Nei prossimi 5 anni le aziende spenderanno 2 miliardi di dollari per puntellare le proprie difese in questo ambito. Cinque consigli essenziali per utenti cloud alle prime armi

Tecnologie smart: italiani entusiasti ma poco formati

A cura di Antonio Madoglio, SE Manager, Fortinet

Cosa hanno in comune Apple, Amazon e Microsoft? Tutti e tre i colossi tecnologici, considerati il top tra i fornitori di servizi cloud, sono stati vittima di attacchi hacker che hanno violato i rispettivi sistemi di sicurezza. L’incidente “celebgate” occorso ad Apple ha esposto le foto personali di molte delle celebrità presenti tra gli utenti di iCloud ed è finito su tutte le prime pagine lo scorso anno. Il provider tecnologico britannico Code Spaces è stato costretto a chiudere dopo che un anno fa alcuni hacker hanno provato a ricattarlo e successivamente hanno cancellato importanti dati nel suo cloud storage su Amazon Web Services. Nel 2013, un certificato SSL scaduto nel cloud service Azure di Microsoft ha consentito ai pirati di interrompere il funzionamento di Xbox Live e di molti altri servizi cloud.

I rischi per la sicurezza del cloud sono in aumento, con attacchi che crescono del 45% anno su anno a livello globale, secondo Alert Logic, azienda di cloud security. Secondo Forrester Research, nei prossimi 5 anni le aziende spenderanno 2 miliardi di dollari per puntellare le proprie difese in questo ambito.

Sono gli utenti cloud alle prime armi quelli che potrebbero essere più a rischio, in virtù della scarsa familiarità con il nuovo ambiente e dell’ulteriore difficoltà di doversela vedere con una nuova modalità di gestione di utenti, dati e sicurezza. Sono in particolare per loro questi cinque consigli fondamentali.

1. Conoscere le aree del cloud

Esistono tre elementi principali in ogni implementazione cloud – il cloud vendor, il provider dei servizi di rete e l’azienda. Dato che la nuvola dovrebbe essere trattata come un’estensione del data center aziendale, la domanda da porsi è quindi la seguente: è possibile applicare a tutti e tre gli elementi un set di policy e servizi di sicurezza comune? Quali sono le lacune della sicurezza?

Quando si seleziona il vendor, occorre chiedergli quali soluzioni di sicurezza offre e con quali aziende di sicurezza collabora. Il cloud è un ambiente dinamico e richiede aggiornamenti regolari all’architettura di sicurezza per rimanere al passo con le minacce più recenti. Come si protegge il cloud vendor contro nuovi exploit e vulnerabilità zero-day?

Occorre inoltre capire dove sono i limiti nei modelli di sicurezza condivisa offerti con il cloud service. Bisogna comprendere fino a dove arrivano le responsabilità del proprio cloud provider e dove cominciano quelle dell’azienda. In alcuni servizi cloud, come lo IaaS, è per esempio responsabilità di quest’ultima proteggere i propri dati e applicazioni nel cloud. A tal fine è quindi importante sapere quali appliance/vendor di sicurezza il cloud provider offre o consente all’azienda di implementare nel cloud.

2. Nuove app, nuove barriere

Si è pronti a migrare un’applicazione nel cloud? Prima di procedere, occorre considerare di aggiungere nuove barriere alle misure di sicurezza esistenti create attorno ai processi di autenticazione e log-in dell’applicazione.

Per rendere più sicuro l’accesso alla propria applicazione cloud, bisogna disporre di uno schema d’accesso granulare ai dati. È possibile fare ciò associando privilegi di accesso a ruoli, posizioni aziendali e progetti. Tutto questo assicura un livello di protezione ulteriore nel caso gli hacker riescano a sottrarre le credenziali di login ai dipendenti.

L’account hijacking può sembrare una cosa antiquata, ma questa vecchia tipologia di violazione continua a rappresentare una delle principali minacce per gli utenti cloud secondo la Cloud Security Alliance. Per rendere la procedura di login più sicura, è consigliabile prendere in esame autenticazione a doppio fattore, posture checking e l’uso di one-time password. Un buon suggerimento è fare in modo che le ID degli utenti debbano essere cambiate in occasione del login iniziale.

3. Adottare la cifratura

La cifratura dei dati è uno dei principali alleati per la sicurezza nel cloud, e non dovrebbe essere messa in discussione quando si parla di e-mail e trasferimento di file. Sebbene non prevenga tentativi di violazione e furto di dati, può proteggere l’azienda e salvarla da pesanti multe quando il temuto evento si verifica.

Occorre domandare al proprio cloud vendor informazioni in merito ai suoi processi di cifratura dei dati. Come questi vengono cifrati quando sono inutilizzati, in uso o in movimento. Per capire quali dati dovrebbero essere crittografati, giova sapere dove risiedono – sui server del proprio cloud vendor o di aziende terze parti, nei portatili, desktop o chiavette dei dipendenti.  

4. Lottare con il virtuale

Il passaggio al cloud consente alle aziende di raccogliere i benefici della virtualizzazione ma un ambiente virtuale può presentare delle sfide per la protezione dei dati. La principale problematica riguardare la gestione della sicurezza e del traffico nel reame delle macchine virtuali e multi-tenancy.

Le appliance di sicurezza fisica non sono generalmente progettate per gestire i dati nel cloud. È qui che le appliance di sicurezza virtuale entrano in gioco – per proteggere il traffico nel passaggio da macchina virtuale a macchina virtuale. Tali appliance sono progettate per gestire le complessità derivanti dall’esecuzione di molteplici istanze di applicazioni o multi-tenancy.

Consentono quindi alle aziende di effettuare un controllo accurato della sicurezza sui propri dati nel cloud. Occorre domandare al proprio cloud provider come protegge il suo ambiente virtuale e quali appliance di sicurezza virtuale utilizza. Se si sta pensando di creare il proprio cloud ibrido o privato, è una buona idea affidarsi a prodotti di sicurezza virtuale che si focalizzino sul controllo granulare.

5. Formare gli utenti

Non sono pochi gli anedotti e i report che mostrano come l’utilizzo non autorizzato di applicazioni e cloud service, il cosiddetto “shadow IT”, sia in costante crescita tra le aziende. La natura incontrollata di questo fenomeno costituisce una minaccia per la sicurezza e pone delle sfide di governance.

Ogni nuova applicazione cloud è quindi a rischio. Basta prendere in considerazione il tipico scenario in cui i dipendenti utilizzano il proprio smartphone per aprire un file aziendale. È come se il device ne facesse una copia, che potrebbe poi essere inviata ad una destinazione di storage online non approvata quando il telefono effettua il suo backup automatico. In questo modo dati aziendali sicuri possono essere trasferiti in una location non sicura.

Prevenire l’accesso allo shadow IT non ne fermerà la crescita in azienda. È più efficace educare gli utenti e utilizzare la tecnologia per gestire la problematica. Cifratura, strumenti di gestione delle sicurezza e monitoraggio della rete possono aiutare a proteggere la prima app cloud che si implementa contro i rischi dello shadow IT.