Sicurezza del cloud computing:
cos’è e come implementarla

Nell’era digitale, l’adozione di una strategia basata sulla cloud security sta diventando un imperativo sempre più categorico per le imprese, chiamate a garantire 24/7 la sicurezza dei sistemi IT e la privacy dei dati.

La cloud adoption, se non affrontata in maniera consapevole dal punto di vista dei rischi alla sicurezza informatica, può infatti rivelarsi un’arma a doppio taglio, a fronte delle straordinarie opportunità di crescita che concede.

Attraverso l’esperienza di IFIConsulting, da anni al fianco delle aziende come SOC (Security Operation Center), consulente strategico e provider di soluzioni di cybersecurity, vediamo cosa si intende per cloud security e quali sono i fattori da considerare per rendere sicura e robusta un’infrastruttura IT sempre più ibrida, dove i dati vengono ospitati sempre più spesso sulle risorse in cloud gestite da terze parti.

Cloud Security

Per contestualizzare la sicurezza in cloud occorre partire dalla definizione stessa di cloud computing.

Il NIST (National Institute for Standards and Technology), organo del dipartimento del commercio del governo degli Stati Uniti, estremamente autorevole in fatto di sicurezza informatica, definisce il cloud computing come:

Il cloud computing ha esteso la possibilità di configurare l’infrastruttura IT almeno secondo cinque modelli di distribuzione:

  • On-premise: tradizionale data center in-house, in cui l’infrastruttura fisica e virtuale, così come i dati, rimangono entro il tradizionale perimetro aziendale.
  • Private cloud (cloud privato): un cloud service provider (CSP) dedica un’infrastruttura ad un solo cliente, per garantire isolamento e controllo in maniera simile alle soluzioni on-premise, ma con una gestione dei servizi centralizzata.
  • Public cloud (cloud pubblico): un cloud server provider utilizza la stessa infrastruttura per erogare servizi a più clienti, sfruttando economie di scala per rendere più conveniente l’offerta.
  • Hybrid Cloud (cloud ibrido): ambiente IT che prevede soluzioni in cloud privato, pubblico e infrastruttura on-premise, per risolvere puntualmente le esigenze di business e mantenere in-house i dati che non possono essere condivisi con terzi.
  • Multi cloud: ambiente IT in cui si utilizzano più servizi in cloud pubblico, erogati da differenti CSP, per soddisfare esigenze di carattere tecnico ed economico, oltre a ridurre i rischi di lock-in.

In questo contesto:

(Fonte Wikipedia)

Appare evidente come la parziale perdita di controllo nella gestione IT comportata dall’adozione di servizi in cloud pubblico inneschi un concetto di responsabilità condivisa tra il provider e il cliente.

I cloud service provider, in particolare quando si prende in considerazione il cloud pubblico, seguono un modello di responsabilità condivisa con gli utenti dei loro servizi.

La condivisione a cui si fa riferimento risiede nel fatto che gli aspetti relativi alla sicurezza, a seconda della tipologia di modello (es. SaaS, PaaS, IaaS, ecc.) sono riconducibili in parte al provider, per quanto riguarda l’infrastruttura e le applicazioni gestite, in parte al cliente finale, a cui rimangono quasi sempre in capo almeno l’autorizzazione degli utenti e la privacy dei dati condivisi.

Quando si pianifica una strategia di cloud adoption o cloud migration, le aziende devono avere pertanto ben chiare quali sono le loro responsabilità a loro carico e quali sono le garanzie da verificare e richiedere ai CSP a cui si rivolgono.

I modelli di responsabilità condivisa possono variare anche sensibilmente, a seconda del provider di servizi e del modello di servizio di cloud computing.

Di fronte ad un mare di possibilità, la consulenza di un player dotato di comprovabile esperienza in materia di cloud computing come IFIConsulting può rivelarsi determinante nel guidare le aziende nella giusta direzione, evitando spiacevoli sorprese, soprattutto quando entra in gioco la sicurezza dei dati e delle applicazioni.

A titolo divulgativo, vediamo quali sono, relativamente al modello a servizio preso in considerazione, le responsabilità del provider e quelle del cliente finale.

  • Il cliente è responsabile dei dati, delle applicazioni, dei controlli di rete, dei sistemi operativi e dell’accesso/autorizzazione utenti.
  • Il CSP è responsabile del funzionamento dei componenti hardware/software alla base dell’infrastruttura IT (computing, storage, network) e dei sistemi di gestione dei dati, di cui si occupa della configurazione e del mantenimento (aggiornamenti firmware, rilascio patch, ecc.).
  • Il cliente è responsabile dei dati, delle applicazioni e dell’accesso/autorizzazione utenti.
  • Il CSP è responsabile del funzionamento dell’infrastruttura fisica su cui avviene la virtualizzazione e dei sistemi operativi.
  • Il cliente è responsabile dei dati e dell’accesso/autorizzazione utenti.
  • Il CSP è responsabile del funzionamento dell’infrastruttura, dei sistemi operativi e delle applicazioni.

Nel caso della sicurezza del cloud vanno considerati tutti i rischi dell’IT, come le violazioni e la perdita dei dati, il phishing, i malware, gli attacchi DDoS e le vulnerabilità della rete e delle applicazioni, giusto per citare alcune.

Inoltre, vi sono rischi specifici del cloud.

Le risorse virtualizzate in cloud vengono eseguite utilizzando un’infrastruttura di terze parti.

I modelli a servizio non prevedono il controllo diretto di tutti gli asset cloud a disposizione.

In un contesto ibrido si possono raggiungere numeriche anche molto elevate di servizi gestiti da differenti provider, utilizzati da differenti linee di business in azienda.
Avere una visione d’insieme è fisiologicamente complesso.

Si tratta di uno dei rischi più rilevanti, da cui derivano molte violazioni dei dati negli ambienti IT in cloud.

La causa spesso risiede nella scarsa definizione dei controlli di sicurezza, password deboli e mancata crittografia dei dati da parte del cliente.

I servizi in cloud permettono l’accesso da remoto tramite la rete pubblica, ma possono essere vulnerabili ai cybercriminali che cercano dati sensibili delle aziende intercettando le credenziali degli utenti legittimi.

Nel caso del cloud computing valgono le stesse disposizioni in merito alla conformità sulla conservazione e sul trattamento dei dati, disciplinate dal GDPR, da normative specifiche di settore (es. Finance, healthcare) e da accordi privatistici tra l’azienda e i propri clienti / fornitori.

Il concetto di responsabilità condivisa rende più complesso per l’utilizzatore finale il controllo dei dati distribuiti su risorse di terze parti, anche in merito alla loro cancellazione (in caso di fine rapporto).

Se implementata in maniera corretta e consapevole, una strategia di cloud security può generare importanti benefici nel contesto aziendale, a cominciare dal fatto che i CSP dispongono mediamente di maggiori risorse da dedicare alla sicurezza rispetto alle singole organizzazioni, sia in termini economici che in fatto di competenze.

Un CSP degno di questo nome dispone di un’infrastruttura IT sicura “per design”, basata su un approccio Zero Trust. Tra i vantaggi più comuni è opportuno considerare:

La cloud security basa il proprio approccio sulla centralizzazione delle risorse, gestibili attraverso dashboard unificate, semplici ed intuitive nell’utilizzo. La complessità tecnologica e le competenze necessarie ai fini di garantire la sicurezza dei sistemi e dei dati vengono prese in carico dal provider, in maniera trasparente per il cliente finale.

In molti casi, il ricorso alla sicurezza in cloud consente di ottimizzare le risorse e limitare la spesa generale prevista per la sicurezza informatica, ad esempio avvalendosi in outsourcing di un security operation center, anziché implementarlo internamente, una condizione spesso sovradimensionata rispetto alle reali esigenze.

I CSP affidabili garantiscono elevatissimi standard di sicurezza end-to-end, lungo l’intero ciclo di vita dei dati e delle applicazioni, garantendo efficaci controlli di accesso, crittografia dei dati, backup e sistemi DLP (data loss prevention), ecc. Al tempo stesso i CSP adattano continuamente l’infrastruttura in modo da renderla puntualmente coerente e conforme alle normative sulla sicurezza e privacy dei dati, in maniera trasparente per gli utenti finali.

Quando si tratta di valutare una strategia programmatica di sicurezza del cloud le aziende dovrebbero tenere in considerazione almeno i seguenti aspetti:

  • policy per la protezione dei dati;
  • crittografia dei dati;
  • autorizzazione all’utilizzo dei dati;
  • controllo degli endpoint;
  • monitoraggio continuo dei sistemi;
  • formazione del personale.

Un principio universalmente accettato per la sicurezza informatica è l’adozione del modello Zero Trust, un paradigma avanzato rispetto alla tradizionale difesa basata sul perimetro di sicurezza informatica. Questo approccio tiene conto della crescente complessità delle infrastrutture IT dovuta all’utilizzo del cloud computing e all’accesso costante alla rete Internet pubblica.

In estrema sintesi, l’approccio Zero Trust si basa nel negare qualsiasi accesso alle risorse se non esplicitamente previsto da determinate policy.

L’incorporazione dei principi Zero Trust è essenziale nell’ambito delle architetture cloud, dove i CSP e i MSP devono assicurare elevati livelli di sicurezza informatica.

I clienti devono verificare tali standard durante l’adempimento della dovuta diligenza (due diligence), soprattutto se soggetti a normative come DORA o NIS2.

In particolare, costituisce buona prassi il fatto che:

  • I CSP dovrebbero dimostrare il pieno controllo sul proprio stack software. Integrano, coordinano e correlano tutto all’interno del loro stack, senza la necessità di ulteriori processi.
  • I CSP dovrebbero dimostrare il pieno controllo dello stack hardware e delle misure di sicurezza ad esso correlate.
  • I CSP dovrebbero dimostrare un’adeguata strategia di monitoraggio dei punti di accesso alle risorse da loro erogate, analizzando il “comportamento” degli endpoint che richiedono l’accesso.

La sicurezza in cloud offre una vasta gamma di tecnologie che le aziende possono utilizzare per rafforzare le proprie infrastrutture ibride.

È importante avere un consulente qualificato con esperienza comprovata in materia di cybersecurity per garantire la protezione necessaria.

Le CNAPP sono piattaforme cloud native che combinano le funzioni di sicurezza tradizionalmente disponibili utilizzando differenti servizi, ai fini di facilitare soprattutto la gestione delle procedure di sicurezza.

Il CSMA è una strategia di cybersecurity definita da Gartner, per identificare le procedure mirate a proteggere individualmente tutti i dispositivi attraverso funzionalità come firewall o antimalware, ai fini di rendere più robusta l’intera infrastruttura IT, evitando di affidarsi a quella concezione di perimetro unico ormai del tutto obsoleta nei confronti delle minacce provenienti dalla rete.

La CSMA offre alle aziende diversi vantaggi come una gestione semplificata dei provider di servizi di sicurezza e la creazione di stratificazioni nei sistemi di difesa per contrastare meglio gli attacchi. La protezione degli endpoint rimane cruciale sotto tutti i punti di vista.

Il SASE si basa sulla gestione centralizzata in cloud di tutte le funzioni di sicurezza attive sui sistemi IT aziendali, a prescindere dalla loro collocazione.

Quando configurato correttamente, un SASE può semplificare notevolmente la gestione della sicurezza, offrendo alte prestazioni e costi spesso inferiori rispetto alle metodologie tradizionali.

Il SASE comprende componenti moderni come ZTNA (Zero Trust Network Access), Firewall as a Service, Secure Web Gateway, ecc.

DevSecOps è un’evoluzione di DevOps che comprende la valutazione nativa di tutti gli aspetti di sicurezza del software, integrati sin dalla fase di design.

Attualmente esistono framework per automatizzare il DevSecOps e garantire la sicurezza del codice anche senza competenze specifiche. È comunque consigliabile la supervisione di un esperto in cybersecurity.

L’Intelligenza Artificiale è una capacità trasversale che attiva funzionalità di sicurezza nel cloud per far fronte a nuove minacce.

Per tali ragioni, le funzioni di AI e ML sono ormai integrate nelle principali soluzioni per la sicurezza del cloud, per:

  • Monitorare e prevenire le minacce alla sicurezza informatica utilizzando l’elaborazione in tempo reale dei dati di traffico grazie a sistemi di analisi comportamentale. Questi sistemi sono in grado di migliorare costantemente il proprio livello di efficienza.
  • Assumere un atteggiamento proattivo nei confronti della minaccia interna, rilevando le anomalie comportamentali delle risorse interne alla rete, nel contesto di utenze pienamente autorizzate.
  • Automatizzare i processi di risposta nei confronti delle minacce rilevate, isolando i sistemi violati, bloccando gli indirizzi IP sospetti, mettendo in quarantena i malware, ecc.
  • Redigere report analitici sulle attività di rete e dei sistemi di sicurezza, ai fini di suggerire azioni migliorative nel tempo.