La sicurezza nel Cloud Computing: mitigare i rischi e proteggere i dati

La sicurezza nel Cloud Computing: mitigare i rischi e proteggere i dati

Sicurezza nel Cloud Computing: i principi fondamentali e le strategie di implementazione da attuare in un contesto aziendale.

Con l’avanzare della digitalizzazione e la progressiva transizione dei dati, applicazioni e infrastrutture verso l’ambiente del cloud computing, emergono nuove e complesse sfide legate alla sicurezza informatica. In questo contesto, la sicurezza nel cloud assume un’importanza fondamentale. Di seguito, un’analisi approfondita su questo tema.

Cloud computing e sicurezza

In un’era dominata dalla necessità di gestire e proteggere una quantità sempre maggiore di dati, nel contesto di un’economia e società fortemente legate alla digitalizzazione e all’interconnessione, i servizi cloud rivestono un ruolo centrale.

L’incremento dell’utilizzo di soluzioni basate sul modello as-a-Service sottolinea l’importanza della sicurezza nel cloud quale elemento fondamentale per salvaguardare i dati e gli investimenti nel settore tecnologico.

Cloud e archiviazione

La transizione verso il cloud, accelerata da fattori come la pandemia globale, vede un numero crescente di aziende di varie dimensioni e settori adottare questa tecnologia. Tale spostamento comporta non solo una trasformazione digitale, ma anche una espansione operativa e nuovi modi di interagire con i clienti: ciò fa emergere nuove complessità e vulnerabilità iedite, che necessitano di essere identificate e gestite in modo efficace.

La domanda sorge spontanea: in che modo la sicurezza nel cloud si distingue dalla protezione dei sistemi IT tradizionali? La risposta risiede nella specificità degli ambienti tecnologici cloud, che richiedono approcci e strategie di sicurezza ad hoc, capaci di affrontare le peculiarità di questa infrastruttura.

L’importanza della sicurezza nel cloud

La sicurezza nel cloud rappresenta l’insieme coordinato di politiche, procedure e tecnologie impiegate per assicurare la protezione dei sistemi basati sul cloud, comprese le infrastrutture sottostanti, come router, componenti elettrici e hardware, nonché delle applicazioni e dei dati, contro minacce interne ed esterne ed attacchi informatici.

Tale ambito si configura come una branca specifica della sicurezza informatica, mirata a salvaguardare risorse e asset aziendali allocati nel cloud.

Hacker incappucciato

Non esistono due ambienti cloud identici; le necessità e le procedure variano a seconda del settore, della localizzazione geografica, fino alla configurazione del cloud, sia esso singolo, multiplo o ibrido.

La sicurezza nel cloud è intrinsecamente legata all’evoluzione del cloud computing e al suo impatto sulla sicurezza aziendale. Secondo il National Institute of Standards and Technology (NIST), il cloud computing è definito come un modello che permette un accesso onnipresente, conveniente e su richiesta ad un insieme condiviso di risorse informatiche configurabili.

Le tipologie di cloud computing

L’evoluzione tecnologica ha permesso l’identificazione di quattro principali ambienti di cloud computing:

  • Ambienti cloud pubblici: sono gestiti dai fornitori di servizi cloud, con server condivisi tra diversi clienti, offrendo servizi su infrastrutture esterne al controllo e alla gestione dell’utente;
    Ambienti cloud privati: configurabili all’interno dei data center aziendali o gestiti da fornitori esterni, garantiscono l’accesso esclusivo ai server da parte del cliente, senza condivisione con altre entità;
    Ambienti cloud ibridi: fusione di servizi cloud pubblici e data center privati;
    Ambienti multi-cloud: coesistenza di più servizi cloud gestiti da diversi fornitori.

Il Cloud Security report del 2023 sottolinea come le organizzazioni abbiano vantaggi importanti, in tal senso, tra i quali possiamo annoverare maggiore flessibilità, scalabilità, agilità, e continuità operativa grazie al cloud. Tuttavia, l’aumento dei costi, la conformità, le complessità legate all’ambiente ibrido e multi-cloud e la ridotta visibilità, insieme alla carenza di professionisti qualificati, pongono importanti sfide alla sicurezza.

Il principio della responsabilità condivisa nella sicurezza cloud

Il concetto chiave che distingue la sicurezza nel cloud da quella tradizionale è l’approccio alla responsabilità condivisa. La gestione della sicurezza e della conformità in un ambiente cloud è un obbligo reciproco tra il fornitore di servizi cloud (CSP) e i clienti.

In questo schema, i CSP sono tipicamente incaricati della sicurezza fisica delle infrastrutture cloud. Contestualmente, i clienti, attraverso i propri reparti IT, si assumono l’onere di configurare adeguatamente i controlli di accesso, di gestire le politiche di sicurezza e tutelare i dati conservati nel cloud.

Sicurezza dei database

La portata di questa responsabilità muta a seconda del modello di servizio cloud utilizzato, che si articola in tre categorie principali:

Infrastructure as a Service (IaaS): i CSP offrono risorse computazionali, di rete e di archiviazione. Spetta ai clienti assicurare la sicurezza del sistema operativo, delle applicazioni, dell’ambiente di sviluppo e dei dati;
Platform as a Service (PaaS): i fornitori mettono a disposizione un ambiente di sviluppo e distribuzione. La responsabilità del CSP prevede la protezione dell’ambiente di esecuzione, del sistema operativo e dei servizi di base. I clienti, d’altro canto, devono salvaguardare le applicazioni, i dati, l’accesso degli utenti, i dispositivi e le reti generate dagli utenti;
Software as a Service (SaaS): questo modello offre il livello più elevato di servizio cloud, in quanto consente agli utenti di accedere al software direttamente via internet senza installazioni.

Vulnerabilità Principali negli Ambienti Cloud

Recentemente, uno studio condotto da Venafi ha rivelato che l’81% delle organizzazioni ha riscontrato almeno un incidente di sicurezza legato al cloud nell’ultimo anno: il 45% ne ha subiti quattro o più. Questi dati mettono in luce la difficoltà di molte aziende nel riconoscere e affrontare i rischi associati all’uso del cloud, spesso sottovalutando le minacce e le vulnerabilità più critiche.

Il rischio più evidente e diffuso è legato alle configurazioni errate degli ambienti cloud. Anche se i fornitori di servizi cloud (CSP) offrono strumenti per la gestione della sicurezza, sono proprio queste configurazioni improprie a rappresentare le vulnerabilità maggiormente sfruttate per compromettere i dati e i servizi. Permessi di accesso inadeguati, gestione non sicura delle password e l’assenza di crittografia nei database sono le cause principali delle violazioni di sicurezza che possono esporre enormi quantità di dati.

Un’altra criticità è l’esecuzione di carichi di lavoro su istanze di calcolo esposte a internet e vulnerabili a intrusioni, che possono portare a gravi perdite di dati. L’emergere di vulnerabilità critiche, come il caso di Log4Shell, dimostra come la mancanza di una politica di aggiornamento e patching costante possa facilitare gli attacchi informatici.

L’accesso ad account privilegiati consente agli hacker di eludere i controlli di sicurezza, attuando, così, tante tipologie di attacchi. Tuttavia, molte organizzazioni non restringono adeguatamente i privilegi degli utenti o non implementano l’autenticazione multi-fattore (MFA), nonostante la minaccia informatica che ne può derivare.

Il rischio di attacchi attraverso la catena di approvvigionamento (supply chain)è in aumento, specialmente con l’accesso amministrativo ad utenti esterni negli ambienti cloud. La sicurezza del cloud deve estendersi alla supply chain e richiedere un controllo rigoroso degli accessi per mitigare il rischio di violazioni.

Strategie da attuare

Per massimizzare i benefici del cloud computing riducendo i rischi, è fondamentale aderire a principi fondamentali di sicurezza nel cloud, mirando a proteggere, rilevare, contenere e ripristinare l’ambiente. Ecco le strategie da attuare:

Protezione dei Dati: utilizzare la crittografia e altri strumenti per salvaguardare i dati, limitando al contempo l’accesso a informazioni sensibili;

Gestione delle identità e degli accessi: implementare controlli come l’autenticazione multifattoriale e sistemi di gestione dell’identità e dell’accesso (IAM) per prevenire compromissioni;
Continuità operativa e disaster recovery: adottare misure per assicurare la resilienza aziendale in caso di incidenti di sicurezza, garantendo una ripresa rapida delle operazioni;
Governance e configurazione corretta: definire politiche integrate nei processi di sviluppo, adottare pratiche di DevOps e DevSecOps e configurare correttamente gli asset nel cloud per separare operazioni e dati, consentendo accessi limitati;
Monitoraggio continuo e gestione centralizzata: sorvegliare costantemente gli accessi al cloud e gestire centralmente la sicurezza per tutti i servizi e i CSP, al fine di identificare prontamente potenziali minacce;
Manutenzione e patching: stabilire un piano di manutenzione che includa ridondanza, backup dei dati e una politica di aggiornamenti regolari, differenziando le responsabilità tra CSP e reparti IT aziendali per l’implementazione delle patch di sicurezza.