| Undefined
La sempre più consistente migrazione di dati, applicazioni e infrastrutture verso nuovi ambienti tecnologici pone alcune sfide di sicurezza informatica in contesti del tutto inesplorati e in cui, alla luce del sempre maggiore ricorso a Soluzioni as-a-Service (SaaS), la cloud security riveste un ruolo primario. Infatti, se da una parte l’adozione del cloud sta portando le organizzazioni verso una sempre più consistente trasformazione digitale che consente loro di espandere le operazioni con modi innovativi di connessione di utenti e clienti, dall’altra introduce nuove complessità e vulnerabilità che devono essere riconosciute e gestite da chi si occupa di cyber security in azienda.
Il cloud computing
Non si può parlare di cloud security senza menzionare come il cloud computing incida sulla sicurezza informatica aziendale. Infatti per il cloud computing (un modello di accesso on-demand a un pool condiviso di risorse informatiche messe a disposizione dai fornitori di servizi) è possibile individuare quattro differenti tipologie:
- Cloud pubblici, gestiti direttamente dai Cloud Service Provider (CSP) che condividono i server tra i vari clienti che accedono ai servizi. I clienti pertanto usufruiscono di servizi ospitati su infrastrutture che non sono sotto il loro controllo e gestione.
- Cloud privati, gestiti da un CSP oppure configurati all’interno di un data center di proprietà del cliente. In entrambi i casi, l’accesso ai server è esclusivo per ogni singolo cliente senza condividere l’infrastruttura con altre aziende.
- Cloud ibridi, una combinazione di cloud pubblici e privati.
- Multi-cloud, un ambiente in cui convivono più servizi cloud gestiti da differenti CSP.
La cloud security
La cloud security è una branca della sicurezza informatica che si occupa di garantire la protezione di tutti gli asset aziendali che interagiscono con il cloud stesso (i sistemi, l’infrastruttura sottostante, le applicazioni e i dati) attraverso un insieme di politiche, procedure e tecnologie. Dunque, il cloud pur portando con sé evidenti vantaggi in termini di sicurezza informatica e dei dati, allo stesso tempo introduce nuove minacce andando a espandere notevolmente la superficie di attacco. Infatti, l’adozione di un ambiente cloud potrebbe ridurre l’onere operativo della gestione della propria infrastruttura, semplificando l’aggiornamento dei sistemi ma modificando drasticamente il perimetro difensivo delle aziende che non risulta più circoscritto.
La responsabilità condivisa
Pertanto la sicurezza e la conformità di un ambiente cloud sono responsabilità condivise tra i Cloud Service Provider e i relativi clienti. Secondo il cosiddetto modello di responsabilità condivisa i CSP forniscono generalmente la sicurezza fisica dell’infrastruttura cloud, mentre il cliente è responsabile della configurazione dei controlli degli accessi, della gestione dei criteri di sicurezza e della protezione dei dati all’interno dell’ambiente. È evidente dunque che la giusta comprensione del modello di responsabilità condivisa e la corretta configurazione degli account di accesso alle risorse cloud siano due aspetti importanti da considerare per aiutare le aziende a implementare i necessari criteri di conformità normativa e di sicurezza.
Un modello di responsabilità dipende dal tipo di servizi erogati sfruttando infrastrutture cloud distinte in tre diverse tipologie:
- IaaS (Infrastructure as a Service). In questo modello di servizio cloud i CSP offrono la potenza di calcolo, la rete e le risorse di archiviazione, di cui risultano responsabili. Ai clienti in questo modello compete l’onere di mettere in sicurezza i sistemi, le applicazioni, l’ambiente di sviluppo e i dati.
- PaaS (Platform as a Service). In questo caso, i CSP forniscono ai clienti un ambiente di sviluppo e distribuzione, assumendosi quindi la responsabilità di proteggere l’ambiente e i servizi di cloud computing di base. Ai clienti compete invece la protezione delle applicazioni, i dati, l’accesso degli utenti, i dispositivi e le reti.
- SaaS (Software as a Service). In questo modello di servizio cloud, i clienti devono garantire esclusivamente la sicurezza dei dati, degli utenti e dei dispositivi. I servizi sono utilizzabili semplicemente con una connessione internet e un browser.
I rischi da prevenire
Eppure molte aziende continuino a non comprendere i rischi legati all’utilizzo della tecnologia cloud, sottovalutandone le principali minacce e criticità. Infatti mentre l’integrazione del cloud computing nella propria infrastruttura aziendale offre accessibilità ai dati in modo agile e flessibile e possibilità di archiviare dati e creare backup facili da ripristinare, un accesso non adeguatamente protetto alle risorse cloud potrebbe aprire numerose falle nel perimetro di sicurezza aziendale. Un problema aggravato ulteriormente qualora i dipendenti utilizzassero dispositivi personali o di lavoro ma usati fuori dall’azienda esponendo la stessa a minacce in grado di compromettere l’intero sistema cloud. Il rischio principale sarebbe quello di compromettere archivi, danneggiare la rete e i dispositivi sia aziendali che di clienti esterni.
La mancata consapevolezza dei rischi correlati a errate configurazioni (errori nelle autorizzazioni rilasciate agli account, nella memorizzazione e gestione delle password) può essere la causa principale delle violazioni della sicurezza del proprio ambiente cloud. Le configurazioni sbagliate rappresentano infatti la vulnerabilità più diffusa che gli attori delle minacce possono sfruttare per accedere ai dati e ai servizi.
Un’altra importante criticità è rappresentata anche da un’inadeguata politica di patching che può esporre i sistemi cloud a fughe di dati e a exploit critici e da una mancata limitazione dei privilegi di accesso degli utenti e/o assente applicazione di autenticazione multi fattore (MFA). L’accesso abusivo ad account amministrativi potrebbe ad esempio consentire agli attaccanti di eludere i sistemi di controllo e di rilevamento.
Per prevenire anche le minacce intenzionali/accidentali provenienti dagli utenti interni risulta importante monitorare le attività e formare frequentemente gli utenti aziendali su minacce e rischi correlati. È fondamentale pertanto aumentare il controllo degli accessi per proteggere i dati sensibili, le applicazioni e i carichi di lavoro nel cloud.
Possibili soluzioni
Per godere appieno dei vantaggi offerti dal cloud computing e allo stesso tempo mitigare i rischi correlati ad una sua integrazione nelle infrastrutture aziendali è necessario:
- Proteggere i dati, mediante la crittografia che consente di garantire l’accesso ai dati e al contempo la riservatezza.
- Gestire correttamente gli accessi, mediante soluzioni di controllo come l’autenticazione multi fattore e i sistemi IAM (Identity & Access Management);
- Garantire la continuità operativa, mediante strumenti e misure di bussiness continuity e disaster recovery.
- Sviluppare aspetti organizzativi e gestionali mediante la definizione di politiche da integrare nei processi di sviluppo di prodotti e servizi, una configurazione corretta degli asset, il monitoraggio continuo degli accessi alle piattaforme cloud, un piano di manutenzione che garantisca ridondanza e backup dei dati e una adeguata politica di patching.