Con il diffondersi del cloud computing, alcuni fornitori stanno iniziando a offrire un modello di responsabilità condivisa per i loro clienti, ma non si tratta ancora di una prassi consolidata.
In realtà, la condivisione delle responsabilità in merito alla sicurezza IT è applicata nella maggior parte degli accordi di outsourcing da molti anni ma, pur non essendo un concetto nuovo, la natura di questo approccio è cambiato con l’avvento del cloud.
La condivisione delle responsabilità: ecco i punti di attenzione
Il modello di condivisione delle responsabilità dei fornitori cloud presuppone la consapevolezza di una serie di valori e di risorse da proteggere e garantire. Gli esperti segnalano alcuni punti di attenzione che sono:
- Una classificazione dei dati e la loro relativa protezione. È bene verificare quelle che sono le responsabilità del cliente e quali invece del fornitore
- Una classificazione degli endpoint e la loro messa in sicurezza. È bene infatti stabilire quando sono a carico del cliente e quando del fornitore. In un ambiente Software as a service, infatti, la responsabilità può essere condivisa.
- Gestione delle identità e degli accessi: nel caso di offerte Software as a Service e Platform as a Service, le responsabilità per la gestione delle identità e degli accessi dovrebbero essere sempre condivise, mentre in caso di ambienti Infrastructure as a serviceva stabulito quando e se è carico del cliente
- Controllo del livello di applicazione: naturalmente, i controlli a livello di applicazione all’interno di offerte SaaS sono garantiti dai fornitori. In caso di offerte PaaS, invece possono essere condivisi, mentre l’IaaS richiede al cliente di fissare le stack applicativi che implementa
- Controllo di rete: solo la configurazione di rete parziale è disponibile all’interno del IaaS, mentre il provider controlla tutto il resto
- Infrastruttura ospitante: analogamente alla rete, lo stack sottostante del computer è in gran parte gestito dal provider, solo in ambienti IaaS i consumatori hanno un eventuale accesso o controllo su alcune di queste capacità
Chi si occupa dell’incident response?
Il concetto di responsabilità condivisa è quanto più strategico rispetto a una risposta in caso di incidenti nel cloud. Per tutte le aree di responsabilità del cliente – all’interno di una macchina virtuale in esecuzione nel cloud Azure IaaS, per esempio – Microsoft non esegue il monitoraggio delle intrusioni o di risposta agli incidenti. Per le aree di proprie competenza, invece, l’azienda fornisce il dettaglio dei ruoli di tutti i membri del gruppo di lavoro, così come notifiche e comunicazioni relative a ogni fase operativa e alle misure adottate all’interno del team di incident response. È molto importante dunque stabilire in anticipo i carichi delle responsabilità dei fornitori per evitare contenziosi e avere le massime garanzie di servizio all’insegna della trasparenza contrattuale.