Account Accedi
Jump to section

La sicurezza nel cloud

Copia URL

La sicurezza del cloud prevede la protezione di dati, applicazioni e infrastrutture coinvolti nel cloud computing. Molti aspetti della sicurezza degli ambienti cloud, che si tratti di cloud pubblico, privato o ibrido, corrispondono a quelli di qualsiasi architettura IT on-premise.

Le problematiche relative alla sicurezza avanzata, come perdita di informazioni, esposizione dei dati non autorizzata, bassi controlli di accesso, vulnerabilità agli attacchi e interruzioni della disponibilità, interessano allo stesso modo i sistemi IT tradizionali e quelli nel cloud. Come per qualsiasi ambiente di elaborazione, la sicurezza del cloud implica l'adozione e il rispetto di forme di protezione preventive che consentono di:

  • Sapere quali dati e sistemi sono protetti.
  • Visualizzare l'attuale stato della sicurezza.
  • Sapere immediatamente se si verificano eventi insoliti.
  • Registrare gli eventi imprevisti e intervenire.

Il cloud computing offre chiaramente diversi vantaggi, ma le minacce alla sicurezza, spesso, ne ostacolano l'adozione. Nessuno nega che è difficile comprendere ciò che si trova tra le risorse che circolano tra Internet e un server fisico. Negli ambienti dinamici, tutto si evolve continuamente, incluse le minacce alla sicurezza. Il concetto di fondo è che la sicurezza del cloud garantisce la sicurezza dell'IT, e che una volta compresi i requisiti specifichi, la parola "cloud" non sarà più sinonimo di scarsa sicurezza.

Confini indefiniti

La sicurezza è molto legata all'accesso ai dati, che negli ambienti tradizionali viene solitamente controllato mediante un modello di sicurezza perimetrale. L'elevata connettività degli ambienti cloud facilita il superamento dei tradizionali perimetri difensivi. Sistemi e dati possono subire le minacce causate da interfacce di programmazione delle applicazioni (API) poco sicure, gestione non rigida di identità e credenziali, furti di identità, e utenti malintenzionati. Per impedire l'accesso non autorizzato al cloud è necessario adottare un approccio incentrato sui dati. Occorre quindi crittografare i dati, rafforzare le procedure di autorizzazione, richiedere password sicure, l'autenticazione a 2 fattori, e implementare la sicurezza ad ogni livello.

IT software-defined

Con "cloud" ci si riferisce alle risorse ospitate e distribuite agli utenti tramite software. Le infrastrutture di cloud computing, così come tutti i dati elaborati, sono dinamiche, scalabili e portabili. I controlli di sicurezza del cloud devono reagire alle variabili ambientali, e accompagnare carichi di lavoro e dati archiviati e in transito, sia come parte integrante dei carichi di lavoro (ad esempio, con la crittografia) sia in modo dinamico, tramite un sistema e API di gestione cloud. Questo agevola la protezione degli ambienti cloud dalle manomissioni del sistema e dalla perdita dei dati.

Un panorama di minacce complesso

Ogni aspetto che ha un potenziale impatto negativo sull'elaborazione dei dati, anche nel cloud, costituisce una minaccia. Gli attacchi malware o APT (Advanced Persistent Threats, minacce persistenti avanzate) sono sempre più complessi e ideati per superare le difese della rete colpendo le vulnerabilità dello stack informatico. Le violazioni della sicurezza possono sfociare nella divulgazione non autorizzata delle informazioni e nella compromissione dei dati. Non esiste una soluzione definitiva a queste minacce, ma è responsabilità dell'utente adottare sempre le procedure più avanzate di sicurezza del cloud, che si evolvono di pari passo alle minacce che emergono.

Sei responsabile della sicurezza degli spazi che ti appartengono all'interno di un cloud, a prescindere dal deployment cloud utilizzato. L'adozione di un cloud gestito da terzi non ti esonera da tale responsabilità. Spesso, è una scarsa attenzione alle misure di sicurezza a renderle inefficienti. La sicurezza del cloud è responsabilità di tutti e per preservarla occorre:

Impiego di software affidabile

Il contenuto del tuo cloud è importante. Come per qualsiasi altro codice scaricato da sorgenti esterne, devi conoscere l'origine dei pacchetti, sapere chi li ha realizzati e se contengono codice potenzialmente dannoso. Acquisisci il software da fonti note ed affidabili, e assicurati di disporre di meccanismi sicuri per installare e distribuire tempestivamente gli aggiornamenti.

Requisiti di conformità

Le informazioni personali, finanziarie e altrimenti sensibili possono essere soggette a severe normative sulla conformità. Le leggi variano in funzione dei paesi e delle aziende con cui si è in affari; ne è un esempio il regolamento generale sulla protezione dei dati (GDPR) ora in vigore in Europa. Prima di scegliere un deployment cloud è bene verificare i requisiti di conformità.

Gestione dei cicli di vita

Implementare nuove istanze negli ambienti cloud-native è facile, così come lo è dimenticarsi di quelle meno recenti. Le istanze dimenticate sono attive, anche se non vengono monitorate. Possono diventare rapidamente obsolete, e quindi non essere protette dalle patch di sicurezza. Per questo è bene adottare policy di governance e sistemi di gestione dei cicli di vita.

Portabilità

È possibile trasferire facilmente i carichi di lavoro in un altro cloud? Gli accordi sul livello di servizio dovrebbero definire chiaramente quando e come il provider cloud restituisce i dati o le applicazioni del cliente. In futuro, potrebbe essere necessario trasferire i dati. Per evitare di trovarti vincolato, valuta la portabilità da subito.

Monitoraggio costante

Monitorare le attività può aiutare ad evitare le violazioni alla sicurezza, o almeno a contrastarne gli effetti. Una piattaforma di gestione cloud unificata come Red Hat CloudForms può agevolare il monitoraggio delle risorse in qualsiasi ambiente.

Scelta delle persone giuste

Affidati a personale e partner qualificati e affidabili, che conoscono le complessità della sicurezza del cloud. In alcuni casi, l'infrastruttura di cloud pubblico può essere più sicura rispetto allo specifico cloud privato di un'azienda, perché il provider di cloud pubblico dispone di un team addetto alla sicurezza più informato e preparato.

È un dubbio legittimo. Potremmo elencare le differenze nella sicurezza tra i tre deployment cloud (pubblico, privato e ibrido), ma alla domanda "Il cloud pubblico è sicuro?" non esiste una risposta univoca.

I cloud pubblici sono sicuri per molti carichi di lavoro, ma ciò non significa che siano adatti a qualsiasi utilizzo, principalmente perché mancano dell'isolamento dei cloud privati. I cloud pubblici sono multi-tenant e ciò vuol dire che la potenza di elaborazione o lo spazio di storage vengono "presi a noleggio" dal provider del cloud insieme ad altri tenant. Ogni tenant sottoscrive uno SLA con il provider del cloud, nel quale vengono definite le rispettive responsabilità. A grandi linee, è come affittare uno spazio fisico: il proprietario (provider cloud) si impegna a mantenere l'edificio (infrastruttura cloud), conserva le chiavi (accesso) e in generale non accede alla proprietà affidata al tenant (privacy). In cambio, il tenant si impegna a non agire con modalità che potrebbero danneggiare l'integrità dell'edificio o infastidire gli altri tenant (ad esempio eseguendo un'applicazione non sicura). Poiché tuttavia non si possono scegliere i propri vicini, può accadere che qualcuno di loro consenta l'accesso a qualche elemento dannoso. Mentre il team dedicato alla sicurezza del provider cloud si occupa di individuare eventi insoliti, gli altri tenant possono subire gli effetti negativi di furti o attacchi, ad esempio i pericolosi attacchi DDoS, o interruzioni di servizio.

Fortunatamente esistono standard, normative e framework per il controllo della sicurezza riconosciuti dal settore, ad esempio Cloud Controls Matrix di Cloud Security Alliance. Per garantire il proprio isolamento in un ambiente multi-tenant è possibile implementare altre misure di sicurezza (come crittografia e tecniche di contenimento degli attacchi DDoS), che proteggono i carichi di lavoro nel caso in cui l'infrastruttura venga compromessa. Se ciò non è sufficiente, è possibile rilasciare broker di sicurezza per l'accesso al cloud, che hanno il compito di monitorare e applicare policy di sicurezza per le funzioni aziendali a basso rischio. Queste misure potrebbero non essere sufficienti nei settori che operano con severe normative in termini di privacy, sicurezza e compliance.

Nelle decisioni sulla sicurezza entrano in gioco aspetti come la tolleranza al rischio e l'analisi dei costi e dei benefici. In che modo i potenziali rischi e benefici influiscono sull'integrità dell'azienda? Quali aspetti sono prioritari? Non tutti i carichi di lavoro, ad esempio, richiedono i livelli di crittografia e sicurezza elevati. Il senso è questo: chiudere a chiave la casa consente di tenere al sicuro tutti gli oggetti importanti, ma per quelli davvero preziosi potrebbe servire anche una cassaforte. È bene avere più possibilità di scelta,

ed è per questo che molte aziende si rivolgono al cloud ibrido, che sfrutta i vantaggi di tutte le tipologie cloud. Il cloud ibrido è una combinazione di 2 o più ambienti cloud interconnessi, pubblici o privati.

I cloud ibridi consentono di scegliere dove collocare carichi di lavoro e dati in base ai requisiti di compliance, auditing, policy o sicurezza, proteggendo i carichi di lavoro particolarmente sensibili su un cloud privato, mentre i carichi di lavoro meno sensibili risiedono nel cloud pubblico. Sebbene il cloud ibrido sia caratterizzato da alcune problematiche di sicurezza specifiche (come la migrazione dei dati, una maggiore complessità e una più ampia superficie vulnerabile agli attacchi), la presenza di più ambienti può essere una delle migliori difese contro i rischi legati alla sicurezza.

Keep reading

ARTICOLO

Cos'è la metodologia DevSecOps?

Per sfruttare tutta l'agilità e la reattività di un approccio DevOps, occorre tenere conto anche di un altro elemento cruciale dell'intero ciclo di vita delle tue applicazioni: la sicurezza IT.

ARTICOLO

La sicurezza nel cloud

I problemi di sicurezza hanno un impatto sia sui sistemi IT tradizionali che su quelli cloud. Scopri perché la sicurezza nel cloud è differente.

ARTICOLO

Cosa si intende con SOAR?

L'acronimo SOAR indica 3 capacità chiave utilizzate dai team che si occupano di sicurezza: gestione dei casi e dei flussi di lavoro, automazione delle attività e sistema centralizzato di accesso, query e condivisione dei dati di intelligence sulle minacce.

Scopri di più sulla sicurezza

Prodotti

Red Hat Certificate System

Un framework di sicurezza progettato per gestire le identità utente e garantire la privacy delle comunicazioni.

Red Hat Advanced Cluster Security Kubernetes

Una soluzione, Kubernetes native ed enterprise ready, per la sicurezza dei container che permette di creare, distribuire ed eseguire applicazioni cloud native in modo più sicuro.

Red Hat Insights

Un servizio di analisi predittiva per identificare e contrastare le minacce a sicurezza, prestazioni e disponibilità della tua infrastruttura Red Hat.

Red Hat Advanced Cluster Management Kubernetes

Una soluzione che permette di controllare cluster e applicazioni Kubernetes da una singola console dotata di criteri di sicurezza integrati.

Risorse

Illustration - mail

Ricevi contenuti simili

Iscriviti a Red Hat Shares, la nostra newsletter gratuita.