Cloud hosting: alcuni problemi di sicurezza

Cloud hosting: alcuni problemi di sicurezza

Quello che fa la differenza tra hosting tradizionale e cloud è la possibilità di quest’ultimo di offrire risorse scalabili, ovvero acquistandole a prezzi contenuti sulla base delle unità effettive di utilizzo (di tempo o di banda). La cosa che in molti sembrano non considerare a riguardo sono le richieste in termini di sicurezza da parte di questo genere servizi, in certi punti assai diversi dall’hosting ordinario.

Bisogna chiedersi: il mercato ha considerato l’ aspetto sicurezza, e in caso negativo è preparato a prendere provvedimenti? Oppure dobbiamo temere soluzioni di cloud hosting sbrigative ed esposte ad attacchi dall’esterno per i nostri dati e applicazioni? Mi sembra che nessuno si sia troppo preoccupato di questo, quindi staremo a vedere: nel frattempo una ricerca di Microsoft ha messo in luce alcuni aspetti legati alle problematiche di sicurezza nel cloud hosting.

I punti considerati dolenti sono, a loro giudizio, essenzialmente tre:

  • infrastruttura fisica: per quanto possa sembrare improbabile, è possibile che le caratteristiche della macchina cloud per come ci viene venduta non corrispondano a quelle reali. L’accento viene posto in particolare sulle architetture hardware, che potrebbero contenere componenti malevole atte a sovvertire la sicurezza: dei virus “fisici”, in un certo senso, ed è già successo con delle backdoor introdotte nei sistemi mediante modifiche all’hardware.
  • Infrastruttura software: come c’era da aspettarsi, molti rischi vengono fuori (come sempre) dalla scelta del sistema operativo, o dall’uso del “solito” software malevolo o (aggiungerei) progettato male.
  • Infrastruttura umana: l’amministratore di sistema, se non è pronto, può mettere inconsapevolmente a rischio la sicurezza dei dati dei clienti, accedendo ad esempio ad informazioni riservate (è questo il motivo per cui Microsoft stessa nell’articolo mette le mani avanti sul cloud hosting come inadatto alle applicazioni finanziarie e/o di banking)

I punti potrebbero sembrare irrealistici, ma rimango convinto che la base dell’insicurezza dei sistemi sia la sostanziale sottovaluatazione di alcune feature che molti, spesso anche esperti, commettono. Altri rischi segnalati, forse ancora più realistici, riguardano:

  1. rischio che degli attacchi DoS (Denial of Service) vadano ad incrementare i costi della struttura. A bene vedere, in effetti, se il cloud si paga in base alle prestazioni effettuate, nell’ipotesi in cui un utente ne effettui un gran numero in modo malevolo esiste un grosso rischio a livello economico, affiancato alla necessità di monitorare gli accessi alla struttura cloud in tempo reale;
  2. deceptive billing, ovvero un provider di cloud hosting potrebbe farci pagare di più del dovuto manipolando o facendo funzionare a basso regime il sistema.
  3. problemi legali: un’eventuale bancarotta dell’hosting provider, o un problema amministrativo-legislativo di qualsiasi altro genere, che potrebbe portare all’appropriazione della nostra applicazione da parte dei creditori (vedi importanza dei backup, ma qui il problema è “ricorsivo” dato che il cloud si usa spesso giusto a questo scopo!).

I problemi evidenziati, ovviamente, non sono del tutto assenti neanche nelle situazioni di hosting ordinario che noi tutti utilizziamo: nel caso del cloud, tuttavia, alcune problematiche sono esasperate, data la straordinaria importanza dell’integrità dei dati e delle applicazioni ed il pericolo, nettamente da scongiurare, che un malware si possa propagare in una soluzione che – ricordiamo – è pur sempre di natura condivisa, e non è sotto il nostro controllo come nel caso di un hosting dedicato (che in pochi possono permettersi).

LE SOLUZIONI

Fin qui sembreremmo bravi a porre problemi, ma per fortuna c’è anche chi propone possibili soluzioni (i ricercatori Microsoft): per quanto indicato in precedenza è necessario ricorrere ai seguenti accorgimenti.

  • Assumendo che un monitoraggio generico di un server cloud sia inefficente e sconsigliabile (il processo starebbe per la maggioranza del tempo a monitorare “il nulla”), si propone di ricorrere ai Trusted Platform Modules (TPM), che non sono altro che dei moduli di autenticazione hardware mediante chiave criptata, utili per garantire che un componente singolo effettui realmente quello che deve fare senza manipolazioni.
  • Il costo di effettuare questa operazione è molto piccolo, se effettuato su ogni server del cloud, in quanto si tratta di verificare la correttezza di una chiave in tempo costante.
  • Per rafforzare la procedura, di per sè ancora soggetta a rischi, si può pensare di integrare il tutto con una verifica mirata del codice che viene eseguito.
  • La fiducia negli amministratori del sistema si può consolidare sia ricorrendo a gerarchie di diritti (a la Linux) oppure, scrivono, ricorrendo ad autenticazioni con multi-amministratori (…ma questo mi sembra il cane che si morde la coda, ndr)
  • Per evitare pagamenti in eccesso e frodi, basterebbe invece effettuare un controllo costante sui costi nel momento in cui vengono scalati, mediante una soluzione software di monitoraggio costo che sia condivisa da cliente e provider.
  • Per non rischiare perdite di dati in caso di problemi legali, infine, sarebbe suficente una clausola nel contratto che possa garantire la replicabilità dell’ infrastruttura e le proprietà intellettuali a chi di dovere.
  • I costi delle misure di sicurezza, ovviamente, andrebbero ammortizzati sul prezzo dei servizi che vengono offerti, per tutti i clienti: saremmo disposti a spendere qualcosa in più per un cloud in cambio di una maggiore sicurezza?

Fonte: Self Hosting Vs. Cloud Hosting

Ti piace questo articolo?

0 voti

Su Trovalost.it puntiamo sulla qualità dei contenuti da quando siamo nati: la tua sincera valutazione può aiutarci a migliorare ogni giorno.