Cloud Security: significato, importanza e principi di gestione

20 May 2021 / Di Andrea Antonielli / 0 Comments

Negli ultimi anni il Cloud Computing è andato affermandosi nelle aziende come nuovo ed essenziale modello di fruizione delle tecnologie ICT, in quanto permette di accedere ai servizi aggiornati e tecnologicamente avanzati di un service provider attraverso la rete, pagandoli direttamente al consumo.

Da qualche anno a questa parte, aziende di ogni settore e dimensione hanno avviato i propri percorsi di transizione verso la nuvola. In particolare, a seguito della situazione di emergenza sanitaria contingente si è assistito a una enorme migrazione di dati, applicazioni e infrastrutture verso gli ambienti Cloud. Dal punto di vista della Cybersecurity, il ricorso a soluzioni as-a-Service comporta la necessità da parte delle aziende di affrontare le sfide di sicurezza in contesti nuovi e di dotarsi di strumenti e best practice, diversi o comunque evoluti rispetto a quelli tipici della gestione IT tradizionale.

 

Che cos'è il Cloud Computing e come incide sulla sicurezza aziendale

Prima di affrontare il tema della sicurezza all’interno degli ambienti Cloud è opportuno ricordare la definizione di Cloud Computing.

Secondo la definizione del NIST (National Institute for Standards and Technology), il Cloud Computing è un insieme di servizi ICT accessibili on-demand e in modalità self-service tramite tecnologie Internet, basati su risorse condivise, caratterizzati da rapida scalabilità e dalla misurabilità puntuale dei livelli di performance, in modo da poter essere pagati in base al consumo.

Nell’ambito delle tecnologie Cloud Computing, esistono quattro diversi modelli di deployment con cui è possibile riferirsi al Cloud:

  • Virtual & Hosted Private Cloud: l’infrastruttura del service provider rimane dedicata esclusivamente all’organizzazione utente, con l’obiettivo di garantire un maggiore isolamento rispetto a un ambiente di Cloud pubblico;
  • Public Cloud: l’infrastruttura Cloud è di proprietà del service provider, che eroga servizi disponibili al pubblico attraverso Internet su risorse condivise da più utenti;
  • Hybrid Cloud: ambiente in cui viene utilizzato Cloud privato, pubblico e soluzioni on-premises, con l’obiettivo di trarre il meglio dalle varie modalità di erogazione delle tecnologie;
  • Multi Cloud: ambiente in cui vengono utilizzati servizi di Cloud pubblico di due o più provider per rispondere al meglio alle esigenze economiche, tecniche e funzionali dell’utente.

È specialmente il Cloud Pubblico a destare preoccupazioni nelle aziende: infatti, il cliente usufruisce di servizi basati su infrastrutture che non sono sotto suo controllo e gestione ma sono di proprietà del provider e condivise da più utenti. La spinta dell’innovazione digitale, sempre più forte all’interno delle imprese, porta con sé inoltre la trasformazione dei sistemi informativi verso logiche di Hybrid e Multi Cloud, con la conseguenza che parte del portafoglio applicativo risiede ormai sulla nuvola di diversi provider.

 

Che cosa si intende per Cloud Security?

Per Cloud security si intende l’insieme di tecnologie, protocolli e best practice volte a proteggere gli ambienti di Cloud Computing, le applicazioni e i dati in essi contenuti. Si tratta di un ramo della Cybersecurity che si pone come obiettivo primario quello di mantenere sicure e private tutte le informazioni presenti all'interno dell'intera infrastruttura online.

Il paradigma del Cloud porta sicuramente dei vantaggi in termini di sicurezza: per esempio, i sistemi sono più semplici da aggiornare e la sicurezza stessa diventa dominio del provider riducendo l’onere della gestione interna. Ciononostante, è indubbio che il Cloud introduca nuove minacce e modifichi drasticamente il perimetro di attacco, non più relativo unicamente a un dominio interno ai confini aziendali, con la conseguente necessità da parte delle organizzazioni di aggiornare ed evolvere la propria strategia di difesa.

Security e compliance as-a-service: competenze strategiche a disposizione di ogni azienda

Guarda il Webinar

 

I principi della Cloud Security

Da un punto di vista tecnico, per mitigare i rischi di sicurezza negli ambienti Cloud è necessario compiere alcune fondamentali attività e prendere decisioni nei seguenti ambiti:

  • Protezione dei dati: esistono numerose tecnologie che permettono ai provider e alle aziende di implementare barriere tecniche fra l'accesso e la visibilità di dati e informazioni riservate. Fra queste figura la crittografia, ossia la conversione dei dati da un formato leggibile in un formato codificato che può essere letto o elaborato solo dopo sua decriptazione;
  • Gestione delle identità e degli accessi: gli strumenti per il controllo degli accessi (soluzioni di password management, autenticazione multi-fattore, Identity & Access Management, ecc.) assumono un ruolo fondamentale per limitare la compromissione di dati, sistemi e piattaforme da parte degli utenti. Tali soluzioni permettono infatti di gestire e monitorare il comportamento di coloro che accedono alle risorse, impendendo accessi da parte di soggetti non autorizzati o malintenzionati;
  • DevSecOps: con il termine DevSecOps si fa riferimento a un approccio che si concretizza nella messa in campo di strumenti e controlli necessari per garantire la sicurezza degli applicativi fin dalla fase di sviluppo degli stessi, volti a favorire logiche di collaborazione tra le diverse funzioni coinvolte (Sviluppo, Security e Operations). In un contesto di ampia diffusione di sistemi Hybrid & Multi Cloud, devono essere sempre più spesso inseriti, nelle diverse fasi della pipeline DevSecOps, strumenti per la protezione dalle minacce a diversi livelli, spesso coadiuvati da algoritmi e tecniche di Artificial Intelligence;
  • Business Continuity e Disaster Recovery: si intendono le misure e gli strumenti da adottare per garantire la continuità operativa aziendale qualora si verifichi un incidente di sicurezza o le misure per ripristinare la normale operatività a seguito di un evento imprevisto, finalizzate ad evitare interruzioni di business o perdite di dati. Tra le soluzioni più diffuse in questo ambito rientrano sicuramente gli strumenti di backup.

Oltre alla componente che concerne le tecnologie, pari attenzione deve essere dedicata ad aspetti più legati alla sfera organizzativa e alla governance: tra questi, l’adozione di regole e policy in materia di sicurezza, la sensibilizzazione del personale aziendale al fine di aumentare la consapevolezza rispetto alle minacce informatiche e la disciplina della relazione con il Cloud provider attraverso l’evoluzione degli strumenti contrattuali, affinché le pratiche, le responsabilità e i livelli di disponibilità dei servizi del fornitore siano chiaramente definiti.

I contratti di cloud computing: comprendere, affrontare e negoziare i contratti con i Cloud provider

Vai al Workshop

 

Le principali vulnerabilità di sicurezza negli ambienti Cloud

L’Osservatorio Cybersecurity & Data Protection ha indagato le principali vulnerabilità, minacce di sicurezza e criticità legate all’utilizzo dei servizi Cloud.

Dai dati della survey è emerso un quadro eterogeneo, in cui la scarsa consapevolezza delle minacce di sicurezza legate al Cloud viene vista come l’aspetto più critico. Altre due importanti minacce legate alla nuvola si concretizzano nell’aumento degli attacchi informatici rispetto ai sistemi tradizionali e nella presenza di vulnerabilità intrinseche nelle applicazioni, quali bug o interfacce non sicure.

Seguono l’insufficiente visibilità e controllo sull’infrastruttura Cloud e la possibile presenza di errori di configurazione nelle diverse piattaforme. Infine, emergono aspetti legati alla difficoltà di integrazione dei sistemi in Cloud con le soluzioni di sicurezza già presenti all’interno dell’organizzazione e spesso sviluppate con logiche custom e alla mancanza di attività di training del personale per la gestione della sicurezza dei sistemi in Cloud, solitamente basata su logiche e meccanismi differenti rispetto ai sistemi on-premise.

Con l’adozione di soluzioni as-a-Service, assume sempre più rilievo anche la relazione con i diversi Cloud service provider, per le possibili criticità legate alla gestione della sicurezza informatica che ne possono scaturire. A questo proposito, il 74% dei rispondenti afferma che la maggiore sfida da affrontare sia lo scarso potere negoziale in fase di stipula dei contratti con il provider di servizi Cloud, seguita dalla difficoltà nell’effettuare attività di security assessment e di monitoraggio della sicurezza del fornitore. Seguono poi la scarsa customizzazione delle misure di sicurezza fornite dal provider, spesso standardizzate e non focalizzate sugli aspetti peculiari dell’azienda, e la scarsa visibilità sulle pratiche di sicurezza implementate dal fornitore. In coda, infine, emergono la difficoltà nel ripartire le responsabilità in termini di Operations e di Compliance in materia di sicurezza informatica e la mancanza di un presidio formale di Security in azienda focalizzato sulla relazione con il Cloud provider.

 

Native Cloud Computing, nuove architetture applicative, impatti organizzativi

Guarda il Webinar