Nonostante il cloud computing rappresenti, come abbiamo visto negli articoli precedenti, un modello attrattivo sia dal punto di vista economico sia in termini di flessibilità, gli utenti, e insieme a loro gli analisti, sollevano alcune preoccupazioni e perplessità, in particolare per quanto riguarda la sicurezza. Una recente indagine europea svolta da Idc sul proprio ‘Enterprise Panel’ (che oltre ai responsabili It comprende anche responsabili delle linee di business) pone la sicurezza al primo posto tra gli aspetti critici del modello cloud con l’88,5% delle risposte (vedi figura 1). Seguono quasi a pari merito le prestazioni, sulle quali pesano i limiti, reali o percepiti, delle reti, e la disponibilità, che viene citata come un elemento a sé stante ma che è in realtà, almeno in parte, ascrivibile alla sicurezza, come effetto di virus, denial-of-service e altre forme di attacco ai centri erogatori.
Figura 1 – Sicurezza, fattore critico per i modelli on-demand
(cliccare sull’immagine per visualizzarla correttamente)
È chiaro che il problema della sicurezza, e di conseguenza del risk management in ambiente cloud è un problema reale. Non a caso, le soluzioni di sicurezza sono un punto sul quale i fornitori di servizi cloud fanno leva in modo indiretto, per qualificare la propria offerta Iaas e Saas (Infrastructure e Software as-a-service), o anche in modo diretto per fornire un servizio ad alto valore aggiunto. I servizi di sicurezza online (Security-as-a-service) costituiscono infatti un mercato in vivace sviluppo, con offerte che, come osserva Elena Vaciago, analista Idc specializzata in quest’area, si indirizzano sia ai provider, che li ‘rivendono’ come Managed security services ai loro clienti, sia direttamente alle aziende utenti. Telecom/media, Retail, Utilities e Pa sono i settori dove i servizi di security online sono attualmente più diffusi (vedi figura 2), in funzione generalmente complementare alle tradizionali soluzioni software o di appliance.
Figura 2 – I settori d’adozione del Security-as-a-service
(cliccare sull’immagine per visualizzarla correttamente)
Ma se i rischi per la sicurezza del cloud computing non vanno sottovalutati, non bisogna però nemmeno sopravvalutarli, pensando che siano irrisolvibili in quanto intrinseci a questo modello. Un interessante studio svolto di recente sull’argomento da Forrester esordisce infatti facendo osservare che gli obiettivi di un piano Srm (Security & Risk Management) in ambiente cloud sono gli stessi di quelli perseguiti in un ambiente ‘in house’; quello che cambia è che, mancando visibilità e controllo sull’infrastruttura, diventa molto più difficile attuare un piano di prevenzione e risposta.
Tre pilastri per la cloud security
Forrester raccoglie gli elementi da considerare in un piano di Srm per i servizi cloud in tre ampi settori:
Il primo riguarda l’Identity & Access Management (Iam), punto fondamentale di ogni strategia Srm. Se la strategia e le soluzioni Iam implementate in azienda non si integrano bene con quelle offerte dal fornitore dei servizi, sorge il problema di dover gestire identità duplicate: per le applicazioni interne e per quelle in modalità cloud. Non solo: anche integrando i due sistemi resta il problema di gestire il ciclo di vita delle identità (dalla definizione di un utente e delle sue abilitazioni alla sua cancellazione) in modo coordinato tra l’ambiente interno e quello dell’offerta cloud. Questo tipo di problema non riguarda, ovviamente, solo lo Iam, ma tutti gli altri aspetti di un piano di sicurezza: data protection, integrità e disponibilità delle applicazioni operative, gestione delle vulnerabilità, strumenti di business continuity e disaster recovery. Per ciascuno di questi aspetti occorre verificare l’allineamento delle misure di protezione offerte dal service provider con quelle interne, una cosa che è possibile in campo SaaS ma che diventa difficile in un vero ambiente cloud, a causa della mancanza di visibilità sull’infrastruttura del fornitore del servizio.
Un secondo punto da considerare riguarda la compliance. Poter garantire il rispetto della conformità normativa significa, per la funzione It, dover controllare tutta una serie di aspetti tecnologici e procedurali relativi alla gestione, archiviazione e protezione dei dati. Si tratta quindi di conoscere in dettaglio, ai fini di auditing, sia la configurazione dell’infrastruttura di elaborazione e di storage sia il flusso delle operazioni. Entrambe le cose non sono facili da ottenere in ambiente cloud. Per fare un esempio banale ma importante: stante l’estesa virtualizzazione delle risorse infrastrutturali non è detto che il fornitore di servizi possa garantire che lo storage e il recovery avvengano su sistemi risiedenti in un dato paese, né la nazionalità del responsabile della custodia dei dati. Queste condizioni sono però richieste da alcune normative sulla protezione dei dati sensibili. Le e-mail, per esempio, essendo considerate dalla UE dati privati devono necessariamente risiedere in un data center fisicamente posto in un paese europeo.
Questo ci porta al terzo punto, che riguarda gli aspetti legali e contrattuali del rapporto tra untente e fornitore di servizi Cloud. Un piano di Srm deve infatti prevedere il livello di rischio per l’impresa a fronte di ogni tipo di inconveniente. Se, per fare ancora un facile esempio, avviene una falla sul fronte della privacy, anche se la colpa è del fornitore del servizio la responsabilità legale ricade sull’organizzazione proprietaria dei dati violati. Questi aspetti sono pane quotidiano dei contratti di outsourcing, ma in un ambiente distribuito e virtualizzato è più difficile sapere chi è responsabile di cosa. Qualora un servizio Cloud comporti la gestione di dati sensibili o di contenuti soggetti a proprietà intellettuale diventa quindi necessaria un’attenta analisi dei contratti e degli Sla relativi alle singole operazioni. La figura 3 è un quadro di sintesi dove, per ciascuna delle tre aree di sicurezza considerate, sono elencati gli argomenti che devono essere oggetto di analisi al fine di un piano di Security & Risk management. Lo studio Forrester fornisce anche tre quadri di analisi dove, per ciascuno degli argomenti citati nella figura viene data una check-list delle operazioni da compiere.
Figura 3 – Cloud computing Issues Checklist
(cliccare sull’immagine per visualizzarla correttamente)