Del cloud, o della sua recente evoluzione verso il multicloud, non se ne può più fare a meno. Ma per lo sviluppo corretto dei servizi su queste innovative piattaforme occorre che venga garantita la sicurezza assoluta rispetto ai possibili cyberattacchi. Ora lo dice anche la legge al riguardo, confermando i dati delle ultime ricerche.

Il nuovo decreto legge.

A distanza di pochi giorni dall'entrata in vigore del decreto "Cybersecurity" , contenente le nuove disposizioni sul perimetro di sicurezza nazionale riguardo la cibernetica cresce l'attenzione delle organizzazioni italiane verso il problema. Non solo i data center e le reti ma anche i servizi cloud che riguardano IoT e automazione possono essere oggetto di attacchi malevoli. Il decreto legge mira ad assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, nonché degli enti e degli operatori nazionali, pubblici e privati, attraverso l’istituzione di un perimetro di sicurezza nazionale cibernetica e la previsione di misure idonee a garantire i necessari standard di minimizzazione dei rischi nel rispetto comunque dell’estesa fruizione di strumenti e servizi avanzati offerti dalle nuove tecnologie.    

Diversi livelli di sicurezza a seconda delle modalità di fruizione

Garantire la sicurezza nel cloud significa partire dalle modalità con le quali si fruisce il servizio cloud stesso. Innanzitutto bisogna considerare la tipologia del servizio. In caso di IaaS (Infrastructure as-a-service) il personale IT dovrà essere abile nella gestione delle tematiche relative alla sicurezza nella virtualizzazione e infrastrutture di rete; in caso di servizi di tipo PaaS (Platform as-a-service) dovrà essere istruito su tematiche relative allo sviluppo sicuro di applicazioni in ambiente Cloud; in caso di servizi SaaS (Software as-a-service), invece, si fa più affidamento ai livelli di sicurezza di ciò che è stato sviluppato dal fornitore. La definizione e l’erogazione di piani di sensibilizzazione del personale dell’organizzazione cliente, IT e utenti, sono di fondamentale importanza per proteggere l’organizzazione da minacce cyber presenti nei servizi cloud. Per quanto relativo alle tecnologie, si dovranno affrontare le tematiche di autenticazione e autorizzazione, gestione e monitoraggio, reporting e verifica al fine di proteggere e monitorare l'accesso alle informazioni presenti in Cloud. Per quanto relativo ai Processi, il focus è sulla governance e sull’operation dei servizi Cloud.  

Nuove responsabilità e nuovi modelli.

Sul mercato già da un po’ di tempo si stanno sperimentando nuove modalità contrattuali per i servizi cloud, definite shared responsibility model, che si affidano a diverse macro-componenti per garantire i livelli di sicurezza necessari per un servizio eccellente e senza problemi. Ci sono:gli attori responsabili, i domini di controllo e il livello di maturità. Tra il cliente e il fornitore si condividono le varie responsabilità nella erogazione del servizio a seconda delle competenze riscontrate insieme. Sono suggerite le verifiche della sicurezza relativa ai servizi cloud erogati dal provider, a cura del committente prima della stipula del contratto e durante l’erogazione del servizio, prevedendo anche controlli di sicurezza relativi alle attività da svolgere. Spesso si indicano anche le implicazioni della crittografia dei dati dei servizi cloud. Il quadro normativo lo richiede soprattutto a banche assicurazioni e ospedali che devono soddisfare requisiti di integrità e riservatezza dei dati critici. Ma anche la normativa europea sul GDPR richiede una serie di procedure da soddisfare. La crittografia è una delle misure indicate che garantiscono una notevole sicurezza per proteggere le informazioni sia durante il loro transito verso il cloud sia durante la memorizzazione ed elaborazione dei dati e delle informazioni nel cloud stesso.  Anche la gestione delle identità e degli accessi richiede una certa attenzione proprio perché l’accesso è più critico nel caso di servizi cloud. Infatti i servizi cloud raggiungibili via Internet metterebbero più facilmente in pericolo le credenziali, soprattutto quelle degli utenti dotati di privilegi amministrativi.   Dal punto di vista della sicurezza, un’infrastruttura cloud presenta diverse caratteristiche distintive comparata ad altre strutture da proteggere. A tal proposito, si stanno sperimentando nuovi approcci basati sull’intelligenza artificiale e sul machine learning, che offrono un grado di flessibilità maggiore rispetto ad un sistema rigido.  

Il nuovo report

Il Cloud Security Report 2019  mette in luce diversi aspetti circa il buon funzionamento dei team nelle operazioni di sicurezza quando si svolgono attività di protezione di dati, sistemi e servizi cloud nei modelli di responsabilità condivisa. Nonostante tutti i vantaggi del cloud computing e del multicloud, la problematica sicurezza continua a porre delle sfide. La sicurezza dei dati e i rischi generali pesano sulla scelta delle aziende che intendono adottare servizi cloud o multicloud per un totale del 57%. A seguire ci sono la mancanza di budget, i problemi di conformità e la mancanza di personale qualificato. Nella ricerca si evince anche che gli strumenti di sicurezza legacy non sono progettati per gli ambienti virtuali dinamici e distribuiti del cloud. Il 66% degli intervistati afferma che le soluzioni di sicurezza tradizionali non funzionano affatto o forniscono funzionalità limitate negli ambienti cloud. I principali problemi di sicurezza del cloud operativo che le organizzazioni IT stanno incontrando riguardano la conformità e la mancanza di visibilità sulla sicurezza dell'infrastruttura (67% in totale). L'impostazione di policy di sicurezza coerenti in ambienti cloud e on-premise e la continua mancanza di personale di sicurezza qualificato si collocano come problematiche a seguire. Il futuro dell’utilizzo dei servizi cloud e multicloud dipenderanno in larga misura dalle strategie di sicurezza adottate e dalle misure poste per arginare le carenze di strumenti di sicurezza legacy per proteggere gli ambienti IT in evoluzione. Ecco perché occorre avere un partner affidabile e tecnologicamente evoluto per poter fronteggiare le sfide del futuro che il cloud richiede. Anche perché del cloud e del multicloud sarà molto difficile poterne fare a meno. cta_multicloud

Potrebbe interessarti anche:

29/10/2019
ARTICOLO

Strategia Multicloud