Panoramica
La sicurezza del cloud prevede la protezione di dati, applicazioni e infrastrutture coinvolti nei servizi cloud e nel cloud computing. Molti aspetti della sicurezza degli ambienti cloud, che si tratti di cloud pubblico, privato o ibrido, corrispondono a quelli di qualsiasi architettura IT on-premise.
Perché la sicurezza del cloud è differente
Le problematiche relative alla sicurezza dell'information technology (IT) avanzata, o cybersecurity, come perdita di informazioni, esposizione dei dati non autorizzata, bassi controlli di accesso, vulnerabilità agli attacchi e interruzioni della disponibilità, interessano allo stesso modo i sistemi IT tradizionali e quelli nel cloud. Come per qualsiasi ambiente di elaborazione, la sicurezza del cloud implica l'adozione e il rispetto di forme di protezione preventive che consentono di:
- Sapere quali dati e sistemi sono protetti.
- Visualizzare l'attuale stato della sicurezza.
- Sapere immediatamente se si verificano eventi insoliti.
- Registrare gli eventi imprevisti e intervenire.
Gli ambienti di cloud computing offrono chiaramente diversi vantaggi, ma i potenziali problemi di sicurezza, spesso, ne ostacolano l'adozione. Nessuno nega che è difficile comprendere ciò che si trova tra le risorse che circolano tra Internet e un server fisico. Questo è un ambiente dinamico, dove tutto è in continua evoluzione, incluse le minacce alla sicurezza. Il concetto di fondo è che la sicurezza del cloud garantisce la sicurezza dell'IT, e che una volta compresi i requisiti specifichi, la parola "cloud" non sarà più sinonimo di scarsa sicurezza.
Confini indefiniti
La sicurezza è molto legata al controllo dell'accesso, che negli ambienti tradizionali viene solitamente disciplinato mediante un modello di sicurezza perimetrale. L'elevata connettività degli ambienti cloud facilita il superamento dei tradizionali perimetri difensivi. Sistemi e dati possono subire le minacce causate da interfacce di programmazione delle applicazioni (API) poco sicure, gestione non rigida di identità e credenziali, hacker e utenti malintenzionati. Per impedire le vulnerabilità e l'accesso non autorizzato al cloud è necessario adottare un approccio incentrato sui dati. Occorre quindi crittografare i dati, rafforzare le procedure di autorizzazione, richiedere password sicure, l'autenticazione a 2 fattori, e implementare misura di sicurezza della rete ad ogni livello.
IT software defined
Con "cloud" ci si riferisce alle risorse ospitate e distribuite agli utenti tramite software. Le infrastrutture di cloud computing, così come tutti i dati elaborati, sono dinamiche, scalabili e portabili. I controlli di sicurezza del cloud devono reagire alle variabili ambientali, e accompagnare carichi di lavoro e dati archiviati e in transito, sia come parte integrante dei carichi di lavoro (ad esempio, con la crittografia) sia in modo dinamico, tramite un sistema e API di gestione cloud. Questo agevola la protezione e la sicurezza degli ambienti cloud dalle manomissioni del sistema e dalle violazioni dei dati.
Un panorama di minacce complesso
Ogni aspetto che ha un potenziale impatto negativo sull'elaborazione dei dati, anche nel cloud, costituisce una minaccia. Gli attacchi malware o APT (Advanced Persistent Threats, minacce persistenti avanzate) sono sempre più complessi e ideati per superare le difese della rete colpendo le vulnerabilità dello stack informatico. Le violazioni della sicurezza possono sfociare nella divulgazione non autorizzata delle informazioni e nella compromissione o nella perdita dei dati. Non esiste una soluzione definitiva a queste minacce, ma è responsabilità dell'utente adottare sempre le procedure più avanzate di sicurezza del cloud, che si evolvono di pari passo alle minacce che emergono.
Sicurezza del cloud: una responsabilità condivisa
Sei responsabile della sicurezza degli spazi che ti appartengono all'interno di un cloud, a prescindere dal deployment cloud utilizzato. L'adozione di un cloud gestito da terzi non ti esonera da tale responsabilità. Spesso, è una scarsa attenzione alle misure di sicurezza a renderle inefficienti. La sicurezza del cloud è responsabilità di tutti e per preservarla occorre:
Impiego di software affidabile
Il contenuto del tuo cloud è importante. Come per qualsiasi altro codice scaricato da sorgenti esterne, devi conoscere l'origine dei pacchetti, sapere chi li ha realizzati e se contengono codice potenzialmente dannoso. Acquisisci il software da fonti note ed affidabili, e assicurati di disporre di meccanismi sicuri per installare e distribuire tempestivamente gli aggiornamenti.
Requisiti di conformità
Le informazioni personali, finanziarie e altrimenti sensibili custodite nel cloud possono essere soggette a severe normative sulla conformità. Le leggi variano in funzione dei paesi e delle aziende con cui si è in affari; ne è un esempio il regolamento generale sulla protezione dei dati (GDPR) ora in vigore in Europa. Prima di scegliere un deployment cloud è bene verificare i requisiti di conformità.
Gestione dei cicli di vita
Implementare nuove istanze negli ambienti cloud native è facile, così come lo è dimenticarsi di quelle meno recenti. Le istanze dimenticate sono attive, anche se non vengono monitorate. Possono diventare rapidamente obsolete, e quindi non essere protette dalle patch di sicurezza. Per questo è bene adottare policy di governance e sistemi di gestione dei cicli di vita.
Portabilità
È possibile trasferire facilmente i carichi di lavoro in un altro cloud? Gli accordi sul livello di servizio dovrebbero definire chiaramente quando e come il provider cloud restituisce i dati o le applicazioni del cliente. In futuro, potrebbe essere necessario trasferire i dati. Per evitare di trovarti vincolato, valuta la portabilità da subito.
Monitoraggio costante
Monitorare le attività può aiutare ad evitare le violazioni alla sicurezza, o almeno a contrastarne gli effetti.
Scegli il giusto provider di servizi cloud
Affidati a personale e partner qualificati e affidabili, che conoscono le complessità dei servizi e della sicurezza del cloud. In alcuni casi, l'infrastruttura di cloud pubblico può essere più sicura rispetto allo specifico cloud privato di un'azienda, perché il provider di cloud pubblico dispone di un team addetto alla sicurezza più informato e preparato.
La sicurezza nel cloud pubblico
È un dubbio legittimo. Potremmo elencare le differenze nella sicurezza tra i tre deployment cloud (pubblico, privato e ibrido), ma alla domanda "Il cloud pubblico è sicuro?" non esiste una risposta univoca.
I cloud pubblici, ad esempio, Amazon Web Services (AWS), Microsoft Azure e Google, sono sicuri per molti carichi di lavoro, ma ciò non significa che siano adatti a qualsiasi utilizzo, principalmente perché mancano dell'isolamento dei cloud privati. I cloud pubblici sono multi-tenant e ciò vuol dire che la potenza di elaborazione o lo spazio di storage vengono "presi a noleggio" dal provider del servizio cloud insieme ad altri tenant. Ogni tenant sottoscrive uno SLA con il provider del cloud, nel quale vengono definite le rispettive responsabilità. A grandi linee, è come affittare uno spazio fisico: il proprietario (provider cloud) si impegna a mantenere l'edificio (infrastruttura cloud), conserva le chiavi (accesso) e in generale non accede alla proprietà affidata al tenant (privacy). In cambio, il tenant si impegna a non agire con modalità che potrebbero danneggiare l'integrità dell'edificio o infastidire gli altri tenant (ad esempio eseguendo un'applicazione non sicura). Poiché tuttavia non si possono scegliere i propri vicini, può accadere che qualcuno di loro consenta l'accesso a qualche elemento dannoso. Mentre il team dedicato alla sicurezza del provider cloud si occupa di individuare eventi insoliti, gli altri tenant possono subire gli effetti negativi di furti o attacchi, ad esempio i pericolosi attacchi DDoS, o interruzioni di servizio.
Fortunatamente esistono standard, normative e framework per il controllo della sicurezza riconosciuti dal settore, ad esempio Cloud Controls Matrix di Cloud Security Alliance. Per garantire il proprio isolamento in un ambiente multi-tenant è possibile implementare altri strumenti di sicurezza (come crittografia e tecniche di contenimento degli attacchi DDoS), che proteggono i carichi di lavoro nel caso in cui l'infrastruttura venga compromessa. Se ciò non è sufficiente, è possibile rilasciare broker di sicurezza per l'accesso al cloud, che hanno il compito di monitorare e applicare policy di sicurezza per le funzioni aziendali a basso rischio. Queste misure potrebbero non essere sufficienti nei settori che operano con severe normative in termini di privacy, sicurezza e compliance.
DevSecOps per la sicurezza cloud native
Con il temine DevSecOps si intende l'unione di pratiche DevOps e strategie di sicurezza allo scopo di migliorare la sicurezza IT e ridurre i rischi negli ambienti software. Le tecnologie cloud native come Kubernetes, container, microservizi e service mesh sono molto popolari poiché forniscono gli elementi costitutivi necessari alle organizzazioni per creare, distribuire ed eseguire applicazioni cloud in modo più dinamico, affidabile e su una scala più ampia di quanto non fosse possibile in precedenza.
I cambiamenti introdotti dalle tecnologie cloud native impongono alle organizzazioni di adattare la propria sicurezza adottando un modello DevSecOps. Di conseguenza, i team di sicurezza e tecnici devono collaborare per sviluppare strategie che consentano di realizzare ed eseguire applicazioni moderne e scalabili, con procedure shift left che integrano la sicurezza nelle prime fasi del ciclo di sviluppo del software e flussi di lavoro che implementano la sicurezza come codice.
Riduci i rischi con il cloud ibrido
Nelle decisioni sulla sicurezza entrano in gioco aspetti come la tolleranza al rischio e l'analisi dei costi e dei benefici. In che modo i potenziali rischi e benefici influiscono sull'integrità dell'azienda? Quali aspetti sono prioritari? Non tutti i carichi di lavoro, ad esempio, richiedono i livelli di crittografia e sicurezza più elevati. Il senso è questo: chiudere a chiave la casa consente di tenere al sicuro tutti gli oggetti importanti, ma per quelli davvero preziosi potrebbe servire anche una cassaforte. È bene avere più possibilità di scelta,
ed è per questo che molte aziende si rivolgono al cloud ibrido, che sfrutta i vantaggi di tutte le tipologie cloud. Il cloud ibrido è una combinazione di 2 o più ambienti cloud interconnessi, pubblici o privati.
I cloud ibridi consentono di scegliere dove collocare carichi di lavoro e dati in base ai requisiti di compliance, auditing, policy o sicurezza, proteggendo i carichi di lavoro particolarmente sensibili su un cloud privato, mentre i carichi di lavoro meno sensibili risiedono nel cloud pubblico. Sebbene il cloud ibrido sia caratterizzato da alcune problematiche di sicurezza specifiche (come la migrazione dei dati, una maggiore complessità e una più ampia superficie vulnerabile agli attacchi), la presenza di più ambienti può essere una delle migliori difese contro i rischi legati alla sicurezza.