Sicurezza

La sicurezza nel cloud

La sicurezza del cloud prevede la protezione di dati, applicazioni e infrastrutture coinvolti nel cloud computing. Molti aspetti della sicurezza degli ambienti cloud, che si tratti di cloud pubblico, privato o ibrido, corrispondono a quelli di qualsiasi architettura IT on-premise.

Le problematiche relative alla sicurezza avanzata, come perdita di informazioni, esposizione dei dati non autorizzata, bassi controlli di accesso, vulnerabilità agli attacchi e interruzioni della disponibilità, interessano allo stesso modo i sistemi IT tradizionali e quelli nel cloud. Come per qualsiasi ambiente di elaborazione, la sicurezza del cloud implica l'adozione e il rispetto di forme di protezione preventive che consentono di:

  • Sapere quali dati e sistemi sono protetti.
  • Visualizzare l'attuale stato della sicurezza.
  • Sapere immediatamente se si verificano eventi insoliti.
  • Registrare gli eventi imprevisti e reagire ad essi.

Come ottenere un cloud sicuro

Il cloud computing offre chiaramente diversi vantaggi, ma le minacce alla sicurezza, spesso, ne ostacolano l'adozione. I motivi sono evidenti: è difficile comprendere ciò che si trova tra le risorse che circolano tra internet e un server fisico. Negli ambienti dinamici, tutto si evolve continuamente, incluse le minacce alla sicurezza. Il concetto di fondo è che la sicurezza del cloud garantisce la sicurezza dell'IT, e che una volta compresi i requisiti specifichi, la parola “cloud” non sarà più sinonimo di scarsa sicurezza.

Confini indefiniti

La sicurezza è molto legata all'accesso ai dati, che negli ambienti tradizionali viene solitamente controllato mediante un modello di sicurezza perimetrale. L'elevata connettività degli ambienti cloud facilita il superamento dei tradizionali perimetri difensivi. Sistemi e dati possono subire le minacce causate da interfacce di programmazione delle applicazioni (API) poco sicure, gestione non rigida di identità e credenziali, furti di identità, e utenti malintenzionati. Per impedire l'accesso non autorizzato al cloud è necessario adottare un approccio incentrato sui dati. Occorre quindi crittografare i dati, rafforzare le procedure di autorizzazione, richiedere password sicure, l'autenticazione a 2 fattori, e implementare la sicurezza ad ogni livello.

IT software-defined

Con "cloud" ci si riferisce alle risorse ospitate e distribuite agli utenti tramite software. Le infrastrutture di cloud computing, così come tutti i dati elaborati, sono dinamiche, scalabili e portabili. I controlli di sicurezza del cloud devono reagire alle variabili ambientali, e accompagnare carichi di lavoro e dati archiviati e in transito, sia come parte integrante dei carichi di lavoro (ad esempio, con la crittografia) sia in modo dinamico, tramite un sistema e API di gestione cloud. Questo agevola la protezione degli ambienti cloud dalle manomissioni del sistema e dalla perdita dei dati.

Minacce alla sicurezza

Ogni aspetto che ha un potenziale impatto negativo sull'elaborazione dei dati, anche nel cloud, costituisce una minaccia. Gli attacchi malware o APT (Advanced Persistent Threats, minacce persistenti avanzate) sono sempre più complessi e ideati per superare le difese della rete colpendo vulnerabilità a livelli più alti dello stack informatico. Le violazioni della sicurezza possono sfociare nella divulgazione non autorizzata delle informazioni e nella compromissione dei dati. Non esiste una soluzione definitiva a queste minacce, ma è responsabilità dell'utente adottare sempre le procedure più avanzate di sicurezza del cloud, che si evolvono di pari passo alle minacce che emergono.


Sicurezza: una responsabilità condivisa

Sei responsabile della sicurezza degli spazi che ti appartengono all'interno di un cloud, a prescindere dal deployment cloud utilizzato. L'adozione di un cloud gestito da terzi non ti esonera da tale responsabilità. Spesso, è una scarsa attenzione alle misure di sicurezza a renderle inefficienti. La sicurezza del cloud è responsabilità di tutti e per preservarla occorre:

Impiego di software affidabile

Il contenuto del tuo cloud è importante. Come per qualsiasi altro codice scaricato da sorgenti esterne, devi conoscere l'origine dei pacchetti, sapere chi li ha realizzati e se contengono codice potenzialmente dannoso. Acquisisci il software da fonti note ed affidabili, e assicurati di disporre di meccanismi sicuri per installare e distribuire tempestivamente gli aggiornamenti.

Requisiti di conformità

Le informazioni personali, finanziarie e altrimenti sensibili possono essere soggette a severe normative sulla conformità. Le leggi variano in funzione dei paesi e delle aziende con cui si è in affari; ne è un esempio il regolamento generale sulla protezione dei dati (GDPR) ora in vigore in Europa. Prima di scegliere un deployment cloud è bene verificare i requisiti di conformità.

Gestione dei cicli di vita

Implementare nuove istanze negli ambienti cloud-native è facile, così come lo è dimenticarsi di quelle meno recenti. Le istanze dimenticate sono attive, anche se non vengono monitorate. Possono diventare rapidamente obsolete, e quindi non essere protette dalle patch di sicurezza. Per questo è bene adottare policy di governance e sistemi di gestione dei cicli di vita.

Portabilità

È possibile trasferire facilmente i carichi di lavoro in un altro cloud? Gli accordi sul livello di servizio dovrebbero definire chiaramente quando e come il provider cloud restituisce i dati o le applicazioni del cliente. In futuro, potrebbe essere necessario trasferire i dati. Per evitare di trovarti vincolato, valuta la portabilità da subito.

Monitoraggio costante

Monitorare le attività può aiutare ad evitare le violazioni alla sicurezza, o almeno a contrastarne gli effetti. Una piattaforma di gestione cloud unificata come Red Hat CloudForms può agevolare il monitoraggio delle risorse in qualsiasi ambiente.

Scegliere le persone giuste

Affidati a personale e partner qualificati e affidabili, che conoscono le complessità della sicurezza del cloud. In alcuni casi, l'infrastruttura di cloud pubblico può essere più sicura rispetto allo specifico cloud privato di un'azienda, perché il provider del cloud pubblico dispone di un team addetto alla sicurezza più informato e preparato.


Il cloud pubblico è sicuro?

È un dubbio legittimo. Potremmo elencare le differenze nella sicurezza tra i tre deployment cloud (pubblico, privato e ibrido), ma alla domanda “Il cloud pubblico è sicuro?” non c'è una risposta univoca.

I cloud pubblici sono sicuri per molti carichi di lavoro, ma ciò non significa che siano adatti a qualsiasi utilizzo, principalmente perché mancano dell'isolamento dei cloud privati. I cloud pubblici sono multi-tenant e ciò vuol dire che la potenza di elaborazione o lo spazio di storage vengono "presi a noleggio" dal provider del cloud insieme ad altri tenant. Ogni tenant sottoscrive uno SLA con il provider del cloud, nel quale vengono definite le rispettive responsabilità. A grandi linee, è come affittare uno spazio fisico: il proprietario (provider cloud) si impegna a mantenere l'edificio (infrastruttura cloud), conserva le chiavi (accesso) e in generale non accede alla proprietà affidata al tenant (privacy). In cambio, il tenant si impegna a non agire con modalità che potrebbero danneggiare l'integrità dell'edificio o infastidire gli altri tenant (ad esempio eseguendo un'applicazione non sicura). Poiché tuttavia non si possono scegliere i propri vicini, può accadere che qualcuno di loro consenta l'accesso a qualche elemento dannoso. Mentre il team dedicato alla sicurezza del provider cloud si occupa di individuare eventi insoliti, gli altri tenant possono subire gli effetti negativi di furti o attacchi, ad esempio i pericolosi attacchi DDoS, o interruzioni di servizio.

Fortunatamente esistono standard, normative e framework per il controllo della sicurezza riconosciuti dal settore, ad esempio Cloud Controls Matrix di Cloud Security Alliance. Per garantire il proprio isolamento in un ambiente multi-tenant è possibile implementare altre misure di sicurezza (come crittografia e tecniche di contenimento degli attacchi DDoS), che proteggono i carichi di lavoro nel caso in cui l'infrastruttura venga compromessa. Se ciò non è sufficiente, è possibile rilasciare broker di sicurezza per l'accesso al cloud, che hanno il compito di monitorare e applicare policy di sicurezza per le funzioni aziendali a basso rischio. Queste misure potrebbero non essere sufficienti nei settori che operano con severe normative in termini di privacy, sicurezza e compliance.

Riduci i rischi con il cloud ibrido

Nelle decisioni sulla sicurezza entrano in gioco aspetti come la tolleranza al rischio e l'analisi dei costi e dei benefici. In che modo i potenziali rischi e benefici influiscono sull'integrità dell'azienda? Quali aspetti sono prioritari? Non tutti i carichi di lavoro, ad esempio, richiedono i livelli di crittografia e sicurezza elevati. Il senso è questo: chiudere a chiave la casa consente di tenere al sicuro tutti gli oggetti importanti, ma per quelli davvero preziosi potrebbe servire anche una cassaforte. È bene avere più possibilità di scelta,

ed è per questo che molte aziende si rivolgono al cloud ibrido, che sfrutta i vantaggi di tutte le tipologie cloud. I cloud ibridi consentono di scegliere dove collocare carichi di lavoro e dati in base ai requisiti di compliance, audit, policy o sicurezza, proteggendo i carichi di lavoro particolarmente sensibili su un cloud privato, mentre i carichi di lavoro meno sensibili risiedono nel cloud pubblico. Sebbene esistano problematiche di sicurezza uniche del cloud ibrido (come la migrazione dei dati, una maggiore complessità e una più ampia superficie vulnerabile agli attacchi), la presenza di più ambienti può essere una delle migliori difese contro i rischi relativi alla sicurezza.


Le soluzioni sicure di Red Hat

Una soluzione cloud privata completa, di tipo IaaS, che semplifica la gestione dei deployment di cloud pubblici e privati.

Un insieme unico di funzionalità di gestione per cloud privato, pubblico, ibrido e piattaforme di virtualizzazione.

Un sistema di software enterprise che offre un framework scalabile e sicuro per creare e gestire identità affidabili e garantire la privacy delle comunicazioni.

Un registro basato sulla rete, indipendente dal sistema operativo, che consente agli amministratori di archiviare in modo centralizzato le informazioni sulle applicazioni e l'identità dell'utente.

Scopri di più sulla sicurezza