La sicurezza informatica, di fatto, si basa sulla fiducia. L’utente si deve fidare dell’hardware, del sistema operativo, del software, dell’Internet provider. Ognuno di questi può minare la sicurezza dei nostri dati: un crash del sistema, un baco nel software, ecc. Il cloud computing aggiunge un ulteriore elemento: finché il computer è all’interno della nostra rete, possiamo controllare tutti i mezzi per proteggerlo; in un modello come il cloud computing, non possiamo che fidarci di chi ci offre il servizio, perché non abbiamo altra possibilità.Quali sono dunque gli aspetti di sicurezza da non sottovalutare in un approccio all’It “cloud oriented”?
“Con l’avvento del cloud computing bisogna partire dal presupposto che la sicurezza aziendale non è più affrontabile seguendo una logica di prodotto da acquistare e installare localme
nte su qualsiasi pc o server nella rete. Rappresenta, invece, un servizio che va personalizzato e inquadrato in una logica di processo, in accordo con le strategie e gli specifici obiettivi di business di ogni azienda”, esordisce Gastone Nencini, Technical Manager Southern Europe Trend Micro.
“Il cloud computing non è necessariamente più o meno sicuro degli amb
ienti informatici utilizzati finora dalle aziende, ma rappresenta un modello che va innanzitutto compreso e quindi coniugato nel modo migliore con gli specifici processi delle singole organizzazioni”, osserva Miska Repo, Country Manager di F-Secure Italia.
“Gli as
petti che le aziende guardano con maggior sospetto sono per lo più connessi al possesso, alla sicurezza e alla protezione del dato”, interviene Enrico Proserpio, Sales Consultant Director di Oracle Italia. “La possibilità del fornitore di public cloud di posizionare i propri server in paesi in cui le leggi di tutela della privacy siano diverse e più lasche delle nostre costituisce un ulteriore fattore di preoccupazione”.
“Due sono gli aspetti prioritari considerati nel momento in cui si decide di rivolgersi
a provider di cloud computing: alta disponibilità e strong authentication, da un lato per avere garanzia della continuità del servizio e dall’altro sicurezza degli accessi”, precisa Emilio Turani, Country Manager di Stonesoft Italia, Svizzera Italiana, Grecia e Turchia.
Non è da dimenticare, infatti, che uno dei benefici del cloud è proprio quello di fornire un servizio a un numero elevato di aziende clienti e pertanto, disporre di un efficace sistema di gestione scalabile consente di supportare variazioni in eccesso o in difetto nel numero degli utenti connessi. “Ma è la sicurezza degli accessi su cui si focalizza l’attenzione delle aziende, che desiderano e chiedono di utilizzare un’unica modalità di autenticazione (single sign-on o Federation Id) per accedere a tutte le applicazioni affidate in outsourcing, per mantenere il controllo sugli accessi e la disponibilità per le proprie risorse”, aggiunge Turani.
Gli aspetti da non sottovalutare
“Il cloud offre la possibilità di riprogettare l’infrastruttura It migliorando la sicurezza globale del sistema, ma in alcune situazioni il rischio di spostare dati e applicazioni sensibili e di importanza critica per il funzionamento del business potrebbe superare il livello di ‘tolleranza’ stabilito internamente. In questi casi è necessario declinare in modo graduale l’adozione di nuove tecnologie”, suggerisce Repo.
“In un approccio cloud oriented è importante valutare i seguenti requisiti di sicurezza: accessibilità della soluzione: è importante verificare che siano state implementate tutte le tecniche atte a garantire che la soluzione acquistata sia sempre accessibile e che sia altamente affidabile; trasferimento sicuro dei dati: il cloud prevede per definizione il trasferimento in remoto dei dati e l’accesso ad essi deve essere protetto mediante tecniche di autenticazione e cifratura; Data Loss Prevention: una soluzione di cloud computing deve garantire che il dato venga utilizzato solo da chi ha i diritti di accesso e per gli scopi/utilizzi per cui è stato
autorizzato. È quindi importante classificare attentamente i dati, e garantire così la corretta protezione dei dati stessi”, osserva Vincenzo Costantino, Senior Mana
ger, Technical Sales Organization di Symantec.
Ed entrando anche nel merito delle tecnologie, Andrea Carmignani, Security Infrastructure Architect Ibm Italy riassume così gli aspetti da non sottovalutare in un modello cloud: “La sicurezza infrastrutturale non può che essere trasversale, pervasiva e coinvolgere tutti i componenti del datacenter come host, network e storage. Possiamo identificare, come set minimo necessario, la presenza di device come Firewall di livello L3/L4 e funzionalità di Intrusion Prevention oltre l’importanza di segregare/segmentare il traffico all’interno del datacenter adottando tecnologie come Vlan, Vpls (Virtual Private Lan Service) o Vrf (Virtual Routing and Forwarding). In un ambiente cloud bisogna isolare il traffico non solo sulla rete ma anche all’interno degli host fisici che, grazie alla virtualizzazione, possono ospitare una moltitudine di immagini virtuali. Certificazioni di terze parti, feature offerte dalla tecnologia di virtualizzazione adottata, Virtual Appliance o soluzioni integrate direttamente con l’Hypervisor, permettono di innalzare significativamente la sicurezza associata alla virtualizzazione raggiungendo livelli paragonabili a quelli propri di un approccio tradizionale. Infine abbiamo la protezione dagli accessi attraverso soluzioni di Identity and Access Management”.
Progettare la security in the cloud
“Qualsiasi infrastruttura, per quanto all’avanguardia dal punto di vista della sicurezza, è efficace solo se corredata da processi consolidati che diano visibilità sulla gestione delle modifiche, delle immagini, degli incidenti e dei dati. In attesa di certificazioni specifiche, certificazioni esistenti come ISO27001, SAS Type II Audit, SysTrust e BS25999 rimangono dei validi indici della bontà dell’organizzazione e dei sui processi, ancora meglio se corroborati da penetration testing e security assessment operati da terze parti”, aggiunge Carmignani. E sulla sicurezza fisica dice: “Il cloud provider deve avere un rigido controllo degli accessi tramite un team di vigilanza, un sistema di video sorveglianza e una rece
ption in grado di verificare l’identità del personale autorizzato a entrare nei data center”.
Anche Elio Molteni, Senior Technology Specialist di Ca Technologies, entra nel dettaglio tecnologico spiegando come “il concetto fondamentale su cui si basa la cloud security è la separation of duty. Un sistema di sicurezza in ambiente cloud introduce una separation of duty tra l’amministratore del sistema e quello della sicurezza; il primo si occuperà della gestione della macchina, sarà cioè il provider di servizi cloud ad avere la responsabilità della gestione delle tecnologie; l’amministratore della sicurezza, invece, avrà la responsabilità delle politiche di sicurezza sulla macchina. Dal punto di vista tecnologico significa portare l’attenzione sulla gestione delle identità e dei privilegi degli utenti e sul controllo degli accessi”.
“Le aziende che scelgono di archiviare dati e condurre le attività di business facendo affidamento su servizi erogati attraverso cloud pubbliche via Internet devono predisporre un livello di sicurezza appositamente progettato per la protezione in-the-cloud”. Per Trend Micro, “cloud computing” diventa perciò sinonimo di “cloud security”, in quanto non si può pensare di avere il primo senza la seconda”, dice Nencini.
“Sicurezza significa protezione del livello di confidenzialità dei dati, ancor di più se trasmessi via Internet, e uso attento e mirato di tecnologie che ne impediscano la lettura. Per la gestione dello storage, eseguita da personale specializzato, è indispensabile il controllo degli accessi e la definizione del grado di dettaglio raggiungibile dall’operatore che deve essere regolamentato da politiche specifiche e personalizzate. Inoltre, il data center e la sua incolumità, per quanto riguarda la continuità dei servizi e la fault-t
olerance, sono fondamentali affinché il servizio stesso possa realmente ritenersi in linea con il concetto di cloud e con il modello SaaS”, interviene Domenico Fusco, Direttore Vendite di Panda Software Italia.
Si concentra sul dato Fabio Buccigrossi, Channel Director Sophos Italia: “È importante verificare che i dati che si intende affidare al partner siano ‘pronti’ per il cloud; il risparmio che si ottiene dal servizio deve essere maggiore del costo del rischio di violazione dovuto allo spostamento dei dati nella nuvola. Una tecnologia da tenere in considerazione per ridurre i rischi del cloud è la cifratura, attraverso la quale è possibile proteggere i dati anche quando vengono spostati al di fuori dell’azienda, permettendo quindi di mitigare i rischi della gestione dei dati riservati”.
Secondo il presidente di Rsa, Art Coviello, la sicurezza ha un’unica via da seguire, quella della protezione del dato: “Il giusto approccio, anche in scelte che guardano al cloud, è quello che pone la protezione dell’informazione al centro di ogni valutazione. Presupposto fondamentale per lo sviluppo della ‘nuvola’, d’altronde, è la garanzia di poter contare su infrastrutture sicure, accessibili e in linea con le normative, a maggior ragione laddove il dato non è più confinato nel perimetro aziendale”.
“Approcciare il cloud dal un punto di vista di sicurezza significa prendere in considerazione questi aspetti: come ridurre i rischi con una solida gestione dei privilegi utente; come agevolare la crescita in sicurezza con tecnologie come lavirtualizzazione; come sfruttare le opportunità offerte dalla gestione degli accessi web; come semplificare l’esperienza degli utenti con la federazione delle identità”, aggiunge Molteni.
Le possibili vie
Se dunque le soluzioni cloud possono diventare affidabili e sicure, a detta dei vendor, gli utenti di fatto, non sono disposti a lasciare nelle mani di un provider esterno dati essenziali per lo svolgimento dell’attività aziendale. “È consigliabile, in questi casi, adottare un sistema per così dire ibrido, che permetta di sfruttare sinergicamente i vantaggi del cloud e quelli delle piattaforme precedentemente impiegate, migliorando le prestazioni globali del sistema senza rinunciare al controllo diretto dei propri dati”, asserisce Repo. “Se, da un lato, esistono asset troppo importanti e non trasferibili al di fuori del perimetro informatico aziendale, non vi è alcuna necessità di applicare rigide e costose misure di sicurezza a dati meno rilevanti, che possono essere quindi gestiti utilizzando, ad esempio, un servizio di storage basato sul cloud. Come con qualsiasi altra area di sicurezza, le aziende dovrebbero adottare un approccio basato sul livello di rischio per valutare come coniugare i dati e i processi con un modello basato sul cloud. L’analisi da parte delle aziende dovrebbe includere la stima dell’importanza stessa del dato, la mappatura dei modelli di cloud implementabili, l’individuazione di servizi e operatori di cloud computing adatti e la progettazione del data flow”.
Private cloud, misto, pubblico
Pensare al private cloud o a sistemi ibridi potrebbe, infatti, essere un inizio, seppur cautelativo, di percorso innovativo. “Come Oracle riteniamo che per le imprese l’idea di implementare una private cloud come mezzo per gestire le risorse It rappresenti una valida alternativa per ottenere i vantaggi del cloud computing in termini di efficienza e flessibilità mitigando al contempo le preoccupazioni che una cloud pubblica implica circa la sicurezza, la compliance, le performance e l’affidabilità. In effetti, anche i dati di settore mostrano che l’adozione sta avvenendo gradualmente e che molte imprese adotteranno un mix di cloud pubblico e privato mantenendo alcuni sistemi su strutture statiche e dedicate”, osserva Proserpio.
“Le aziende possono dotarsi di soluzioni di cloud privato che permettono di riorganizzare la propria infrastruttura in modo da offrire un servizio interno ai gruppi applicativi o direttamente come servizio agli utenti interni ed esterni – precisa Costantino -. In tal caso devono essere implementate tutte le soluzioni e i processi che permettono una corretta affidabilità dell’applicazione commisurata al livello di servizio (occorre proteggere il dato e garantirne l’accesso in modo sicuro). Nel caso di cloud pubblico tali concetti vanno estesi all’azienda che eroga il servizio e fare in modo che anche in questo caso ci sia l’opportuna ridondanza infrastrutturale che garantisca l’affidabilità del servizio indipendentemente dai problemi del provider e/o della connessione: copia e replica remota del dato (ottimizzata), replica remota del backup dei dati, soluzioni di business continuity. Inoltre è necessario assicurarsi che il provider fornisca tutta una serie di garanzie in merito alla sicurezza, trasferimento, accesso e crittografia dei dati (sia in fase di trasferimento che nel repository)”.
Partire dal cloud privato è anche l’approccio suggerito da Coviello che identifica i possibili step: “La virtualizzazione è una delle scelte tecnologiche primarie: prima di tutto consolidando le infrastrutture non mission-critical per iniziare a ‘familiarizzare’ con gli ambienti virtuali (anche ragionando sulla sicurezza); il passo successivo è quello della virtualizzazione delle applicazioni business-critical garantendo gli stessi livelli di affidabilità raggiunti con l’ambiente fisico; si passa poi allo sviluppo di cloud interni per iniziare a gestire l’infrastruttura informativa come una utility composta da un data center completamente virtualizzato e automatizzato in cui i carichi applicativi sono guidati da policy e livelli di servizio. Ultimo step: affidarsi a provider pubblici”.
“Integrare gli aspetti di sicurezza fin dall’inizio, fin dal passaggio da ambienti fisici a virtuali, è sinonimo di maggior visibilità e gestione del rischio; approccio fondamentale nelle scelte di cloud”, aggiunge Coviello.
Fare scelte responsabili
“Adottare servizi cloud non significa però svincolare il cliente da qualsiasi responsabilità – sottolinea Carmignani -. Per quanto all’avanguardia possa essere la sicurezza offerta dal cloud provider, il cliente può risultare l’anello debole di tutta la catena: utilizzare password di default o banali, una scorretta attribuzione dei permessi sui servizi o sulle applicazioni sono solo alcuni esempi di azioni che possono rendere inutile qualsiasi contromisura del cloud provider. È quindi buona norma mettere in opera alcune accortezze, come l’utilizzo di canali cifrati per il transito dei propri dati da e verso il cloud e cifrare i dati memorizzati, per garantire la confidenzialità e la protezione della proprietà intellettuale. Inoltre, all’atto della scelta del provider, bisognerebbe sempre verificare i livelli di business continuity offerti e gli Sla associati. I servizi cloud rimangono sempre e comunque dei servizi aziendali e dovrebbero rimanere all’interno della propria sfera di audit. Se il cloud provider non mette a disposizione strumenti di audit adeguati sui servizi offerti bisognerebbe avere comunque la possibilità di accedere ai log inerenti le proprie attività in modo da operare un audit autonomo”.
E di controlli parla anche Fusco dicendo che “uno degli strumenti più efficaci per mantenere elevata la qualità dei controlli è il ricorso ad audit periodici dei propri sistemi affidati a società esterne”, sottolineando comunque la responsabilità dei provider: “È indispensabile che il fornitore illustri i potenziali pericoli, le tipologie di violazione e indichi quali strumenti vengono implementati per soddisfare queste esigenze, impegnandosi contrattualmente a rispondere ad accordi ben definiti”.
Anche Buccigrossi punta i riflettori sul ruolo del fornitore: “La scelta del partner riveste un ruolo fondamentale; questo deve supportare i clienti nella definizione degli Sla adeguati per il servizio offerto e deve essere in grado di rispettarli. Non solo, il fornitore deve adottare soluzioni leader di mercato ed è fondamentale che dimostri le corrette competenze sulle tecnologie utilizzate, dimostrando di essere in grado di erogare un supporto adeguato in caso di necessità. Altro aspetto molto importante è la verifica che il partner prescelto sia in grado di rispondere a tutte le normative in vigore per non rischiare di non essere conformi in seguito a controlli di sicurezza”.
Qualità, certificazione e contratti minuziosi dove la continuità del business è garantita da specifici Sla sono gli ingredienti fondamentali anche per Nencini che aggiunge: “Per tutelare il proprio business è fondamentale la definizione di parametri per la misurazione delle prestazioni, chiedendo di includerli nel contratto di fornitura. Inoltre, è bene accertarsi che il fornitore offra delle assicurazioni contro violazioni che non rientrano nel contratto”.
Se il primo passo responsabile è quello di stipulare accordi precisi sul livello del servizio, “ancora più importante è adottare un comportamento coscienzioso e responsabile che porti le aziende a verificare di quali sistemi di sicurezza dispongono i provider esterni, aspetto che va concordato a priori tra le due parti, azienda e fornitore, e che deve diventare parte integrante dei processi aziendali”, sottolinea Turani. “In futuro, la sfida sarà quella di regolamentare la fornitura di questi servizi, attraverso standard di mercato condivisi da tutta la rete di cloud computing”.