Quello che fa la differenza tra hosting tradizionale e cloud è la possibilità di quest’ultimo di offrire risorse scalabili, ovvero acquistandole a prezzi contenuti sulla base delle unità effettive di utilizzo (di tempo o di banda). La cosa che in molti sembrano non considerare a riguardo, in effetti, sono le richieste in termini di sicurezza da parte di questo genere servizi, in certi punti assai diversi dall’hosting ordinario.
Bisogna chiedersi: il mercato ha considerato l’ aspetto sicurezza, è effettivamente preparato a prendere provvedimenti per garantire la tranquillità dei suoi clienti? Oppure dobbiamo temere soluzioni di cloud hosting frettolose ed esposte ad attacchi dall’esterno per i nostri dati e applicazioni? Mi sembra che nessuno si sia troppo preoccupato di questo, quindi staremo a vedere: nel frattempo una ricerca di Microsoft ha messo in luce alcuni aspetti legati alle problematiche di sicurezza nel cloud hosting. La ricerca non è recentissima (2010), ma a mio avviso rimane molto interessante perchè mette in evidenza tematiche di sicurezza interessanti anche oggi (e non sempre risolte da tutti i servizi, in effetti).
I punti considerati dolenti sono, a loro giudizio, essenzialmente tre:
Usa il codice
189ed7ca010140fc2065b06e3802bcd5
per ricevere 5 € dopo l’iscrizione
- infrastruttura fisica: per quanto possa sembrare improbabile, è possibile che le caratteristiche della macchina cloud per come ci viene venduta non corrispondano a quelle reali. L’accento viene posto in particolare sulle architetture hardware, che potrebbero contenere componenti malevole atte a sovvertire la sicurezza: dei virus “fisiciâ€, in un certo senso, ed è già successo con delle backdoor introdotte nei sistemi mediante modifiche all’hardware.
- Infrastruttura software: come c’era da aspettarsi, molti rischi vengono fuori (come sempre) dalla scelta del sistema operativo, o dall’uso del “solito†software malevolo o (aggiungerei) progettato male.
- Infrastruttura umana: l’amministratore di sistema, se non è pronto, può mettere inconsapevolmente a rischio la sicurezza dei dati dei clienti, accedendo ad esempio ad informazioni riservate (è questo il motivo per cui Microsoft stessa nell’articolo mette le mani avanti sul cloud hosting come inadatto alle applicazioni finanziarie e/o di banking)
I punti potrebbero sembrare irrealistici, ma rimango convinto che la base dell’insicurezza dei sistemi sia la sostanziale sottovaluatazione di alcune feature che molti, spesso anche esperti, commettono. Altri rischi segnalati, forse ancora più realistici, riguardano:
- rischio che attacchi DoS (Denial of Service) vadano ad incrementare i costi della struttura. A bene vedere, in effetti, se il cloud si paga in base alle prestazioni effettuate, nell’ipotesi in cui un utente ne effettui un gran numero in modo malevolo esiste un grosso rischio a livello economico, affiancato alla necessità di monitorare gli accessi alla struttura cloud in tempo reale;
- deceptive billing, ovvero un provider di cloud hosting potrebbe farci pagare di più del dovuto manipolando o facendo funzionare a basso regime il sistema.
- problemi legali: un’eventuale bancarotta dell’hosting provider, o un problema amministrativo-legislativo di qualsiasi altro genere, che potrebbe portare all’appropriazione della nostra applicazione da parte dei creditori (vedi importanza dei backup, ma qui il problema è “ricorsivo†dato che il cloud si usa spesso giusto a questo scopo!).
I problemi evidenziati, ovviamente, non sono del tutto assenti neanche nelle situazioni di hosting ordinario che noi tutti utilizziamo: nel caso del cloud, tuttavia, alcune problematiche sono esasperate, data la straordinaria importanza dell’integrità dei dati e delle applicazioni ed il pericolo, nettamente da scongiurare, che un malware si possa propagare in una soluzione che – ricordiamo – è pur sempre di natura condivisa, e non è sotto il nostro controllo come nel caso di un hosting dedicato (che in pochi possono permettersi).
Fin qui sembreremmo bravi a porre problemi, ma per fortuna c’è anche chi propone possibili soluzioni (i ricercatori Microsoft): per quanto indicato in precedenza è necessario ricorrere ai seguenti accorgimenti.
- Assumendo che un monitoraggio generico di un server cloud sia inefficente e sconsigliabile (il processo starebbe per la maggioranza del tempo a monitorare “il nullaâ€), si propone di ricorrere ai Trusted Platform Modules (TPM), che non sono altro che dei moduli di autenticazione hardware mediante chiave criptata, utili per garantire che un componente singolo effettui realmente quello che deve fare senza manipolazioni.
- Il costo di effettuare questa operazione è molto piccolo, se effettuato su ogni server del cloud, in quanto si tratta di verificare la correttezza di una chiave in tempo costante.
- Per rafforzare la procedura, di per sè ancora soggetta a rischi, si può pensare di integrare il tutto con una verifica mirata del codice che viene eseguito.
- La fiducia negli amministratori del sistema si può consolidare sia ricorrendo a gerarchie di diritti (a la Linux) oppure, scrivono, ricorrendo ad autenticazioni con multi-amministratori (…ma questo mi sembra il cane che si morde la coda, ndr)
- Per evitare pagamenti in eccesso e frodi, basterebbe invece effettuare un controllo costante sui costi nel momento in cui vengono scalati, mediante una soluzione software di monitoraggio costo che sia condivisa da cliente e provider.
- Per non rischiare perdite di dati in caso di problemi legali, infine, sarebbe suficente una clausola nel contratto che possa garantire la replicabilità dell’ infrastruttura e le proprietà intellettuali a chi di dovere.
- I costi delle misure di sicurezza, ovviamente, andrebbero ammortizzati sul prezzo dei servizi che vengono offerti, per tutti i clienti: saremmo disposti a spendere qualcosa in più per un cloud in cambio di una maggiore sicurezza?
L’argomento è stato approfondito nel post di ieri Public cloud: abbiamo bisogno di sicurezza informatica, per chi se lo fosse perso, relativamente al caso del cloud pubblico.
Usa il codice
189ed7ca010140fc2065b06e3802bcd5
per ricevere 5 € dopo l’iscrizione
(tratto da: Self Hosting Vs. Cloud Hosting)
👇 Da non perdere 👇
- Domini Internet 🌍
- Gratis 🎉
- intelligenza artificiale 👁
- Lavoro 🔧
- Programmare 🖥
- Sicurezza & Privacy 👁
- Spiegoni artificiali 🎓
- 💬 Il nostro canale Telegram: iscriviti
- 🔵 Storia, teoria e pratica della stocastica
- 🟡 Quali sono i pannelli di controllo più comuni per gli hosting?
- 🟡 Che significa ubiquo