La sicurezza dei dati nel cloud: due soluzioni

Da circa un decennio il cloud ha rivoluzionato il modo in cui concepiamo il mondo dell'informatica. Il primo cloud provider nasce nel 2006 quando Amazon lancia il suo servizio di Elastic Compute cloud (EC2), con l'obiettivo di concedere in affitto l'infrastruttura IT che ad Amazon serviva solo occasionalmente. Il resto è storia: è ormai comune prendere in affitto computer, storage, applicazioni e servizi, averli a disposizione istantaneamente e pagarli al consumo.

Un mondo di oggetti da mettere in sicurezza

Dal punto di vista storage, il cloud si è sviluppato principalmente attorno al mondo degli oggetti (object storage). Semplificando le interfacce e diminuendo i vincoli sulla coerenza per letture e scritture, lo storage a oggetti è riuscito a raggiungere livelli di scalabilità, disponibilità ed affidabilità' che i sistemi tradizionali faticano a raggiungere. Basti pensare che S3, l'object storage di Amazon, gestisce oggi più di duemila miliardi di oggetti, con più di un milione di richieste al secondo.

Dal punto di vista della sicurezza però, il cloud rappresenta un'ottima opportunità non solo per aziende, governi e privati, ma anche per gli hacker. Bisogna infatti rendersi conto che ogni volta che si esternalizza un dato, si sceglie, consciamente o inconsciamente, di fidarsi del cloud provider, dei suoi addetti, della sua infrastruttura, delle sue policy di sicurezza e della sua capacità di resistere ad attacchi informatici.

Prima scelta: la crittografia

Un modo per proteggere i dati viene offerto dalla crittografia. Intuitivamente, se un dato viene crittato prima di essere esternalizzato, utilizzando un algoritmo ed una chiave considerati sicuri, nè il cloud provider, nè un eventuale hacker possono riuscire a ottenerne la versione in chiaro.

Se si sceglie di affidarsi alla crittografia bisogna però tenere in conto due fattori importanti: il primo è che pur avendo esternalizzato il dato, e quindi affidato ad altri il  problema di gestirlo, farne il backup ed assicurarsi che sia disponibile quando serve, rimane come per ogni sistema che usa la crittografia il problema di gestire le chiavi. Esternalizzare anche le chiavi apparentemente risolve il problema, ma in pratica è come se non avessimo crittato nulla dato che un eventuale hacker avrebbe accesso sia al dato cifrato che alla chiave usata per cifrarlo.

Il secondo problema è che se il dato viene crittato, non si può esternalizzare al cloud provider alcun tipo di calcolo su di esso. È come se il dato avesse perso un po' del suo valore intrinseco.

La crittografia omomorfica rappresenta una possibile soluzione a questo problema, in quanto garantisce livelli accettabili di sicurezza pur permettendo di effettuare calcoli sui dati cifrati.

Ad esempio, avendo la versione cifrata di A e B, il cloud provider può calcolare la versione cifrata di A+B e spedire il risultato all'utente che può decifrare il risultato, senza che il cloud provider abbia appreso nulla sui dati in input.

Un viaggio nell'intercloud

Un'altra idea interessante che è nata in risposta a quesiti sulla sicurezza del cloud è quello che viene chiamato l'"intercloud".

L'intercloud è un cloud virtuale che trova le sue fondamenta nell'unione di piu' d'un cloud provider reale.

Invece di essere spedito verso un solo cloud, il dato viene frammentato e ogni cloud provider ne riceve un frammento. Basandosi su sistemi di frammentazione a soglia, si può garantire ad esempio che se 7 cloud provider hanno ricevuto un frammento, il dato originale può essere ricostruito avendo accesso ad almeno 5 frammenti. Quattro frammenti o meno invece non contengono informazioni sufficienti per ricostruire il dato.

Intuitivamente, questo approccio aumenta l'affidabilità e la sicurezza del servizio. Infatti, la probabilità che più di un cloud provider non siano disponibili allo stesso momento è molto bassa. Stesso discorso per la sicurezza, dato che un eventuale hacker si ritroverebbe a dover affrontare le difese di un gruppo di provider invece che uno solo.

 

Alessandro Sorniotti Ibm Research
Alessandro Sorniotti Ibm Research
Chi è l'autore

Alessandro Sorniotti è ricercatore presso lo Storage System group di Ibm Research a Zurigo, dove studia gli aspetti di sicurezza e affidabilità dei sistemi storage. Ha conseguito un PhD in Applied Cryptography alla Telecom ParisTech (precedentemente nota come Ecole Nationale Supérieure des Télécommunications di Parigi) e una doppia laurea magistrale, presso il Politecnico di Torino in Computer Science e in Networking all'Eurecom. Prima di entrare in Ibm è stato membro del SAP Product Security Team e ha lavorato in diversi progetti europei, come Avantstar, per la validazione formale della proprietà di sicurezza nelle infrastrutture orientate ai servizi, e TClouds, per la sicurezza e affidabilità nel cloud computing.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato sulle novità tecnologiche iscriviti alla newsletter gratuita.

2 COMMENTI

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here