Cloud Security Summit 2018
Mercoledì scorso ho partecipato all’evento CloudSecuritySummit 2018 che si è tenuto a Milano. L’evento è organizzato da Clusit – Associazione Italiana di Sicurezza Informatica – della quale sono aderente, insieme a Assintel e CSA IT.
E’ stato un momento interessante e denso di contenuti relativi alla sicurezza del mondo Cloud, con un focus specifico verso la situazione italiana. L’analisi ha spaziato dai temi normativi e di compliance fino alle best practices operative. Data la numerosità dei relatori ed i loro diversi ambiti di competenza, sono stati messi in luce gli aspetti positivi e le criticità del cloud sul fronte della sicurezza. Luci e ombre di una “soluzione tecnologica” in fase di velocissima diffusione e crescita.
Ritengo sia utile mettere in evidenza alcuni dei principali aspetti emersi.
Certificazioni
Chi garantisce che le diverse soluzioni cloud coprano i numerosi aspetti di sicurezza e di rispondenza alle normative dei diversi paesi utilizzatori a livello mondiale? Su questo fronte i grossi fornitori di soluzioni a livello mondiale si devono dotare di circa 30 certificazioni diverse! Serve un’opera di standardizzazione a livello internazionale che permetta di ridurre la massa di certificazioni e gli oneri corrispondenti. Questo potrà semplificare il lavoro sia dei fornitori dei servizi che dei clienti nella loro attività di scelta, di valutazione e di audit successivo.
Attacchi
Gli attacchi agli ambienti cloud sono in aumento di qualche punto percentuale rispetto al 2017, ovviamente dato anche l’aumento della diffusione delle soluzioni cloud stesse. Il 10% degli attacchi complessivi sono stati rivolti al mondo cloud. Qualcuno obietta però che si tratta ‘solo’ del 10%, il rimanente 90% è ancora rivolto verso il mondo ‘on premise’ delle installazioni in casa. Ciò che va messo in risalto è la diversa qualità degli attacchi che risultano sempre più sofisticati.
Vulnerabilità
Negli ambienti cloud “IaaS” – Infrastructure as a Service – le vulnerabilità prevalenti sono legate agli aggiornamenti delle versioni dei sistemi installati ed alle relative patch molto spesso non aggiornate. La problematica che sta crescendo è la compatibilità complessiva dei sistemi installati con l’insieme delle diverse applicazioni sviluppate rispetto alle infrastrutture presso le quali sono installate.
Protezione degli utenti
L’accesso al cloud avviene per definizione via internet e da moltissimi dispositivi diversi, con una crescita consistente dei dispositivi mobili. La coscienza della sicurezza degli accessi in Italia è tuttavia ancora bassissima. La protezione standard dovrebbe prevedere accessi con modalità ‘multifactor authentication’, quindi con l’aggiunta di un ‘oggetto’ diverso che fornisca un ulteriore codice di accesso oltre allo userid e password. Ma questa soluzione è usata ancora pochissimo, anche in situazioni particolarmente critiche.
Identità digitale
L’identità digitale personale è l’elemento da proteggere in primis dato che rappresenta l’elemento di accesso a tutte le informazioni personali e correlate a quella identità. La violazione della identità personale ha un peso in termini di danno, non solo economico ma anche reputazionale, molto più elevata della violazione pura dei dati personali.
Responsabilità condivisa
L’ambiente cloud per definizione prevede che la responsabilità tra fornitori e utilizzatori, quindi tra providers e clienti, sia ‘condivisa’. Questo significa che, a seconda delle diverse soluzioni XaaS, via sia una parte a carico del fornitore, e comunque una parte consistente che rimane a carico del cliente sulla base delle proprie scelte e componenti adottate.
Oneri dell’utilizzatore
L’utilizzatore, il cliente, deve preoccuparsi di proteggere la propria identità (anche con soluzioni esterne all’infrastruttura cloud ospitante), della sicurezza complessiva delle applicazioni che installa in cloud e delle policies complessive che adotta per proteggere l’insieme delle applicazioni. Il cliente deve mantenere la governance sul complesso dei sistemi installati, in casa e nel cloud.
Multicloud
Sempre più si stanno diffondendo architetture ‘multicloud’ legate alle scelte che i clienti fanno per soddisfare le proprie esigenze di gestione dei sistemi informativi. Quindi non si tratta solo di gestire ambienti ibridi, cloud e on premise insieme, ma di utilizzare e interconnettere servizi basati su infrastrutture cloud di fornitori diversi. L’integrazione di questi ambienti pone questioni non indifferenti di gestione della sicurezza ma soprattutto di governance dei sistemi. Il disegno complessivo deve tenere conto di soluzioni e strumenti diversi da quelli adottato tradizionalmente per le applicazioni ed i servers installati in casa.
Shadow IT
La presenza di soluzioni cloud diversificate ed il facile accesso ad esse fa si che, sempre più, aree aziendali diverse dall’Information Technology scelgano e attivino applicazioni cloud in autonomia. Questo pone problemi di governance e di gestione della sicurezza complessiva molto diversi da quelli tradizionalmente gestiti. Vi sono però molti strumenti già disponibili, e molti in fase di crescita, che permettono di mantenere il controllo rispetto agli accessi ed agli utilizzi di questi ambienti ed applicazioni.
Vantaggi del cloud
I vantaggi del cloud rispetto agli ambienti on premise risultano molto evidenti. Tra i primi la continuità a livelli che difficilmente una infrastruttura in casa può raggiungere; la sicurezza infrastrutturale mantenuta con soluzioni complesse ed investimenti enormi; l’adozione di soluzioni ed architetture standard ed il loro mantenimento; la trasportabilità implicita per permettere la mobilità tra diverse soluzioni cloud. L’ambiente on premise ha molto spesso strati di infrastrutture e realizzazioni con livelli di personalizzazione che ne rendono difficile ed a volte impossibile la trasportabilità o addirittura il rinnovamento. Molte delle applicazioni che già oggi non vengono migrate in cloud devono questo blocco alla loro estrema personalizzazione.
Autority proattiva
Per semplificare la gestione della compliance nelle aziende che decidono di adottare soluzioni cloud e per l’adeguamento continuo della normativa alla evoluzione rapidissima in corso, sarebbe necessaria una Autority nazionale con elevate competenze tecniche all’interno e con una propensione all’azione propositiva molto spinta. Solo in questo modo si potrà rendere la diffusione del cloud ancora di più conveniente per le aziende e per il business.
In conclusione
Il fenomeno cloud sta vivendo una diffusione notevole, ma in Italia stenta ancora a prendere forme molto diffuse. La poca conoscenza di questi ambienti e la complicazione normativa e regolamentare mantengono l’approccio ancora cauto e guardingo. Sul fronte della sicurezza non si è ancora fatto il salto di mentalità verso questo tipo di mondo e servono probabilmente campagne informative ed informative per andare oltre la soglia della prima adozione quasi sperimentale.
Informazioni, riferimenti e dettagli su www.cloudsecuritysummit.it
Tiziano Barizza