Protagoniste assolute della nuova fase di digitalizzazione, le piattaforme cloud hanno cambiato la fisionomia stessa delle strutture informatiche aziendali. Sotto il profilo della sicurezza cloud, però, il mondo delle aziende sta ancora vivendo una fase di transizione in cui i nuovi servizi sembrano essere più vulnerabili agli attacchi. “Negli ultimi mesi abbiamo assistito a numerosi attacchi che hanno cercato di sfruttare le piattaforme cloud e si è cominciato a gridare alla mancanza di sicurezza delle stesse.” conferma Carlo Mauceli, CTO di Microsoft Italia. “L’allarme per la protezione del cloud, però, nasce spesso da una serie di equivoci e dalla mancanza di una vera cultura della sicurezza”.
I confini della sicurezza su cloud
Non si può parlare di maggiore o minore sicurezza dei servizi cloud se non si ha ben presente l’aspetto della responsabilità condivisa che, credo, possa essere ben espressa da questa immagine che evidenzia come, in funzione dei differenti livelli di servizio offerti, la gestione della sicurezza sia, realmente, una condivisione tra cliente e fornitore.
È chiaro che “Quando parliamo di erogazione di servizi di tipo Software as a Service, ad esempio, ci troviamo nella condizione per cui la responsabilità del servizio è in capo al cloud provider” spiega Carlo Mauceli. “mentre se utilizziamo servizi di tipo Infrastructure as a Service, al di là della sicurezza delle infrastrutture fisiche che sono in capo al cloud provider, tutto il resto è responsabilità del cliente. Pertanto, se vogliamo essere un po’ più precisi, possiamo affermare che “Gli aspetti di security legati alla gestione per esempio di macchine virtuali o di applicazioni o, meglio ancora, di databasee delle loro configurazioni che devono seguire le le best practice suggerite dal fornitore, sono necessariamente una responsabilità dell’azienda”. Dal punto di vista dei dati, va sempre sottolineato come gli ambiti di competenza siano delineati in maniera estremamente precisa. Come spiega il CTO di Microsoft Italia, chi fornisce la piattaforma cloud è responsabile del trattamento del dato, ma il titolare rimane (e deve rimanere) il cliente che, ovviamente, è responsabile della sua protezione e integrità.
Un ambiente sotto costante controllo
Sotto il profilo della sicurezza, il cloud offre in realtà una serie di notevoli vantaggi sia per le aziende, sia per il mondo dell’IT nel suo complesso. Il primo riguarda il livello di sicurezza dei sistemi utilizzati dalle imprese che adottano le piattaforme cloud per i loro servizi. A differenza di quanto accede (troppo spesso) nelle realtà aziendali, i servizi erogati su cloud poggiano infatti su sistemi costantemente aggiornati, in cui le patch di sicurezza vengono applicate attraverso rigorose policy e strumenti di controllo che consentono di individuare tempestivamente eventuali falle di sicurezza; questo anche grazie ad una continua azione congiunta con partner specializzati nella difesa delle infrastrutture. Un quadro che esclude, di conseguenza, la presenza di quei sistemi “legacy” [quelli per cui non è più garantito il supporto dello sviluppatore – ndr] che rappresentano uno dei più pericolosi anelli deboli nella catena della cyber security. Allo stesso modo, il monitoraggio costante delle risorse cloud da parte dei provider consente di individuare il rischio che un sistema all’interno della piattaforma possa essere usato come “testa di ponte” per eventuali cyber attacchi. “I cloud provider controllano in maniera estremamente rigorosa le loro piattaforme” conferma Mauceli. “Questa forma di monitoraggio si traduce in un aumento del livello complessivo di sicurezza e consente ad aziende come Microsoft di agire attivamente per smantellare botnet e altre infrastrutture malevole utilizzate dai pirati”.
Il nodo dell’identità
L’adattamento al nuovo contesto, per gli esperti di sicurezza, richiede un cambio di prospettiva che le aziende devono affrontare con gli strumenti adeguati. La logica legata alla concezione di un IT basato sull’erogazione di servizi, sotto il profilo della cyber security, sposta completamente l’attenzione sulla protezione dell’identità. Senza identità non si può accedere ad alcun servizio e l’dentità rappresenta il cuore di qualsiasi architettura logica. Ed è qui, spiega Carlo Mauceli, che sono necessari i maggiori interventi. “La maggior parte delle aziende in Italia utilizzano il cloud in una forma ibrida e l’identità viene mantenuta on premise.” spiega il CTO di Microsoft. Di per sé non sarebbe un problema se non fosse che non sempre vengono implementati quei sistemi di controllo dell’identità digitale che consentono di proteggere l’integrità dei dati aziendali. Sarebbe più semplice spostare l’identità in cloud per potere sfruttare tutte le funzionalità che permettono una protezione dell’identità stessa migliore di quanto possa avvenire on premise grazie all’utilizzo di tecniche quali la Multi Factor Authentication, il Conditional Access, le Risk Policy. “Le tecnologie per proteggere in maniera efficace l’identità esistono” prosegue il CTO di Microsoft Italia.
Sono passati 23 anni da quando Peter Steiner ha pubblicato il famigerato “Su Internet, nessuno sa che sei un cane” il famoso cartone animato in “The New Yorker”, illustrando e, in qualche misura, anticipando in maniera eloquente e semplice le sfide legate all’identità online.
Oggi, molte organizzazioni stanno ancora lottando per risolvere l’enigma relativo al fatto se coloro che accedono alle informazioni in rete siano il proverbiale “cane su Internet,” ossia se “sono chi dicono di essere e non fingono di essere qualcun altro”. Le conseguenze di questa, che è diventata una vera e propria guerra, sono significative: anno dopo anno l’identità continua ad essere il più sfruttato vettore di attacco nel cyberspace. Il problema più grande?
Semplice: la password, violata in continuazione e che, nonostante tutto, continua ad essere utilizzata da tutti in tutto il mondo, sia che si parli di aziende sia che si tratti di individui.
L’identità è il nuovo perimetro di sicurezza e merita di essere difesa con sistemi e meccanismi in linea con gli scenari attuali.