La cloud security ha un’importanza vitale per le aziende, tenuto conto del numero crescente di imprese che adottano il cloud computing. Ecco allora cos’è, quali aspetti vanno considerati e i consigli utili per garantire la giusta sicurezza
Il tema della cloud security non può essere disgiunto dal cloud computing e dai servizi che può fornire e dal grado di sicurezza che può garantire. Lo scriviamo a pochi giorni da una notizia che fa comprendere bene quanto sia ormai cruciale il tema della sicurezza che può assicurare la “nuvola”. Secondo quanto riporta il Financial Times, Amazon ha raggiunto un accordo con GCHQ, MI5 e MI6, le tre agenzie di spionaggio del Regno Unito per ospitare materiale classificato. Quest’ultimo comprende tutti quei documenti considerati sensibili secondo vari gradi, spaziando da confidenziali a top secret. Si comprende quindi la delicatezza delle informazioni contenute e la necessità di preservarle. Per questo assume rilievo la notizia che in Amazon Web Services (AWS), il servizio di cloud computing della società statunitense sarà utilizzato anche da altri dipartimenti governativi come il Ministero della Difesa durante le operazioni congiunte.
Da quanto emerge, pare che le tre agenzie di spionaggio del Regno Unito abbiano stipulato un contratto con AWS per un valore da 500 milioni a 1 miliardo di sterline nel prossimo decennio.
Il fatto, per quanto singolare, non è una novità: anche la CIA ha firmato il suo primo contratto cloud da 600 milioni di dollari con AWS nel 2013, per conto di tutte le agenzie di intelligence degli Stati Uniti. Ma conferma una tendenza in atto sempre più interessante, evidenziata anche dalla crescita del valore di mercato legato alla sfera della sicurezza del cloud: in termini di opportunità, il mercato cloud security è destinato a crescere da 4,09 miliardi di dollari nel 2017 a 12,73 miliardi di dollari entro il 2022 e si prevede crescerà a un CAGR del 25,5% durante il periodo di previsione, secondo quanto scritto nel report pubblicato da Report Banana.
Ma è la diffusione dell’impiego e la sua crescita che fanno capire quanto sia ormai imprescindibile per le aziende: basti considerare – come ha messo in rilievo Istat nel rapporto annuale 2021 – che in Unione Europea la percentuale di imprese che lo utilizzano è passata dal 24% al 36%. L’Italia vanta un incremento ancora più significativo: si è passati infatti dal 23% al 59%, facendo del nostro Paese il terzo più virtuoso in UE, subito dietro a Svezia e Finlandia.
Resta ora da capire cosa si intende con cloud security, come funzioni e quali benefici possa assicurare a un’azienda, ma anche quali aspetti occorre considerare per garantire un adeguato grado di sicurezza.
Cos’è la cloud security
Per capire cos’è la cloud security occorre partire sempre dal cloud computing. Secondo la definizione del NIST, è un modello per consentire un accesso di rete ubiquo, conveniente e su richiesta a un pool condiviso di risorse informatiche configurabili (per esempio, reti, server e soluzioni di storage, oltre ad applicazioni e servizi) che possono essere rapidamente forniti e rilasciati con il minimo sforzo di gestione o interazione del fornitore di servizi”.
Il cloud computing ha assunto un’importanza sempre maggiore nel corso degli anni. Secondo il sondaggio “State of the Cloud” svolto da RightScale emerge che le aziende svolgono il 79% dei loro carichi di lavoro nel cloud, con il 41% nel cloud pubblico e il 38% nel private cloud. Ogni anno il numero di utenti che si rivolgono al public cloud è in aumento. Oltre ad avere molteplici vantaggi, va considerato – pensando in particolare al public cloud – che si tratta di un ambiente multiproprietario. Ciò pone incertezze intrinseche alla sicurezza, poiché una falla nell’infrastruttura potrebbe rendere vulnerabile l’intero ambiente. Da qui occorre partire per parlare di sicurezza dei dati e dei servizi riguardanti la “nuvola”.
Tutto quello che attiene ai processi, ai meccanismi e ai servizi utilizzati per controllare la sicurezza, la conformità e altri rischi di utilizzo del cloud computing riguarda la cloud security e ne offre una definizione quanto più mirata. Gartner puntualizza questo concetto e afferma che seppure tutte le forme di cloud computing abbiano esigenze di sicurezza uniche, questo termine si riferisce principalmente al cloud computing pubblico. Da qui la finalità della cloud security, che affronta specificamente la sicurezza del servizio in-the-cloud, al suo interno, ma il termine non comprende i servizi di sicurezza forniti dal cloud (intesa come security as a service) che sono destinati ad essere utilizzati al di fuori dell’infrastruttura di archiviazione.
Perché è importante
Contare su un’adeguata cloud security è fondamentale, specie se si tiene conto che il costo di una violazione della sicurezza media per un’azienda è di ben 3,8 milioni di dollari. Per questo è essenziale la sicurezza del cloud, ovvero la protezione dei dati memorizzati online tramite piattaforme di cloud computing da furti, perdite e cancellazioni.
Mantenere la sicurezza dei dati nel cloud si estende oltre la protezione offerta dalla stessa infrastruttura virtuale. Gli utenti delle “nuvole” devono proteggere l’accesso al cloud. Spesso i dati sono memorizzati su dispositivi mobili o, peggio, non viene posta adeguata attenzione alle credenziali di accesso, con i notevoli rischi di violazione che ciò comporta. Un altro problema di sicurezza del cloud è che i dati memorizzati su un cloud-hosted in un altro paese possono essere soggetti a diversi regolamenti e misure di privacy.
Ecco perché quando si sceglie un fornitore di cloud, è importante affidarsi a un’azienda che cerca di proteggersi da malintenzionati interni attraverso controlli di background e autorizzazioni di sicurezza. La maggior parte delle persone pensa che gli hacker esterni siano la più grande minaccia alla sicurezza del cloud, ma i propri dipendenti costituiscono un rischio altrettanto grande.
La cloud security è importante e di solito il grado di sicurezza offerto dai provider è assai alto. I fornitori di servizi cloud, infatti, hanno misure di sicurezza superiori e i loro stessi dipendenti sono esperti di sicurezza.
I rischi legati al cloud computing
La perdita di dati è una preoccupazione crescente per le organizzazioni, con oltre il 60% che la cita come la loro più grande preoccupazione per la sicurezza del cloud. Ma le principali minacce alla sicurezza del cloud comprendono violazioni di dati, perdita di dati, dirottamento di account, dirottamento del traffico di servizio, interfacce di programmazione delle applicazioni (API) insicure, scelta inadeguata dei fornitori di archiviazione cloud e tecnologia condivisa che può compromettere la sicurezza del cloud.
Gli attacchi DDoS (Distributed denial of service) sono un’altra minaccia alla sicurezza del cloud. Questi attacchi chiudono un servizio sommergendolo di dati in modo che gli utenti non possano accedere ai loro account, come i conti bancari o gli account di posta elettronica.
Quando si utilizzano servizi cloud esterni, la responsabilità di alcune delle politiche e delle infrastrutture passa al Cloud Service Provider. I rischi connessi al cloud computing riguardano la visibilità limitata sulle operazioni di rete nel momento stesso in cui si spostano i carichi di lavoro e le risorse nel cloud.
Spostando grandi quantità di dati sensibili in un ambiente cloud connesso a Internet, le organizzazioni si aprono a ulteriori minacce informatiche. Da una ricerca condotta da Gartner, entro il 2025, il 90% delle organizzazioni che non riescono a controllare l’uso del cloud pubblico condivideranno in modo inappropriato i dati sensibili, con tutti i rischi che ciò comporta.
Come funziona la cloud security: i principi fondamentali
Veniamo al punto più delicato: i principi fondamentali di funzionamento della cloud security. A questo riguardo possiamo prendere le indicazioni della CISA, la Cybersecurity and Infrastructure Security Agency degli Stati Uniti. Essa ne riporta per garantire una transizione efficiente e sicura ai servizi cloud per le agenzie governative (che devono garantire i più elevati standard di sicurezza dei dati):
- Progettare il software per il cloud: identificare i servizi e le capacità appropriate da implementare fin dall’inizio per creare un ambiente cloud sicuro ed efficiente.
- Creare una strategia di migrazione al cloud: progettare un piano specifico dell’agenzia per la transizione di dati e servizi da un ambiente on-premises a un ambiente cloud.
- Adottare un approccio di sviluppo, sicurezza e operazioni (DevSecOps).
- Creare servizi digitali automatizzati affidabili utilizzando il codice e integrando il personale di supporto.
- Costruire architetture scalabili e ripetibili: impiegare le migliori pratiche e le risorse necessarie per mantenere un ambiente cloud robusto nel futuro.
Ancora più dettagliate sono le indicazioni del britannico National Cyber Security Center (NCSC). Ne elenca 14 ed essi riguardano: la necessità di protezione dei dati in transito (“i dati degli utenti che transitano sulle reti dovrebbero essere adeguatamente protetti da manomissioni e intercettazioni”) e delle risorse (“i dati degli utenti e le risorse che li conservano o li elaborano dovrebbero essere protetti da manomissioni fisiche, perdite, danni o sequestri”). Terza raccomandazione riguarda la separazione tra gli utenti: il Centro segnala a tale riguardo che “un utente malintenzionato o compromesso del servizio non dovrebbe essere in grado di influenzare il servizio o i dati di un altro”. Altrettanto importante è il quadro di governance della sicurezza che il provider coordina e dirige la sua gestione del servizio e delle informazioni al suo interno. “Qualsiasi controllo tecnico implementato al di fuori di questo quadro sarà fondamentalmente compromesso”. A proposito, invece, di sicurezza operativa il servizio deve essere operato e gestito in modo sicuro per impedire, rilevare o prevenire gli attacchi. “Una buona sicurezza operativa non dovrebbe richiedere processi complessi, burocratici, lunghi o costosi”.
Non mancano indicazioni sulla sicurezza del personale: quando ha accesso a dati e sistemi, si ha bisogno di un alto grado di fiducia nella loro affidabilità. “Uno screening accurato, supportato da una formazione adeguata, riduce la probabilità di compromissione accidentale o dolosa da parte del personale del fornitore di servizi”.
Si arriva poi a descrivere la sicurezza dello sviluppo dei servizi, che dovrebbero essere progettati e sviluppati per identificare e mitigare le minacce alla loro sicurezza. Quelli che non lo sono possono essere vulnerabili a problemi di sicurezza che potrebbero compromettere i vostri dati, causare la perdita del servizio o consentire altre attività malevole. Altrettanto importante è la sicurezza della catena di approvvigionamento: “il fornitore di servizi deve garantire che la sua catena di approvvigionamento supporti in modo soddisfacente tutti i principi di sicurezza che il servizio dichiara di implementare”.
Per quanto riguarda invece la gestione sicura degli utenti, sarebbe bene che il provider metta a disposizione gli strumenti per gestire in modo sicuro l’uso che l’utente fa del loro servizio. In termini di identità e autenticazione, tutti gli accessi alle interfacce di servizio dovrebbero essere limitati a individui autenticati e autorizzati.
Un punto importante è legato alla protezione delle interfacce esterne, da identificare e difendere adeguatamente.
A proposito della amministrazione sicura del servizio, il NCSC afferma che i sistemi utilizzati per l’amministrazione di un servizio cloud avranno un accesso altamente privilegiato a quel servizio. “La loro compromissione avrebbe un impatto significativo, compresi i mezzi per aggirare i controlli di sicurezza e rubare o manipolare grandi volumi di dati”.
Il tredicesimo punto concerne le informazioni di audit per gli utenti. Ogni azienda che conta su servizi di cloud dovrebbe avere a disposizione le registrazioni di audit necessarie per monitorare l’accesso al vostro servizio e i dati conservati al suo interno. “Il tipo di informazioni di audit a vostra disposizione avrà un impatto diretto sulla capacità (dell’utente) di rilevare e rispondere ad attività inappropriate o dannose in tempi ragionevoli”.
Infine, tratta dell’utilizzo sicuro del servizio: la sicurezza dei servizi cloud e dei dati conservati al loro interno può essere compromessa se si utilizza il servizio in modo inadeguato. Di conseguenza, ogni utente finale avrà alcune responsabilità quando utilizza il servizio affinché i suoi dati siano adeguatamente protetti.
Come garantire la cloud security di un’azienda
Abbiamo detto all’inizio che il 59% delle aziende italiane conta su servizi cloud computing. Significa che per più della metà delle imprese del nostro Paese l’aspetto della sicurezza sta a cuore, o deve. Per questo la cloud security diventa un aspetto cruciale. Ma come assicurare la giusta sicurezza? Si sa che le minacce sono tante, a livello di cybersecurity, e possono mettere a repentaglio i vantaggi di adottare il cloud. Vediamo allora alcune strategie utili da adottare per mettersi al riparo da potenziali problemi.
Se volessimo elencarne alcune davvero cardinali allora, in sintesi, potremmo partire da: permettere il recupero dei dati in caso di perdita degli stessi; proteggere l’archiviazione e le reti contro il furto doloso di dati; evitare quanto più possibile (o mettersi nelle condizioni ideali per evitarlo) l’errore umano o la negligenza che causa perdite di dati importanti. Infine, ridurre l’impatto di qualsiasi compromissione dei dati o del sistema.
Altre importanti raccomandazioni, partono dalla necessità di strumenti consolidati di prevenzione delle minacce nel cloud. La cloud security è molto più complessa della tradizionale sicurezza on-premises perché le aree esposte sono svariate. Mentre ogni provider ha i propri servizi di sicurezza, ci sono migliaia di fornitori di terze parti che forniscono soluzioni di sicurezza del cloud per integrare e migliorare quelle dei fornitori di cloud.
Altro punto importante riguarda la visibilità in termini di cloud security, perché non si può proteggere ciò che non si vede. È bene adottare una soluzione di sicurezza in-the-cloud in grado di assicurare anche un’ampia visibilità sugli ambienti aziendali. In questo senso è prezioso sfruttare tecniche che fanno capo all’ambito di studi dell’intelligenza artificiale, in particolare Machine Learning, per monitorare e individuare con sufficiente rapidità gli eventuali punti deboli che i cyber delinquenti possono sfruttare a loro vantaggio.
È importante, inoltre, eseguire regolari esercizi di gestione del rischio per ogni possibile e impossibile soluzione di sicurezza del cloud. A questo proposito è consigliabile condurre stress test per assicurarsi che l’implementazione sia davvero scalabile in modo sicuro senza impedire le prestazioni.
Altrettanto importante è rivolgersi a un consulente di fiducia per la sicurezza del cloud al fine di beneficiare delle migliori pratiche del settore e costruire adeguata protezione. Le configurazioni errate della sicurezza del cloud espongono le organizzazioni a rischiose e costose minacce alla sicurezza del cloud, che causano un pericolo reale ben prima che la minaccia possa essere gestita.
