I parametri da rispettare per la sicurezza nel cloud

Li definisce Joe Sarno, Regional Sales Vice President di Fortinet, e partono dalla valutazione dell’esistente. Introdotto il concetto di punto cieco.

Le interruzioni di rete e le violazioni dei sistemi che periodicamente avvengono fanno sempre emergere le perplessità a trasferire dati, applicazioni, processi in ambiente cloud.

Sono inconvenienti che inducono sia gli esperti del settore che i clienti a chiedersi se la sicurezza possa diventare un problema maggiore in un ambiente rispetto ad altre forme di hosting.

Per Joe Sarno, Regional Sales Vice President di Fortinet, non è così, anche se i diversi modelli di servizio e le tecnologie applicate per la fornitura di servizi cloud introducono nuovi rischi.

Per un’impresa la scelta del cloud significa perdere il controllo del proprio ambiente It, conservandone tuttavia l’affidabilità, anche qualora venisse trasferita a terze parti la responsabilità delle attività operative.

Per quanto riguarda i rischi, secondo Sarno i servizi cloud non comportano più sfide di quante ne richiedano le applicazioni mediamente impegnative in un datacenter privato di un’azienda.
In entrambi i casi, il livello di protezione è pari alle misure di sicurezza adottate in base all’analisi del rischio, incluse quelle impiegate per la sicurezza fisica, della rete, del sistema e dei dati.
Il sistema di protezione può inoltre comportare l’introduzione di misure aggiuntive, come criteri di controllo di accesso e regole di condotta per dipendenti e processi.

Secondo Sarno la cosa più importante che ogni azienda dovrebbe chiedersi prima di migrare all’ambiente cloud è se il provider di servizi è in grado di uguagliare o superare il livello di protezione già esistente.
La redditività prodotta da scalabilità, uniformità e standardizzazione costituisce uno dei vantaggi più interessanti del cloud.

I provider di servizi cloud devono però offrire anche servizi sufficientemente flessibili per soddisfare una base clienti più ampia possibile, di conseguenza le misure di sicurezza sono viste come un limite all’obiettivo.
Questo è il motivo principale per cui i provider di servizi sono spesso incapaci di offrire lo stesso livello di sicurezza che caratterizza i tradizionali ambienti It.

E se i provider non sono in grado di offrire misure di sicurezza affidabili, suggerisce Sarno, diventa indispensabile stabilire accordi che definiscano con chiarezza le responsabilità.

SaaS, IaaS e PaaS
Negli ambienti Software as a Service (SaaS) le misure di sicurezza e il relativo ambito vengono formulati mediante contratti.

Nel modello Infrastructure as a Service (IaaS) la responsabilità della sicurezza dell’infrastruttura sottostante, e dei livelli su cui si basa, compete al provider del servizio IaaS.

La responsabilità per il resto della catena, come sistemi operativi, applicazioni e dati per l’ottimizzazione dell’infrastruttura, compete invece al cliente.
Il modello Platform as a Service (PaaS) si colloca più o meno tra SaaS e IaaS. La sicurezza della piattaforma fa parte delle responsabilità del provider del servizio PaaS, tuttavia il cliente è responsabile della protezione delle applicazioni sviluppate su tale piattaforma.

La rete

Se la sicurezza dei dati nel datacenter privato richiede regole e misure rigide, lo stesso vale per il cloud.
I risparmi in termini di costi di un’applicazione SaaS non hanno valore se vengono compromessi i dati e la reputazione. Il provider di servizi cloud deve garantire la sicurezza non solo dell’ambiente cloud, ma anche dell’ambiente fisico e di rete.

È quindi importante scegliere un provider di servizi con un’esperienza collaudata, un solido know-how e le migliori soluzioni nel campo della sicurezza di rete e dei sistemi operativi, che dovrà inoltre essere in grado di dimostrare che tutti i rischi relativi alla sicurezza sono stati esaminati e considerati accettabili, che la protezione del sistema è stata testata e che le minacce possono essere controllate o evitate.

È anche importante stabilire quali sono le misure messe in atto dal provider di servizi cloud per rispondere agli eventuali incidenti, ad esempio se è previsto un centro Soc (Security Operations Center).

Infine, la sicurezza di rete dovrebbe proteggere tutti i punti di accesso virtuali al cloud.
I provider devono utilizzare regole e procedure di sicurezza ben gestite per bloccare gli attacchi ed essere in grado di individuare e arrestare le minacce emergenti prima che possano costituire un reale pericolo.

Sicurezza fisica

Nell’ambiente di elaborazione virtuale non è più possibile considerare le misure di sicurezza fisiche, tuttavia, sia che un provider di servizi offra il supporto esterno tramite servizi per data center, o servizi gestiti o ancora un servizio cloud, rimane fondamentale verificare quali misure di sicurezza fisica siano state adottate nel luogo in cui sono ospitati i dati.

È inoltre consigliabile scegliere un provider di servizi cloud che assicuri l’adozione di misure di sicurezza fisica secondo la certificazione Sas 70 o Iso 9000.

Le tecniche di social engineering utilizzate come metodo di violazione dei perimetri di sicurezza di rete o fisica sono in aumento.
Malintenzionati tentano di guadagnare la fiducia dei dipendenti per telefono o di persona per ottenere l’accesso al datacenter o indurre i dipendenti a condividere informazioni che potranno essere utilizzate per introdursi illecitamente nei sistemi di gestione dati.
Di conseguenza, oltre alle misure tecniche, il provider di servizi cloud deve definire e applicare regole di condotta e linee guida di comportamento sociale per i dipendenti.
Un metodo eccellente per testare la conformità a queste regole consiste nell’assumere un “ethical hacker, a cui affidare il compito di tentare l’accesso agli ambienti fisico e digitale per conto del cliente.

Nel considerare la sicurezza fisica, è inoltre consigliabile valutare anche le soluzioni specifiche implementate dal provider di servizi cloud in caso di ripristino da situazioni di emergenza.

Cosa è il punto cieco

Una caratteristica del cloud è l’utilizzo della stessa applicazione o dello stesso hardware da parte di più utenti. Questo ambiente, chiamato multitenant, implica che in uno stesso sistema fisico siano presenti dati di più aziende.
È quindi fondamentale garantire che i sistemi siano segmentati correttamente e che i relativi dati e applicazioni siano completamente separati gli uni dagli altri.

Il funzionamento degli ambienti virtuali è diverso rispetto ai server tradizionali. Questi ultimi monitorano sul posto tutto il traffico trasportato tramite uno switch o un router Ethernet fisico.
In un ambiente virtuale i dati vengono trasmessi tramite un adattatore virtuale, senza mai passare attraverso un dispositivo fisico, creando in questo modo un punto cieco nella comunicazione tra il datacenter e l’utente finale e, di conseguenza, un potenziale problema di sicurezza. L’introduzione di un’appliance di sicurezza fisica o virtuale tra il provider di servizi cloud e l’organizzazione privata può rivelarsi una soluzione intelligente, in quando facilita l’immissione del giusto mix di prestazioni e controllo nei flussi di traffico.

In conclusione, per Sarno, vi sono diversi metodi di approccio al cloud: tramite i modelli di servizio (Software-as-a-Service, Platform-as-a-Service o Infrastructure-as-a-Service), il cloud pubblico versus quello privato, l’hosting interno versus quello esterno, oltre a numerose soluzioni ibride.
Considerato il numero di opzioni, non esiste un elenco standard di misure di sicurezza che comprenda in maniera esauriente tutti i possibili eventi.
Prima di procedere è opportuno che le aziende adottino un approccio al cloud basato sul rischio, assicurandosi che le necessarie misure di sicurezza richieste non impediscano di ottenere i previsti vantaggi in termini di costi ed efficienza delle soluzioni cloud.

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome