Sicurezza dati nel cloud, una responsabilità condivisa: lo Shared Security Responsibility Model

Per garantire la sicurezza dei dati nel cloud, il Polo Strategico Nazionale ha adottato il modello di responsabilità condivisa per la sicurezza (Shared Security Responsibility Model – SSRM), per delineare le responsabilità tra il provider di servizi cloud e l’utente finale.

All’interno del modello si chiarisce che il PSN è responsabile della sicurezza “del” cloud, gestendo le infrastrutture fisiche come server, rete e Data Center; mentre la Pubblica Amministrazione, in qualità di utente, si occupa della sicurezza “nel” cloud, proteggendo i dati, le configurazioni di sicurezza delle applicazioni e il controllo degli accessi.

La suddivisione di tali compiti assicura che nessun aspetto della sicurezza sia trascurato.

Sicurezza del cloud: le matrici di responsabilità condivisa

Dunque, le matrici di responsabilità condivisa sono strumenti fondamentali nella gestione della sicurezza dei servizi cloud, delineando con precisione i compiti e le responsabilità di ogni parte, migliorando il coordinamento tra le parti e l’efficacia nell’attuazione delle strategie di sicurezza.

Attraverso tali strumenti si riconosce che sia il fornitore del servizio (come Polo Strategico Nazionale) sia l’utente finale (come la Pubblica Amministrazione) hanno ruoli distinti e separati nella gestione della sicurezza, di modo da assicurare che tutte le aree di sicurezza siano coperte in modo efficace, riducendo i rischi e migliorando la protezione complessiva.

Con una gestione trasparente e condivisa degli ambiti di competenza e delle responsabilità, le matrici costituiscono anche uno strumento di governance della sicurezza, promuovendo la sicurezza dei servizi Cloud attraverso una visione comune e condivisa di accountability.

L’esecuzione di audit interni ed esterni ha permesso di sviluppare le matrici di responsabilità condivisa, così da offrire un’organizzazione dei servizi principali suddivisi in cluster per migliorare la governance del servizio, basandosi sulla similitudine dei modelli di erogazione per garantire un ambiente cloud sicuro e ben gestito.

Un framework di controlli per i servizi cloud

Tali Matrici si basano su un framework di controlli specifico per servizi cloud, definito nella Cloud Control Matrix, articolata in 17 domini di sicurezza e 197 controlli. Per ognuno dei controlli di sicurezza vengono accertate:

• Applicabilità: volto a individuare l’applicabilità, o meno, di uno specifico requisito;
• Responsabilità: al fine di individuare l’owner della responsabilità su un controllo, ovvero se è solo in capo a PSN (CSP-owned), o alla PA (CSC-owned); se è condiviso fra PSN e PA (Shared CSP and CSC) o se è affidato ad una terza parte (3rd-party outsourced). Nello specifico, vengono dettagliate quelle in capo a:
• PSN: si tratta della descrizione puntuale delle attività, in termini di responsabilità, in carico al PSN;
• Pubblica Amministrazione: si tratta della descrizione puntuale delle attività, in termini di responsabilità, in carico alla Pubblica Amministrazione, con l’inserimento di specifiche linee guida.

Sicurezza del cloud: l’approccio “Shared by default”

L’approccio “Shared By Default” implica una trasparenza e coordinamento continuo tra le parti, garantendo che tutti i livelli di sicurezza siano compresi e attuati efficacemente.

Questo modello di collaborazione non solo risponde alle esigenze immediate di governance della sicurezza in contesti complessi, ma pone anche le basi per una resilienza digitale a lungo termine.

Tale approccio si basa su quattro principi per una gestione ottimale della sicurezza nei servizi cloud:

1. Trasparenza: assicura che sia la Pubblica Amministrazione sia Polo Strategico Nazionale conoscano precisamente le loro responsabilità in ogni area del servizio.
2. Integrazione: permette al Polo Strategico Nazionale di offrire servizi aggiuntivi per rafforzare la sicurezza laddove è responsabilità della Pubblica Amministrazione.
3. Coordinamento: crea un dialogo su misura con vari interlocutori per una gestione efficace della sicurezza.
4. Misurazione: utilizza standard condivisi per valutare la maturità della sicurezza, garantendo una base uniforme per l’avanzamento sicuro dei servizi cloud.

Le Amministrazioni possono considerare i loro dati al sicuro quando sono protetti da misure di sicurezza fisica e cibernetica ben definite e rigorosamente applicate. Il Polo Strategico Nazionale garantisce la protezione fisica attraverso Data Center avanzati, equipaggiati con sistemi antintrusione, sensori di protezione perimetrale e videosorveglianza, accessibili solo a personale autorizzato.

Le misure di cyber security per la protezione dei dati in cloud

A livello cibernetico, la sicurezza è rafforzata mediante crittografia avanzata, la gestione proattiva tramite Security Operation Center (SOC) e Computer Emergency Response Team (CERT), e l’osservanza di standard come ISO/IEC 27001 e ISO 22301.

Dunque, lo Shared Security Responsibility Model (SSRM) è uno strumento previsto all’interno della Cloud Control Matrix dominio «Supply Chain Management, Transparency and Accountability», attraverso il quale il Cloud Service Provider (PSN) e il Cloud Service Customer (PA) definiscono e regolano in che modo la responsabilità e l’accountability per la sicurezza dei dati e delle risorse venga suddivisa nell’ambito di uno specifico servizio Cloud.

Per ogni controllo indicato all’interno della Cloud Control Matrix viene identificata l’ownership – come delineato anche nel secondo step sull’accertamento dei controlli di sicurezza – specificando se questa spetta al Cloud Service Provider (PSN), al Cloud Service Customer (PA) o ad una Terza Parte, identificabili in gestori e fornitori ai quali il Provider o il Customer si rivolge per l’erogazione di una componente del servizio.

Le aree di responsabilità della sicurezza nel cloud

Per ognuno dei servizi cloud, la sicurezza viene ripartita secondo aree di responsabilità:

1. laaS e Caas: La Pubblica Amministrazione cliente è responsabile della messa in sicurezza deali elementi virtuali ospitati all’interno dell’infrastruttura virtuale fornita da PSN (VM, VApp, Container, Sistemi Operativi, Virtual Network, Middleware, Runtimes, Applicazioni e Dati). PSN è responsabile della messa in sicurezza dell’infrastruttura sulla quale vengono ospitati gli ambienti virtuali acquistati dalle Pubbliche Amministrazioni, assicurando la sicurezza fisica, della rete fisica, dell’hardware e dell’hypervisor utilizzati per l’erogazione del servizio.
2. DBaaS: la Pubblica Amministrazione cliente e responsabile della messa in sicurezza degli elementi applicativi contenuti all’interno del Database fornito da PSN e/o di quelli sviluppati internamente, nonché della sicurezza «in-use» dei dati in questi contenuti. PSN è responsabile della messa in sicurezza dell’infrastruttura sulla quale vengono sviluppate le piattaforme fornite alla PA, nonché gli strumenti di orchestration ed automation necessari a fornire al cliente la piattaforma per la fruizione del servizio, assicurando la sicurezza fisica, della rete Tisica, dell’hardware, delle VM, dei Container, dei sistemi operativi, dei software di Middleware utilizzati per l’erogazione del servizio. Il PSN è anche responsabile della sicurezza dei dati contenuti in DB nello stato «at-rest».
3. PaaS: la Pubblica Amministrazione cliente e responsabile della messa in sicurezza degli elementi applicativi forniti da PSN e/o di quelli sviluppati internamente in autonomia, nonché dei dati in questi contenuti. PSN è responsabile invece della messa in sicurezza dell’infrastruttura sulla quale vengono sviluppate le piattaforme fornite alla PA, nonché gli strumenti necessari a fornire al cliente la piattaforma per la fruizione del servizio, assicurando la protezione fisica, della rete fisica, dell’hardware, dei sistemi operativi, dei software di Middleware e dei Runtimes utilizzati per l’erogazione del servizio.
4. DRaaS e BaaS: tale servizi sono acquistabile esclusivamente come integrazioni ad un altro erogato da PSN, quindi, si assumono le stesse responsabilità indicate nella SSRM del servizio al quale viene associato.

Inoltre, il Polo Strategico Nazionale ha realizzato anche un servizio mirato per la gestione dei dati critici. “Secure Public Cloud” utilizza Google Cloud con l’implementazione di chiavi crittografiche gestite dal PSN in Regioni situate sul suolo italiano. Tale servizio a garanzia della sicurezza e della sovranità del dato attraverso:

1. Le chiavi di cifratura: tutti i workload della PA sono cifrati con chiavi master BYOK e HYOK. I codici sono di proprietà della PA ma gestiti dal PSN e localizzati nei Data Center nel territorio italiano.
2. Le cyber security posture per seguire ed eseguire le principali best practices e framework di riferimento.
3. La gestione del networking affinché tutto il traffico venga monitorato attraverso un’architettura Hub&Spoke che consente di controllare i dati tramite firewall.
4. La policy che impone i workload solo in Data Center italiani del Public Cloud selezionato.
5. Doppia serie di backup, previsti sia nei Data Center del PSN, sia nelle infrastrutture della PA per garantire una duplice conservazione degli applicativi.

In conclusione

La creazione di un modello di responsabilità condivisa per la sicurezza rappresenta un passo verso la modernizzazione e la protezione dei dati e delle infrastrutture digitali del paese.

La sinergia e la collaborazione tra le PA e il PSN non solo rafforza la resilienza contro le minacce cibernetiche, ma promuove anche una gestione più efficiente e trasparente delle risorse pubbliche.

Implementare standard di sicurezza rigorosi e definire chiaramente le responsabilità garantisce che le informazioni sensibili siano protette, rispettando al contempo anche le normative vigenti.