La cloud security è una disciplina della cybersecurity che si occupa di proteggere i sistemi cloud computing. Fra i suoi compiti c'è quello di mantenere privati e sicuri tutti i dati all'interno dell'intera infrastruttura online, incluse applicazioni e piattaforme. Mettere in sicurezza questi sistemi richiede lo sforzo combinato dei provider cloud e dei clienti che li utilizzano, che si tratti di individui, piccole e medie imprese o grandi aziende.
I provider cloud ospitano i servizi sui loro server, attraverso connessioni Internet always-on. Poiché la loro attività stessa si fonda sulla fiducia dei clienti, i dati vengono mantenuti privati e al sicuro attraverso svariati metodi di cloud security. Ma anche i clienti devono fare la loro parte. Capire le varie sfaccettature è fondamentale per un'adeguata soluzione di cloud security.
Il nocciolo della cloud security si compone delle seguenti categorie:
La cloud security sembrerà forse un derivato della sicurezza IT, ma la sua struttura richiede in realtà un approccio differente. Prima di approfondire questo concetto, vediamo cos'è la cloud security.
La cloud security è l'intero insieme di tecnologie, protocolli e best practice che proteggono gli ambienti cloud computing, le applicazioni su essi eseguite e i dati in essi contenuti. Prima di parlare di sicurezza dei servizi cloud, è necessario capire ciò che esattamente viene messo al sicuro, oltre agli aspetti di sistema che devono essere gestiti.
Per quanto riguarda il backend development contro le vulnerabilità di sicurezza, questo è principalmente nelle mani dei provider di servizi cloud. Oltre a questo, nella scelta di un provider i clienti devono considerare l'adeguata configurazione del servizio, e delle abitudini d'uso sicure. Inoltre, bisogna assicurarsi che tutti gli hardware e le reti degli utenti finali siano correttamente protetti.
La cloud security nel suo insieme è progettata per proteggere quanto segue, indipendentemente dalle vostre responsabilità:
Nel cloud computing, i proprietari di questi componenti possono variare di molto, rendendo poco chiara la suddivisione delle responsabilità di client security, è per questo necessario capire come i componenti vengano normalmente raggruppati.
Per semplificare, la sicurezza si attua attraverso due canali principali:
1. Tipi di servizi cloud: offerti da provider terzi sotto forma di moduli che creano l'ambiente cloud. A seconda del tipo di servizio, sarà possibile gestire i componenti al suo interno in diversi gradi:
2. Ambienti cloud: sono modelli di distribuzione nei quali uno o più servizi cloud creano un sistema per utenti finali e organizzazioni. Questo segmenta le responsabilità di gestione, inclusa la sicurezza, fra clienti e provider.
Gli ambienti cloud attualmente in uso sono:
Considerando la questione da questa prospettiva, possiamo capire che la sicurezza cloud-based sarà diversa a seconda dello spazio cloud sul quale gli utenti stanno lavorando. Tuttavia, gli effetti si ripercuoteranno in egual misura su individui e organizzazioni.
Ogni provvedimento di cloud security è volto a raggiungere uno o più dei seguenti obiettivi:
La sicurezza dei dati è un aspetto della cloud security che riguarda il lato tecnico della prevenzione delle minacce. Strumenti e tecnologie permettono ai provider e ai clienti di implementare barriere fra l'accesso e la visibilità di dati sensibili. Fra queste, la crittografia è uno degli strumenti più potenti che esistano. La crittografia mischia i dati in modo che sia possibile leggerli solo con la chiave crittografica corrispondente. Se i vostri dati vanno persi o rubati, saranno illeggibili e inutili. Le protezioni al transito di dati, come le reti private virtuali (VPN), sono un altro aspetto importante delle reti cloud.
La gestione di identità e accessi (in inglese IAM, Identity and access management) si occupa invece dei privilegi d'accessibilità concessi agli account degli utenti, oltre alla gestione di autenticazioni e autorizzazioni di tali account. I controlli degli accessi sono fondamentali per limitare la compromissione di dati e sistemi sensibili da parte degli utenti, sia legittimi che malintenzionati. Password management, autenticazione multi fattore e altri metodi rientrano nelle competenze dell'IAM.
La governance si concentra sui protocolli di prevenzione, rilevamento e mitigazione delle minacce. Per le piccole e medie imprese, oltre che per le grandi aziende, aspetti come l'intelligence sulle minacce sono importanti per tener traccia delle minacce e classificarle in base al livello di pericolo, in modo da mantenere sempre protetti i sistemi essenziali. Ma in fondo, anche i clienti cloud individuali possono trarre vantaggio da protocolli e formazione per un corretto comportamento degli utenti. In particolare, all'interno delle organizzazioni sono necessarie regole per un utilizzo sicuro e un'adeguata risposta alle minacce da parte di ogni utente.
La pianificazione della conservazione dei dati (DR, Data Retention) e della continuità aziendale (BC, Business Continuity) comporta misure tecniche di disaster recovery in caso di perdita dei dati. Il fulcro di ogni piano di DR e BC sono i metodi di ridondanza dei dati, come i backup, oltre alla presenza di sistemi tecnici che assicurino operazioni ininterrotte. Delle infrastrutture per il collaudo della validità dei backup e delle istruzioni dettagliate per i dipendenti sul recupero dei dati sono fondamentali per un solido piano di continuità aziendale.
La conformità legale si impernia sulla protezione della privacy degli utenti in conformità alle disposizioni degli organi legislativi. I governi hanno oramai capito l'importanza della protezione delle informazioni private degli utenti, affinché non vengano sfruttate a scopo di lucro. Le organizzazioni devono dunque conformarsi alle normative per rispettare tali politiche. Un approccio è l'uso di data masking, che oscura l'identità dei dati con metodi crittografici.
La sicurezza informatica tradizionale si è evoluta enormemente grazie al passaggio all'infrastruttura cloud-based. I modelli cloud sono più efficienti, ma la connettività perenne ci impone di ripensare la loro sicurezza. La cloud security, come soluzione di sicurezza informatica modernizzata, si distingue in vari modi dai classici modelli IT.
Archiviazione dei dati: la principale differenza è che i vecchi modelli IT si affidavano prevalentemente all'archiviazione di dati onsite. Le organizzazioni hanno realizzato già da tempo che costruire un'intera infrastruttura IT in-house, per controlli di sicurezza dettagliati e personalizzati, è costoso e poco flessibile. Le infrastrutture cloud-based permettono di ridurre di costi di sviluppo e mantenimento del sistema, oltre a sollevare gli utenti da alcuni controlli.
Velocità di adeguamento: similmente a quanto detto sopra, la cloud security si dimostra particolarmente efficiente nello scalare i sistemi informatici delle organizzazioni. Le infrastrutture e le app basate su cloud sono modulari, rapide da mobilitare. Questa abilità permette di adattare i sistemi in modo uniforme alle modifiche organizzative, ma fa sorgere preoccupazioni nel momento in cui le necessità di sviluppo di un'azienda superano la sua capacità di restare al passo con la sicurezza.
Interfaccia di sistema per gli utenti finali: che si tratti di organizzazioni o utenti singoli, i sistemi cloud si interfacciano anche con molti altri sistemi e servizi che vanno messi in sicurezza. I permessi d'accesso devono venire mantenuti a partire dai dispositivi degli utenti finali, passando per il livello software e fino al livello rete. Oltre a questo, provider e utenti devono fare attenzione alle vulnerabilità che potrebbero causare con impostazioni poco sicure e comportamenti d'accesso al sistema poco accorti.
Prossimità di altri sistemi e dati in rete: poiché i sistemi cloud rappresentano una connessione costante fra i provider cloud e i loro utenti, questa enorme rete può compromettere i provider stessi. Negli ambienti di rete, un unico dispositivo o componente debole può venire sfruttato per infettare tutti gli altri. I provider cloud si espongono a minacce provenienti dai molti utenti finali con cui interagiscono, che stiano fornendo spazio di archiviazione per i dati o altri servizi. Delle responsabilità aggiuntive sulla sicurezza di rete ricadono sui prodotti forniti dai provider, che vivono esclusivamente nei sistemi degli utenti finali anziché nei loro.
Risolvere la maggior parte dei problemi di cloud security richiede un atteggiamento proattivo da parte di utenti e provider, sia in ambiente privato che aziendale, rispetto al proprio ruolo in materia di cybersecurity. Questo approccio duplice significa che utenti e provider devono considerare:
Infine, cloud provider e utenti devono essere trasparenti e responsabili, affinché entrambe le parti possano restare al sicuro.
Quali sono i rischi di sicurezza legati al cloud computing? Se non li conoscete, come potete implementare misure adeguate a proteggervi? Dopotutto, dei cloud con sicurezza debole possono esporre utenti e provider a ogni tipo di minaccia informatica. Ecco alcune fra le minacce più comuni alla sicurezza dei cloud:
Il rischio più grande del cloud è che non ha confini. La cybersecurity tradizionale si concentra sulla protezione del perimetro, ma gli ambienti cloud sono strettamente connessi, questo significa API (Application Programming Interface) insicure e minacce di sottrazione degli account. Davanti ai rischi di sicurezza del cloud computing, i professionisti della cybersecurity devono passare a un approccio datacentrico.
L'interconnessione presenta problemi anche per le reti: gli attori malintenzionati spesso violano le reti grazie a credenziali deboli o compromesse. Se un hacker riesce ad ottenere l'accesso, può facilmente allargarsi e sfruttare interfacce poco protette sul cloud per individuare dati su diversi database o nodi. Potrebbe addirittura sfruttare i propri server cloud come destinazione su cui esportare e archiviare i dati rubati. La sicurezza deve essere nel cloud, non semplicemente una protezione dell'accesso ai dati conservati al suo interno.
L'archiviazione dei vostri dati presso terzi e l'accesso a tali dati via Internet pongono a loro volta altre minacce. Se per qualche motivo questi servizi dovessero venire interrotti, l'accesso ai dati andrebbe perso. Ad esempio, il blackout di una rete telefonica può impedirvi l'accesso al cloud in un momento in cui ne avete assolutamente bisogno. Oppure, un blackout potrebbe colpire il data center dove si trovano i vostri dati, comportando potenzialmente una perdita permanente degli stessi.
Interruzioni simili potrebbero anche avere ripercussioni a lungo termine. Un recente blackout in una struttura Amazon ospitante dati cloud ha portato alla perdita di dati dei clienti nel momento in cui i server hanno iniziato a subire danni hardware. Questo è un ottimo esempio del perché bisognerebbe sempre avere un backup locale delle informazioni e delle applicazioni più importanti.
Negli anni Novanta, i dati personali e delle aziende erano locali, così come lo era la sicurezza. Le informazioni erano conservate nella memoria interna di un PC, a casa, oppure sui server aziendali, se si lavorava per una ditta.
L'arrivo della tecnologia cloud ci ha costretto a rivalutare la sicurezza informatica. I vostri dati e le vostre applicazioni potrebbero fluttuare fra sistemi locali e remoti, sempre accessibili via Internet. Se accedete a Google Docs dal vostro smartphone, o usate il software Salesforce per gestire i vostri clienti, quelle informazioni potrebbero essere archiviate ovunque. Per questo, proteggerle non è più solo una questione di impedire a utenti indesiderati di accedere alla rete. La cloud security richiede la modifica di alcune pratiche informatiche classiche, ma è oramai sempre più essenziale, per due motivi:
Purtroppo, queste persone capiscono benissimo il valore degli obiettivi cloud-based e tentano di colpirli sempre più spesso. Per quanto i provider si facciano carico di vari ruoli di sicurezza al posto dei clienti, non possono gestire tutto. Questo lascia il compito agli utenti meno esperti di auto-istruirsi sulla cloud security.
Ciò detto, gli utenti non sono soli nel farsi carico delle responsabilità di cloud security. Essere consapevoli della portata dei compiti di sicurezza aiuta l'intero sistema a restare più al sicuro.
Sono state scritte molte leggi per proteggere maggiormente gli utenti finali dalla vendita e dalla condivisione dei loro dati più sensibili. Il Regolamento generale sulla protezione dei dati (GDPR) e l'Health Insurance Portability and Accountability Act (HIPAA) svolgono entrambi il compito di proteggere la privacy, limitando le modalità di conservazione e accesso ai dati.
I metodi di gestione dell'identità, come il data masking, sono da tempo utilizzati per separare le caratteristiche identificabili dagli utenti, in conformità al GDPR. Nel rispetto dell'HIPAA, invece, le strutture sanitarie o organizzazioni simili devono assicurarsi che i loro provider facciano la loro parte nel limitare l'accesso ai dati.
La legge americana detta "CLOUD" impone delle limitazioni legali ai cloud provider, potenzialmente al costo della privacy degli utenti. La legge federale americana permette ora l'applicazione di leggi federali per esigere dei dati dai server dei cloud provider. Sebbene questo permetta a determinate indagini di procedere in modo più efficiente, si tratta anche di uno scavalcamento di alcuni diritti di privacy e può causare un potenziale abuso di potere.
Per fortuna, c'è molto che potete fare per proteggere i vostri dati su cloud. Vediamo alcuni dei metodi più comuni.
La crittografia è uno dei modi migliori per mettere al sicuro i vostri dati nei sistemi cloud computing. Le tecniche crittografiche disponibili sono diverse, offerte dal cloud provider stesso oppure da un fornitore di soluzioni di sicurezza per cloud separato:
All'interno del cloud, i dati sono più a rischio di intercettazione nel momento in cui vengono spostati. Se vengono trasferiti da una posizione di archiviazione a un'altra, oppure se vengono trasmessi alla vostra applicazione locale, diventano più vulnerabili. Ecco perché la crittografia end-to-end è la miglior soluzione di cloud security per i dati critici. Con essa, le comunicazioni non vengono mai rese disponibili al mondo esterno, a meno che non si possieda la chiave crittografica.
È possibile cifrare i dati personalmente, prima di archiviarli su cloud, oppure si può sfruttare un provider che cifrerà i dati come parte del suo servizio. Tuttavia, se usate il cloud solo per conservarvi dati non sensibili, come grafici o video aziendali, la crittografia end-to-end potrebbe essere eccessiva. D'altro canto, per informazioni finanziarie, confidenziali o sensibili dal punto di vista aziendale, la crittografia è un must.
La gestione delle chiavi crittografiche deve essere sicura tanto quanto la cifratura stessa dei dati. Fate un backup delle chiavi e se possibile non salvatelo su cloud. Vi consigliamo inoltre di cambiare le chiavi crittografiche a intervalli regolari, così che se qualcuno vi ottenesse l'accesso, resterebbe escluso dal sistema al momento della modifica.
La configurazione è un'altra importante pratica della cloud security. Molte violazioni di dati su cloud derivano da vulnerabilità di base, come errori di configurazione. Prevenendoli, ridurrete considerevolmente i vostri di cloud security. Se pensate di non essere in grado di farlo da soli, affidatevi a un fornitore di soluzioni di sicurezza cloud separato.
Ecco alcuni principi da seguire:
Dei consigli di cybersecuritydi base dovrebbero inoltre essere rispettati in qualsiasi implementazione cloud. Le pratiche di sicurezza standard vanno applicate anche nell'uso del cloud. Per accertarvi di essere sempre al sicuro online, ricordate quanto segue:
I rischi della cloud security riguardano tutti, dai singoli alle imprese. Ognuno di noi infatti può usare il cloud pubblico per l'archiviazione e il backup dei file (con servizi SaaS come Dropbox), per servizi di posta elettronica e applicazioni per l'ufficio, oppure per compilare moduli delle tasse e gestire la contabilità.
Se vi avvalete di servizi cloud based, valutate anche attentamente il modo in cui condividete i vostri dati su cloud con gli altri, soprattutto se lavorate come consulenti o freelance. La condivisione di file su Google Drive o altri servizi è un modo semplice per consentire ai clienti l'accesso al vostro lavoro, ma dovete assicurarvi di gestire le autorizzazioni correttamene. Dopotutto, dovete assicurarvi che diversi clienti non possano vedere gli uni i nomi degli altri, né le directory con i rispettivi file.
Ricordate che molti di questi servizi di archiviazione cloud disponibili a tutti non cifrano i dati. Se volete mantenere i vostri dati sicuri, dovrete sfruttare un software crittografico per cifrare i dati prima di caricarli su cloud. Dopodiché, dovrete fornire la chiave ai clienti per poter visualizzare i file.
La sicurezza dovrebbe essere uno dei fattori principali da tenere in considerazione nella scelta di un cloud security provider, perché la vostra sicurezza informatica non dipende più soltanto da voi: le aziende di cloud security devono dare il loro contributo, creando un ambiente cloud sicuro e assumendosi parte della responsabilità nella protezione dei dati.
Purtroppo, queste aziende non vi forniranno certo il progetto della loro sicurezza di rete. Sarebbe un po' come se una banca rivelasse a tutti dove si trova il suo caveau, inclusa la combinazione di numeri per aprire la cassaforte.
Tuttavia, ottenendo le risposte giuste ad alcune domande basilari, potrete farvi un'idea della sicurezza offerta per i vostri dati. Inoltre, sarete più consapevoli delle scelte del provider rispetto ad alcuni ovvi rischi di sicurezza per cloud. Vi consigliamo di porre alcune fra le seguenti domande al vostro cloud provider:
Dovrete inoltre assicurarvi di leggere attentamente i termini di servizio del vostro provider. Leggerli è fondamentale per capire se il servizio sia ciò di cui abbiate bisogno, nel modo in cui lo volete.
Informatevi inoltre su tutti i servizi usati dal vostro provider. Se i vostri file si trovano su Dropbox o sono salvati su iCloud (il cloud di archiviazione Apple), questo potrebbe significare che sono in realtà conservati nei server di Amazon. Dovrete allora controllare AWS, oltre al servizio che utilizzate direttamente.
I servizi ibridi di cloud security possono essere una scelta molto avveduta per PMI e aziende, a cui si adattano particolarmente, essendo troppo complessi per l'uso personale. Le organizzazioni invece possono trarre vantaggio dal mix di scalabilità e accessibilità del cloud, con comandi onsite per dati specifici.
Ecco alcuni vantaggi di sicurezza dei sistemi ibridi di cloud security:
Segmentazione dei servizi, che può aiutare le aziende a controllare il modo in cui i dati vengono archiviati e consultati. Ad esempio, posizionando i dati più sensibili onsite e spostando gli altri dati, applicazioni e processi su cloud, si potrà stratificare adeguatamente la sicurezza. Inoltre, separare i dati può aiutare l'organizzazione a mantenere la conformità con le normative sui dati.
Ridondanza, ottenibile anche attraverso ambienti cloud ibridi. Appoggiandosi ai server cloud pubblici per le operazioni quotidiane ed effettuando il backup dei sistemi su server locali di dati, le organizzazioni possono continuare a eseguire le loro operazioni anche nel caso in cui un data center sia offline o infettato da ransomware.
Mentre le aziende possono disporre di un cloud privato (la versione Internet del possedere un intero edificio di uffici o un campus personale), i singoli e le piccole imprese devono appoggiarsi a servizi cloud pubblici. Per analogia, è come condividere un ufficio o vivere in un condominio con centinaia di altre persone. Chiaramente, la sicurezza è una preoccupazione fondamentale.
Nella maggior parte delle piccole e medie imprese, la cloud security si trova per buona parte nei provider pubblici usati.
Tuttavia, ci sono altre misure di sicurezza implementabili:
Poiché il cloud computing è oramai utilizzato da più del 90% delle grandi compagnie, la cloud security è un elemento fondamentale della sicurezza informatica aziendale. I servizi cloud privati e altre costose infrastrutture possono essere vantaggiosi per organizzazioni di alto livello. Tuttavia, sarà comunque necessario assicurarsi che il reparto IT sia responsabile dell'intera area di superficie della rete aziendale.
Per le imprese più grandi, la cloud security può essere resa molto più flessibile facendo qualche investimento nell'infrastruttura.
Ecco alcuni fattori da considerare:
Dunque, che siate un utente individuale, PMI o aziendale, è importante assicurarsi che la vostra rete e i vostri dispositivi siano il più possibile al sicuro. Iniziate col comprendere le basi della cybersecurity a livello di utente individuale e con l'assicurarvi che rete e dispositivi siano protetti, usando una robusta soluzione di sicurezza, realizzata per il cloud.
Prodotti correlati:
Articoli correlati: