Anche se non tutti i file sono di tipo classificato, o contengono dati sensibili e riservati, nella maggior parte dei casi si desidera che i file siano conservati in modo sicuro. Ecco perché si sente parlare molto di “secure file storage”.
Che cos’è il secure file storage
Da una rapida ricerca sul significato di questo concetto emergono tra aspetti principali:
- data protection, ossia quello che può essere fatto per evitare che i dati possano essere persi a causa di guasti, manomissioni, attacchi di tipo ransomware, smarrimenti o forti di hardware;
- sicurezza, consistente nelle misure per evitare la manomissione dei dati o il loro furto da parte di persone non autorizzate o malintenzionati;
- compliance, rappresentata dall’ottemperanza a eventuali regolamentazioni che contengono prescrizioni su come produrre, trattare e conservare determinati tipi di file.
Vediamoli nel dettaglio.
Data protection: i principi chiave
La protezione dei dati si può attuare in vari modi, alcuni dei quali non si escludono a vicenda. La data protection può partire dall’utente finale, che utilizza dispositivi (personal computer, tablet, smartphone, scanner, telecamere di sorveglianza, ecc) su cui (o a cui) sono installate applicazioni che effettuano automaticamente backup dei file su NAS (Network attached storage) casalinghi, server remoti o, sempre più spesso, servizi di cloud storage offerti dagli hyperscaler (Microsoft, Google, Amazon, etc.) o operatori specializzati (Dropbox, Box, Mega, etc.). Le aziende, invece, implementano all’interno delle proprie reti informatiche soluzioni enterprise software e hardware di backup e recovery o, in alternativa (o in aggiunta a queste), si dotano anche di siti secondari su cui vengono effettuate copie dei backup locali. Altre opzioni sono l’utilizzo, sia per il backup primario sia per quello secondario, di servizi di cloud storage che adottano infrastrutture e metodologie di ridondanza delle data protection.
A fini della migliore data protection dei file, è importante che siano effettuati backup in tempo reale o quasi reale di tutti i file, e che i documenti a cui non si prevede che si debba accedere quotidianamente siano salvati in spazi storage a costi contenuti.
Sicurezza, l’aspetto più critico
La security è l’aspetto più critico e articolato fra i tre citati. I due punti principali da considerare sono, comunque, la crittografia e l’autenticazione (dalla quale derivano, spesso, le autorizzazioni all’accesso e a operare sui file).
Quanto alla crittografia, vanno considerate sia quella dei dati in transito sulle reti, sia quella dei dati inattivi, nota come DARE (Data-at-Rest Encryption). Quando i file sono destinati a risiedere solo sui dispositivi degli utenti, quasi sempre questi non si preoccupano di proteggerli in modo crittografico, perché sono convinti che il pc, il tablet o lo smartphone sono accessibili sono a loro e ritengono improbabile che possano essere smarriti o rubati. Sarebbe buona regola, invece, soprattutto se il dispositivo è ad uso aziendale – o misto personale-aziendale – installare un software che critta il disco fisso o una sua partizione. La stessa applicazione può essere utilizzata per crittare unità storage esterne, comprese le chiavi Usb.
E per proteggere i file che viaggiano fra l’utente in remoto e il data center aziendale, o fra lo stesso utente e un servizio di cloud storage? Nel primo caso, la soluzione più utilizzata è quella della VPN (Virtual Private Network), che permette di creare una rete virtuale privata fra utente e LAN aziendale utilizzando internet senza investire in una rete dedicata. Nel secondo caso, i cloud storage provider forniscono servizi di crittografia sia dei dati in transito sia di quelli at rest.
Per quanto riguarda i dati in transito, occorre distinguere fra comunicazione criptata (con HTTPS, SSL, TLS, FTPS) e file criptati. In alcuni casi la crittografia protegge solo le ID e le password e non i contenuti, che se sono sensibili è bene crittare prima di trasmetterli. Per essere sicuri che anche i dati in transito sono crittati, occorre che il cloud storage provider supporti un metodo adatto, come, nella maggior parte dei casi, il protocollo SMB 3.0 o superiore, che utilizza un algoritmo di crittografia AES-128.
Per i dati inattivi, invece, è bene verificare che i cloud storage provider utilizzino sistemi di crittografia AES-256. In passato, spesso i CSP memorizzavano i file degli utenti in chiaro (semplice testo) e gli utenti erano tranquillizzati solo dal fatto che per accedere alle loro cartelle in cloud era necessario autenticarsi. Oggi, invece, i migliori fornitori di cloud storage crittano i file dei clienti, non appena questi vengono caricati, utilizzando chiavi uniche che vengono generate sui dispositivi degli utenti. Se questi desiderano condividere i loro file con altre persone, devono chiedere al cloud storage di generare link crittografati da inviare via email alle persone autorizzate ad accedere ai file stessi con determinati privilegi. E così, grazie al file sharing, si ovvia anche al problema di dover inviare file come allegati di posta elettronica.
Autenticazione sui pool di storage condiviso
L’altro tema caldo, dicevamo, è quello dell’autenticazione sui pool di storage condiviso. E questo vale sia che questi siano on premise (ad esempio NAS scale-out che svolgono la funzione di object store o data lake) o in cloud. Innanzitutto va messo in protezione l’ambiente – on premise, in cloud, o in hybrid cloud – a cui molte persone chiedono di accedere. Oggi il metodo di autenticazione basata sull’immissione di ID e password non è più in grado di garantire un’identificazione certa degli utenti. Meglio quindi implementare o adottare servizi di storage condiviso che supportano l’autenticazione multifattoriale (MFA, multi-factor authentication). Spesso, inoltre, i file cui gli utenti desiderano accedere non appartengono a persone specifiche, che potrebbero inviare loro link di condivisione, ma sono aziendali.
Come gestire i diritti di accesso e di svolgere determinate operazioni sui file a molte persone diverse? Oggi la risposta si chiama RBAC (Role Based Access Control). Si tratta di un sistema basato sui concetti di ruolo e privilegio, che è andato via via sostituendo quello legato ai dispositivi connessi alle reti. Con l’approccio RBAC è possibile creare policy granulari per ogni singolo utenti basate sul gruppo a cui appartiene e sul ruolo che svolge. In questo modo, diventa anche più facile attribuire permessi diversi di accesso ai file se lo stesso utente cambia posizione. Il RBAC è ritenuto il metodo migliore per la gestione delle autorizzazioni di accesso ai file anche dal NIST (National Institute of Standards Technologies) statunitense.
Compliance: come garantirla
Nella scelta del tipo di secure file storage adottare è importante tenere presenti alcuni fattori. Uno è sicuramente quello del workflow in cui sono inseriti i file da proteggere. La maggior parte dei file, oggi, sono destinati a muoversi fra dispositivi diversi, fra applicazioni differenti, ed essere più o meno condivisi.
Questo significa che il secure file storage di riferimento – in cloud pubblico, privato o ibrido – può doversi integrare con software e servizi di terze parti. E in questo contesto, nessuna parte deve svolgere il ruolo di anello debole della catena, che indebolisce tutta la catena. Se i file devono essere utilizzati in un contesto in cui è necessaria la compliance a normative quali GDPR, HIPAA, CCPA, è necessario che siano adottate tutte le misure di data protection e security previste.
Quanto alla crittografia, in particolare, sarebbe opportuno verificare che i moduli in cui viene utilizzata abbiano la convalida FIPS 140-2, richiesta per le soluzioni utilizzate nella pubblica amministrazione americana, ma diventata ormai uno standard de facto anche in altri settori sensibili, come la salute, il manufacturing e i servizi finanziari.
