TECHTARGET

Incrementare la sicurezza CDN per proteggere i dati aziendali

I cloud service provider che forniscono servizi CDN (Content Delivery Network), assumendo un ruolo “intermediario” tra visitatori e hosting provider per migliorare le performance e la sicurezza dei siti possono, anche se in modo non intenzionale, divenire causa della dispersione dei dati riservati dei loro clienti. Ecco alcuni consigli, a partire dal caso che ha visto protagonista Cloudflare, su come proteggere e rendere inutilizzabili agli hacker questi dati

Pubblicato il 26 Set 2017

Secure-website1

Cloudflare è un cloud service provider statunitense che fornisce servizi CDN (Content Delivery Network), DNS (Domain Name System) e di reverse proxy; ponendosi con le proprie soluzioni tra i visitatori di un sito e gli hosting provider degli utenti Cloudflare, il provider mira a proteggere, velocizzare e migliorare la disponibilità di siti internet e applicazioni mobili 

Lo scorso febbraio è stato scoperto un bug nei sistemi Cloudflare che ha messo a rischio i dati riservati dei suoi clienti. In particolare, a causa di un buffer overflow [il buffer-overflow si presenta quando una stringa in input per errore è più grande del buffer ove dovrà essere immagazzinata e ciò comporta una sovrascrittura di parti di memoria circostanti al buffer stesso che può in certi casi provocare delle vulnerabilità di sicurezza – ndr] i siti gestiti dal service provider risultavano incapaci di contenere tutte le informazioni ricevute, che sono state quindi inavvertitamente riversate nella rete fino al momento in cui i ricercatori di Google per primi hanno rilevato questi dati nel network e hanno quindi segnalato il bug a Cloudflare. 

Come proteggersi in caso di buffer overflow? 

L’incidente suggerisce inevitabilmente una riflessione su come le aziende possano dunque proteggere i dati sensibili che passano attraverso i CDN o altri ambienti SaaS con un ruolo “intermediario” tra visitatori e hosting provider come quello descritto, ambienti peraltro pensati per offrire un miglioramento delle performance dei siti e, paradossalmente, vantaggi proprio in termini di sicurezza. Dave Shackleford, owner and principal consultant, Voodoo Security, dà alcuni utili suggerimenti; per prima cosa, spiega, è fondamentale fare al provider le domande giuste, e formalizzare in fase contrattuale le risposte, per conoscerne il grado di affidabilità. Per esempio: che tipo di monitoraggio di sicurezza hanno in atto per evitare casi di dispersione di dati sensibili sul modello Cloudflare? Quali processi di risposta vengono applicati nel momento in cui si verifica un incidente? Secondo Shackleford il documento di Cloud Security Alliance “Consensus Assessments Initiative Questionnaire”, reperibile on line, può rappresentare una buona guida per individuare le domande giuste da fare. 

Occorre poi dotarsi direttamente di alcuni strumenti di sicurezza 

  1. innanzitutto, i clienti possono utilizzare un servizio come AT&T NetBond per controllare e rendere più sicuro il traffico dei dati verso i servizi cloud sfruttando la protezione offerta da una VPN MPLS, rete semi-privata realizzata mediante l’utilizzo di una infrastruttura multiservizio di rete IP e del protocollo MPLS – Multiprotocol Label Switching. 
  2. è poi utile crittografare i dati prima che questi attraversino qualsiasi ambiente cloud; è vero che la crittografia può generare dei rallentamenti del traffico sul network che vanno certamente valutati sul piano delle performance, ma resta il metodo più efficiente per evitare attacchi man-in-the-middle (attacco informatico in cui un hacker o un tool malevolo si introduce nello scambio tra due parti che credono di comunicare direttamente tra loro ritrasmettendo o alterando i dati della comunicazione stessa) dal momento che i dati, anche se sottratti, risulterebbero comunque illeggibili all’hacker.  
  3. Infine, sfruttando alcune tipologie di network gateway on premise è possibile trarre vantaggio dalla “Tokenizzazione“, un processo di sostituzione di un elemento dei dati sensibili con un equivalente non sensibile, il token, che di per sé non ha alcun valore (es. serie di numeri casuali) e che rende anche le informazioni nel loro complesso non sfruttabili né dai cybercriminali né da chiunque sia privo del “sistema di tokenizzazione” adeguato a ricondurre i dati modificati ai dati sensibili originali.  

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Speciale Digital360Awards e CIOsumm.it

Tutti
Update
Round table
Keynote
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo

Articoli correlati

Articolo 1 di 4