Servizi cloud e sicurezza dei dati: ecco i rischi (e le opportunità) per le aziende

Il modello cloud introduce, oltre alle indubbie opportunità, anche nuovi rischi per la sicurezza dei dati per le aziende dovuti a molteplici fattori quali:

• la difficoltà di controllo dell’affidabilità e dei livelli di sicurezza offerti dai cloud provider e dalle loro terze parti;
• la condivisione “multi tenant” delle infrastrutture del provider tra più clienti;
• l’ubicazione geografica distribuita dei dati, spesso difficile da determinare, con le conseguenti problematiche di compliance privacy legate e differenti normative nazionali in tema di protezione dei dati personali;
• la difficoltà di definire e, non ultimo, far accettare clausole di sicurezza “personalizzate” nei contratti con i provider.

Un altro fattore da tenere in considerazione è la distribuzione delle responsabilità tra cliente e fornitore in tema di adozione e gestione delle misure di sicurezza, che varia in funzione del modello di servizio. I servizi cloud vengono infatti erogati dal cloud provider secondo tre diversi modelli che determinano la suddivisione delle responsabilità per gli aspetti di cyber security tra cliente e fornitore del servizio:

• IaaS (Infrastructure as a Service): il provider offre “in affitto” un’infrastruttura ICT, comprensiva di capacità di calcolo e storage su server virtuali distribuiti presso numerosi data center e reti di comunicazione, mentre il resto (sistema operativo, middleware e applicazioni) è a cura del cliente;
• PaaS (Platform as a Service): il provider fornisce ai clienti una piattaforma on demand (capacità di calcolo, middleware, storage, sistemi operativi) per costruire applicazioni e servizi;
• SaaS (Software as a Service): è il modello di servizio più completo, che consente al cliente di utilizzare dei servizi chiavi in mano.

Per questo motivo alcuni dei principali cloud service provider come Microsoft e Amazon AWS hanno pubblicato i loro documenti tecnici che illustrano il modello di suddivisione delle responsabilità e includono gli aspetti di sicurezza. Come emerge chiaramente dal modello definito da Gartner, le responsabilità in tema di sicurezza coinvolgono sempre di più il cliente spostandosi dal modello IaaS a quello PaaS e infine al SaaS.

Gli aspetti di sicurezza da valutare

Consolidata la scelta di ricorrere a una soluzione cloud rispetto all’approccio “on premise”, un’azienda deve affrontare la fase di selezione del servizio/soluzione/fornitore che meglio garantisce la copertura delle proprie esigenze. Ed è proprio in questa fase che devono essere valutati sia la “maturità” dei possibili fornitori in tema di cyber security, sia i livelli di sicurezza garantiti dalle possibili soluzioni. I principali aspetti da valutare sono i seguenti, articolati per macro aree:

• Governance: include gli aspetti utili a valutare la “maturità” del cloud provider in tema di cyber security. Fanno parte di questa categoria: policy, framework di cyber security management system, processi per la gestione dei rischi di sicurezza, sia interni sia legati alla catena dei sub-fornitori, selezione, sensibilizzazione e formazione del personale;
• Compliance: consente di valutare la capacità del provider di soddisfare i requisiti di conformità a leggi, regolamenti e standard di riferimento per il cliente. Include tipicamente la conformità alle normative privacy (ad esempio, il GDPR), l’ubicazione geografica dei data center e di conseguenza dei dati, eventuali coperture assicurative nel caso di data breach e la disponibilità a fornire evidenze di conformità a standard e regolamenti.
• Business Continuity: consente di valutare la capacità del provider di garantire la continuità dei servizi offerti e la disponibilità delle operazioni e dei dati. Include aspetti quali la disponibilità di procedure e di soluzioni tecniche (facility, sistemi, reti, backup ecc., fino alla disponibilità di siti di disaster recovery) atte a coprire scenari di crisi di diversa natura e portata, dal guasto limitato al disastro esteso, dovuti sia a eventi naturali che ad azioni deliberate o errori;
• Infrastructure Security: include le misure di sicurezza fisica e ambientale (dal controllo degli accessi fisici a impianti anti-incendio e allagamento), di sicurezza delle reti (segmentazione, sicurezza perimetrale, accessi remoti sicuri, IDS/IPS ecc.) e delle architetture di virtualizzazione (ad esempio, multi tenancy per segregare i dati di clienti diversi);
• Identity & Access Management: fanno parte di questa categoria le misure per il controllo degli accessi logici a sistemi, apparati, servizi e applicazioni, sia da parte del personale del provider per finalità di gestione sia da parte degli utenti dei clienti per accedere a servizi e dati. Include soluzioni di user e password management, strong authentication, nonché la capacità di integrazione con i sistemi di user management dei clienti;
• Data Protection: consente di valutare la capacità del provider di proteggere i dati dei clienti da accessi e modifiche non autorizzati. Include la crittografia sia dei dati memorizzati “at rest” sia di quelli in transito (ad esempio a/da i sistemi dei clienti), le procedure di gestione delle chiavi crittografiche (key management), le soluzioni/procedure di backup e restore e la gestione/restituzione dei dati alla cessazione dei contratti;
• Host, Middleware & Application Security: include le misure per la sicurezza dei server fisici, quali antivirus, hardening e patching, del middleware (quali API security, database security) e delle applicazioni (adozione di best practice di sviluppo di codice sicuro, web application firewall -WAF, code inspecting ecc.);
• Operation & Monitoring: include procedure di patch management, interventi di vulnerability assessment, il tracciamento, il monitoraggio dei log, strumenti e procedure per la gestione e la notifica degli incidenti di sicurezza.

Una fonte di riferimento è costituita dalla Cloud Security Alliance (CSA), un’organizzazione no-profit con la missione di “promote the use of best practices for providing security assurance within Cloud Computing”. In particolare la Cloud Security Alliance ha sviluppato la matrice Cloud Controls Matrix (CCM) che definisce i controlli di sicurezza applicabili a un servizio cloud, organizzati in 13 “control domain” (ad esempio, Governance and Risk Management, Identity & Access Management) e per modello di servizio (SaaS, PaaS, IaaS).

Selezionare il fornitore e i servizi cloud

Per affrontare efficacemente la fase di selezione di una soluzione cloud-based è opportuno predisporre checklist e questionari di supporto, che consentono di produrre degli “scoring model” personalizzati da utilizzarsi, a seconda delle esigenze:

• per la qualificazione e/o la selezione dei cloud provider in relazione ai “livelli di maturità” in tema di cyber security governance;
• per la scelta della soluzione che meglio indirizza le esigenze di sicurezza, in base alla criticità delle informazioni trattate e agli impatti negativi per l’azienda in caso di “data breach”.

Le informazioni raccolte tramite i questionari sono anche utili ai fini di formalizzazione dei requisiti di cyber security nella forma di allegati ai contratti di servizio. Per questi ultimi aspetti è bene non dimenticare che la distribuzione delle responsabilità tra cliente e fornitore in tema di adozione e gestione delle misure di sicurezza può variare in funzione del modello di servizio, come evidenziato in precedenza.

Costi ridotti e nuovi rischi

Ricorrere al cloud computing per la realizzazione di nuovi servizi informatici, se da una parte consente alle aziende di ridurre i costi grazie al modello pay-per-use, dall’altra introduce, rispetto alle soluzioni on-premise, nuovi rischi per la sicurezza dei dati, che devono essere attentamente valutati e indirizzati, scegliendo il binomio soluzione/provider più adeguato e prevedendo opportune clausole contrattuali che regolamentino il rapporto cliente-fornitore indirizzando adeguatamente i rischi cyber.