Il cloud e la sicurezza: i rischi, le strategie, le best practice

Cloud sicurezza

Affrontare una strategia cloud è oggi indispensabile, se si tiene in debito conto la sicurezza dei dati e delle applicazioni.

Nessuno oggi può ignorare I vantaggi offerti dalle tecnologie cloud. Grazie al cloud infatti le organizzazioni possono godere di grande flessibilità ed anche gli utenti hanno la possibilità di avere molta più flessibilità. Inoltre, il cloud offre alle organizzazioni tutto lo storage necessario e alleggerisce il carico sui dipartimenti IT, normalmente costretti ad i sistemi di calcolo convenzionale. Questi vantaggi, peraltro, si possono ottenere perfino riducendo i costi che una società dovrebbe sostenere.

In virtù di queste possibilità offerte, è facile intuire il crescente successo ottenuto dalle strategie cloud in seno alle organizzazioni. Nonostante questo, non ci si deve mai scordare che nessuna tecnologia è esente da possibili complicazioni.

Infatti, in funzione del continuo aumento delle realtà di ogni dimensione che si rivolgono al cloud computing, i rischi associati con l’utilizzo di questa tecnologia si fanno sempre più evidenti e pressanti. Fra questi il più importante è senza alcun dubbio quello legato alla sicurezza.

Senza alcun dubbio la sicurezza dei dati ha oggi una importanza critica ed irrinunciabile per il successo del business. Per questo le policy di sicurezza vengono sviluppate non solo per garantire la perfetta aderenza alle disposizioni di leggi e regolamenti, ma anche per proteggere al meglio le informazioni sui clienti e sul business.

Nel momento in scelgono una strategia cloud, che preveda conseguentemente di archiviare e processare i dati a distanza, le organizzazioni assoggettano le informazioni sensibili alle pratiche di sicurezza del service provider. In ultima istanza, la stessa organizzazione ha il compito di assicurarsi che sia posta in atto un’adeguata protezione e perciò qualsiasi outsourcing nello storage e nell’elaborazione dei dati comporta dei rischi.

I rischi associati al cloud, e la necessaria consapevolezza

Risulta evidente che i rischi associati al il cloud computing dipendano da diversi fattori: ad esempio il tipo di attività, la quantità di dati in outsourcing e il fornitore del servizio selezionato.

Tuttavia, le preoccupazioni più rilevanti riguardano questioni come la posizione, l’accesso e il recupero dei dati nel cloud.

Prima di tutto, spesso chi sceglie di adottare una strategia cloud non è a conoscenza della posizione fisica dei dati affidati al fornitore del servizio. La questione potrebbe anche apparire poco importante: nel corso del normale svolgimento dell'attività, l'ubicazione fisica dei dati potrebbe facilmente non avere alcun peso. Tuttavia, il luogo dove si trovano fisicamente i dati determina il tipo di normativa applicabile per la loro protezione.

Per questa ragione, i clienti potrebbero a loro insaputa trovarsi assoggettati ad un livello di sorveglianza diverso da quello che credono o che si aspettano. In secondo luogo, le organizzazioni che hanno adottato il cloud devono informarsi su chi gestirà i dati archiviati in remoto. Le società dal loro punto di vista mantengono il controllo sull’accesso degli utenti, ma anche alcuni membri del team del fornitore del servizio cloud acquisiranno l’accesso allo storage off-site.

Infine, i clienti del cloud devono interessarsi alle pratiche e alle procedure adottate dal fornitore di servizio in materia di recupero dei dati in caso di violazione della sicurezza o perdita dei dati.

I rischi che abbiamo appena citato rappresentano solo la punta dell’iceberg nella conduzione del business nel cloud. La crescita impetuosa ed inarrestabile del mercato del cloud computing ha determinato la fondazione di un movimento che sollecita pratiche di sicurezza standardizzate nel settore.

Stiamo ovviamente parlando della Cloud Security Alliance (CSA): si tratta di una associazione senza fini di lucro che comprende molto dei più importanti esperti in materia, e che è stata costituita per diffondere un  più alto livello di consapevolezza e conoscenza tra utenti e fornitori di cloud computing, per quanto riguarda i requisiti di sicurezza necessari e le attestazioni di affidabilità. La Cloud Security Alliance è tuttavia solo una delle numerose organizzazioni che ha riconosciuto l’esigenza impellente di minimizzare i rischi di sicurezza associati alla adozione di strategie cloud.

Sebbene queste realtà abbiano avuto un impatto rilevante sul settore, una vera attività formale a livello normativo è ancora tutta in divenire. In assenza di norme di sicurezza obbligatorie nel settore, i vari operatori e fornitori di servizi cloud sono quindi liberi di implementare protocolli e policy che potrebbero non essere aderenti alle esigenze delle singole imprese.

Cloud network e sicurezza

Nessuno ovviamente mette in dubbio che i vari provider abbiano valutato e sviluppato procedure per la protezione robuste ed efficaci per la gestione dei dati contro i rischi alla sicurezza, ma il focus della questione rimane: si tratta sempre di misure non standard e che possono variare notevolmente fra i vari provider.

Volendo riassumere, le organizzazioni che decidono di adottare una strategia cloud devono accertarsi sulle policy e sulle procedure di sicurezza dei fornitori di servizio scelti, oltre ad attivarsi per negoziare e inserire a contratto misure di sicurezza alternative, o aggiuntive, che vengano ritenute necessarie.

Tuttavia, se non è possibile verificare che il livello di sicurezza offerto dal service provider sia conforme alle le policy dell’organizzazione e con i requisiti di norme e regolamenti, il risultato di una partnership di questo tipo potrebbe senza dubbio essere una vera catastrofe per le società che utilizzano il cloud nel loro business.

Senza dubbio perseguire una miglior efficienza e risparmi è una buona regola generale, ma giova ricordare che in questo caso è la sicurezza dei dati, e non il risparmio, ad essere la priorità per le organizzazioni che scelgono di entrare nel mondo del cloud computing.

La sicurezza del cloud prevede la protezione di dati, applicazioni e infrastrutture che vengono spostati o gestiti nel cloud. Innumerevoli aspetti della sicurezza degli ambienti cloud - cloud pubblico, privato o ibrido – sono certamente omologhi a quelli di qualsiasi tradizionale architettura IT on premise.

Anche quanto attiene alle problematiche inerenti alla sicurezza avanzata, come perdita di informazioni, esposizione dei dati senza autorizzazione, insufficienti controlli di accesso, vulnerabilità ad attacchi e interruzioni della disponibilità, riguardano in egual misura i sistemi IT tradizionali e quelli del mondo cloud.

In maniera omologa a qualsiasi altro ambiente di elaborazione dati , la sicurezza del cloud implica l'adozione e il rispetto di forme di protezione preventive che permettano di essere a conoscenza di quali dati e sistemi sono protetti. Non solo: è essenziale poter verificare l’attuale stato della sicurezza, e di conseguenza avere notifiche in tempo reale ogni qualvolta si verifichino eventi non comuni.

Il cloud computing e l'accesso ai dati

Il cloud computing offre senza dubbio un ampio ventaglio di vantaggi; al tempo stesso le minacce alla sicurezza non di rado costituiscono un freno ad una ancor maggiore diffusione. In un contesto particolarmente dinamico come il cloud, tutto si evolve continuamente, e le minacce informatiche non fanno certo eccezione.

La sicurezza è strettamente correlata all'accesso ai dati. In un tradizionale ambiente IT, questo accesso viene regolamentato e controllato attraverso un modello di sicurezza perimetrale. È evidente che una analoga strategia non è certo applicabile agli ambienti cloud: la quasi infinità possibilità di accesso ai dati remoti rende assai semplice il superamento dei tradizionali perimetri difensivi.

Sicurezza informatica

Quindi, risulta evidente che perseguire l’obiettivo di mettere in sicurezza l’accesso al cloud è un fattore chiave. Per questo, è necessario adottare un approccio incentrato sui dati.

Alcuni validi suggerimenti:

  • Crittografare i dati
  • Rafforzare le procedure di autorizzazione
  • Richiedere password sicure, l'autenticazione a 2 fattori
  • Implementare la sicurezza ad ogni livello

I controlli di sicurezza del cloud devono perciò poter rispondere alle variabili ambientali, ed inoltre viaggiare al fianco dei carichi di lavoro e dati (sia archiviati e che in transito). Questo è vero sia quando i controlli sono a tutti gli effetti  parte integrante dei carichi di lavoro (basti pensare alla crittografia citata poco fa) che in modo dinamico, ad esempio attraverso API di gestione cloud.

È comunque essenziale sottolineare che ogni aspetto che ha un impatto negativo (anche solo potenziale), sull'elaborazione dei dati, rappresenta una minaccia anche in un ambiente cloud. Gli attacchi malware o Advanced Persistent Threats diventano infatti sempre più sofisticati, e vengono studiati e programmati specificamente per aggirare le difese della rete, andando a sfruttare vulnerabilità ai livelli più alti possibili dello stack informatico.

Il risultato di una violazione è sempre devastante, dato che generalmente sfocia in divulgazione non autorizzata delle informazioni e nella compromissione dei dati, con risvolti economici e giuridici tanto negativi quanto imprevedibili. Sebbene non esista una soluzione definitiva a queste minacce, è sempre e comunque responsabilità dell'utente scegliere ed applicare le procedure più avanzate di sicurezza del cloud, che si evolvono di pari passo alle minacce rilevate ed analizzate dagli esperti.

È anche doveroso le organizzazioni sono responsabili della sicurezza degli spazi che le appartengono all'interno di un cloud, a prescindere dal deployment cloud utilizzato.

Infatti, l'adozione di un cloud gestito da terzi non esonera da tale responsabilità, ed è spesso una scarsa attenzione alle misure di sicurezza a renderle inefficienti.

Anche quello che viene collocato ed eseguito nel cloud ha una grande importanza. Infatti, al pari di qualsiasi altro codice, è essenziale conoscere l'origine dei pacchetti, sapere chi li ha programmati e ovviamente se tali pacchetti contengono codice potenzialmente dannoso.

Questo vale tanto per software malevoli, ma anche per la presenza di bug che permettano ai cyber criminali di accedere ai dati. La scelta del software ha quindi una grande rilevanza, e andrebbe fatta solo da fonti note ed affidabili, in grado di reagire tempestivamente con patch e aggiornamenti.

Intrinsecamente, si potrebbe considerare un cloud privato come il più sicuro in assoluto, ma è una affermazione che potrebbe essere fuorviante. Infatti, molto dipende dal livello di familiarità che si ha con le proprie tecnologie di sicurezza, poiché sono queste a proteggere l'infrastruttura privata e i relativi carichi di lavoro. Inoltre, i costi della sicurezza stessa gravano totalmente in capo alla organizzazione proprietaria del cloud privato, andando ad erodere uno dei capisaldi del successo del cloud: la sua convenienza economica.

Per contro, un cloud pubblico offre potenza e flessibilità virtualmente illimitati, ma ci si trova pur sempre in un ambiente multi-tenant, con un grande numero di punti di accesso. Anche per questo i cloud pubblici sono soggetti a un numero maggiore di minacce alla sicurezza. In questi ambienti le responsabilità della sicurezza sono ripartite: quella dell'infrastruttura spetta al cloud provider, mentre quella del carico di lavoro spetta al tenant. Per quanto improbabile, vista la segmentazione dei tenant in un cloud provider, esiste comunque la possibilità di essere coinvolti in un attacco informatico rivolto non verso la nostra organizzazione, ma verso un “vicino” di cloud.

Anche i cloud ibridi presentano potenziali difficoltà, essendo estesi su più posizioni. Dunque, la loro sicurezza fisica può rivelarsi particolarmente complessa, dato che non è possibile delimitare tutti i computer con una protezione fisica.

I cloud provider pubblici impegnati per la sicurezza

Tutti i cloud provider prendono molto sul serio il tema della sicurezza, ben consapevoli che tanto i propri clienti, quando partner e prospect non sono disposti ad accettare alcun livello di inefficienza su un punto tanto critico del mondo cloud.

Ad esempio, AWS dedica una pagina specifica alla sicurezza del proprio cloud, che include firewall di rete integrati in Amazon VPC e funzionalità di firewall per applicazioni Web in AWS WAF. Non solo: anche crittografia in transito controllata dai clienti con TLS su tutti i servizi, opzioni di connettività che consentono connessioni private o dedicate dall'ufficio o dall'ambiente aziendale o ancora crittografia automatica di tutto il traffico sulle reti AWS globali e regionali tra le strutture sicure di AWS.

La società attualmente leader di settore mette a disposizione anche un serie di linee guida sulla sicurezza.

Amazon ha anche annunciato che fra le prossime regioni attivate per espandere la propra infrastruttura globale, ci sarà Milano. Anche questa notizia farà certamente piacere a moltissime organizzazioni: per policy aziendale, o per seguire determinate SLA, è infatti talvolta necessario che i dati non siano custoditi al di fuori della nazione.

Anche Google ovviamente riserva ampio spazio alla sicurezza per quanto riguarda Google Cloud.

Big G ricorda infatti che le comunicazioni su Internet verso i propri servizi cloud pubblici sono criptate in transito.

Identità, utenti e servizi vengono trattati con estrema attenzione, attraverso funzioni di autenticazione avanzata a più fattori. L'accesso ai dati sensibili è protetto da strumenti come i token di sicurezza resistenti al phishing.

Inoltre, i dati archiviati nel cloud di Google vengono automaticamente criptati quando sono inattivi e distribuiti per assicurare disponibilità e affidabilità.

La società di Mountain View ricorda anche la assoluta sicurezza fisica dei propri data center: Sebbene questo fattore sia di fatto nelle mani del cloud provider, è importante per una organizzazione sapere che i propri dati sono protetti anche da accessi fisici non autorizzati.

Microsoft Azure non può essere da meno dei propri grandi competitor, e pur essendosi mossa in ritardo in questo mercato, dimostra una forte volontà nel recuperare il terreno perduto.

Uno dei punti fondanti essenziali ad ottenere la fiducia dei clienti è la sicurezza, e anche Microsoft dimostra di esserne consapevole.

La casa di Redmond vanta un cloud creato con hardware personalizzato e dotato di controlli integrati nei componenti hardware e firmware e di protezioni aggiuntive da minacce come DDoS, ad esempio.

Non solo, ovviamente, un team di più di 3.500 esperti di cybersecurity globali lavora costantemente per garantire la miglior sicurezza possibile. Esistono ovviamente anche strumenti molto avanzati a supporto del team Microsoft: sfruttando machine learning, analisi comportamentali e intelligence basato sulle applicazioni, i data scientist analizzano la mole di dati disponibili nel Microsoft Intelligent Security Graph. Le informazioni ottenute offrono indicazioni ai servizi in Azure e aiutano a rilevare più rapidamente le minacce.

OVH, al pari degli altri cloud provider, garantisce ai propri clienti i migliori standard di sicurezza. La società francese rimarca molto la sicurezza fisica delle proprie infrastrutture: tutti i dipendenti dispongono di un badge RFID personale a cui vengono associati i diritti di accesso, regolarmente aggiornati in base al ruolo di ognuno. Per effettuare l'ingresso ai locali ogni dipendente deve autenticarsi e attraversare le porte di sicurezza.

Per i datacenter la protezione è ancora maggiore: l'accesso è consentito soltanto al personale autorizzato. OVH è l'unico proprietario e utilizzatore dei propri edifici.

Anche il lato networking non poteva certo fare eccezione. l’azienda ha infatti deciso di costruire la propria rete in modo totalmente ridondato, installando numerosi nodi aggiuntivi per eliminare qualsiasi rischio di indisponibilità.

Le organizzazioni e il ruolo attivo nella sicurezza del cloud

Ovviamente, le organizzazioni non possono ritenersi adeguatamente protette solo con quanto garantito dai cloud provider: prima di tutto, le normative prevedono la responsabilità in capo al proprietario dei dati stessi. Ed in secondo luogo per evidenti ragioni, compete ai tenants la sicurezza delle proprie applicazioni web e dati all’interno, sia per quanto riguarda attacchi informatici che per eventuali bug presenti.

Per questa ragione, praticamente tutti i player del settore della sicurezza informatica (e non solo) offrono soluzioni di ogni tipo, dalla protezione DDoS, al SQL injection, passando per protezione di API e defacing; questo solo per citare una piccola parte delle possibilità.

Altrettanto importante è la necessità di orchestrare le soluzioni di difesa del cloud; un compito ancor più impegnativo in caso di cloud ibridi, con sicurezza in cloud, on premise e con connessioni da molteplici punti di accesso.

La regola di base è evidente: prima ancora di scegliere come “costruire” la propria infrastruttura cloud e come proteggerla, è essenziale scegliere a chi affidare un compito così delicato. Dopo, si tratta spesso di portare nel cloud la propria organizzazione, o comunque parti importanti di essa. E proteggere la propria realtà, è il compito più importante di ogni manager ed imprenditore.

Grazie al cloud infatti le organizzazioni possono godere di grande flessibilità ed anche gli utenti hanno la possibilità di avere molta più flessibilità. Inoltre, il cloud offre alle organizzazioni tutto lo storage necessario e alleggerisce il carico sui dipartimenti IT, normalmente costretti ad i sistemi di calcolo convenzionale. Questi vantaggi, peraltro, si possono ottenere perfino riducendo i costi che una società dovrebbe sostenere.

Come abbiamo ricordato, i forti risparmi sui costi associati alla tecnologia cloud sono un grande incentivo per le imprese a esternalizzare alcuni, se non tutti, i loro bisogni di archiviazione dati.

In questo contesto, sistemi e dati possono quindi essere esposti ad un ampio ventaglio di potenziali rischi: API non sufficientemente sicure, gestione non corretta di identità e credenziali di accesso, e ancora furti di identità (in costante crescita negli ultimi anni) ed ovviamente utenti malintenzionati.

GDPR

Tuttavia le organizzazioni non possono ritenersi adeguatamente protette solo con quanto garantito dai cloud provider: prima di tutto, le normative prevedono la responsabilità in capo al proprietario dei dati stessi. In secondo luogo per evidenti ragioni, compete ai tenants la sicurezza delle proprie applicazioni web e dati all’interno, sia per quanto riguarda attacchi informatici che per eventuali bug presenti.

 

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato sulle novità tecnologiche iscriviti alla newsletter gratuita.

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome