Che cos'è la sicurezza del cloud?

La sicurezza del cloud è:

La sicurezza del cloud è l'operazione di garantire che tutti i dati e i servizi residenti su un cloud siano protetti da attacchi o violazioni di disponibilità, integrità e riservatezza. Mentre i provider di servizi cloud forniscono un'infrastruttura cloud protetta, attraverso il modello della responsabilità condivisa, i clienti sono responsabili della protezione dei workload, delle applicazioni e dei dati gestiti sul cloud.

Sicurezza del cloud

La sicurezza del cloud potrebbe sembrare fuori portata. Il cloud è composto semplicemente da server, router e switch in possesso di un'altra organizzazione. Vi sono molti modi per proteggere la tua azienda, accertandosi che tu stia facendo la tua parte secondo il modello della responsabilità condivisa. Esistono molti modi per tenere al sicuro il tuo cloud, per trarre vantaggio da tutto ciò che il cloud può offrire.

Prima di parlare di come proteggere le architetture del cloud, vediamo la struttura del cloud. L'ambiente cloud di oggi offre molte opzioni tra cui scegliere. Vi sono tre modelli di servizio e quattro modelli di distribuzione. Essi vengono definiti da NIST all'interno di SP 800-145.

I modelli di servizio sono:

  • Infrastructure as a Service: IaaS consente a un'azienda di creare i propri datacenter virtuali (vDC).
  • Platform as a Service: PaaS presenta molte opzioni che consentono al cliente il provisioning, la distribuzione o la creazione di software.
  • Software as a Service: in SaaS, al cliente viene fornito l'uso del software senza necessità di un computer o di un server su cui basarsi. Alcuni dei migliori esempi sono Microsoft 365 (ex Office 365) e Gmail. Al cliente serve solo un computer, un tablet o un telefono per accedere al software online.


Le aziende usano una varietà di termini per evidenziare il loro prodotti, rispetto alle descrizione più obiettive di NIST: da DRaaS (Disaster Recovery) a HSMaaS (Hardware Security Module) nonché DBaaS (Database) e, infine, XaaS (Qualunque cosa aaS). A seconda di ciò che viene commercializzato da un'azienda, può essere difficile determinare se un prodotto è SaaS o PaaS ma, in definitiva, la comprensione delle responsabilità contrattuali del provider è più importante. I provider cloud estendono i loro contratti per aggiungere sicurezza alle formazioni cloud tramite servizi quali HSMaaS (Hardware Security Module) o DRMaaS (Digital Rights Management).

I quattro modelli di distribuzione sono:

  • Pubblico: disponibile a chiunque per l'acquisto. I migliori esempi odierni sono Amazon Web Service (AWS), Microsoft Azure e Google Cloud Platform (GCP).
  • Privato: realizzato per un'unica azienda. Fondamentalmente, l'hardware stesso non viene condiviso con nessun altro. Il modello privato può essere creato su un cloud pubblico o all'interno del proprio datacenter (DC) oppure presso un'azienda specializzata nella creazione di cloud privati, ovvero un provider di servizi gestiti.
  • Di comunità: prevede il concetto di condivisione tra aziende. Il servizio può essere condiviso oppure i dati possono essere condivisi in tale servizio. Un esempio potrebbero essere i cloud realizzati dal governo e condivisi da agenzie multiple.
  • Ibrido: prevede l'utilizzo di almeno due dei tre modelli di distribuzione elencati in precedenza: pubblico e privato, privato e di comunità oppure pubblico e di comunità. Un'ulteriore possibilità consiste nell'uso di tutte le tre opzioni.

 

Architettura del cloud

L'architettura del cloud consiste nell'organizzazione dei componenti principali e secondari in una struttura logica nonché, auspicabilmente, efficiente ed efficace. Tale struttura intende consentire ai componenti di interagire verso il conseguimento di un obiettivo, esaltando i punti di forza e riducendo al minimo i punti deboli. I componenti di base necessaria per creare un cloud comprendono reti, router, switch, server e diversi altri, come firewall e sistemi di riconoscimento delle intrusioni. In aggiunta a tali componenti, il cloud comprende anche tutti gli elementi all'interno dei server, come hypervisor e macchine virtuali, e, naturalmente, il software. L'architettura del cloud richiede inoltre un provider cloud, un architetto cloud e un cloud broker per creare, gestire, vendere e acquistare i servizi cloud.

Molti termini relativi all'architettura del cloud si limitano ad aggiungere la parola "cloud" a un termine esistente e familiare, come "consumatore cloud". Se si comprende la definizione di consumatore, il nuovo termine è chiaro, ovvero il consumatore di servizi del cloud rispetto, ad esempio, ai servizi telefonici.

La terminologia di base che si trova in NIST SP 500-299 comprende:

  • Consumatore cloud: la persona o l'azienda che utilizza il servizio cloud da un provider cloud.
  • Provider cloud: la persona o l'azienda che dispone delle risorse per offrire i servizi richiesti dai consumatori. Ciò comprende la tecnologia per creare i server, le macchine virtuali, l'archiviazione dati o qualunque altra risorsa necessaria al consumatore.
  • Cloud broker: la persona o l'azienda che gestisce fornitura, utilizzo e prestazioni del cloud per il consumatore. Il broker definisce inoltre il rapporto con il provider per conto del consumatore.
  • Cloud carrier: è il provider di servizi che connette un'azienda al cloud, ad es. il proprio provider si servizi Internet. Per un'azienda, si norma si tratta di una connessione MPLS.
  • Cloud auditor: la persona o l'azienda che esegue la verifica dell'ambiente di un provider cloud. Tali verifiche comprendono verifiche della privacy e di sicurezza.


Scopri di più sull'Architettura del cloud.

Architettura di sicurezza del cloud

La sicurezza nel cloud inizia con l'architettura di sicurezza del cloud, che aggiunge elementi di sicurezza all'architettura di base. Gli elementi di sicurezza tradizionale comprendono firewall (FW), anti-malware e sistemi di riconoscimento delle intrusioni (IDS). Servono anche persone che progettano una struttura protetta all'interno e attraverso il cloud, compreso un cloud auditor, un architetto della sicurezza e un'ingegnere della sicurezza.

In altre parole, l'architettura di sicurezza del cloud non si limita ai soli hardware e software.

L'architettura di sicurezza del cloud parte dalla gestione dei rischi. Conoscere ciò che potrebbe andare storto e quali potrebbero essere gli impatti negativi aiuta le aziende a prendere decisioni responsabili. Tre aree critiche di discussione sono la continuità aziendale, la catena di distribuzione e la sicurezza fisica.

Cosa succede alla tua azienda se il tuo cloud provider subisce un guasto? Mettere i nostri server, servizi e dati nel cloud non evita la necessità della continuità aziendale e di un piano di ripristino di emergenza.

Cosa succederebbe se chiunque potesse accedere al datacenter (DC) del cloud provider? Nei tre grandi nomi, AWS, GCP e Azure, ciò non sarebbe facile, ma il punto è proprio questo. Loro hanno investito pesantemente nella protezione del datacenter stesso. Ma che dire degli altri provider cloud? A qualunque provider cloud, chiedi di esplorare il datacenter e di partecipare a una verifica. Segnati la risposta. Erano disponibili a mostrarti il DC già il giorno dopo? Se è facile accedere al DC, forse è meglio pensarci due volte prima di scegliere quel provider.

Più probabilmente, i provider cloud più piccoli non dispongono di un DC fisico. Più probabilmente, utilizzano e rivendono efficacemente la funzionalità dei provider cloud più grandi. Non c'è niente di male. Si tratta di un vantaggio e fa parte della bellezza dell'uso del cloud. Se il rapporto tra i provider cloud non è conosciuto, ciò potrebbe provocare ulteriori problemi relativi a leggi, normative e contratti. Fai una domanda semplice: Dove sono i miei dati? Se vi sono livelli multipli di provider, la risposta potrebbe essere difficile da trovare e potrebbero esservi delle conseguenze legali, come un problema ai sensi del Regolamento generale sulla protezione dei dati (GDPR) europeo.

Gli elementi che compongono l'architettura di sicurezza del cloud di un'azienda potrebbero disporre a loro volta di servizi di sicurezza del cloud. È possibile acquistare servizi come DLPaaS (Data Leak Prevention) o utilizzare strumenti di assistenza alla sicurezza, come uno strumento di scansione che cerchi le informazioni personalmente identificabili (PII) in modo da poterle proteggere adeguatamente. La gestione della sicurezza del cloud è necessaria per garantire che i servizi funzionino a dovere.

Cloud compliance

Le aziende devono essere conformi con molte leggi, molte norme e molti contratti. Se metti i tuoi dati e servizi nelle mani di qualcun altro, le verifiche necessarie per confermare la conformità possono diventare complicate.

Una buona domanda da porre è: Quali sono i tuoi problemi? Ciò aiuta a determinare quali domande devono essere poste al proprio provider cloud. Da un punto di vista legale, le organizzazioni devono essere conformi con l'RGPD (Regolamento generale sulla protezione dei dati) dell'UE, il SOX (Sarbanes-Oxley - protezione dei dati finanziari USA), l'HIPAA (Health Information Portability and Accountability Act - assistenza sanitaria USA) e altri ancora. Inoltre la protezione delle carte di credito è soggetta alla legge sui contratti con PCI-DSS (Payment Card Industry - Data Security Standard).

Dopo avere individuato l'oggetto della conformità, è possibile intraprendere molte azioni, una delle quali è la verifica. La verifica deve essere condotta adottando un approccio standardizzato e una metodologia consolidata, come SSAE 18 (Statement of Standards on Attestation Agreements, No. 18) dell'American Institute of Certified Public Accountants. I risultati della verifica indicano cosa potrebbe essere non conforme. Quando si sceglie un provider cloud, è essenziale leggere questi rapporti per conoscere il livello di sicurezza del DC e sapere cosa aspettarsi.

Scopri di più sulla Cloud Compliance.

Infrastructure as Code (IaC)

In breve, in IaC l'infrastruttura viene trattata come un codice, con la stessa logica dei DevOps, piuttosto che configurare ciascun singolo router, server, switch e software. Se applichiamo la forza dei DevOps alla creazione e alla gestione della nostra infrastruttura, si ottengono molti vantaggi. Nel cloud, l'infrastruttura diventa virtuale, ovvero è solo codice, senza hardware. In realtà, un router è solamente un codice che abita in un computer specifico o appositamente realizzato; rimuovendo l'hardware, ciò che resta è il codice.

Ora applichiamo la logica allo sviluppo e alla distribuzione di tale codice. Oggi gli strumenti di automazione consentono metodi di distribuzione e gestione software più semplici e controllati. Se gestiamo la nostra infrastruttura virtuale con quegli strumenti, potremmo ottenere un modo molto più semplice e controllato per implementare e gestire i cloud.

Scopri di più su Infrastructure as Code.

Argomenti di sicurezza del cloud