Sicurezza, Firewall e policies, come operare nel cloud

La sicurezza è un aspetto molto importante da gestire per chi usa servizi cloud ed è anche il maggiore freno all'utilizzo di suddetti servizi. Vediamo come affrontare il problema.

E parliamo ora del problema della sicurezza del cloud. Da cosa nasce la resistenza nei confronti del cloud, legata ai temi della sicurezza e della privacy, e che in parte ne rallenta la diffusione.  Perché la domanda che si pone sempre ogni nuovo utente che approccia il cloud, se può fidarsi di lasciare i propri dati all’interno di una struttura esterna, nel 50% delle volte non fornisce una risposta adeguatamente convincente da dare sicurezza all’utente?

È assodato che il cloud computing sia uno dei settori del mercato IT che ha registrato la crescita più interessante negli ultimi anni, e questo trend è motivato dall’enorme vantaggio che possono trarne  aziende di qualsiasi dimensione; le piccole e medie imprese, con il cloud computing consentono al team IT di operare in modo più efficiente con tempi limitati, mentre nelle grandi imprese, il cloud fornisce la scalabilità necessaria per rispondere rapidamente alle condizioni di mercato che cambiano. Le aziende di qualsiasi dimensione possono sfruttare il cloud per incrementare aspetti quali innovazione e collaborazione.

Inutile nascondere però che esiste un problema legato all’aspetto tecnico riguardo il come è implementata la sicurezza del sistema e conseguentemente i rischi che corrono i dati salvati nel cloud. Oltre questo esiste anche un problema giurisdizionale e normativo legato al cloud, e ciò che accade è che questi due aspetti rappresentano insieme un ostacolo  alla sua diffusione, con ripercussioni negative a danno di tutti i soggetti coinvolti, aziende, settore pubblico e provider.

Molte aziende giustificando la loro esitazione con preoccupazioni quali la perdita dei dati e gli accessi non autorizzati, e sono per questo restie all’affidarsi ai fornitori di soluzioni per il cloud per affrontare e risolvere la sfida del rinnovamento tecnologico e non godono appieno dei vantaggi del cloud.

 

Dove nasce il problema

Affidando i propri dati ad un sistema remoto, di cui non si conosce la struttura interna, la dislocazione fisica, il personale di manutenzione, nasce di conseguenza una certa diffidenza nei confronti del sito dove verranno salvati i dati stessi. L’utente perde il controllo diretto ed esclusivo dei propri dati, per cui  la riservatezza e la disponibilità delle informazioni spostate sull’infrastruttura cloud dipendono oltre che dai comportamenti dell’utente anche e soprattutto dai meccanismi di sicurezza adottati dal service provider e che occorre in qualche modo studiare e valutare in anticipo. Nasce un ulteriore dubbio se si considera che il servizio prescelto potrebbe essere il risultato finale di una catena di trasformazione di servizi acquisiti presso altri service provider, diversi dal fornitore con cui l’utente stipula il contratto di servizio, accade così che l’utente potrebbe non sempre essere messo in grado di sapere chi, dei vari gestori dei servizi intermedi, può accedere a determinati dati.

Un aspetto da non trascurare è che la conservazione dei dati in luoghi geografici differenti ha riflessi immediati sia sulla normativa applicabile in caso di contenzioso tra l’utente e il fornitore, sia in relazione alle disposizioni nazionali che disciplinano il trattamento, l’archiviazione e la sicurezza dei dati.

I diversi aspetti legati alla privacy ed alla sicurezza dei dati nella cloud

Il problema della sicurezza di un ambiente cloud deve essere analizzato quindi da due punti di vista differenti, uno che prende in considerazione l’aspetto legato alla sfera legale e normativa che riguarda il trattamento dei dati, e l’altro tecnico, cioè le soluzioni che deve adottare il provider per implementare una struttura che garantisca la sicurezza dei dati, e che i clienti devono valutare per avere la tranquillità che i propri dati non siano soggetti a furti, accessi non autorizzati, e che siano immediatamente disponibili a seguito di incidenti di sicurezza (vale a dire che sia implementata una robusta policy di backup e di disaster recovery).

 

È bene evidenziare come l’adozione di servizi cloud e l’esternalizzazione dei dati non sollevano le imprese e le amministrazioni pubbliche che se ne avvalgono, dalla responsabilità di trattare e proteggere i dati in maniera opportuna. I trattamenti di dati personali richiedono sempre un’attenta valutazione dei rischi legati alla sicurezza e alla fruibilità delle informazioni, indipendentemente dalle modalità di trattamento e da chi li tratta. È opportuno tenere in considerazione le particolari caratteristiche delle nuove tecnologie, con lo scopo di gestire e tenere sotto controllo i potenziali pericoli che possono derivare da utilizzi scarsamente consapevoli e da modelli innovativi adottati con metodi, prassi e processi non ancora sufficientemente solidi ed in grado di nascondete alcune criticità.

Aspetti giuridici e normativi legati al cloud computing

Attualmente manca ancora un quadro normativo aggiornato in tema di privacy, in ambito civile e penale, che tenga conto di tutte le novità introdotte dal cloud computing e che sia in grado di offrire adeguate tutele nei riguardi degli aspetti giuridici legati all’adozione di questo servizio.

 

In attesa di una normativa nazionale e internazionale aggiornata e uniforme, che permetta di governare il fenomeno cloud ed il trattamento dei dati senza rischiare di penalizzare l’innovazione e le potenzialità di sviluppo di questa nuova tecnologia, è necessario che le imprese e la pubblica amministrazione, prestino particolare attenzione ai rischi connessi all’adozione dei servizi di cloud computing, anche in relazione agli aspetti di protezione dei dati personali.

 

Il titolare ed il responsabile del trattamento (la pubblica amministrazione o l’azienda, che trasferisce del tutto o in parte il trattamento sul clloud) deve procedere a designare il provider dei servizi cloud come “responsabile del trattamento”. Il provider, in base alla tipologia dei servizi offerti, assume la responsabilità di preservare la riservatezza, l’integrità e la disponibilità dei dati, e l’utente, da parte sua, al momento della stipula dei contratti di servizio dovrà tenere in debito conto gli accorgimenti previsti per garantire il corretto trattamento dei dati immessi nella cloud.

 

Prima di adottare un sistema basato nel  cloud computing è necessario, valutare attentamente il rapporto tra rischi e benefici derivante dall’utilizzo di questa tecnologia, cercando di ridurre i rischi attraverso una attenta verifica dell’affidabilità del provider al quale ci si vuole affidare.

 

Policies e firewall

L’aspetto tecnico riguarda le policies di sicurezza implementate nei firewall a protezione dell’infrastruttura e di disaster recovery in caso di incidenti di sicurezza. I fornitori di cloud sono molti ed ognuno ha le proprie policies e le proprie SLA (Service Level Agreement). Non è opportuno che un utente che decide di affidarsi al cloud trascuri di valutare come il provider candidato a fornire i servizi cloud affronti e gestisca il problema della sicurezza e della privacy dei dati.

 

Le infrastrutture di oggi hanno un bisogno di sicurezza sempre crescente soprattutto rispetto al passato, in quanto gli attacker sono sempre più specializzati ed accaniti, per cui un security manager deve far ricorso a tutta la propria esperienza e tecnologia che il mercato offre per poter avere qualche possibilità di respingere un attacco informatico.  L’esperienza in particolare diventa un valore aggiunto al momento della configurazione dei server e della definizione delle policies di sicurezza dei firewall.

 

L’utente deve poter valutare come il provider si muove, e scegliere tra offerte security oriented, che possano garantire una certa tranquillità nel momento in cui si depositano i propri dati su un’infrastruttura remota.  Quali sono i servizi che dovrebbe essere offerti in ambito sicurezza e privacy nelle soluzioni di cloud computing? Sicuramente una prima caratteristica da valutare è se il provider ha acquisito certificazioni e accreditamenti, come la certificazione ISO/IEC 27001 e le verifiche su SAS70 type II nel rispetto della norma internazionale che riguardo i requisiti utili ad un sistema per essere classificato come un “Sistema di Gestione della Sicurezza delle Informazioni affidabile e garantito”.

 

 

Figura 1: ISO/IEC 27001 SAS70 

Una cloud sicura deve permettere il controllo ed assicurare l’identificazione e la gestione degli accessi al servizio, mediante anche cifratura dei dati. Inoltre, un servizio necessario è la possibilità di monitorare e verificare la sicurezza dei dati sensibili, come anche la possibilità di effettuare back up, storage e ridondanza dei server per assicurare la business continuity ed il disaster recovery. Questi servizi, se presenti ed opportunamente predisposti permettono agli utenti di avere sotto controllo tutti i flussi di dati e le informazioni in loro possesso in piena sicurezza. L’aspetto della sicurezza dell’accesso può essere rinforzato con l’utilizzo di protocolli sicuri, come https ed SSL (secure sockets layer), ed una appropriata gestione degli eventi, per avere sempre sotto controllo la propria cloud e quindi permettere di intervenire tempestivamente in caso di eventi anomali.

Un esempio di valutazione dei rischi per la privacy

In realtà chiedersi se il cloud computing sia sicuro, non è la domanda corretta, in quanto è necessario entrare nella mente del criminale per capire quale sarà il prossimo obiettivo, perché e quindi porre dei rimedi prima che l’attacco avvenga. La sicurezza IT non è un fatto legato solo ai sistemi e alle policy, ma soprattutto si associa agli utenti finali ed al loro comportamento. Il social enginnering sfrutta infatti il vero anello debole della sicurezza IT: i comportamenti del dipendente.

 

Vediamo un esempio immaginando due società fittizie, la ITSoftwareHouse e la FreeSoft. La prima immagazzina tutti i suoi dati in un datacenter privato con firewall e DMZ a protezione, database crittografati e sistemi di rilevamento delle intrusioni con policy e protocolli di emergenza. La FreeSoft è invece una società che usa il cloud, e permette il pubblico accesso solo attraverso il web con poche password; craccate le password l’attacker non incontrerà altri sistemi di difesa che gli impediranno di esplorare il sistema. Pensare come un cyber-criminale significa chiedersi se è meglio attaccare la ITSoftwareHouse o la FreeSoft, e su chi cadrà la scelta dell’attacco? Ad occhio inesperto, sembra proprio che la FreeSoft sia una facile preda, eppure chi decide di attaccare un sistema, lo fa con criterio studiandolo dall’esterno, cercando di valutare le policies di sicurezza. Solo dopo un’analisi di questo tipo decide chi e come attaccare.

Un problema può essere rappresentato dai dipendenti e da come rispettano le policy di sicurezza. La ITSoftwareHouse ha sicuramente un arsenale di difesa informatico più robusto rispetto alla FreeSoft, ma se un dipendente estrae dal database dei dati, salvandoli su un foglio di calcolo, ed invia l’allegato via e-mail sul suo account privato non crittografato ogni sforzo di rendere sicura la struttura viene vanificato. Se al contrario il dipendente della FreeSoft salva tutto sul cloud e quando viaggia per lavoro accede al cloud solo attraverso sistemi sicuri, trovare un punto di inizio per l’attacco diventa più complesso. Per cui, l’attacker seguendo queste considerazioni sceglierà di attaccare paradossalmente l’infrastruttura della prima società, quella che sembrava inattaccabile.

 

È inutile che il database sia sicuro, se i dati possono essere estratti e messi a rischio attraverso comportamenti non opportuni dei dipendenti, salvandoli su supporti non sicuri come Dvd o inviandoli per e-mail  attraverso canali non sicuri. La possibilità di utilizzare dispositivi eterogenei come iPad, tablet e smartphone, e cioè dispositivi che non esistevano quando le policies sicurezza sono state scritte ha creato qualche problema di allineamento; se le policies vengono bypassate per usare questi device si crea una falla.

Conclusioni

La sfida è quindi di offrire un servizio in piena sicurezza e modificare la percezione negativa degli utenti nei confronti di una tecnologia basata interamente sulla rete. Occorre non solo configurare i sistemi e fare il back-up, ma seguire la lunga lista delle ultime vulnerabilità; basta una sola falla per rendere un sistema insicuro.

 

Prendendo in considerazione tutti questi fattori, diventa chiaro che il cloud computing, può raggiungere i livelli di sicurezza di un classico sistema interno, e permettendo agli utenti di condividere i dati senza bypassare i controlli di sicurezza. In conclusione per affermare che il cloud è meno sicuro, bisogna prendere in esame tutti i parametri e fare un’attenta analisi, in quanto come abbiamo visto il cloud non è meno sicuro dei sistemi tradizionali, messi troppo spesso a rischio dai comportamenti inopportuni degli utenti.

cloud_security_e
Figura 2: Governance e responsabilità della sicurezza 

tumblr_l9cxd8hVVF1qd9o7rI timori degli utenti riguardano principalmente la cessione dei propri dati sensibili in contraddizione con le leggi sulla privacy, ma questo aspetto deve essere superato, guardando all’affidabilità del provider e concentrandosi sul fatto che la cloud è a tutti gli effetti uno spazio sul web che offre un’insieme di servizi in un’infrastruttura scalabile e flessibile accessibile e gestibile ovunque e con qualsiasi dispositivo attraverso accessi criptati e certificati, con un risparmio di costi per acquisizione e manutenzione. Altrimenti la sola soluzione possibile è di non usare nessun dispositivo, perché il solo computer sicuro, è un computer spento.

 

 

 

Facci sapere cosa ne pensi!

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *