Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Un punto di vista
di Trend Micro
Febbraio 2011
Dave Asprey,
VP Cloud Security
CHI DETIENE LA SICUREZZA IN-THE-CLOUD?
DI loro iniziativa o perch sono costretti a farlo da ragioni aziendali, i responsabili IT stanno
rivalutando le loro opzioni alla luce del nuovo ambiente informatico del 21 secolo. Vogliono
conoscere i rischi connessi e soprattutto a quale livello si debbano collocare responsabilit
e contabilit relative alla sicurezza.
Dal punto di vista del metodo del cloud pubblico, ci che soprattutto conta la scalabilit
e la capacit di utilizzare le spese di esercizio anzich le spese in conto capitale. I clienti
che adottano cloud computing evitano spese per capitale per hardware, software e altri
servizi infrastrutturali, pagando ai loro vendor solo ci che utilizzano, secondo un modello di
fornitura di servizio. La fornitura su richiesta di risorse consente inoltre alle aziende una
scalabilit dinamica, regolata secondo le esigenze informatiche in tempo reale, migliorando
notevolmente lagilit aziendale.
Dal punto di vista privato, il cloud computing verte soprattutto su un aumento di flessibilit
e reattivit rispetto alle esigenze dei consumatori interni.
Con questo genere di vantaggi, non certo sorprendente che vi sia un grande interesse nei
confronti di questo nuovo paradigma informatico. Una ricerca Cisco di dicembre, ad esempio,
ha rilevato che il 52% dei professionisti IT a livello globale utilizza o intende utilizzare il cloud
computing entro i prossimi tre anni. Da un sondaggio analogo relativo alla sicurezza dei dati
effettuato da ISACA (marzo 2010) emerso che un terzo delle organizzazioni europee ha gi
adottato sistemi di cloud computing, mentre Accenture, in uninchiesta a livello globale (luglio
2010), ha riscontrato che la met dei suoi clienti esegue in-the-cloud varie applicazioni
mission critical.
Si detto molto a proposito del fatto che, con il modello del cloud pubblico, la tradizionale
protezione del perimetro aziendale semplicemente cessa di esistere. Firewall, sistemi di
prevenzione delle intrusioni e altre funzionalit standard di protezione, secondo tale visione,
non possono estendersi in-the-cloud e le aziende devono invece affidarsi al livello di base
di protezione del perimetro offerta dal vendor del servizio in-the-cloud.
Tuttavia, da unaltra prospettiva, loperativit del modello della protezione del perimetro non
cessa assolutamente, bens diviene un utile elemento di unarchitettura attiva della prote-
zione, ma non lunico elemento. Nelladottare il modello in-the-cloud, le aziende manten-
gono la nozione di perimetro. La scelta per le aziende se estendere il perimetro
allambiente in-the-cloud, estendere il modello in-the-cloud allinterno del perimetro oppure
adottare entrambe le soluzioni. In ogni caso, sono necessari livelli ulteriori di protezione,
cos come avviene negli ambienti interni di protezione aziendale. Tuttavia, entrambi gli
scenari hanno alcuni svantaggi relativamente alla potenziale carenza di visibilit e controllo
che derivano dallutilizzo dei servizi forniti in-the-cloud. I CISO (Chief Information Security
Officer, responsabile della sicurezza informativa) devono essere attenti, operare con la
dovuta cura ed essere coscienti dei rischi conseguenti.
1) Il primo scenario, cio lestensione del perimetro del cloud, comporta limpostazione di
un tunnel VPN IPSec verso i server dei provider del cloud pubblico e limplementazione di
protezione di livello aziendale sui server del cloud pubblico, di solito mediante software di
protezione e dispositivi virtuali.
Tuttavia, per quanto concerne gli svantaggi, si deve dire che, a seconda dellefficacia nella
protezione dei server in-the-cloud, si potrebbero introdurre nella propria architettura i rischi
associati al cloud computing (illustrati di seguito). Per favorire la riduzione del rischio,
importante che il collegamento fra ambiente in-the-cloud e server interni venga controllato
alla ricerca di traffico sospetto, come del resto deve avvenire per tutti i server pi importanti,
a prescindere dalla loro collocazione in ambiente in-the-cloud. Unaltra opzione laggiunta
di unulteriore DMZ e di un firewall, bench ci comporti la creazione di un altro perimetro
da proteggere.
Molte aziende dimenticano o ignorano questo passaggio nella fretta di adottare il modello
in-the-cloud, specialmente quelle di dimensioni pi piccole che non dispongono del tempo
e delle risorse IT per gestire larchitettura di tali barriere di protezione.
RISCHI
I CIO devono essere coscienti dal fatto che i server in-the-cloud saranno soggetti a minacce
diverse da quelle che sono abituati ad affrontare internamente allazienda.
Uno dei principali motivi di preoccupazione che i vendor in-the-cloud ben difficilmente
forniranno allazienda i registri di accesso, fisico o amministrativo. In che modo lazienda
potr sapere se un amministratore IT che lavora per il vendor del cloud pubblico ha
effettuato un accesso ai dati aziendali? La minaccia interna pu essere mitigata in una
certa misura mediante la gestione dei registri di accesso, ma questa carenza di visibilit
a livello in-the-cloud dovrebbe comportare unadozione diffusa dalla crittografia dei dati
come metodo standard.
Gli archivi condivisi presentano unulteriore area a rischio per quelle aziende preoccupate
della protezione dei loro dati, qualora vengano archiviati nel medesimo disco in-the-cloud
utilizzato da unazienda concorrente.
Alcuni vendor del cloud pubblico non affrontano le tematiche della sicurezza con la giusta
attenzione, o non si comportano in modo trasparente circa le loro attivit, come invece
dovrebbero fare. Innanzitutto, se si intende collocare dati mission-critical in-the-cloud,
necessario verificare almeno il rigoroso rispetto delle best practice per la sicurezza,
come le normative ISO 27001 e SAS70 II, ed esaminare con la massima attenzione il
livello dei servizi (SLA) e le politiche di sicurezza del vendor.
In collegamento al punto precedente, molti vendor in-the-cloud, nel caso di violazione dei
dati, prevedono un rimborso del solo costo del servizio fornito, anche quando il problema
stato causato da una loro negligenza. Una violazione dei dati che pu causare un
danno incalcolabile alla reputazione, multe e perdite economiche potenzialmente
nellordine di milioni, ad esempio, ricadr sulle spalle del cliente.
Protection Network, che collega i server di protezione allinterno della rete aziendale a una
rete di protezione costituita da migliaia di server in-the-cloud.
Tuttavia, nonostante la relativa semplicit con cui si pu avere uno di questi elementi nel
proprio datacenter o in un sede aziendale secondaria, gestito e aggiornato a livello centra-
lizzato da parte del vendor in-the-cloud, i principali svantaggi sono rappresentati dal fatto
che, essenzialmente, si tratta sempre di un servizio in-the-cloud e come tale presenta ai
responsabili IT molti dei rischi tipici della prima soluzione.
Permangono i rischi connessi alla mancanza di visibilit dei registri di accesso fisici e/o
amministrativi.
Si tratta di prestare attenzione alla differenza fra un protezione abbastanza buona e una
protezione ottimale. Un servizio e-mail basato su cloud attivato allinterno del perimetro
aziendale da un fornitore di servizi che preveda la gestione della protezione, ad esempio,
probabilmente sar pi affidabile rispetto allo stesso servizio offerto da un vendor
pubblico in-the-cloud.
La verit spiacevole che se si pensa di poter chiedere aiuto al vendor in-the-cloud proba-
bilmente si rester delusi; anzi, i propri compiti potrebbero essere resi ancora pi difficili
dalla carenza di visibilit nellaccesso ai registri o dalla sconcertante nebulosit sui criteri
di protezione.
Possono presentarsi problemi per la protezione della rete in ambiente in-the-cloud, dal
momento che ben pochi vendor di cloud pubblico saranno disposti a consentire di
controllare il traffico di rete con la precisione desiderata. Nella rete aziendale, la configu-
razione e i registri di tutti i router/switch sono disponibili, perci possibile controllare
qualsiasi traffico di rete. Al contrario, in-the-cloud questi dati non sono disponibili. Questo
fattore potrebbe causare limpossibilit da parte del metodo in-the-cloud di conformarsi
alle regole, dunque essenziale sapere qual il livello di controllo e accesso di rete
consentito dal vendor.
La crittografia dei dati a riposo e in transito assume una grande importanza, a causa
della carenza di visibilit del traffico di rete e dei registri di accesso amministrativo del
vendor.
Negli ambienti in-the-cloud privati, la gestione della sicurezza da parte del settore IT
viene messa in discussione dalla velocit con cui vengono creati i server. Lequilibrio
naturale fra la capacit del settore IT di implementare i server e le esigenze aziendali di
utilizzarli vacilla a causa dellaccelerazione del processo stesso. Ci che interessa alle
aziende, oggi, di sapere se riusciranno a coprire i costi di una licenza, inoltre in un
ambiente in-the-cloud privato un dipartimento aziendale pu disporre di un server
funzionante in 1/2 giorni, non pi in 6 settimane.
Tuttavia, ogni richiesta per un nuovo server devessere gestita in modo appropriato, poich
i rischi per la sicurezza aumentano allaumentare del numero di unit da gestire. importante
che i responsabili IT mettano a punto un processo centralizzato di autorizzazione che assicuri
che ogni richiesta aziendale passi innanzitutto tramite il settore IT.
V. APPROFONDIMENTI
Aziende
Vanno utilizzati tutti gli strumenti di protezione che si adottano per i server fisici anche per
i server in-the-cloud, dal momento che i vendor in-the-cloud vi forniranno un OS privo di
funzioni adeguate per la protezione dei dati.
Vendor in-the-cloud
In qualit di vendor in-the-cloud, occorre adottare una maggiore trasparenza nei criteri
e nelle procedure di protezione, nellambito dei controlli dellaccesso e del traffico di rete.
I clienti hanno la necessit di sapere chi fa che cosa, e devono poter accedere ai registri.
Occorre chiarire al meglio il livello del servizio (SLA), in modo che i clienti possano sapere
quali sono le funzioni di protezione offerte e di cosa hanno bisogno per assicurare la prote-
zione dei loro dati secondo i loro e i propri standard di regolamentazione.
necessario creare un processo centralizzato di autorizzazione per tutti i nuovi server in-
the-cloud richiesti dallazienda, qualora non ne esista gi uno. Per ogni richiesta, si dovr
sapere quali sono le esigenze alla base della richiesta, che cosa andr in esecuzione sul
server e la quantit di traffico previsto; inoltre si dovranno effettuare controlli periodici su
questi elementi.
Bisogna essere pronti al fatto che il settore IT verr spinto ad accelerare la propria velocit
operativa. Per il bene dellazienda, occorre essere pronti a supportare tali esigenze in modo
puntuale, senza compromettere la sicurezza.