Che cos'è la sicurezza del cloud?

Categorie di cloud computing

La sicurezza del cloud si differenzia in base alla categoria di cloud computing utilizzata. Esistono quattro categorie principali di cloud computing:

• Servizi di cloud pubblico, gestiti da un fornitore di cloud pubblico - Questi includono software-as-a-service (SaaS), infrastructure-as-a-service (IaaS) e platform-as-a-service (PaaS).
• Servizi cloud privati, gestiti da un fornitore di cloud pubblico - Questi servizi forniscono un ambiente informatico dedicato a un cliente, gestito da una terza parte.
• Servizi cloud privati, gestiti dal personale interno - Questi servizi sono un'evoluzione del data center tradizionale, dove il personale interno gestisce un ambiente virtuale che controlla.
• Servizi di cloud ibrido - Le configurazioni di cloud computing privato e pubblico possono essere combinate, ospitando carichi di lavoro e dati basati sull'ottimizzazione di fattori quali costo, sicurezza, operazioni e accesso. Il funzionamento coinvolgerà il personale interno e, facoltativamente, il fornitore di cloud pubblico.

Quando utilizza un servizio di cloud computing fornito da un provider di cloud pubblico, i dati e le applicazioni sono ospitati presso una terza parte, il che segna una differenza fondamentale tra il cloud computing e l'IT tradizionale, dove la maggior parte dei dati era conservata all'interno di una rete autocontrollata. Comprendere la sua responsabilità in materia di sicurezza è il primo passo per costruire una strategia di sicurezza del cloud.

Segmentazione delle responsabilità della sicurezza del cloud

La maggior parte dei fornitori di cloud cerca di creare un cloud sicuro per i clienti. Il loro modello di business si basa sulla prevenzione delle violazioni e sul mantenimento della fiducia del pubblico e dei clienti. I fornitori di cloud possono cercare di evitare i problemi di sicurezza del cloud con il servizio che forniscono, ma non possono controllare come i clienti utilizzano il servizio, quali dati vi aggiungono e chi vi ha accesso. I clienti possono indebolire la sicurezza informatica nel cloud con la loro configurazione, i dati sensibili e le politiche di accesso. In ogni tipo di servizio cloud pubblico, il fornitore e il cliente condividono diversi livelli di responsabilità per la sicurezza. Per tipo di servizio, questi sono:

• Software-as-a-service (SaaS) - I clienti sono responsabili della protezione dei loro dati e dell'accesso degli utenti.
• Platform-as-a-service (PaaS) - I clienti sono responsabili della sicurezza dei loro dati, dell'accesso degli utenti e delle applicazioni.
• Infrastruttura-as-a-service (IaaS) - I clienti sono responsabili della sicurezza dei loro dati, dell'accesso degli utenti, delle applicazioni, dei sistemi operativi e del traffico di rete virtuale.

All'interno di tutti i tipi di servizi cloud pubblici, i clienti sono responsabili della sicurezza dei loro dati e del controllo di chi può accedere a tali dati. La sicurezza dei dati nel cloud computing è fondamentale per adottare con successo e ottenere i vantaggi del cloud. Le organizzazioni che prendono in considerazione offerte SaaS popolari come Microsoft Office 365 o Salesforce devono pianificare come adempiere alla loro responsabilità condivisa di proteggere i dati nel cloud. Coloro che prendono in considerazione offerte IaaS come Amazon Web Services (AWS) o Microsoft Azure hanno bisogno di un piano più completo che parta dai dati, ma che copra anche la sicurezza delle app cloud, i sistemi operativi e il traffico di rete virtuale, ognuno dei quali può introdurre un potenziale di problemi di sicurezza dei dati.

Le sfide della sicurezza del cloud

Dal momento che i dati nel cloud pubblico vengono archiviati da terzi e vi si accede via Internet, sorgono diverse sfide nella capacità di mantenere un cloud sicuro. Queste sono:

• Visibilità sui dati del cloud - In molti casi, i servizi cloud sono accessibili al di fuori della rete aziendale e da dispositivi non gestiti dall'IT. Ciò significa che il team IT deve avere la possibilità di vedere all'interno del servizio cloud stesso per avere una visibilità completa sui dati, rispetto ai mezzi tradizionali di monitoraggio del traffico di rete.
• Controllo sui dati del cloud - Nell'ambiente di un fornitore di servizi cloud di terze parti, i team IT hanno meno accesso ai dati rispetto a quando controllavano i server e le applicazioni nella propria sede. I clienti del cloud hanno un controllo limitato per impostazione predefinita e l'accesso all'infrastruttura fisica sottostante non è disponibile.
• Accesso ai dati e alle applicazioni del cloud - Gli utenti possono accedere alle applicazioni e ai dati del cloud tramite Internet, rendendo i controlli di accesso basati sul tradizionale perimetro di rete del data center non più efficaci. L'accesso degli utenti può avvenire da qualsiasi luogo o dispositivo, compresa la tecnologia BYOD (bring-your-own-device). Inoltre, l'accesso privilegiato da parte del personale del cloud provider potrebbe eludere i controlli di sicurezza.
• Conformità - L'uso dei servizi di cloud computing aggiunge un'altra dimensione alla conformità normativa e interna. Il suo ambiente cloud potrebbe dover aderire a requisiti normativi come HIPAA, PCI e Sarbanes-Oxley, oltre che ai requisiti dei team interni, dei partner e dei clienti. Anche l'infrastruttura del provider cloud, così come le interfacce tra i sistemi interni e il cloud, sono incluse nei processi di compliance e di gestione del rischio.
• Violazioni cloud-native- Le violazioni dei dati nel cloud sono diverse dalle violazioni on-premises, in quanto il furto dei dati spesso avviene utilizzando le funzioni native del cloud. Una violazione Cloud-native è una serie di azioni da parte di un attore avverso in cui "atterra" il suo attacco sfruttando errori o vulnerabilità in un'implementazione cloud senza utilizzare malware, "espande" il suo accesso attraverso interfacce debolmente configurate o protette per individuare dati preziosi ed "esfiltra" tali dati nella propria posizione di archiviazione.
• Errata configurazione - Le violazioni cloud-native spesso ricadono sulla responsabilità del cliente cloud per la sicurezza, che include la configurazione del servizio cloud. La ricerca mostra che solo il 26% delle aziende è attualmente in grado di verificare i propri ambienti IaaS alla ricerca di errori di configurazione. L'errata configurazione dell'IaaS spesso funge da porta d'ingresso per una violazione Cloud-native, consentendo all'aggressore di atterrare con successo e poi passare all'espansione e all'esfiltrazione dei dati. La ricerca mostra anche che il 99% delle configurazioni errate passa inosservato negli IaaS da parte dei clienti cloud. Ecco un estratto dello studio che mostra questo livello di disconnessione delle configurazioni errate:

• Disaster recovery - La pianificazione della cybersecurity è necessaria per proteggere gli effetti delle violazioni negative significative. Un piano di disaster recovery include politiche, procedure e strumenti progettati per consentire il recupero dei dati e permettere all'organizzazione di continuare le operazioni e l'attività.
• Minacce interne - Un dipendente disonesto è in grado di utilizzare i servizi cloud per esporre un'organizzazione a una violazione della cybersecurity. Un recente rapporto McAfee sull'adozione del cloud e sui rischi ha rivelato attività irregolari indicative di minacce interne nell'85% delle organizzazioni.

Soluzioni di sicurezza per il cloud

Le organizzazioni che cercano soluzioni di sicurezza nel cloud dovrebbero considerare i seguenti criteri per risolvere le principali sfide di sicurezza del cloud, ossia la visibilità e il controllo sui dati del cloud.

• Visibilità dei dati del cloud - Una visione completa dei dati del cloud richiede un accesso diretto al servizio cloud. Le soluzioni di sicurezza del cloud realizzano questo obiettivo attraverso una connessione API (Application Programming Interface) al servizio cloud. Con una connessione API è possibile visualizzare:
  • Quali dati vengono archiviati nel cloud.
  • Chi utilizza i dati del cloud?
  • I ruoli degli utenti con accesso ai dati del cloud.
  • Con chi gli utenti del cloud condividono i dati.
  • Dove si trovano i dati del cloud.
  • Da dove vengono acceduti e scaricati i dati del cloud, compreso da quale dispositivo.
• Controllo sui dati del cloud - Una volta ottenuta la visibilità dei dati cloud, applichi i controlli più adatti alla sua organizzazione. Questi controlli includono:
  • Classificazione dei dati - Classificare i dati su più livelli, come sensibili, regolamentati o pubblici, nel momento in cui vengono creati nel cloud. Una volta classificati, si può impedire ai dati di entrare o uscire dal servizio cloud.
  • Data Loss Prevention (DLP) - Implementare una soluzione DLP nel cloud per proteggere i dati da accessi non autorizzati e disabilitare automaticamente l'accesso e il trasporto dei dati quando vengono rilevate attività sospette.
  • Controlli di collaborazione - Gestisce i controlli all'interno del servizio cloud, come il declassamento delle autorizzazioni di file e cartelle per utenti specifici a editor o viewer, la rimozione delle autorizzazioni e la revoca dei link condivisi.
  • Crittografia - La crittografia dei dati nel cloud può essere utilizzata per impedire l'accesso non autorizzato ai dati, anche se questi vengono esfiltrati o rubati.
• Accesso ai dati e alle applicazioni del cloud- Come per la sicurezza interna, il controllo degli accessi è una componente vitale della sicurezza del cloud. I controlli tipici includono:
  • Controllo dell'accesso degli utenti - Implementare i controlli di accesso al sistema e alle applicazioni per garantire che solo gli utenti autorizzati accedano ai dati e alle applicazioni del cloud. A Cloud Access Security Broker (CASB) può essere utilizzato per applicare i controlli di accesso
  • Controllo dell'accesso ai dispositivi - Blocca l'accesso quando un dispositivo personale e non autorizzato cerca di accedere ai dati del cloud.
  • Identificazione del comportamento dannoso - Rileva gli account compromessi e le minacce interne con l'analisi del comportamento degli utenti (UBA), in modo che non si verifichi l'esfiltrazione di dati dannosi.
  • Prevenzione del malware - Impedire che il malware entri nei servizi cloud utilizzando tecniche come la scansione dei file, il whitelisting delle applicazioni, il rilevamento del malware basato sull'apprendimento automatico e l'analisi del traffico di rete.
  • Accesso privilegiato - Identificare tutte le possibili forme di accesso che gli account privilegiati possono avere ai suoi dati e alle sue applicazioni, e mettere in atto controlli per mitigare l'esposizione.
• Conformità - I requisiti e le prassi di compliance esistenti devono essere aumentati per includere i dati e le applicazioni che risiedono nel cloud.
  • Valutazione dei rischi - Rivedere e aggiornare le valutazioni dei rischi per includere i servizi cloud. Identificare e affrontare i fattori di rischio introdotti dagli ambienti e dai provider cloud. Per accelerare il processo di valutazione sono disponibili database di rischio per i fornitori di cloud.
  • Valutazioni di conformità - Rivedere e aggiornare le valutazioni di conformità per PCI, HIPAA, Sarbanes-Oxley e altri requisiti normativi applicativi.