layer of the
  82 **OSI** model, contrary to previous standards that operate at the application
  83 layer. This makes its application independent and means that users do not need
  84 to configure each application to **IPSec** standards.
  85
  86 **IPSec** provides the services below :
  87
  88 - Confidentiality: A service that makes it impossible to interpret data if it is
  89   not the recipient. It is the encryption function that provides this service by
  90   transforming intelligible (unencrypted) data into unintelligible (encrypted)
  91   data.
  92 - Authentication: A service that ensures that a piece of data comes from where
  93   it is supposed to come from.
  94 - Integrity: A service that consists in ensuring that data has not been tampered
  95   with accidentally or fraudulently.
  96 - Replay Protection: A service that prevents attacks by re-sending a valid
  97   intercepted packet to the network for the same authorization. This service is
  98   provided by the presence of a sequence number.
  99 - Key management: Mechanism for negotiating the length of encryption keys
 100   between two **IPSec** elements and exchange of these keys.
 101
 102 An additional means of protection would be to do the monitoring between users
 103 and the cloud as a **CASB** will provide.
 104
 105 <!-- section-config -->
 106
 107 Domain                        | Object                                    | Recommendations
 108 ----------------------------- | ----------------------------------------- | ---------------------------------
 109 Application-Cloud-Transport-1 | Integrity, confidentiality and legitimacy | Should implement IPSec standards.
 110
 111 <!-- end-section-config -->