La sicurezza negli ambienti cloud

L’evoluzione verso il cloud computing rappresenta anche il punto finale del lungo processo di apertura delle aziende verso l’esterno. Le reti aziendali, una volta roccaforti gelosamente celate a qualsiasi utente esterno, si sono progressivamente aperte prima ai fornitori, poi verso i clienti fino ad approdare, in alcuni casi, ai social media. Con l’avvento del cloud questa apertura è stata estesa non solo all’accesso delle informazioni, che in precedenza restavano comunque custodite all’interno di un perimetro di rete ben definito, ma alle informazioni stesse, che potenzialmente sono libere di spostarsi ovunque e anche di allontanarsi molto dall’azienda.

Le soluzioni di protezione hanno quindi dovuto rinnovarsi ed espandere il livello di protezione perimetrale per “agganciarsi” ai dati e seguirli nei loro spostamenti.
Ecco allora che nel cloud la protezione diventa sempre più focalizzata sul dato pur mantenendo le tradizionali difese di tipo perimetrale (perché gli attacchi di tipo tradizionale continuano e sono costantemente in crescita per numero e sofisticazione).

Nascono soluzioni agentless che si dimostrano più flessibili mentre il cloud, a sua volta, viene utilizzato per rafforzare il livello di protezione: l’analisi delle minacce si avvale, infatti, sempre più spesso di meccanismi di diffusione collettiva della conoscenza che, non appena vengono identificate nuove minacce, permettono di esercitare istantaneamente la protezione su tutti i client connessi per ridurre al minimo i rischi e i possibili contagi.
Il tema della sicurezza va poi declinato in modo differenziato in relazione alla tipologia di modello cloud (private o public) e di ambiente (IaaS, PaaS, SaaS).Il tema della sicurezza negli ambienti private cloud è, in buona parte, riconducibile alla protezione degli ambienti virtualizzati che ha alcuni requisiti specifici. Tra i temi tecnologici centrali in questo senso vi è per esempio la scelta di dove collocare il livello di protezione in relazione all'hypervisor. Un altro problema che emerge in modo preponderante negli ambienti virtualizzati (più che in quelli fisici) è quello della business continuity che sta diventando anch’essa sempre più un’offerta di servizi. Per rendersene conto basta riflettere sull’impatto che può derivare dal guasto di un singolo sistema fisico su cui sono ospitate le immagini anche di migliaia di macchine virtuali.

I servizi per la protezione dei sistemi informativi, con la replica dei data center in siti remoti sono da tempo una realtà e, da questo punto di vista la transizione alimentata dal cloud computing aggiunge poco dal punto di vista del business e cambia per il momento poco sul piano tecnologico a parte il fatto che le tecnologie più nuove consentono di orchestrare con maggiore affidabilità le risorse e i servizi virtuali.

Il public cloud ha la peculiarità di portare i dati fuori dall’azienda, anche se non sempre fuori dal controllo dell’azienda. Ne con segue che non è infrequente che il proprietario delle informazioni, che è anche il soggetto che risponde di fronte alla legge di eventuali irregolarità, non sappia dove fisicamente siano collocati i propri dati o che non disponga degli strumenti per poter controllare che tutti i processi che coinvolgono i suoi dati siano conformi alle normative del proprio Paese o perlomeno alle policy interne aziendali in merito alla sicurezza.

Va rimarcato che l’esternalizzazione di servizi da parte di aziende o Pubbliche Amministrazioni che adottano soluzioni di cloud computing non le esime dalle loro responsabilità legali in merito, per esempio, al trattamento o alla diffusione di dati sensibili personali. La responsabilità di assicurarsi che il fornitore di servizi cloud tratti i dati nel rispetto della Legge e delle finalità del trattamento, resta a carico dell’azienda che possiede i dati e, nel caso di trattamento illecito o diffusione incauta, sarà quella che ne risponderà direttamente.

Per garantire il livello di protezione sono state messe a punto sofisticate soluzioni di cifratura e gestione delle chiavi, tool per garantire la conformità, sistemi di gestione dell’accesso sicuri e operanti all’interno di strutture federate sicure. La perdita del controllo diretto sulla gestione del patrimonio informativo resta, comunque, uno dei nodi centrali che attualmente ostacolano l’utilizzo dei servizi Public cloud.

Un altro tema centrale nel dibattito ICT è quello della protezione del software applicativo che viene sviluppato oppure eseguito all'interno degli ambienti di cloud computing, che si trova sottoposto a una serie di requisiti legati alla sicurezza che dipendono dalla tipologia di modello di distribuzione cloud a cui è indirizzato.

Per valutare il livello di sicurezza delle applicazioni in un ambiente cloud, i security manager aziendali si trovano, pertanto, non solo a dover decidere se sia opportuno sviluppare o eseguire un'applicazione su una piattaforma di cloud computing ma, nel caso in cui decidano di farlo, anche di scegliere accuratamente la modalità più appropriata per farlo.

Per garantire la sicurezza delle applicazioni in un ambiente cloud almeno due aspetti vanno considerati. Il primo è di determinare i controlli di sicurezza che un'applicazione deve fornire in aggiunta al livello di controllo intrinseco alla piattaforma cloud. Il secondo punto chiave riguarda le modalità che legano il ciclo di vita di sviluppo a livello enterprise con quello degli ambienti cloud.