Sicurezza nel cloud, come si suddividono le responsabilità?
Un assunto che ogni service provider dà per scontato nel proporvi il suo servizio è che il suo data center sarà sicuramente più sicuro del vostro, ma quando capita di chiedere dettagli per confermare queste valutazioni, molti fornitori non possono far altro che chiedere fiducia sulla parola. Affrontare questa scarsa visibilità da parte dei servizi offerti da terzi fa parte delle prospettive di gestione del rischio di un'azienda, ed è fondamentale effettuare una corretta valutazione di questo rischio, in funzione anche dei costi. Per questa fase di valutazione esistono sette differenti aree di responsabilità nella sicurezza del cloud di cui tener conto, ognuna con caratteri propri, e dipendente dal tipo di modello cloud che ci troviamo davanti.
Sicurezza del client
Generalmente la sicurezza del client è sotto la responsabilità del possessore del dispositivo. Se si tratta di uno dei vostri dipendenti e state gestendo il loro dispositivo allora questa diventa una responsabilità vostra. In caso di servizi SaaS, con un'applicazione scaricata, il discorso si fa più complicato. Ovviamente l'utente finale ha accettato i termini e le condizioni prima di scaricare l'app, ma si sa che non sono in molti a leggere le condizioni fino in fondo. In una nuvola pubblica non sapete come il provider dell'applicazione SaaS mette in sicurezza la connessione e come l'identificazione tra il dispositivo l'applicazione cloud viene eseguita. C'è una possibilità di identificare un'intercettazione o un furto dei dati?
Sicurezza della rete
I servizi cloud vengono acceduti sempre di più tramite internet, spesso usando connessioni SSL. In alcuni casi, principalmente nel caso di servizi cloud managed, potreste scegliere di usare connessioni VPN o anche linee in leasing se credete che queste forniscano i livelli di sicurezza più alti. Ovviamente c'è un prezzo per queste scelte, e avrete quindi bisogno di bilanciare rischi e costi.
Sicurezza fisica
Il service provider è ovviamente responsabile della sicurezza fisica dei suoi data center, quindi questo aspetto non è più un vostro problema quando utilizzate servizi cloud. In ogni caso se il service provider ospita le applicazioni e informazioni di molti utenti, la probabilità che un suo data center diventi bersaglio per criminali e hacker cresce esponenzialmente. In tal caso dovranno essere prese precauzioni maggiori rispetto a quelle di un data center normale. Potreste desiderare un audit degli stabilimenti prima di consumare i servizi del provider, e questo tipicamente è possibile con un cloud managed, ma molto più difficile con il public cloud. Quindi ancora una volta la sicurezza fisica dovrebbe diventare parte integrante del vostro criterio di scelta. Può rientrare in questa scelta anche la decisione di utilizzare un provider nazionale o di portata più piccola, per stabilire un rapporto più diretto e fiduciario, per quanto riguarda applicazioni e dati particolarmente sensibili.
Sicurezza di piattaforma
Quando consumate servizi non avete più il possesso della piattaforma, ovvero dello stack di infrastruttura e software richiesto per eseguire servizi cloud. La sicurezza di immagini di macchine virtuali, la robustezza del sistema operativo, il patching del software per evitare falle di sicurezza, il rilevamento di intrusioni, sono tutti sotto la responsabilità del service provider. Se consumate servizi IaaS, ricevete un ambiente VM ritenuto sicuro e avete la responsabilità nei confronti di tutto ciò che verrà eseguito nella macchina virtuale. Ci sono alcune sfumature, a seconda che compriate un macchina virtuale managed o unmanaged, ma essenzialmente le vostre responsabilità cominciano al livello VM. Dovreste valutare però se il SP esegue gli step di sicurezza per voi ritenuti necessari.
Sicurezza a livello applicativo
Se utilizate servizi IaaS o PaaS, almeno parte della sicurezza dell'applicazione è sotto la vostra responsabilità. Se consumate servizi SaaS, invece la responsabilità sta tutta dalla parte del SP. Il caso PaaS è molto interessante poiché avete in tal caso le redini della sicurezza a livello applicazione, pur facendo uso di librerie ed altri strumenti software offerti dal SP. Definire le responsabilità per ognuna delle parti è un punto critico in questo ambiente, e ancora una volta leggere attentamente termini e condizioni proposte non è uno spreco di tempo.
Sicurezza dei dati
Qui il termine discriminante è la crittografia, e chi gestisce le chiavi di crittografia. Se i dati sono persistenti e se recuperare o cancellare i dati memorizzati presso un provider cloud non è operazione così immediata, dovreste pensare a quali dati mettere in un cloud esterno prima di cominciare. Ricordate le precauzioni da prendere ed educate gli utenti a seguirle e a come comportarsi in caso di violazioni di sicurezza. Leggendo con attenzione ad esempio le condizioni Dropbox si scopre che:
“Dropbox will have no responsibility for any harm to your computer system, loss or corruption of data, or other harm that results from your access to or use of the Services or Software.”Possono i dati che state memorizzano subire questi rischi sotto la vostra responsabilità? Dipende dalla sensibilità e dal valore aggiunto che hanno per l'azienda.
Identità e gestione degli accessi
Cambia a seconda che si acceda ad un servizio cloud da un dispositivo mobile o meno. Con il cloud ibrido tipicamente si utilizza il Single Sign-On, che permette di identificarvi una volta e accedere a molteplici servizi. Questo rende sicuramente la vita più semplice, ma allo stesso tempo può provocare un SPOF (Single Point Of Failure).
Un buon modo per proteggersi indipendentemente dal modello di cloud al quale ci approcciamo è proteggere le informazioni private ancora priva di inviarle ad un cloud pubblico, non replicare la vostra organizzazione nel cloud, fornirvi di audit sui fornitori, e proteggere le vostre chiavi API.
