La cloud security è la branca della cybersecurity dedicata alla protezione dei sistemi cloud computing e al mantenimento di privacy e sicurezza all’interno di tutte le infrastrutture online. Tutto ciò è possibile solo grazie agli sforzi combinati dei provider cloud e dei clienti che li utilizzano: ai primi spetta il compito di ospitare dati e servizi sui server adottando diversi metodi di cloud security, ai secondi spetta il corretto utilizzo dei servizi messi a disposizione.
La cloud security si compone di:
- Protezione dei dati;
- IAM (gestione di attività e accessi)
- Politiche di prevenzione, rilevamento e mitigazione delle minacce;
- Pianificazione della continuità aziendale e della conservazione dei dati;
- Conformità regale.
Sebbene possa sembrare derivante dalla sicurezza IT, la cloud security richiede un approccio diverso poiché riguarda l’intero apparato di protocolli, tecnologie e best practice che proteggono non solo gli ambienti, ma anche le applicazioni eseguite e i dati in essi contenuti, quali:
- Reti fisiche
- Server di dati
- Archiviazione di dati
- Sistemi operativi
- Ambienti di esecuzione
- Dati
- Infrastrutture di virtualizzazione informatica
- Applicazioni
- Hardware degli utenti finali.
I proprietari di ciascuno di questi componenti può variare molto e rendere così meno chiara la suddivisione delle responsabilità di client security. I componenti, perciò, vengono normalmente raggruppati in due canali principali: i servizi cloud e gli ambienti cloud.
I servizi cloud
Si tratta dei servizi offerti da provider terzi sotto forma di moduli che creano l’ambiente cloud stesso. I componenti del cloud, a seconda del servizio, saranno gestiti in diversi gradi.
- I servizi cloud terzi comportano la fornitura, da parte del provider, di reti fisiche, sistemi di archiviazione dei dati, server di dati e infrastrutture di virtualizzazione intormatica. I servizi, ospitati e virtualizzati dal provider, consentono l’accesso da remoto e da qualsiasi luogo, con minor carico sull’hardware e costi infrastrutturali nulli.
- I servizi SaaS consentono invece ai clienti di accedere alle applicazioni che sono ospitate ed eseguite sui server del provider. I provider gestiscono applicazioni, dati, esecuzioni, middleware e sistema operativo, mentre i clienti devono ottenere le applicazioni (es. Slack, Evernote, Google Drive).
- I servizi PaaS forniscono ai clienti un host per lo sviluppo delle applicazioni, che vengono ospitate sui server del provider ed eseguite nello spazio sandbox del cliente. Quest’ultimo deve gestire i dati, le applicazioni, gli accessi, i dispositivi e le reti degli utenti finali (es. Google App Engine).
- Nei servizi IaaS i provider gestiscono solo i servizi cloud fondamentali e offrono ai clienti le infrastrutture di connettività remota e l’hardware. Ai clienti spetta il compito di mettere in sicurezza tutto ciò che viene aggiunto al sistema operativo e di gestire gli accessi degli utenti, i dispositivi e le reti degli utenti finali (es. Amazon Web Services).
Gli ambienti cloud
Si tratta di modelli di distribuzione all’interno dei quali uno o più servizi cloud costruiscono un sistema per organizzazioni e utenti finali, segmentando così le responsabilità di gestione quali la sicurezza fra clienti e provider.
Alcuni esempi sono:
- Gli ambienti cloud pubblici in cui i clienti condividono i servizi di un provider e sono composti di servizi cloud multi-tenant;
- Gli ambienti cloud privati di terzi, cioè ambienti single-tenant basati sull’uso di servizio che dà al cliente l’accesso e l’utilizzo esclusivo dei cloud;
- Gli ambienti cloud privati in-house, composti da servizi cloud single-tenant operati dal proprio data center privato.
- Gli ambienti multi-cloud, che prevedono l’uso di due o più servizi cloud da parte di provider diversi;
- Gli ambienti cloud ibridi, un mix di servizi tra cloud di terzi e/o data center cloud onsite privati con uno o più cloud pubblici.
Come funziona, perciò, la cloud security?
La cloud security persegue uno o più dei seguenti obiettivi:
- Consente di recuperare dei dati in caso di perdita;
- Protegge l’archivio e le reti dal furto di dati;
- Riduce la possibilità di errore umano (che potrebbe portare a violazioni dei dati);
- Riduce l’impatto di qualsiasi compromissione di dati o sistemi.
La sicurezza dei dati riguarda il lato tecnico della prevenzione delle minacce. Tra gli strumenti e le tecnologie che permettono di implementare barriere fra l’accesso e la visibilità di dati sensibili troviamo la crittografia, che mischia i dati in modo che sia possibile leggerli solo con la chiave crittografica corrispondente. In caso di perdita o furto dei dati, questi saranno illeggibili e quindi inutili.
La gestione di identità e accessi (anche nota come Identity and access management) si occupa dei privilegi d’accessibilità concessi agli account degli utenti e della gestione di autenticazioni e autorizzazioni di tali account. Tra i controlli degli accessi fondamentali per limitare la compromissione di dati e sistemi sensibili da parte degli utenti, troviamo password management e autenticazione multi fattore.
La governance si concentra, invece, sui protocolli di prevenzione, rilevamento e mitigazione delle minacce.
Sia le PMI che i clienti individuali non possono che trarre vantaggio da protocolli e formazione specifica per un corretto comportamento degli utenti stessi, che portano a regole condivise per un utilizzo sicuro e una risposta adeguata alle minacce.