Cos'è la cloud security?

Definizione della cloud security

La cloud security è una disciplina della cybersecurity che si occupa di proteggere i sistemi cloud computing. Fra i suoi compiti c'è quello di mantenere privati e sicuri tutti i dati all'interno dell'intera infrastruttura online, incluse applicazioni e piattaforme. Mettere in sicurezza questi sistemi richiede lo sforzo combinato dei provider cloud e dei clienti che li utilizzano, che si tratti di individui, piccole e medie imprese o grandi aziende.

I provider cloud ospitano i servizi sui loro server, attraverso connessioni Internet always-on. Poiché la loro attività stessa si fonda sulla fiducia dei clienti, i dati vengono mantenuti privati e al sicuro attraverso svariati metodi di cloud security. Ma anche i clienti devono fare la loro parte. Capire le varie sfaccettature è fondamentale per un'adeguata soluzione di cloud security.

Il nocciolo della cloud security si compone delle seguenti categorie:

• Protezione dei dati
• Gestione di identità e accessi (IAM)
• Governance (politiche su prevenzione, rilevamento e mitigazione delle minacce)
• Pianificazione della conservazione dei dati e continuità aziendale
• Conformità legale

La cloud security sembrerà forse un derivato della sicurezza IT, ma la sua struttura richiede in realtà un approccio differente. Prima di approfondire questo concetto, vediamo cos'è la cloud security.

Cos'è la cloud security?

La cloud security è l'intero insieme di tecnologie, protocolli e best practice che proteggono gli ambienti cloud computing, le applicazioni su essi eseguite e i dati in essi contenuti. Prima di parlare di sicurezza dei servizi cloud, è necessario capire ciò che esattamente viene messo al sicuro, oltre agli aspetti di sistema che devono essere gestiti.

Per quanto riguarda il backend development contro le vulnerabilità di sicurezza, questo è principalmente nelle mani dei provider di servizi cloud. Oltre a questo, nella scelta di un provider i clienti devono considerare l'adeguata configurazione del servizio, e delle abitudini d'uso sicure. Inoltre, bisogna assicurarsi che tutti gli hardware e le reti degli utenti finali siano correttamente protetti.

La cloud security nel suo insieme è progettata per proteggere quanto segue, indipendentemente dalle vostre responsabilità:

• Reti fisiche: router, corrente elettrica, cablaggio, climatizzatori, ecc.
• Archiviazione di dati: dischi rigidi, ecc.
• Server di dati: hardware e software della rete informatica centrale
• Infrastrutture di virtualizzazione informatica: software per computer virtuali, macchine host e guest
• Sistemi operativi (SO): software che assistono tutte le funzioni del computer
• Middleware: gestione dell'interfaccia di programmazione dell'applicazione (API)
• Ambienti di esecuzione: esecuzione e mantenimento di un programma
• Dati: tutte le informazioni archiviate, modificate e consultate
• Applicazioni: servizi software tradizionali (posta elettronica, software per tasse, suite di produttività, ecc.)
• Hardware dell'utente finale: computer, dispositivi mobili, dispositivi Internet delle cose (IdC), ecc.

Nel cloud computing, i proprietari di questi componenti possono variare di molto, rendendo poco chiara la suddivisione delle responsabilità di client security, è per questo necessario capire come i componenti vengano normalmente raggruppati.

Per semplificare, la sicurezza si attua attraverso due canali principali:

1. Tipi di servizi cloud: offerti da provider terzi sotto forma di moduli che creano l'ambiente cloud. A seconda del tipo di servizio, sarà possibile gestire i componenti al suo interno in diversi gradi:

• Un servizio cloud di terzi comporta la fornitura da parte del provider di rete fisica, archiviazione dei dati, server di dati e infrastrutture di virtualizzazione informatica. Il servizio viene ospitato sui server del provider e virtualizzato nella sua rete interna. Il cliente vi accede in remoto, da qualsiasi luogo, avvantaggiandosi di un minor carico sull'hardware e liberandosi di costi infrastrutturali.
• I servizi cloud Software-as-a-Service (SaaS) permettono ai clienti di accedere ad applicazioni interamente ospitate ed eseguite sui server del provider. I provider gestiscono le applicazioni, i dati, l'esecuzione, il middleware e il sistema operativo. I clienti non devono far altro che ottenere le applicazioni. Esempi di SaaS sono Google Drive, Slack, Salesforce, Microsoft 365, Cisco WebEx, Evernote.
• I servizi cloud Platform-as-a-Service (PaaS) forniscono un host ai clienti, con cui sviluppare le proprie applicazioni, che saranno eseguite nello spazio "sandbox" del cliente stesso, ospitato sui server del provider. I provider gestiscono esecuzione, middleware e sistema operativo. I clienti devono dal canto loro gestire le applicazioni, i dati, gli accessi degli utenti, e i dispositivi e le reti degli utenti finali. Esempi di PaaS sono Google App Engine e Windows Azure.
• I servizi cloud Infrastructure-as-a-Service (IaaS) offrono ai clienti l'hardware e le infrastrutture di connettività remota necessari per ospitare il grosso delle loro risorse informatiche, incluso il sistema operativo. I provider gestiscono solo i servizi cloud fondamentali. I clienti devono invece mettere in sicurezza tutto ciò che viene aggiunto al sistema operativo, incluse applicazioni, dati, esecuzione, middleware e il SO stesso. Inoltre, i clienti hanno la responsabilità di gestire gli accessi degli utenti, e i dispositivi e le reti degli utenti finali. Esempi di IaaS includono Microsoft Azure, Google Compute Engine (GCE) e Amazon Web Services (AWS).

2. Ambienti cloud: sono modelli di distribuzione nei quali uno o più servizi cloud creano un sistema per utenti finali e organizzazioni. Questo segmenta le responsabilità di gestione, inclusa la sicurezza, fra clienti e provider.

Gli ambienti cloud attualmente in uso sono:

• Ambienti cloudpubblici, composti di servizi cloud multi-tenant, dove i clienti condividono assieme i server di un provider, come fosse un edificio pieno di uffici o uno spazio di coworking. Si tratta di servizi di terzi, eseguiti dal provider, ai quali i clienti accedono via Web.
• Ambienti cloud privatidi terzi, fondati sull'uso di un servizio che dà al cliente l'utilizzo esclusivo del loro cloud. Questi ambienti single-tenant sono solitamente posseduti, gestiti e operati offsite da un provider esterno.
• Ambienti cloud privati in-house, composti anch'essi da un servizio cloud single-tenant, ma operati dal proprio data center privato. In questo caso, l'ambiente cloud è gestito dall'azienda stessa, per permettere la completa configurazione e impostazione di ogni elemento.
• Ambienti multi-cloud, che includono l'uso di due o più servizi cloud da parte di provider diversi. Questi possono essere un mix di servizi cloud pubblici e/o privati.
• Ambienti cloud ibridi, che consistono in un mix fra cloud di terzi e/o data center cloud onsite privati, con uno o più cloud pubblici.

Considerando la questione da questa prospettiva, possiamo capire che la sicurezza cloud-based sarà diversa a seconda dello spazio cloud sul quale gli utenti stanno lavorando. Tuttavia, gli effetti si ripercuoteranno in egual misura su individui e organizzazioni.

Come funziona la cloud security?

Ogni provvedimento di cloud security è volto a raggiungere uno o più dei seguenti obiettivi:

• Permettere il recupero dei dati in caso di perdita
• Proteggere archivio e reti dal furto di dati
• Ridurre la possibilità di errore umano che potrebbe portare a violazioni dei dati
• Ridurre l'impatto di qualsiasi compromissione di dati o sistemi

La sicurezza dei dati è un aspetto della cloud security che riguarda il lato tecnico della prevenzione delle minacce. Strumenti e tecnologie permettono ai provider e ai clienti di implementare barriere fra l'accesso e la visibilità di dati sensibili. Fra queste, la crittografia è uno degli strumenti più potenti che esistano. La crittografia mischia i dati in modo che sia possibile leggerli solo con la chiave crittografica corrispondente. Se i vostri dati vanno persi o rubati, saranno illeggibili e inutili. Le protezioni al transito di dati, come le reti private virtuali (VPN), sono un altro aspetto importante delle reti cloud.

La gestione di identità e accessi (in inglese IAM, Identity and access management) si occupa invece dei privilegi d'accessibilità concessi agli account degli utenti, oltre alla gestione di autenticazioni e autorizzazioni di tali account. I controlli degli accessi sono fondamentali per limitare la compromissione di dati e sistemi sensibili da parte degli utenti, sia legittimi che malintenzionati. Password management, autenticazione multi fattore e altri metodi rientrano nelle competenze dell'IAM.

La governance si concentra sui protocolli di prevenzione, rilevamento e mitigazione delle minacce. Per le piccole e medie imprese, oltre che per le grandi aziende, aspetti come l'intelligence sulle minacce sono importanti per tener traccia delle minacce e classificarle in base al livello di pericolo, in modo da mantenere sempre protetti i sistemi essenziali. Ma in fondo, anche i clienti cloud individuali possono trarre vantaggio da protocolli e formazione per un corretto comportamento degli utenti. In particolare, all'interno delle organizzazioni sono necessarie regole per un utilizzo sicuro e un'adeguata risposta alle minacce da parte di ogni utente.

La pianificazione della conservazione dei dati (DR, Data Retention) e della continuità aziendale (BC, Business Continuity) comporta misure tecniche di disaster recovery in caso di perdita dei dati. Il fulcro di ogni piano di DR e BC sono i metodi di ridondanza dei dati, come i backup, oltre alla presenza di sistemi tecnici che assicurino operazioni ininterrotte. Delle infrastrutture per il collaudo della validità dei backup e delle istruzioni dettagliate per i dipendenti sul recupero dei dati sono fondamentali per un solido piano di continuità aziendale.

La conformità legale si impernia sulla protezione della privacy degli utenti in conformità alle disposizioni degli organi legislativi. I governi hanno oramai capito l'importanza della protezione delle informazioni private degli utenti, affinché non vengano sfruttate a scopo di lucro. Le organizzazioni devono dunque conformarsi alle normative per rispettare tali politiche. Un approccio è l'uso di data masking, che oscura l'identità dei dati con metodi crittografici.

Cos'è che rende diversa la cloud security?

La sicurezza informatica tradizionale si è evoluta enormemente grazie al passaggio all'infrastruttura cloud-based. I modelli cloud sono più efficienti, ma la connettività perenne ci impone di ripensare la loro sicurezza. La cloud security, come soluzione di sicurezza informatica modernizzata, si distingue in vari modi dai classici modelli IT.

Archiviazione dei dati: la principale differenza è che i vecchi modelli IT si affidavano prevalentemente all'archiviazione di dati onsite. Le organizzazioni hanno realizzato già da tempo che costruire un'intera infrastruttura IT in-house, per controlli di sicurezza dettagliati e personalizzati, è costoso e poco flessibile. Le infrastrutture cloud-based permettono di ridurre di costi di sviluppo e mantenimento del sistema, oltre a sollevare gli utenti da alcuni controlli.

Velocità di adeguamento: similmente a quanto detto sopra, la cloud security si dimostra particolarmente efficiente nello scalare i sistemi informatici delle organizzazioni. Le infrastrutture e le app basate su cloud sono modulari, rapide da mobilitare. Questa abilità permette di adattare i sistemi in modo uniforme alle modifiche organizzative, ma fa sorgere preoccupazioni nel momento in cui le necessità di sviluppo di un'azienda superano la sua capacità di restare al passo con la sicurezza.

Interfaccia di sistema per gli utenti finali: che si tratti di organizzazioni o utenti singoli, i sistemi cloud si interfacciano anche con molti altri sistemi e servizi che vanno messi in sicurezza. I permessi d'accesso devono venire mantenuti a partire dai dispositivi degli utenti finali, passando per il livello software e fino al livello rete. Oltre a questo, provider e utenti devono fare attenzione alle vulnerabilità che potrebbero causare con impostazioni poco sicure e comportamenti d'accesso al sistema poco accorti.

Prossimità di altri sistemi e dati in rete: poiché i sistemi cloud rappresentano una connessione costante fra i provider cloud e i loro utenti, questa enorme rete può compromettere i provider stessi. Negli ambienti di rete, un unico dispositivo o componente debole può venire sfruttato per infettare tutti gli altri. I provider cloud si espongono a minacce provenienti dai molti utenti finali con cui interagiscono, che stiano fornendo spazio di archiviazione per i dati o altri servizi. Delle responsabilità aggiuntive sulla sicurezza di rete ricadono sui prodotti forniti dai provider, che vivono esclusivamente nei sistemi degli utenti finali anziché nei loro.

Risolvere la maggior parte dei problemi di cloud security richiede un atteggiamento proattivo da parte di utenti e provider, sia in ambiente privato che aziendale, rispetto al proprio ruolo in materia di cybersecurity. Questo approccio duplice significa che utenti e provider devono considerare:

• Configurazione e mantenimento di un sistema sicuro.
• Educazione degli utenti alla sicurezza, sia a livello comportamentale che tecnico.

Infine, cloud provider e utenti devono essere trasparenti e responsabili, affinché entrambe le parti possano restare al sicuro.

Rischi della cloud security

Quali sono i rischi di sicurezza legati al cloud computing? Se non li conoscete, come potete implementare misure adeguate a proteggervi? Dopotutto, dei cloud con sicurezza debole possono esporre utenti e provider a ogni tipo di minaccia informatica. Ecco alcune fra le minacce più comuni alla sicurezza dei cloud:

• Rischi dell'infrastruttura cloud-based, inclusa l'incompatibilità con infrastrutture IT precedenti e interruzioni nei servizi di archiviazione dati di terzi.
• Minacce interne causate da errore umano, come un'errata configurazione dei comandi d'accesso per gli utenti.
• Minacce esterne, rappresentate quasi esclusivamente da malintenzionati, come malware, phishing e attacchi DDoS.

Il rischio più grande del cloud è che non ha confini. La cybersecurity tradizionale si concentra sulla protezione del perimetro, ma gli ambienti cloud sono strettamente connessi, questo significa API (Application Programming Interface) insicure e minacce di sottrazione degli account. Davanti ai rischi di sicurezza del cloud computing, i professionisti della cybersecurity devono passare a un approccio datacentrico.

L'interconnessione presenta problemi anche per le reti: gli attori malintenzionati spesso violano le reti grazie a credenziali deboli o compromesse. Se un hacker riesce ad ottenere l'accesso, può facilmente allargarsi e sfruttare interfacce poco protette sul cloud per individuare dati su diversi database o nodi. Potrebbe addirittura sfruttare i propri server cloud come destinazione su cui esportare e archiviare i dati rubati. La sicurezza deve essere nel cloud, non semplicemente una protezione dell'accesso ai dati conservati al suo interno.

L'archiviazione dei vostri dati presso terzi e l'accesso a tali dati via Internet pongono a loro volta altre minacce. Se per qualche motivo questi servizi dovessero venire interrotti, l'accesso ai dati andrebbe perso. Ad esempio, il blackout di una rete telefonica può impedirvi l'accesso al cloud in un momento in cui ne avete assolutamente bisogno. Oppure, un blackout potrebbe colpire il data center dove si trovano i vostri dati, comportando potenzialmente una perdita permanente degli stessi.

Interruzioni simili potrebbero anche avere ripercussioni a lungo termine. Un recente blackout in una struttura Amazon ospitante dati cloud ha portato alla perdita di dati dei clienti nel momento in cui i server hanno iniziato a subire danni hardware. Questo è un ottimo esempio del perché bisognerebbe sempre avere un backup locale delle informazioni e delle applicazioni più importanti.

L'importanza della cloud security

Negli anni Novanta, i dati personali e delle aziende erano locali, così come lo era la sicurezza. Le informazioni erano conservate nella memoria interna di un PC, a casa, oppure sui server aziendali, se si lavorava per una ditta.

L'arrivo della tecnologia cloud ci ha costretto a rivalutare la sicurezza informatica. I vostri dati e le vostre applicazioni potrebbero fluttuare fra sistemi locali e remoti, sempre accessibili via Internet. Se accedete a Google Docs dal vostro smartphone, o usate il software Salesforce per gestire i vostri clienti, quelle informazioni potrebbero essere archiviate ovunque. Per questo, proteggerle non è più solo una questione di impedire a utenti indesiderati di accedere alla rete. La cloud security richiede la modifica di alcune pratiche informatiche classiche, ma è oramai sempre più essenziale, per due motivi:

1. Convenienza privilegiata alla sicurezza. Il cloud computing sta crescendo in modo esponenziale come metodo principale sia per gli ambienti di lavoro, che per l'uso individuale. L'innovazione ha permesso a una nuova tecnologia di essere implementata così rapidamente che gli standard di sicurezza industriale faticano ad adeguarsi, caricando gli utenti e i provider di maggiori responsabilità riguardo ai rischi dell'accessibilità.
2. Centralizzazione e archiviazione multi-tenant. Ogni componente, dall'infrastruttura centrale ai piccoli dati come e-mail e documenti, può ora essere individuato e consultato da remoto, 24 ore su 24, 7 giorni su 7, attraverso una connessione Web. Quest'enorme raccolta di dati sui server di pochi grandi provider di servizi è molto pericolosa. I criminali possono ora prendere di mira i grossi data center multi-organizzativi e causare immense violazioni di dati.

Purtroppo, queste persone capiscono benissimo il valore degli obiettivi cloud-based e tentano di colpirli sempre più spesso. Per quanto i provider si facciano carico di vari ruoli di sicurezza al posto dei clienti, non possono gestire tutto. Questo lascia il compito agli utenti meno esperti di auto-istruirsi sulla cloud security.

Ciò detto, gli utenti non sono soli nel farsi carico delle responsabilità di cloud security. Essere consapevoli della portata dei compiti di sicurezza aiuta l'intero sistema a restare più al sicuro.

Le preoccupazioni della cloud security: privacy

Sono state scritte molte leggi per proteggere maggiormente gli utenti finali dalla vendita e dalla condivisione dei loro dati più sensibili. Il Regolamento generale sulla protezione dei dati (GDPR) e l'Health Insurance Portability and Accountability Act (HIPAA) svolgono entrambi il compito di proteggere la privacy, limitando le modalità di conservazione e accesso ai dati.

I metodi di gestione dell'identità, come il data masking, sono da tempo utilizzati per separare le caratteristiche identificabili dagli utenti, in conformità al GDPR. Nel rispetto dell'HIPAA, invece, le strutture sanitarie o organizzazioni simili devono assicurarsi che i loro provider facciano la loro parte nel limitare l'accesso ai dati.

La legge americana detta "CLOUD" impone delle limitazioni legali ai cloud provider, potenzialmente al costo della privacy degli utenti. La legge federale americana permette ora l'applicazione di leggi federali per esigere dei dati dai server dei cloud provider. Sebbene questo permetta a determinate indagini di procedere in modo più efficiente, si tratta anche di uno scavalcamento di alcuni diritti di privacy e può causare un potenziale abuso di potere.

Come mettere al sicuro il cloud

Per fortuna, c'è molto che potete fare per proteggere i vostri dati su cloud. Vediamo alcuni dei metodi più comuni.

La crittografia è uno dei modi migliori per mettere al sicuro i vostri dati nei sistemi cloud computing. Le tecniche crittografiche disponibili sono diverse, offerte dal cloud provider stesso oppure da un fornitore di soluzioni di sicurezza per cloud separato:

• Crittografia delle comunicazioni con l'intero cloud.
• Crittografia dei dati particolarmente sensibili, come le credenziali degli account.
• Crittografia end-to-end di tutti i dati caricati su cloud.

All'interno del cloud, i dati sono più a rischio di intercettazione nel momento in cui vengono spostati. Se vengono trasferiti da una posizione di archiviazione a un'altra, oppure se vengono trasmessi alla vostra applicazione locale, diventano più vulnerabili. Ecco perché la crittografia end-to-end è la miglior soluzione di cloud security per i dati critici. Con essa, le comunicazioni non vengono mai rese disponibili al mondo esterno, a meno che non si possieda la chiave crittografica.

È possibile cifrare i dati personalmente, prima di archiviarli su cloud, oppure si può sfruttare un provider che cifrerà i dati come parte del suo servizio. Tuttavia, se usate il cloud solo per conservarvi dati non sensibili, come grafici o video aziendali, la crittografia end-to-end potrebbe essere eccessiva. D'altro canto, per informazioni finanziarie, confidenziali o sensibili dal punto di vista aziendale, la crittografia è un must.

La gestione delle chiavi crittografiche deve essere sicura tanto quanto la cifratura stessa dei dati. Fate un backup delle chiavi e se possibile non salvatelo su cloud. Vi consigliamo inoltre di cambiare le chiavi crittografiche a intervalli regolari, così che se qualcuno vi ottenesse l'accesso, resterebbe escluso dal sistema al momento della modifica.

La configurazione è un'altra importante pratica della cloud security. Molte violazioni di dati su cloud derivano da vulnerabilità di base, come errori di configurazione. Prevenendoli, ridurrete considerevolmente i vostri di cloud security. Se pensate di non essere in grado di farlo da soli, affidatevi a un fornitore di soluzioni di sicurezza cloud separato.

Ecco alcuni principi da seguire:

1. Mai lasciare invariate le impostazioni di default. Usando le impostazioni di default si lascia aperta la porta agli hacker. Non fatelo e porrete degli ostacoli sul percorso per entrare nel vostro sistema.
2. Mai lasciare i bucket di archiviazione cloud aperti. Semplicemente aprendo l'URL del bucket, gli hacker potrebbero visualizzare i contenuti.
3. Se il cloud provider offre comandi di sicurezza opzionali, Non selezionare le giuste opzioni di sicurezza può esporvi a un rischio.

 Dei consigli di cybersecuritydi base dovrebbero inoltre essere rispettati in qualsiasi implementazione cloud. Le pratiche di sicurezza standard vanno applicate anche nell'uso del cloud. Per accertarvi di essere sempre al sicuro online, ricordate quanto segue:

• Scegliete password complesse, formate da un mix di lettere, numeri e caratteri speciali; in questo modo sarà difficile scoprire le vostre password. Cercate di evitare le scelte più ovvie, come sostituire una S con un simbolo $. Più casuali sono le vostre scelte, meglio è.
• Usate un password manager. In questo modo potrete assegnare a ogni applicazione, database o servizio una password separata, senza doverle ricordare tutte. È però essenziale proteggere poi il password manager con una password principale molto complessa.
• Proteggete tutti i dispositivi che usate per accedere ai dati su cloud, inclusi smartphone e tablet. Se i vostri dati vengono sincronizzati su più dispositivi, ognuno di questi potrebbe essere un anello debole che mette a rischio la vostra intera traccia digitale.
• Fate backup regolari dei vostri dati così che, nell'eventualità di un blackout del cloud o di una perdita di dati del provider possiate ripristinarli completamente. Questo backup potrebbe trovarsi sul vostro PC di casa oppure su un hard disk esterno, oppure cloud-to-cloud, purché siate sicuri che i due cloud provider non condividano la stessa infrastruttura.
• Modificate le autorizzazioni per evitare che un individuo o un dispositivo possa avere accesso a tutti i vostri dati, a meno che non sia necessario. In genere le aziende lo fanno con le impostazioni di accesso ai database. Se avete una rete domestica, usate reti ospite per i vostri figli, per i dispositivi IdC e per la vostra TV. La possibilità di accedere a tutte le aree dovrebbe essere riservata soltanto a voi.
• Proteggetevi con software antivirus e antimalware. Gli hacker possono accedere facilmente ai vostri account se un malware riesce a penetrare il sistema.
• Non accedete ai vostri dati da reti Wi-Fi pubbliche, soprattutto se non richiedono un'autenticazione complessa. Usate però una Virtual Private Network (VPN) per schermare il vostro accesso al cloud.

Archiviazione su cloud e file sharing

I rischi della cloud security riguardano tutti, dai singoli alle imprese. Ognuno di noi infatti può usare il cloud pubblico per l'archiviazione e il backup dei file (con servizi SaaS come Dropbox), per servizi di posta elettronica e applicazioni per l'ufficio, oppure per compilare moduli delle tasse e gestire la contabilità.

Se vi avvalete di servizi cloud based, valutate anche attentamente il modo in cui condividete i vostri dati su cloud con gli altri, soprattutto se lavorate come consulenti o freelance. La condivisione di file su Google Drive o altri servizi è un modo semplice per consentire ai clienti l'accesso al vostro lavoro, ma dovete assicurarvi di gestire le autorizzazioni correttamene. Dopotutto, dovete assicurarvi che diversi clienti non possano vedere gli uni i nomi degli altri, né le directory con i rispettivi file.

Ricordate che molti di questi servizi di archiviazione cloud disponibili a tutti non cifrano i dati. Se volete mantenere i vostri dati sicuri, dovrete sfruttare un software crittografico per cifrare i dati prima di caricarli su cloud. Dopodiché, dovrete fornire la chiave ai clienti per poter visualizzare i file.

Verificate la sicurezza del vostro cloud provider

La sicurezza dovrebbe essere uno dei fattori principali da tenere in considerazione nella scelta di un cloud security provider, perché la vostra sicurezza informatica non dipende più soltanto da voi: le aziende di cloud security devono dare il loro contributo, creando un ambiente cloud sicuro e assumendosi parte della responsabilità nella protezione dei dati.

Purtroppo, queste aziende non vi forniranno certo il progetto della loro sicurezza di rete. Sarebbe un po' come se una banca rivelasse a tutti dove si trova il suo caveau, inclusa la combinazione di numeri per aprire la cassaforte.

Tuttavia, ottenendo le risposte giuste ad alcune domande basilari, potrete farvi un'idea della sicurezza offerta per i vostri dati. Inoltre, sarete più consapevoli delle scelte del provider rispetto ad alcuni ovvi rischi di sicurezza per cloud. Vi consigliamo di porre alcune fra le seguenti domande al vostro cloud provider:

• Verifiche di sicurezza: “Conducete regolari controlli esterni alla vostra sicurezza?”
• Segmentazione dei dati: "I dati dei clienti sono frammentati in modo logico e mantenuti separati?"
• Crittografia: “I vostri dati sono cifrati? Se sì, quali parti?”
• Conservazione dei dati dei clienti: “Quali politiche per la conservazione dei dati dei clienti vengono applicate?”
• Conservazione dei dati degli utenti: “I miei dati saranno adeguatamente cancellati, se abbandono il vostro servizio?”
• Gestione degli accessi: “Come vengono controllati i diritti d'accesso?”

Dovrete inoltre assicurarvi di leggere attentamente i termini di servizio del vostro provider. Leggerli è fondamentale per capire se il servizio sia ciò di cui abbiate bisogno, nel modo in cui lo volete.

Informatevi inoltre su tutti i servizi usati dal vostro provider. Se i vostri file si trovano su Dropbox o sono salvati su iCloud (il cloud di archiviazione Apple), questo potrebbe significare che sono in realtà conservati nei server di Amazon. Dovrete allora controllare AWS, oltre al servizio che utilizzate direttamente.

Soluzioni ibride di cloud security

I servizi ibridi di cloud security possono essere una scelta molto avveduta per PMI e aziende, a cui si adattano particolarmente, essendo troppo complessi per l'uso personale. Le organizzazioni invece possono trarre vantaggio dal mix di scalabilità e accessibilità del cloud, con comandi onsite per dati specifici.

Ecco alcuni vantaggi di sicurezza dei sistemi ibridi di cloud security:

Segmentazione dei servizi, che può aiutare le aziende a controllare il modo in cui i dati vengono archiviati e consultati. Ad esempio, posizionando i dati più sensibili onsite e spostando gli altri dati, applicazioni e processi su cloud, si potrà stratificare adeguatamente la sicurezza. Inoltre, separare i dati può aiutare l'organizzazione a mantenere la conformità con le normative sui dati.

Ridondanza, ottenibile anche attraverso ambienti cloud ibridi. Appoggiandosi ai server cloud pubblici per le operazioni quotidiane ed effettuando il backup dei sistemi su server locali di dati, le organizzazioni possono continuare a eseguire le loro operazioni anche nel caso in cui un data center sia offline o infettato da ransomware.

Soluzioni di cloud security per PMI

Mentre le aziende possono disporre di un cloud privato (la versione Internet del possedere un intero edificio di uffici o un campus personale), i singoli e le piccole imprese devono appoggiarsi a servizi cloud pubblici. Per analogia, è come condividere un ufficio o vivere in un condominio con centinaia di altre persone. Chiaramente, la sicurezza è una preoccupazione fondamentale.

Nella maggior parte delle piccole e medie imprese, la cloud security si trova per buona parte nei provider pubblici usati.

Tuttavia, ci sono altre misure di sicurezza implementabili:

• Segmentazione dei dati multi-tenant: le aziende devono essere sicure che i loro dati non siano accessibili da parte di altri clienti dello stesso vendor cloud. Che si trovino su server segmentati o minuziosamente cifrati, assicuratevi che sia stata implementata la segmentazione.
• Controlli sull'accesso degli utenti: il controllo dei permessi può comportare la riduzione degli accessi degli utenti fino a livelli sconvenienti. Tuttavia, limitare e lavorare a ritroso fino a trovare un equilibrio è una procedura più sicura rispetto all'eccessiva permissività sulla propria rete.
• Conformità legale dei dati: mantenere la conformità dei vostri dati alle normative internazionali come il GDPR è fondamentale per evitare pesanti multe e danni alla reputazione. Assicuratevi che misure come il data masking e la classificazione di dati sensibili sia una priorità per la vostra organizzazione.
• Scalabilità dei sistemi cloud: vista la rapida implementazione dei sistemi cloud, è importante che i sistemi della vostra organizzazione scelgano la sicurezza rispetto alla convenienza. I servizi cloud possono diffondersi così rapidamente da sfuggire alle normative.

Soluzioni di cloud security per imprese

Poiché il cloud computing è oramai utilizzato da più del 90% delle grandi compagnie, la cloud security è un elemento fondamentale della sicurezza informatica aziendale. I servizi cloud privati e altre costose infrastrutture possono essere vantaggiosi per organizzazioni di alto livello. Tuttavia, sarà comunque necessario assicurarsi che il reparto IT sia responsabile dell'intera area di superficie della rete aziendale.

Per le imprese più grandi, la cloud security può essere resa molto più flessibile facendo qualche investimento nell'infrastruttura.

Ecco alcuni fattori da considerare:

• Gestite attivamente i vostri account e servizi: se non state più utilizzando un servizio o un software, chiudetelo correttamente. Gli hacker possono ottenere facile accesso a un'intera rete cloud attraverso vecchi account dormienti, grazie a vulnerabilità ancora prive di patch.
• Autentificazione multi-fattore (MFA): potrebbe trattarsi dell'uso di dati biometrici come le impronte digitali, o di una password con codice separato inviato su un dispositivo mobile. Certo, richiede più tempo, ma è utile per i dati più sensibili.
• Valutate costi e benefici dei cloud ibridi: segmentare i vostri dati è molto importante nel contesto aziendale, poiché si gestiscono quantità di dati molto più grandi. Dovete accertarvi che i vostri dati siano distinti da quelli degli altri clienti, o tramite crittografia indipendente, oppure con segmentazione logica per archiviazione separata. I servizi cloud ibridi possono venirvi in aiuto.
• Fate attenzione alla Shadow IT: educate i vostri dipendenti a non utilizzare servizi cloud non autorizzati sulla vostra rete aziendale. Se dei dati sensibili vengono comunicati attraverso canali non sicuri, l'intera organizzazione potrebbe essere esposta a malintenzionati o a problemi legali.

Dunque, che siate un utente individuale, PMI o aziendale, è importante assicurarsi che la vostra rete e i vostri dispositivi siano il più possibile al sicuro. Iniziate col comprendere le basi della cybersecurity a livello di utente individuale e con l'assicurarvi che rete e dispositivi siano protetti, usando una robusta soluzione di sicurezza, realizzata per il cloud.

Prodotti correlati:

• Kaspersky Security Cloud
• Kaspersky Enterprise Hybrid Cloud Security
• Kaspersky Endpoint Security Cloud per PMI

Articoli correlati:

• Come scegliere l'antivirus giusto per il cloud
• L'importanza della sicurezza dell'IdC in una rete domestica
• Sicurezza del Wi-Fi pubblico
• Consigli per generare password uniche e sicure