Public cloud: abbiamo bisogno di sicurezza informatica

Public cloud: abbiamo bisogno di sicurezza informatica

Sicurezza del cloud in generale

Dopo aver discusso del public cloud e delle sue caratteristiche, è venuto il momento di analizzare gli aspetti principali legati alla sicurezza: una tematica sensibile e certamente non banale, su cui sarà necessario inquadrare almeno un minimo di dettagli. I servizi cloud di classe Infrastructure as a service (IaaS) sono uno dei principali paradigmi da quando internet è diventato un mezzo di comunicazione di massa, e si stanno imponendo praticamente a qualsiasi livello, dall’utente medio al programmatore. La loro sicurezza, tuttavia, non sempre viene messa in pratica dagli sviluppatori come si dovrebbe, e ci sono moltissimi casi a ribadirne l’importanza: VENOM è soltanto uno tra gli esempi di cui abbiamo discusso su questo blog. Le politiche di sicurezza del cloud, come vedremo, possono essere estremamente elaborate, e vengono normalmente distinte in tre tipologie: quelle annesse al rischio di accesso alla rete (3G, Wi-Fi, …), quelle legate alla tipologia di servizio (file storage, file streaming, …) e quelle legate al livello generale di sicurezza dell’infrastruttura (fonte).

Da dove arrivano gli attacchi?

Il classico vettore di attacco per i sistemi informatici su internet, e quindiper quelli in cloud, deriva primariamente da email di phishing o spam, mediante le quali l’utente viene subdolamente invitato a scaricare un allegato che, nella maggioranza dei casi, è un virus o una backdoor per consentire ad estranei l’accesso ai suoi dati. Ci sono ulteriori tipologie di attacco possibili su un sistema cloud, e vanno dall’intercettazione della comunicazione tra client e server (Man in the middle) alla combinazione di tecniche diverse – incluse tecniche di social engineering, ovvero ingannare l’utente garantendosi la sua fiducia – nella speranza di ottenere le credenziali di accesso, o peggio ancora rubare i dati in massa (dump che vengono poi venduti sul darkweb o messi online).

Di fatto, le misure di sicurezza che si possono attuare su un servizio di storage dati in cloud così come uno di servizi generici sono, come minimo, le stesse che si dovrebbero attuare su un sistema informatico connesso ad internet in genere. Da un punto di vista della sicurezza, pertanto, le differenza tra private cloud e public cloud potrebbero considerarsi minime o nulle, per quanto nel secondo caso sarà certamente necessaria qualche accortezza in più.

Requisiti del public cloud

In genere per vivere tranquilli nel public cloud sono indispensabili i seguenti requisiti:

  1. garantire solo agli utenti autorizzati l’accesso esclusivo ai propri dati sensibili;
  2. affidarsi a provider che rispettino le normative su infrastrutture, certificazioni eventuali e sistemi di controllo e monitoraggio;
  3. stabilire con certezza l’ubicazione geografica dei propri dati, in modo da conoscere l’eventuale giurisdizione di riferimento in caso di problemi futuri;
  4. mantenere i dati dei singoli clienti separati tra loro, evitando sovrapposizioni ed “invasioni” anche involontarie;
  5. consentire meccanismi robusti di backup dei dati e di recupero da eventuali disastri o perdite irreversibili;
  6. disporre di un minimo di garanzie sulla buona reputazione e sulla competenza dell’azienda cloud a cui ci affidiamo;
  7. cercare di garantire una minima durabilità dei dati nel caso di cambi di proprietà della gestione.

Alla luce di queste considerazioni, un sistema cloud pubblico affidabile dovrebbe:

  • definire delle policy precise di accesso ai dati ed ai servizi, garantendo (ad esempio mediante password, firewall, autenticazione a due fattori ecc.) che l’operatore sia autorizzato a compiere determinate operazioni, senza che ciò possa – se possibile – diventare un ostacolo per l’uso lecito o ordinario;
  • consentire all’utente di effettuare dei backup dei dati in modo semplice, veloce, sicuro ed incrementale, incoraggiando questa pratica anche in previsione di eventuali ransomware;
  • definire delle condizioni di servizio che siano comprensibili all’utente anche non specialista, e chiarire da subito le responsabilità proprie (e quelle riservate all’utente finale stesso);
  • attrarre clienti dai rispettivi paesi di residenza dell’azienda, al fine di disambiguare al massimo la questione giurisdizionale, e dare maggiore tranquillità nella gestione al cliente;
  • garantire infine il controllo più opportuno (che non vuol dire per forza “totale”, anzi spesso è vero il contrario) sulle applicazioni che girano sul cloud, aspetto importante al fine di garantire continuità e credibilità ai propri servizi.

Sicurezza del public cloud

In quest’ottica, se i dati fossero presenti su un cloud autogestito o private cloud, apparentemente quelle listate dovrebbero essere misure sufficienti, con l’idea di dover provvedere da soli anche alla perdita di dati in caso di accesso fisico alle macchine, disastri naturali ed interruzioni di corrente. Se i cloud privati sono, per definizione, immuni a certi tipi di attacchi, quelli pubblici sono come accennato più esposti: alcuni rischi sono legati all’uso improprio dell’intera infrastruttura pubblica, all’hijacking di account, alla perdita o sottrazione di dati, o ancora all’infiltrazione di software malevoli aggirando i controlli dei canali leciti.

In genere, una delle soluzioni più usate per la difesa dei sistemi cloud può essere caratterizzata da un sistema predisposto solo per la sicurezza, che monitora tutti coloro che provano a connettersi ed è in grado di effettuare auto-test di infiltrazione, addestramento sui dati, log dei servizi e così via. Le protezioni, in questi casi, non riguardano solo le misure più basilari come password e connessioni protette, ma anche la possibilità di sfruttare edifici appositamente arredati per ospitare le macchine, nelle quali i dati non sono protetti solo via software ed hardware, ma anche materialmente. In senso più estensivo, i dati del cloud pubblico possono essere fisicamente protetti da attacchi esterni o accesso indebito mediante autenticazione a due fattori, impronte digitali, badge di accesso ed analoghe misure di sicurezza avanzate (si veda il white paper di Seeweb, a riguardo). Inoltre, è possibile definire delle politiche di sicurezza on demand, definibile a strati e a seconda del tipo di servizio che stiamo facendo funzionare. Ad esempio si possono stabilire delle politiche di sicurezza specifiche per i video on demand a pagamento, di altro genere per i download di file ed altre ancora, ad esempio, per la semplice consultazione dei dati via browser. Tutto sta ovviamente, nel modo di gestire la sicurezza che i vari provider di cloud utilizzano, ed è un motivo per favore i gestori di cloud italiani, che stanno accrescendo la propria sensibilità al fenomeno e diventando sempre più numerosi.

Ti piace questo articolo?

2 voti

Su Trovalost.it puntiamo sulla qualità dei contenuti da quando siamo nati: la tua sincera valutazione può aiutarci a migliorare ogni giorno.

Public cloud: abbiamo bisogno di sicurezza informatica

Indice1 Sicurezza del cloud in generale2 Da dove arrivano gli …
Votato 9 / 10, campione di 2 utenti

Ti potrebbero interessare (News):

Cerca altro nel sito

Clicca sul box, e scegli la sezione per vederne i contenuti.