Cloud Security: quali sono i rischi e i consigli per affrontarli
Le aziende di tutto il mondo stanno continuando ad innovare con varie iniziative di trasformazione digitale. Quest’adozione del cloud sempre più ampia, in particolare, sta creando nuove opportunità per i cyber criminali di condurre attacchi. Un episodio del dicembre 2021, ad esempio, ha messo in luce come una vulnerabilità emersa da alcune applicazioni (Log4Shell), ha messo in luce gravi lacune nella sicurezza di molte organizzazioni, anche quelle con una strategia di cyber security robusta e potente.
Le aziende, spinte dalla necessità di stare al passo con la trasformazione digitale, spesso introducono la sicurezza solo in un secondo momento. Tuttavia, la sicurezza nel cloud deve essere affrontata come un processo che accompagni tutte le fasi di migrazione o adozione del cloud. Per questo motivo, è necessario trovare un equilibrio tra le possibilità di utilizzo dei servizi nel cloud e la protezione dei dati e delle informazioni. Ma cosa si intende esattamente quando si parla di cloud security?
Che cos’è la cloud security
La Cloud Security è un insieme di procedure e tecnologie progettate per proteggere gli ambienti cloud da minacce interne ed esterne. Include controlli di sicurezza, miglioramenti dei processi, avvisi di potenziali tentativi di violazione e rilevamento di incidenti. La Cloud Security è strettamente correlata ai piani di Business Continuity, Backup e Disaster Recovery.
Un recente report di Flexera ha rivelato che l’81% delle aziende è preoccupato per la sicurezza nel cloud. Le principali apprensioni sono legate a controlli inadeguati o inefficaci sulle risorse, mancanza di visibilità delle risorse, controlli non sufficienti alle modifiche e al versionamento, gestione carente della configurazione e controlli agli accessi non efficaci. Tali vulnerabilità possono essere sfruttate da utenti non autorizzati o malintenzionati per accedere a dati sensibili e risorse interne, mettendo a rischio la sicurezza dell’ambiente cloud e di conseguenza dell’azienda.
I rischi per la sicurezza del cloud
Vediamo quali sono le principali minacce, rischi e vulnerabilità che ogni azienda dovrebbe prendere in considerazione quando affronta l’adozione o la migrazione al cloud – sia essa di poche applicazioni o di interi sistemi e infrastrutture.
Riservatezza dei dati
Si fa riferimento alla riservatezza o alla confidenzialità dei dati come alla capacità di escludere che l’informazione sia fruita da persone o risorse sprovviste di esplicita autorizzazione. Si realizza attraverso l’autenticazione degli utenti, contestualmente ad opportune restrizioni di accesso.
Ogni volta che un cliente, un’azienda, un’agenzia governativa o qualsiasi altra entità carica dati sul cloud, possono sorgere preoccupazioni riguardo alla privacy e alla riservatezza dei dati caricati. Molti professionisti sottolineano come i meccanismi di sicurezza forniti dai provider di cloud spesso non siano sufficienti e rappresentino un ostacolo all’adozione del cloud computing. Il cloud, infatti, è in grado di gestire grandi quantità di dati e task intensi; di conseguenza, i tradizionali meccanismi di sicurezza, come gli antivirus e i firewall, potrebbero non essere sufficienti. Inoltre, le minacce alla privacy variano a seconda dello scenario e del settore: ad esempio, i requisiti di privacy sono diversi tra il settore bancario e un servizio di posta elettronica.
La gestione degli accessi e le funzionalità di privacy sono quindi elementi essenziali da prendere in considerazione.
Interfacce poco sicure
Gli utenti interagiscono con il cloud provider attraverso una serie di interfacce o API che gestiscono, orchestrano e monitorano tutta l’attività degli utenti. Queste API funzionano come dei gateway alle risorse e ai servizi cloud. Mettere in sicurezza il gateway ha un impatto enorme sulla sicurezza globale dei servizi cloud. Ogni accesso non autorizzato a questi portali potrebbe compromette l’integrità del software o dell’applicazione.
Utenti interni malintenzionati
Sicuramente gli utenti malintenzionati interni all’azienda sono una minaccia su qualsiasi livello. Tuttavia, questa minaccia viene amplificata in un ambiente cloud: il cliente finale non ha nessun controllo sul processo di assunzione dei dipendenti del provider. Non ha neanche alcun controllo sul tipo di background check che viene eseguito dal provider prima di assumere un dipendente, in modo particolare a quelli che hanno accesso ai data center.
Controlli stringenti, monitoraggio e log di tutti gli accessi ai dati sono indispensabili per attenuare la possibilità di data breach originati dallo staff interno.
Risorse condivise
La scalabilità nel cloud si realizza attraverso la condivisione dell’architettura. L’isolamento tra I singoli proprietari è a livello virtuale, ma le risorse delle macchine sono condivise. Se i componenti sottostanti non sono progettati per l’isolamento, questa condivisione delle risorse introduce potenzialmente la possibilità che un proprietario possa “sbirciare” i dati di un altro, magari un concorrente.
I server utilizzati nel cloud sono tipicamente multi-core e multi-processore e i dati potrebbero potenzialmente fluire da un core all’altro. Inoltre, la cache è tipicamente condivisa in un processore multi-core, rendendo di fatto possibile che le informazioni immagazzinate nella cache siano soggetto di sniffing.
Anche il processo di virtualizzazione fa sorgere alcuni rischi. La virtualizzazione permette a molte macchine virtuali isolate (guest) di girare in modo concorrente su una singola macchina host. L’hypervisor, anche Virtual Machine Monitor (VMM), dovrebbe fornire un isolamento perfetto tra guests, cosa che invece oggi non è garantita. Un ambiente guest virtualizzato non dovrebbe infatti interferire con un altro o con il sistema host. Con questo tipo di ambienti di virtualizzazione è possibile venire esposti ad attacchi di VM escape e VM hopping.
> Leggi anche: Dalle VMs al Serverless, passando per i container
Richiedi al provider un report dettagliato delle sue strategie di isolamento e delle tecniche di virtualizzazione per trovare un equilibrio da usabilità e sicurezza dei dati.
Attacchi Dos
Gli attacchi Dos sfruttano le vulnerabilità delle infrastrutture cloud. Il provider deve essere molto ben attrezzato per essere in grado di indentificare e agire velocemente su ogni livello di applicazione di un attacco Dos. I provider dovrebbero avere un’infrastruttura robusta che identifica e protegge sé stesso e i clienti dagli attacchi di tipo DDos (Distributed Denial of Service). Dovrebbero essere implementate quantomeno delle tecniche di mitigazione, come ad esempio la limitazione del numero di connessioni. Gli attacchi DDos che colpiscono un’infrastruttura condivisa possono permettere al malintenzionato di occupare tutte le risorse fisiche disponibili di una macchina, impedendo di fatto all’hypervisor di soddisfare il fabbisogno di risorse di altre macchine virtuali. Anche l’hypervisor dovrebbe essere configurato per limitare la distribuzione delle risorse. Sarebbe vantaggioso per un cliente assicurarsi che uno SLA definisca chiaramente le responsabilità del cloud provider.
Disponibilità delle risorse
La disponibilità si riferisce ad uno stato in cui le risorse sono prontamente raggiungibili, nel momento in cui si rendono necessarie. Tale requisito si ottiene quando tutti i componenti del sistema di elaborazione e trasmissione delle informazioni funzionano correttamente.
Dal momento che l’infrastruttura nel cloud è condivisa, una falla minore potrebbe risultare in un disservizio grave che colpisce più aziende. Ad esempio, nel 2011, l’Amazon EC2 ha subito un’interruzione causata da una falla nel network di una delle sue zone di disponibilità. Molte grandi piattaforme, come ad esempio Netflix e Reddit ne sono state colpite.
I servizi cloud dovrebbero essere correttamente progettati e manutenuti per prevenire questo tipo di disservizi o interruzioni. È sempre una buona idea negoziare con il cloud provider i piani di backup e i tempi di risposta nel caso di un’interruzione del servizio cloud.
> Leggi anche: Pianificazione della Data Protection – Backup e Disaster Recovery
Compliance
Assicurarsi che il cloud provider segua tutti regolamenti e i requisiti di conformità della nazione di riferimento è ovviamente essenziale. I requisiti del GDPR includono, ad esempio, che il titolare del trattamento sia trasparente riguardo alla trasmissione dei dati ad un cloud provider. Il GDPR obbliga anche i titolari del trattamento a notificare violazioni di sicurezza dei dati personali entro 72 ore dal momento in cui ne siano venuti a conoscenza. In Europa, si è formata ad esempio la CISPE (Cloud Infrastructure Service Provider in Europe), un’associazione di cloud provider che si impegna a rispettare un codice di condotta orientato al rispetto del GDPR.
> Scopri la consulenza in materia Data Protcetion
Integrità dei dati
Si parla di integrità per riferirsi ad una condizione in cui le informazioni rimangono inalterate e coerenti, salvo che non vengano apportate modifiche autorizzate. Si realizza curando l’adeguatezza delle misure di archiviazione e trasmissione, nonché la prevenzione degli accessi illegittimi ai sistemi logici e fisici di stoccaggio ed elaborazione.
L’integrità dei dati viene raggiunta per mezzo della cifratura, che però aggiunge complessità operazionale e gestionale, oltre che del carico computazionale, andando ad impattare sulle performance.
Abbiamo visto tutte le minacce e le vulnerabilità del cloud, ma ricordiamo anche che esistono alcune best practices che spesso trascurate e che possono invece fornire un valido aiuto nela sicurezza nel cloud: ad esempio l’implementazione di un sistema di monitoraggio e alert, il controllo degli accessi, permessi ben definiti e un sistema di autenticazione robusto e sicuro.
Kinetikon si propone come partner nel tuo percorso di adozione, migrazione, gestione e messa in sicurezza del cloud: scopri di più e contattaci per iniziare il percorso verso la soluzione cloud più adatta alle tue esigenze.