Il cloud computing presenta molti problemi e sfide di sicurezza unici. Nel cloud, i dati sono archiviati presso un fornitore di terze parti e vi si accede via internet. Ciò significa che la visibilità e il controllo su quei dati sono limitati. Inoltre, si pone la questione di come proteggerli adeguatamente. È fondamentale che ognuno comprenda il proprio ruolo e i problemi di sicurezza inerenti al cloud computing.
I fornitori di servizi cloud trattano i problemi e i rischi della sicurezza del cloud come una responsabilità condivisa. In questo modello, il fornitore di servizi cloud copre la sicurezza del cloud stesso, mentre il cliente copre la sicurezza di ciò che vi inserisce. In ogni servizio cloud - dal software-as-a-service (SaaS) come Microsoft 365 all'infrastruttura-as-a-service (IaaS) come Amazon Web Services (AWS) - il cliente del cloud computing è sempre responsabile della protezione dei propri dati dalle minacce alla sicurezza e del controllo dell'accesso agli stessi.
La maggior parte dei rischi per la sicurezza del cloud computing sono legati alla sicurezza dei dati del cloud. Che si tratti di una mancanza di visibilità dei dati, dell'impossibilità di controllarli o di un furto di dati nel cloud, la maggior parte dei problemi riguarda i dati che i clienti inseriscono nel cloud. Di seguito, un'analisi dei principali problemi di sicurezza del cloud in SaaS, IaaS e cloud privato, ordinati in base alla frequenza con cui vengono riscontrati dalle organizzazioni aziendali di tutto il mondo.
I 10 principali problemi di sicurezza del cloud SaaS
- Mancanza di visibilità sui dati presenti nelle applicazioni cloud.
- Furto di dati da un'applicazione cloud da parte di un attore malintenzionato
- Controllo incompleto su chi può accedere ai dati sensibili
- Impossibilità di monitorare i dati in transito da e verso le applicazioni cloud.
- Le applicazioni cloud vengono fornite al di fuori della visibilità dell'IT (ad esempio, l'IT ombra).
- Mancanza di personale con le competenze necessarie per gestire la sicurezza delle applicazioni cloud.
- Incapacità di prevenire il furto o l'uso improprio dei dati da parte di insider malintenzionati.
- Minacce avanzate e attacchi contro il provider di applicazioni cloud
- Impossibilità di valutare la sicurezza delle operazioni del fornitore di applicazioni cloud.
- Incapacità di mantenere la conformità normativa
I problemi di sicurezza del cloud SaaS sono naturalmente incentrati sui dati e sull'accesso, perché la maggior parte dei modelli di responsabilità condivisa della sicurezza lascia questi due aspetti come responsabilità esclusiva dei clienti SaaS. È responsabilità di ogni organizzazione capire quali dati vengono inseriti nel cloud, chi può accedervi e quale livello di protezione hanno applicato (e il fornitore del cloud).
È anche importante considerare il ruolo del fornitore SaaS come potenziale punto di accesso ai dati e ai processi dell'organizzazione. Sviluppi come l'ascesa del ransomware XcodeGhost e GoldenEye sottolineano che gli aggressori riconoscono il valore dei fornitori di software e cloud come vettore per attaccare beni più grandi. Di conseguenza, gli aggressori hanno aumentato la loro attenzione su questa potenziale vulnerabilità. Per proteggere la sua organizzazione e i suoi dati, si assicuri di esaminare i programmi di sicurezza del suo provider cloud. Si aspetti un audit prevedibile da parte di terzi con rapporti condivisi e insista sui termini di segnalazione delle violazioni per integrare le soluzioni tecnologiche.
I 10 principali problemi di sicurezza del cloud IaaS
- I carichi di lavoro e gli account cloud vengono creati al di fuori della visibilità dell'IT (ad esempio, l'IT ombra).
- Controllo incompleto su chi può accedere ai dati sensibili
- Furto di dati ospitati nell'infrastruttura cloud da parte di un attore malintenzionato
- Mancanza di personale con le competenze necessarie per proteggere le infrastrutture cloud.
- Mancanza di visibilità sui dati presenti nel cloud
- Incapacità di prevenire il furto o l'uso improprio dei dati da parte di insider malintenzionati.
- Mancanza di controlli di sicurezza coerenti su ambienti multi-cloud e on-premise.
- Minacce avanzate e attacchi contro l'infrastruttura cloud
- Impossibilità di monitorare i sistemi e le applicazioni di carico di lavoro nel cloud per verificare la presenza di vulnerabilità.
- Diffusione laterale di un attacco da un carico di lavoro cloud a un altro
La protezione dei dati è fondamentale nell'IaaS. Quando la responsabilità del cliente si estende alle applicazioni, al traffico di rete e ai sistemi operativi, vengono introdotte ulteriori minacce. Le organizzazioni dovrebbero considerare la recente evoluzione degli attacchi che si estendono oltre i dati come centro del rischio IaaS. Gli attori malintenzionati stanno conducendo acquisizioni ostili di risorse di calcolo per estrarre criptovalute, e stanno riutilizzando queste risorse come vettore di attacco contro altri elementi dell'infrastruttura aziendale e contro terzi.
Quando si costruisce un'infrastruttura nel cloud, è importante valutare la capacità di prevenire i furti e controllare gli accessi. Determinare chi può inserire i dati nel cloud, tracciare le modifiche delle risorse per identificare comportamenti anomali, proteggere e indurire gli strumenti di orchestrazione e aggiungere l'analisi di rete del traffico nord-sud ed est-ovest come potenziale segnale di compromissione, sono tutte misure che stanno rapidamente diventando standard per proteggere le implementazioni di infrastrutture cloud su scala.
I 5 principali problemi di sicurezza del cloud privato
- Mancanza di controlli di sicurezza coerenti che abbraccino le infrastrutture server tradizionali e le infrastrutture cloud private virtualizzate.
- La crescente complessità dell'infrastruttura comporta un maggiore tempo/impegno per l'implementazione e la manutenzione.
- Mancanza di personale con competenze per gestire la sicurezza di un data center definito dal software (ad esempio, calcolo virtuale, rete, storage).
- Visibilità incompleta sulla sicurezza per un data center definito dal software (ad esempio, calcolo virtuale, rete, storage).
- Minacce e attacchi avanzati
Un fattore importante nel processo decisionale per l'allocazione delle risorse in un cloud pubblico rispetto a uno privato è il controllo fine disponibile negli ambienti cloud privati. Nei cloud privati, i livelli aggiuntivi di controllo e di protezione supplementare possono compensare altre limitazioni delle distribuzioni di cloud privati e possono contribuire ad una transizione pratica dai centri dati monolitici basati su server.
Allo stesso tempo, le organizzazioni devono considerare che il mantenimento di un controllo fine crea complessità, almeno al di là di ciò che il cloud pubblico ha sviluppato. Attualmente, i fornitori di cloud si fanno carico di gran parte dell'impegno per la manutenzione dell'infrastruttura. Gli utenti del cloud possono semplificare la gestione della sicurezza e ridurre la complessità attraverso l'astrazione dei controlli. Questo unifica le piattaforme cloud pubbliche e private al di sopra e al di là degli ambienti fisici, virtuali e ibridi.
Come mitigare i problemi di sicurezza comuni del cloud computing
La sua organizzazione sta utilizzando servizi cloud, anche se questi servizi cloud non sono una strategia primaria per la sua tecnologia dell'informazione (IT). Per mitigare i rischi di sicurezza del cloud computing, ci sono tre best practice che tutte le organizzazioni dovrebbero seguire:
- Processi DevSecOps - DevOps e DevSecOps hanno ripetutamente dimostrato di migliorare la qualità del codice e di ridurre gli exploit e le vulnerabilità, oltre ad aumentare la velocità di sviluppo delle applicazioni e di distribuzione delle funzionalità. L'integrazione dei processi di sviluppo, QA e sicurezza all'interno della business unit o del team applicativo, invece di affidarsi a un team di verifica della sicurezza autonomo, è fondamentale per operare alla velocità richiesta dall'ambiente aziendale odierno.
- Strumenti automatizzati di distribuzione e gestione delle applicazioni - La carenza di competenze in materia di sicurezza, unita all'aumento del volume e del ritmo delle minacce alla sicurezza, significa che anche il professionista della sicurezza più esperto non riesce a tenere il passo. L'automazione che elimina i compiti banali e aumenta i vantaggi umani con quelli della macchina è un componente fondamentale delle operazioni IT moderne.
- Sicurezza unificata con gestione centralizzata su tutti i servizi e i fornitori - Nessun prodotto o fornitore può offrire tutto, ma più strumenti di gestione rendono troppo facile che qualcosa sfugga. Un sistema di gestione unificato con un tessuto di integrazione aperto riduce la complessità riunendo le parti e semplificando i flussi di lavoro.
Infine, quando si devono prendere decisioni di compromesso, una migliore visibilità dovrebbe essere la priorità numero 1, non un maggiore controllo. È meglio essere in grado di vedere tutto nel cloud, piuttosto che cercare di controllarne una parte incompleta.