Uno studio recente ha fatto emergere come la corsa al cloud non tenga conto dei rischi legati alla sicurezza. Anzi spesso questa è vista come un inibitore di business
Quando la corsa al Cloud Computing non procede coniugata alla sicurezza informatica, si generano sacche di vulnerabilità che possono minare e compromettere la soluzione adottata.
Una recente studio pubblicato da Palo Alto Networks, sul tema della cloud security ha fatto emergere, per il 70% dei professionisti intervistati ed appartenenti alle grandi organizzazioni europee e del Medio Oriente, come la corsa al cloud non tenga conto in modo opportuno dei rischi di sicurezza e che addirittura la sicurezza è troppo spesso vista come un inibitore di business quando vengono adottate nuove applicazioni e servizi.
Indipendentemente dalle strategie per proteggere dati e azienda, si ricorda che la scelta di un provider e di una soluzione in cloud, dovrebbe avere luogo all’interno dell’adozione del modello di responsabilità condivisa, una politica di condivisione dei rischi di sicurezza informatica fra chi eroga servizi in Cloud e chi ne fruisce.
Fra i diversi report e le survey che si possono reperire sul tema, la versione quattro della Security Guidance emessa dal CSA (Cloud Security Alliance), raccoglie tutte le best practices di sicurezza da adottare per ognuno dei quattordici domini tematici di cui la guida si compone e specifica le responsabilità di ogni attore coinvolto, in relazione al modello cloud adottato: Saas (Software as a Service), Paas (Platform as a Service), Iaas (Infrastructure as a Service). Si sottolinea che tali controlli devono essere implementati tanto dal Cloud Provider (CP) che eroga infrastrutture e modelli di erogazione su Cloud, quanto dal Cloud Service Provider (CSP) che si candida ad avere un ruolo intermedio di servizio fra il Cloud Provider e le aziende finali. Ma anche le aziende finali sono interessate da una quota parte della responsabilità verso la gestione in sicurezza dei propri dati.
I sei controlli principali secondo Tripwire
Secondo Tripwire sono sei i controlli principali da dover tenere sempre presenti per difendersi dagli attacchi hacker: difese dal rischio Phishing e dalla sottrazione di password e credenziali, un’appropriata gestione della sicurezza delle reti (nella porzione di cloud in uso), la gestione del rischio di minacce provenienti dall’interno dell’organizzazione aziendale ed una adeguata recovery dagli incidenti di sicurezza. A tal proposito l’azienda ha emesso un white paper che spiega in dettaglio per ognuno dei sei ambiti, cosa dovrebbe essere previsto in termini di elemento di controllo ed anche la tipologia di strumento tecnologico devoluto alla gestione di quel controllo e questo per ogni attore della catena: CP, CSP e naturalmente per l’azienda cliente finale.
Nell’ambito degli strumenti di gestione delle identità e dei controlli per l‘accesso dell’utenza, ma anche della crittografia dei dati caricati sul cloud da parte dell’utenza, è necessario che il Cloud Provider metta a disposizione degli strumenti di supporto in forma di servizi richiamabili (API) che possano essere utilizzati, sia dalle aziende che si candidano al ruolo di Coud Service Provider, sia dalle aziende che costituiscono una utenza finale.
Cloud Provider come AWS e Microsoft Azure hanno già da tempo messo a disposizione servizi di gestione delle identità, di gestione e sicurezza delle chiavi di crittografia, come anche la gestione delle Virtual Private Network (VPN) e di anti-DDOS. Questi servizi sono interfacce API richiamabili da chi sviluppa applicazioni per il Cloud, che in questo modo può fattivamente rendere la sicurezza informatica, come un componente inserito fin dal design dell’applicazione (implementando quella Security-by-design tanto cara anche alla normativa del GDPR, General Data Protection Regulation n.d.r.).
Non si tratta di supportare la generica esigenza di gestione di password complesse, ma di fornire strumenti di gestione delle identità che permettano l’identificazione, l’autenticazione e l’autorizzazione come un processo strutturato e gestito, compreso un sistema multi fattore di autenticazione ed un appropriata gestione delle complessità per le password. La crittografia dei dati è da sempre suggerita e auspicata, ma solo da quando sono stati previsti servizi di sicurezza nella gestione delle chiavi di crittografia, che si sono potute implementare soluzioni più robuste e complete, in cui il processo di crittografia dei dati può essere nativamente inserito come feature nelle applicazioni sviluppate per il cloud. Lo stesso vale per i servizi che prevedono controlli Anti-DDOS e per la creazione e gestione di reti VPN che permettono istanziare sistemi cloud multitenant da parte del Cloud Service Provider.
Tutto questo permette l’abilitazione del business sul Cloud senza dimenticare le necessarie feature di sicurezza informatica.
La gestione delle chiavi crittografiche
In aggiunta ad AWS e a Microsoft Azure anche Equinix ha recentemente annunciato una soluzione Software-as-a-Service (SaaS) di gestione delle chiavi e di crittografia: la Equinix SmartKeyTM. Le caratteristiche della soluzione sono conformi ed equivalenti al KMS (Key Management System) di AWS e al K-Vault di Azure. In tutti e tre i servizi si possono definire policy, effettuare provisioning, archiviazione e gestione delle chiavi in qualsiasi ambiente pubblico, privato, ibrido o multicloud ed è garantita la sicurezza di livello HSM (Hardware Security Module n.d.r.) ovvero mediante moduli di sicurezza hardware per proteggere le chiavi (in particolare Equinix utilizza crittografia e tokenizzazione integrate e certificazione FIPS 140-2 di Livello 3 n.d.r.)
Qualunque sia il Cloud Provider o nell’ipotesi in cui una azienda si dovesse connettere e scambiare dati tra diversi cloud, provider IT e destinazioni di rete di terze parti, la gestione delle chiavi crittografiche consente diversi benefici: si migliora la sicurezza per ambienti multicloud, cloud ibridi e distribuiti grazie alla separazione fra le chiavi di crittografia e i dati crittografati, in modo che non siano conservati dalla stessa entità; si elimina la necessità di acquistare e distribuire hardware specializzato sostituendo questo metodo tradizionale con una funzionalità SaaS nativa; si consente alle aziende di gestire globalmente le chiavi di crittografia in più regioni, Paesi e con partner diversi; si forniscono controlli di gestione per mantenere i dati e le chiavi di crittografia nella stessa regione o Paese a supporto della sovranità dei dati e dei requisiti normativi (ad esempio il GDPR).
Approfondimenti
Equinix mostrerà SmartKey al RSA 2018 Conference presso Moscone Center a San Francisco (stand 2240) che si terrà dal 16 al 20 aprile, 2018 ma chiunque voglia provare il servizio ha a disposizione un periodo di prova di 30 giorni non vincolante.
La soluzione KMS (Key Management System) è ampiamente documentata presso il sito AWS, mentre la soluzione K-Vault è descritta nel sito Azure.