I problemi di cloud security sono numerosi. Dalla protezione contro gli intrusi alla delicata gestione dei dati personali. La risposta? Dividersi le responsabilità.
La cloud security è una questione importante e complessa. Importante perché senza garanzie sulla sicurezza dei dati depositati on cloud è impossibile sperare che le organizzazioni accolgano questo paradigma. Complessa perché i punti deboli sono oggettivamente numerosi e tanto più difficili da presidiare quanto più la struttura della nuvola è ampia.
Subire una violazione di sicurezza nel mondo cloud significa rischiare di vedere rubati, cancellati o manomessi i dati presenti sui server. Fatto tanto più grave quando questi rappresentino informazioni private di terze parti, come nel caso di database di anagrafici, foto private o dati di geolocalizzazione. Per questo motivo le attività di trasferimento e custodia di informazioni sul cloud rispondono alla legislazione sul trattamento di dati personali e, indirettamente, alle leggi sulla tutela della privacy.
Oggi per affrontare questi problemi i provider e le aziende clienti operano separatamente, spartendosi le aree di competenza e gli sforzi per proteggere i dati che gestiscono insieme.
Minacce alla sicurezza
Secondo il Cloud Security Spotlight Report le organizzazioni sono scoraggiate dall’adozione del cloud perché temono di incappare in una lunga serie di complicazioni. Tra queste i rischi generali di sicurezza (53%), questioni legali e di conformità normativa (42%), fuga e perdita di dati (40%), problemi di integrazione con l’ambiente IT preesistente (35%) e mancanza di competenze (26%).
La Cloud Security Alliance – associazione internazionale che fornisce informazione e formazione sulla cloud security – ha riassunto in un elenco alcuni dei problemi di sicurezza più rilevanti:
• Accessi non autorizzati – sono la singola minaccia più grande. Le credenziali possono essere sottratte col phishing, possono restare attive al variare del ruolo o col cambio dei dipendenti. Per evitare questo rischio è bene evitare di creare repository che contengano tutte le password e adottare un sistema di strong authentication. Resta sempre il rischio che un insider con cattive intenzioni arrechi danni.
• API – utilizzate dai team IT per gestire i servizi cloud, dall’autenticazione al controllo degli accessi, al monitoraggio delle attività. Sono le parti del sistema più esposte ad attacchi, specialmente quando prodotte da terzi.
• APT – le Advanced Persistant Threats si infiltrano nei sistemi e creano un punto di appoggio da cui estraggono dati poco alla volta per un lungo periodo di tempo.
• Perdita permanente di dati – tramite cancellazione o perdita di chiave d’accesso a dati criptati. È un evento raro ma potenzialmente distruttivo.
Il già citato Spotlight Report ha rilevato che l’84% dei clienti cloud non si considera soddisfatto dei sistemi di sicurezza tradizionali, reputati con un’efficacia scarsa o misurabile. Ha individuato inoltre le tre sfide più grandi per le organizzazioni, cioè verificare: le policy di sicurezza, la sicurezza dell’infrastruttura e la conformità alle norme.
A volte è questione di privacy
Un caso specifico e particolarmente critico di informazioni che possono essere caricate in una rete cloud sono i dati personali. Si tratta di dati sull’utente che permettono di identificarlo direttamente, come dati anagrafici o immagini, quelli che possono rivelarne le convinzioni religiose o politiche e quelli che indicano la sua condizione giudiziaria.
In questi casi la legge prevede due soggetti: il titolare, che fornisce i dati, e il responsabile, cioè il cloud provider incaricato di utilizzare i dati affidatigli nel modo e con lo scopo accordato.
La domanda che ci si pone è: in caso di trattamento di dati sensibili, il cliente-titolare come può assicurarsi che i limiti e gli obblighi cui il fornitore-provider dovrebbe attenersi, siano rispettati?
La risposta è che non c’è modo di farlo. Non è possibile effettuare un controllo stringente su ogni attività del responsabile, né prevedere ogni modalità di trattamento dei propri dati, come vorrebbe la teoria.
Per questo motivo nel nostro paese i provider sono talvolta considerati titolari a sé, o co-titolari dei diritti.
Infine c’è da tener presente che è sempre responsabilità del cliente assicurarsi che le condizioni generali del contratto stipulato col fornitore siano conformi alla normativa sulla privacy.
Shared responsibility
Per ovviare a questi problemi di sicurezza si è diffuso un modello di shared responsibility, che vede la responsabilità divisa tra provider e cliente. AWS, Azure, IBM, Google: ciascun fornitore propone una diversa suddivisione delle responsabilità. In generale al provider spetta di garantire il corretto funzionamento dell’hardware e dei data center fisici messi a disposizione. Il cliente invece risponde della sicurezza di tutte le attività che avvengono sul cloud: dati, applicazioni, sistemi operativi, configurazioni di network e firewall.
La shared responsibility per AWS
I provider possono ottenere certificazioni di vario tipo da enti esterni, a garanzia dell’affidabilità dei servizi offerti. Pensiamo agli standard ISO sulla gestione della sicurezza e della protezione dei dati personali, o ai SOC, relativi ai controlli di conformità. Le aziende clienti, dal canto loro, hanno un security office che stila le policy di sicurezza interna, talvolta ispirate da linee guida suggerite dagli stessi provider – come ad esempio le best practice di AWS.
Definire a priori contrattualmente gli ambiti di competenza può aiutare a organizzare meglio la cloud security, a patto che si sia ben consapevoli dei propri oneri. Un suggerimento sempre valido per chi dovesse iniziare una migrazione su cloud è – per banale che possa sembrare – assicurarsi di leggere, e capire, tutte le clausole del contratto.
