Cloud security, una questione di metodo

Il cloud è più sicuro di un data center aziendale? In linea di massima sì, ma solo se per la cloud security mettiamo in conto la protezione di un sistema complesso fatto dall'IT del provider e dell'impresa utente

Autore: Redazione ImpresaCity

Di norma le aziende che passano al cloud non si preoccupano della sicurezza complessiva della "nuvola" che hanno scelto. Spesso per loro la cloud security è certamente badare a come e quanto saranno protetti i loro dati una volta gestiti dal (o sempre più spesso dai) cloud provider. Ma la sensazione generale è che il cloud sia nel complesso sicuro. Anche perché i cloud provider sono quasi sempre grandi nomi dell'IT che investono in sicurezza molto più di quanto fa mediamente una singola azienda.

È un punto di vista comprensibile, ma la sicurezza in cloud è questione più complessa. Migrare al cloud oggi tipicamente significa creare un ambiente di multicloud ibrido in cui sistemi e dati sono distribuiti tra l'on-premise della singola azienda e i data center dei vari suoi cloud provider. La cloud security di questo "sistema" non è solo la somma della sicurezza dei vari singoli ambienti coinvolti. Passare in cloud introduce potenziali nuovi punti critici e pone in una nuova luce quelli già esistenti.

Bisogna in particolare tenere conto di alcune questioni di metodo nella gestione della sicurezza in cloud e della protezione dei dati. Accade di frequente che tra aziende utenti e cloud provider ci siano disallineamenti su alcune misure di cloud security e incomprensioni su chi (l'utente, il provider, entrambi) abbia la responsabilità di gestirne altre. Per evitare rischi va adottato un modello di sicurezza condivisa che può essere nuovo per molte aziende e che introduce, almeno all'inizio, complessità per l'IT.


Per la cloud security il peccato più grave è dare le cose per scontate. Un'impresa deve cioè eseguire un assessment approfondito delle proprie misure di sicurezza e di quelle - standard e opzionali - del potenziale cloud provider, per verificare che si integrino in maniera adeguata e coerente. Se questo non accade, bisogna introdurre i necessari cambiamenti per non lasciare scoperte potenziali falle o vulnerabilità.

Cloud security: sapere chi protegge cosa

Il cloud provider ha sì l'obbligo di garantire la sicurezza della propria infrastruttura, ma la protezione delle informazioni e delle risorse della singola azienda è un compito quantomeno condiviso. E la sua fetta maggiore resta comunque sulle spalle dell'utente. Non è raro che una impresa dia per certa la protezione dei suoi dati in cloud da parte del provider mentre, inconsapevolmente, apre le falle che mettono in pericolo la cloud security.

Nella sicurezza in cloud il pericolo più frequente è un controllo inadeguato su chi può accedere ai dati e ai sistemi distribuiti e con quali livelli di privilegio. Le piattaforme e le procedure di identity/access management dell'azienda devono allinearsi con l'ambiente cloud e comprenderlo (o federarsi con esso, il che introduce nuove complessità). I cloud provider offrono funzioni specifiche in questo senso ma ciò non libera l'azienda dall'obbligo di verificare che tali funzioni siano adeguate alle sue necessità di cloud security. E soprattutto che non si generino pericolose condizioni indefinite, come banalmente eliminare un utente on-premise senza che questo "scompaia" anche in cloud.


La sicurezza in cloud mette in nuova evidenza un vecchio problema: il fatto che in molte imprese il principio dei privilegi minimi sia spesso disatteso. Con il cloud il problema si amplifica perché le conseguenze di accessi impropri possono essere gravi, dall'attivazione od overprovisioning di servizi inutili che poi pesano sulla bolletta del cloud sino alla violazione dei sistemi da parte di hacker ostili.

Cloud security: conoscere i propri dati

Un "sistema cloud" complica anche la gestione del ciclo di vita delle informazioni aziendali da parte dell'IT, che non ne ha più il completo controllo pur mantenendone la responsabilità. Anche in questo caso il motto è "due diligence": passare al cloud impone più controllo sui propri dati, non meno. Proprio perché il loro ciclo di vita si svolge in buona parte fuori dall'IT aziendale, è necessario avere soluzioni di data discovery e management che indichino sempre quali dati si posseggono, dove si trovano, quali applicazioni/servizi li gestiscono e come.

Sono informazioni fondamentali sempre, diventano critiche quando si affrontano eventi gravi come una perdita dei dati da parte del proprio cloud provider o, peggio, la sua uscita dal mercato o la nostra decisione di abbandonarlo. In casi come questi è indispensabile sapere dove sono le informazioni e come recuperarle. E avere in atto le procedure adatte (di backup, di copia remota, di gestione delle chiavi per i dati cifrati...) per farlo. Anche questo è cloud security.

Visualizza la versione completa sul sito

Informativa
Questo sito o gli strumenti terzi da questo utilizzati si avvalgono di cookie necessari al funzionamento ed utili alle finalità illustrate nella cookie policy. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, consulta la cookie policy. Chiudendo questo banner, acconsenti all’uso dei cookie.