Il Cloud Security sta diventando sempre più essenziale per le organizzazioni che devono salvaguardare la sicurezza del Cloud. Negli ultimi anni, infatti, il Cloud Computing è andato affermandosi nelle aziende come nuovo ed essenziale modello di fruizione delle tecnologie ICT. Aziende di ogni settore e dimensione hanno avviato i propri percorsi di transizione verso la “nuvola”. Tuttavia, dal punto di vista della Cyber Security, il ricorso a soluzioni as-a-Service comporta la necessità da parte delle aziende di affrontare le sfide di sicurezza in contesti nuovi e di dotarsi di strumenti e best practice, diversi o comunque evoluti rispetto a quelli tipici della gestione IT tradizionale.
Insieme al significato di Cloud Computing e al significato di Cloud Security, in questo articolo approfondiremo le principali caratteristiche e le vulnerabilità della Security nel Cloud, grazie alla Ricerca dell’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano.
Che cos'è il Cloud Computing e come incide sulla sicurezza aziendale
Prima di affrontare il tema della security nel Cloud è opportuno ricordare la definizione di Cloud Computing.
Secondo la definizione del NIST (National Institute for Standards and Technology), il Cloud Computing è un insieme di servizi ICT accessibili on-demand e in modalità self-service tramite tecnologie Internet, basati su risorse condivise, caratterizzati da rapida scalabilità e dalla misurabilità puntuale dei livelli di performance, in modo da poter essere pagati in base al consumo.
Nell’ambito delle tecnologie Cloud Computing, esistono quattro diversi modelli di deployment con cui è possibile riferirsi al Cloud:
- Virtual & Hosted Private Cloud, in cui l’infrastruttura del service provider rimane dedicata esclusivamente all’organizzazione utente, con l’obiettivo di garantire un maggiore isolamento rispetto a un ambiente di Cloud pubblico;
- Public Cloud, nel quale l’infrastruttura Cloud è di proprietà del service provider, che eroga servizi disponibili al pubblico attraverso Internet su risorse condivise da più utenti;
- Hybrid Cloud, ossia l’ambiente in cui viene utilizzato il Cloud privato e pubblico e le soluzioni on-permises, con l’obiettivo di trarre il meglio dalle varie modalità di erogazione delle tecnologie;
- Multi Cloud, ovvero l’ambiente in cui vengono utilizzati servizi di Cloud pubblico di due o più provider per rispondere al meglio alle esigenze economiche, tecniche e funzionali dell’utente.
È specialmente il Cloud Pubblico a destare preoccupazioni nelle aziende. Il cliente, infatti, usufruisce di servizi basati su infrastrutture che non sono sotto suo controllo e gestione ma sono di proprietà del provider e condivise da più utenti. In termini di sicurezza, questo genera due tipi di considerazioni:
- da una parte, il provider ha capacità di investimentotali da poter mettere in piedi strumenti molto più potenti di quanto potrebbe realizzare un team interno all’azienda e dovrebbe quindi garantire ai propri clienti un livello di sicurezza maggiore rispetto a quello che potrebbero assicurare autonomamente;
- dall’altra parte, però,perdere controllo su informazioni e servizi critici per il business è oggi uno dei maggiori elementi di freno per le aziende nell’adozione del Cloud.
La spinta dell’Innovazione Digitale, sempre più forte all’interno delle imprese, porta con sé inoltre la trasformazione dei sistemi informativi verso logiche di Hybrid e Multi Cloud, con la conseguenza che parte del portafoglio applicativo risiede ormai sulla nuvola di diversi provider.
Che cosa si intende per Cloud Security
Dopo aver quindi compreso il paradigma e le tecnologie del Cloud Computing, è opportuno conoscere il significato di Cloud Security e le sue principali caratteristiche.
Per Cloud Security si intende l’insieme di tecnologie, protocolli e best practice volte a proteggere gli ambienti di Cloud Computing, le applicazioni e i dati in essi contenuti. Si tratta di un ramo della Cybersecurity che si pone come obiettivo primario quello di mantenere sicure e private tutte le informazioni presenti all'interno dell'intera infrastruttura online.
Il Cloud porta sicuramente dei vantaggi in termini di sicurezza. I sistemi, ad esempio, sono più semplici da aggiornare e la sicurezza stessa diventa dominio del provider riducendo l’onere della gestione interna. Ciononostante, è indubbio che il Cloud introduca nuove minacce. Il perimetro di attacco, infatti, non è più relativo unicamente a un dominio interno ai confini aziendali, con la conseguente necessità da parte delle organizzazioni di aggiornare ed evolvere la propria strategia di difesa.
I principi della Cloud Security
È necessario compiere alcune fondamentali attività di Cloud Security per mitigare i rischi di sicurezza negli ambienti Cloud e prendere decisioni per quanto riguarda la protezione dei dati, la gestione degli accessi, il DevSecOps e il Business Continuity e Disaster Recovery.
Cloud Security e protezione dei dati
Esistono numerose tecnologie che permettono ai provider e alle aziende di implementare barriere tecniche fra l’accesso e la visibilità di dati e informazioni riservate. Fra queste figure la crittografia, ossia la conversione dei dati da un formato leggibile in un formato codificato che può essere letto o elaborato solo dopo sua decriptazione.
Cloud Security e gestione delle identità e degli accessi
Gli strumenti per il controllo degli accessi (soluzioni di password management, autenticazione multi-fattore, Identity & Access Management, ecc.) assumono un ruolo fondamentale per la Security Cloud, poiché limitano la compromissione di dati, sistemi e piattaforme da parte degli utenti. Tali soluzioni permettono infatti di gestire e monitorare il comportamento di coloro che accedono alle risorse, impendendo accessi da parte di soggetti non autorizzati o malintenzionati.
Cloud Security e DevSecOps
Con il termine DevSecOps si fa riferimento a un approccio di Cloud Security che si concretizza nella messa in campo di strumenti e controlli necessari per garantire la sicurezza degli applicativi fin dalla fase di sviluppo degli stessi, volti a favorire logiche di collaborazione tra le diverse funzioni coinvolte (Sviluppo, Security e Operations). In un contesto di ampia diffusione di sistemi Hybrid & Multi Cloud, devono essere sempre più spesso inseriti, nelle diverse fasi della pipeline DevSecOps, strumenti per la protezione dalle minacce a diversi livelli, spesso coadiuvati da algoritmi e tecniche di Artificial Intelligence.
Cloud Security e Business Continuity e Disaster Recovery
Per Business Continuity e Disaster Recovery si intendono le misure e gli strumenti da adottare per garantire la continuità operativa aziendale qualora si verifichi un incidente di sicurezza o le misure per ripristinare la normale operatività a seguito di un evento imprevisto, finalizzate ad evitare interruzioni di business o perdite di dati. Tra le soluzioni più diffuse di Cloud Security in questo ambito rientrano sicuramente gli strumenti di backup.
Per migliorare la Cloud Security in azienda, oltre alla componente che concerne le tecnologie pari attenzione deve essere dedicata ad aspetti più legati alla sfera organizzativa e alla governance. Tra questi, vi sono l’adozione di regole e policy in materia di sicurezza, la sensibilizzazione del personale aziendale al fine di aumentare la consapevolezza rispetto alle minacce informatiche e la disciplina della relazione con il Cloud provider attraverso l’evoluzione degli strumenti contrattuali, affinché le pratiche, le responsabilità e i livelli di disponibilità dei servizi del fornitore siano chiaramente definiti.
Cloud Security e le principali vulnerabilità di sicurezza
L’Osservatorio Cybersecurity & Data Protection ha indagato le principali vulnerabilità, minacce di sicurezza e criticità legate alla Cloud Security. Dai dati della survey è emerso un quadro eterogeneo, in cui la scarsa consapevolezza delle minacce alla Cloud Security viene vista come l’aspetto più critico. Altre due importanti minacce legate alla sicurezza del Cloud si concretizzano nell’aumento degli attacchi informatici rispetto ai sistemi tradizionali e nella presenza di vulnerabilità intrinseche nelle applicazioni, quali bug o interfacce non sicure.
Seguono l’insufficiente visibilità e controllo sull’infrastruttura Cloud e la possibile presenza di errori di configurazione nelle diverse piattaforme. Infine, emergono aspetti legati alla difficoltà di integrazione dei sistemi in Cloud con le soluzioni di sicurezza già presenti all’interno dell’organizzazione, spesso sviluppate con logiche custom, e alla mancanza di attività di training del personale per la gestione della sicurezza del Cloud, solitamente basata su logiche e meccanismi differenti rispetto ai sistemi on-premise.
Con l’adozione di soluzioni as-a-Service, assume sempre più rilievo anche la relazione con i diversi Cloud service provider, per le possibili criticità legate alla gestione della sicurezza informatica che ne possono scaturire. A questo proposito, la maggior parte dei rispondenti afferma che la più grande sfida riguardante la Cloud Security da affrontare sia lo scarso potere negoziale in fase di stipula dei contratti con il provider di servizi Cloud, seguita dalla difficoltà nell’effettuare attività di security assessment e di monitoraggio della sicurezza del fornitore.
Seguono poi la scarsa customizzazione delle misure di sicurezza fornite dal provider, spesso standardizzate e non focalizzate sugli aspetti peculiari dell’azienda, e la scarsa visibilità sulle pratiche di sicurezza implementate dal fornitore. In coda, infine, emergono la difficoltà nel ripartire le responsabilità in termini di Operations e di Compliance in materia di sicurezza informatica e la mancanza di un presidio formale di Security in azienda focalizzato sulla relazione con il Cloud provider.
Vuoi essere sempre aggiornato sui temi dell’Osservatorio Cybersecurity & Data Protection?
- Autore
Ricercatore Osservatorio Cyber Security & Data Protection
Gli ultimi articoli di Andrea Antonielli
-
Cos'è la Crittografia e come protegge dalle minacce online 08 luglio 2024
-
Cyber Crime: cos'è, come affrontarlo e difendersi in azienda 08 luglio 2024
Rimani aggiornato sui trend dell’Innovazione Digitale
Inserisci qui la tua email
Potrebbe interessarti
Articoli più letti