Via XXV Aprile 138 - 25038 ROVATO
+39 0307709666
info@safeshield.it

7. I modelli di sicurezza per il Cloud Computing

7. I modelli di sicurezza per il Cloud Computing
why-your-port-based-firewall-is-putting-your-network-at-risk-next-gen-firewall-for-enterprise-wlan

Luca Dazio
Ricercatore Osservatorio Information Security & Privacy, Politecnico di Milano.

Marina Natalucci
Ricercatrice Osservatorio Cloud& ICT as a Service, Politecnico di Milano.

La progressiva diffusione del Cloud Computing ha portato ad un’esternalizzazione di porzioni di sistemi informativi, offrendo modelli scalabili di gestione della tecnologia. Tuttavia aumentano le minacce da gestire in un mondo sempre più connesso e interdipendente

[rd_line margin_top=”10″ margin_bottom=”10″]

Cos’è il Cloud Computing e perché cambia i modelli di sicurezza
Negli ultimi anni, il Cloud Computing è andato affermandosi nelle aziende come nuovo ed essenziale modello di fruizione delle tecnologie ICT (Information & Communication Technology) in quanto permette di accedere ai servizi aggiornati e tecnologicamente avanzati di un service provider attraverso la rete, pagandoli direttamente al consumo. In questo modo, la gestione interna dell’Information Technology diventa molto più asset-light e il time-to-market della digitalizzazione viene notevolmente ridotto. Tuttavia, per sfruttare le opportunità di questo paradigma, le aziende devono dotarsi di strumenti e best practice per la gestione della sicurezza, diversi o comunque evoluti rispetto a quelli tipici della gestione IT tradizionale.
Dal punto di vista tecnologico, secondo la definizione del NIST (National Institute for Standards and Technology), il Cloud Computing è un insieme di servizi ICT accessibili on-demand e in modalità self-service tramite tecnologie Internet, basati su risorse condivise, caratterizzati da rapida scalabilità e dalla misurabilità puntuale dei livelli di performance, in modo da poter essere pagati in base al consumo. Dal punto di vista commerciale, il Cloud Computing permette di ridurre complessivamente i costi in quanto l’aggregazione di diversi profili di domanda su risorse condivise permette di raggiungere economie di scala oltre ad abilitare l’erogazione flessibile dei servizi. Attraverso questo paradigma, l’Information Technology diventa un servizio acquistato in base alle reali esigenze aziendali e pagato in base agli effettivi consumi. In questo modo, il rischio legato ai progetti IT si riduce notevolmente, in quanto si passa da un investimento in capitale fisso a spese operative correnti e variabili.
I servizi Cloud possono essere classificati secondo tre modelli di servizio:

  • Infrastrutture as a Service (IaaS), in cui il provider offre all’utente risorse di calcolo, come rete, storage, capacità elaborativa, sulle quali installare e gestire autonomamente le proprie applicazioni;
  • Platform as a Service (PaaS), in cui il provider offre all’utente, già preinstallate e configurate, piattaforme ottimizzate per lo sviluppo, il testing e l’erogazione delle applicazioni;
  • Software as a Service (SaaS), in cui il provider offre all’utente applicazioni gestite su un’infrastruttura Cloud.

Vi sono inoltre differenti modalità di implementazione dei servizi Cloud, identificate secondo tre modelli di deplovment:

  • Cloud Privato: l’infrastruttura rimane dedicata esclusivamente all’organizzazione utente, che ne ha il pieno controllo. Il Cloud privato può risiedere nel Data Center dell’impresa stessa, rimanendo sotto la gestione del personale interno, oppure può essere affidato ad un fornitore esterno specializzato, diventando quindi un Managed Private Cloud. In quest’ultimo caso, gli asset fisici sono di proprietà dell’azienda e solo la gestione del Data Center è affidata all’operatore terzo. Inoltre, esiste il caso del Hosted Private Cloud, in cui le infrastrutture vengono ospitate sul Data Center del fornitore, al quale vengono affidate anche le operazioni di manutenzione e di gestione;
  • Cloud Pubblico: l’infrastruttura Cloud è di proprietà del service provider, che eroga servizi disponibili al pubblico attraverso Internet su risorse condivise da più utenti. Gli investimenti infrastrutturali sono interamente sostenuti dal fornitore, mentre il cliente paga a consumo solamente per i servizi effettivamente fruiti;
  • Community Cloud: l’infrastruttura è condivisa da un numero limitato di organizzazioni, ad esempio un consorzio di imprese. Gli investimenti necessari alla realizzazione dell’infrastruttura e il controllo della stessa sono ripartiti tra gli enti partecipanti alla community. Ugualmente al Cloud Privato, il Community Cloud può essere Hosted, Managed oppure ospitato e gestito internamente (figura 9.1).

È specialmente il Cloud Pubblico a destare preoccupazioni nelle aziende. Infatti, il cliente usufruisce di servizi basati su infrastrutture che non sono sotto suo controllo e gestione ma sono di proprietà del provider. In termini di sicurezza, questo genera due tipi di considerazioni: da una parte, il provider ha capacità di investimento tali da poter mettere in piedi strumenti molto più potenti di quanto potrebbe realizzare un team di sicurezza interno all’azienda. D’altro canto, perdere controllo si informazioni e servizi critici per i business è oggi uno dei maggiori elementi di freno per le aziende nell’adozione di servizi Cloud. Secondo quanto emerge dalla Ricerca 2016 dell’Osservatorio Cloud & ICT as a Service del Politecnico di Milano, infatti, tra le aziende che già adottano servi Public Cloud, gli aspetti maggiormente frenanti sono proprio la tutela della privacy e della riservatezza (nel 38% dei casi), la sicurezza dei dati (25%) le problematiche di indisponibili del servizio (23%).
In effetti, i casi di furto dei dati si sono moltiplicati negli ultimi anni. Solo nel 2016, Yahoo ha ammesso di essere stata colpita da due pesanti cyber attacchi, avvenuti tra il 2013 e il 2014, in cui sono stati rubati i dati riferiti a più di i miliardo di account. Anche l’indisponibilità dei sistemi, e quindi l’impossibilità per le aziende di accedere ai propri servizi business-critical, spaventa molto e ve ne sono alcuni casi recenti: ad esempio, nel Marzo 2017, il leader del mercato Public Cloud, Amazon Web Services (AWS), ha avuto un’interruzione dei servizi di alcuni sistemi per tre ore durante le quali i siti Internet di molte aziende, che risiedevano sulle infrastrutture del famoso provider, non hanno più funzionato.
Le paure più comuni tra le aziende italiane non sono quindi ingiustificate ma non si può affermare che il Cloud Computing sia più o meno sicuro rispetto ai sistemi tradizionali. Infatti, questo modello porta anche dei vantaggi in termini di sicurezza: per esempio, i sistemi sono più semplici da aggiornare e di conseguenza più difficilmente attaccabili, e la sicurezza diventa dominio del provider riducendo l’onere della gestione interna. Inoltre, le esperienze di gestione della sicurezza tradizionale accumulate negli anni non sono inutili, anzi continuano ad avere la loro validità pur non essendo più sufficienti. È d’altro canto vero che il Cloud Computing introduce nuove minacce e modifica il perimetro di attenzione per la sicurezza stessa, non più relativa unicamente ad un dominio interno ai confini aziendali, ed è quindi necessario che le organizzazioni aggiornino ed evolvano la propria strategia di protezione.

Le minacce alla sicurezza nel Cloud e le beat practice per proteggersi
Secondo l’Osservatorio Cloud & ICT as a Service del Politecnico di Milano, il mercato del Cloud Coniputing in Italia ha raggiunto un valore complessivo di 1,77 miliardi di Euro nel 2016, con una dinamica di crescita del 18% rispetto all’anno precedente. L’approccio delle aziende italiane verso i progetti di Public Cloud è ormai maturo, con iniziative importanti che coinvolgono infrastrutture e applicativi sempre più business-critical. Questo comporta, da un lato, una focalizzazione dei cyber-attacchi sui grandi provider di servizi Cloud, ormai detentori di dati sensibili e processi core di facile monetizzazione per gli hacker; dall’altro, i Sistemi Informativi aziendali stanno evolvendo verso ambienti sempre più ibridi, in cui infrastrutture e applicativi interni devono integrarsi in maniera veloce, flessibile e sicura con i servizi fruiti in Cloud. Il Cloud rappresenta quindi sia un nuovo focus di attacco sia un nuovo punto d’ingresso per la compromissione dei sistemi interni all’azienda.
Secondo la Ricerca 2016 dell’Osservatorio Information Security and Privacy del Politecnico di Milano, relativamente agli ambienti Cloud, le grandi imprese italiane percepiscono come principali minacce alla sicurezza la mancanza di controllo sulle operations del service provider (63% degli intervistati), i problemi derivanti dal lock in con il fornitore (46%), i possibili data breach e la scarsa trasparenza rispetto agli obblighi contrattuali (42%). È chiaro l’intreccio tra minacce tecnologiche e aspetti più legati al contratto e alla relazione con il fornitore: da una parte è necessario essere consapevoli delle nuove minacce alla sicurezza introdotte dal Cloud e di come affrontarle, dall’altra bisogna evolvere gli strumenti contrattuali affinché pratiche, responsabilità e livelli di disponibilità dei servizi del provider siano chiaramente definiti.
Come già accennato, la sicurezza del dato è uno degli elementi scatenanti per queste preoccupazioni perché è ormai fonte essenziale di vantaggio competitivo. Il data breach è considerato infatti una minaccia molto rilevante: si tratta di incidenti in cui dati sensibili o informazioni confidenziali vengono rilasciate, visualizzate, rubate o utilizzate da un individuo non autorizzato. Questi incidenti non sono una minaccia solo nel Cloud Computing ma, come anticipato, rappresentano una tra le preoccupazioni di maggior freno per le aziende nella decisione di usufruire di questi servizi. Il data breach potrebbe derivare da un attacco hacker oppure essere il risultato di un errore umano, di una vulnerabilità nelle applicazioni o di pratiche di sicurezza aziendali non adeguate. Oltre alla presenza di potenziali attaccanti all’esterno dell’azienda, si aggiungono quindi anche gli elementi di errore e incidente indesiderato che potrebbero causare il rilascio o la perdita di dati critici.
Un elemento che spesso amplifica le minacce relative al Cloud Computing è il cosiddetto fenomeno dello Shadow IT, ovvero quando applicazioni e infrastrutture di Information Technology vengono utilizzate senza che la Direzione IT ne sia consapevole. Le tecnologie digitali sono sempre più pervasive e ormai non sono più solo un supporto al business ma ne diventano parte integrante. Di conseguenza, le Linee di Business richiedono alla Direzione IT performance molto più elevate in termini di velocità di risposta nell’introduzione di nuove tecnologie. Attualmente però, i progetti seguono pratiche di gestione molto rigide e la tempestività di risposta della Direzione IT non è sempre soddisfacente, tanto che a volte questo inibisce il raggiungimento degli obiettivi di business. Il Public Cloud introduce una logica secondo cui l’IT diventa un servizio rapidamente disponibile e pagato in base al consumo, in maniera estremamente più semplice ed efficiente. Questo cambiamento nel modo di fruire le tecnologie riduce la percezione di centralità della Direzione IT che viene sempre più spesso bypassata nell’acquisto dei servizi Cloud. Una Direzione IT quindi inconsapevole dei servizi utilizzati in azienda non può attuare una strategia di sicurezza adeguata generando nuovi punti di debolezza dei sistemi. Inoltre, i servizi Cloud più consumer, come Dropbox, Onedrive e Google Drive, vengono spesso utilizzati segretamente dal personale aziendale in modo estemporaneo e non governato come strumenti per la gestione della produttività personale o per lo scambio di documenti, generando ulteriori vulnerabilità in termini di sicurezza. Il tema è molto significativo e oggi le aziende ne hanno poca consapevolezza: infatti, secondo l’Osservatorio Information Security and Privacy, il 30% delle grandi aziende intervistate dichiara di non presidiare in alcun modo le minacce relative ad ambienti Cloud consumer, mentre il 57% le presidia limitandone l’utilizzo ad alcuni servizi specifici, il n% tramite una policy comportamentale e il 5% attraverso una piattaforma di gestione o monitoraggio dei suddetti servizi.
Dal punto di vista tecnologico, alcune delle minacce più comuni relative al Public Cloud sono le seguenti:

  • Denial-of-Service (DDoS): I DDoS sono attacchi portati a termine con lo scopo di impedire agli utenti di accedere ai propri dati o applicazioni. In pratica, l’attaccante cerca di forzare il servizio Cloud al consumo di un elevato numero di risorse in modo da rallentare drasticamente il funzionamento del sistema. Oltre a creare un rallentamento del business, questo genere di attacchi può generare un consumo di risorse tale da aumentare significativamente il costo dei servizi Cloud, riducendone la convenienza. È importante che il sistema sia dotato di specifici strumenti di monitoraggio e che, in caso di attacco, gli amministratori di sistema siano in grado di accedere immediatamente alle risorse per poter mitigare il problema.
  • Gestione inadeguata di identità, credenziali e accessi: le identità e le chiavi crittografiche sono asset di valore perché aumentano le difese contro attacchi e data breach, dunque le relative pratiche di protezione e monitoraggio devono essere adeguate. Nel caso di servizi fruiti in Cloud, è importante interconnettere i sistemi di gestione delle identità con quelli del provider, creando una singola identità elettronica degli utenti e quindi avendo una visione chiara sulle modalità di gestione della sicurezza correlata. Un’autenticazione multifattoriale deve essere richiesta a tutti gli operatori e gli utenti del servizio Cloud, ad esempio attraverso smartcard, password “usa e getta” e cellulare, al fine di evitare che password deboli possano rischiare di essere rubate. Inoltre, le chiavi crittografiche utilizzate per proteggere l’accesso ai dati devono ruotare e cambiare periodicamente in modo da ridurre il tempo di vulnerabilità a disposizione degli hacker in caso di attacco. Come accennato, nella fruizione di servizi Cloud, queste pratiche di sicurezza devono essere ben definite con il provider perché un accesso non autorizzato ai dati può creare ingenti danni all’organizzazione e agli utenti finali Un esempio recente delle possibili conseguenze di questa minaccia è quello di GitHub, piattaforma di sviluppo open source dove gli sviluppatori mettono a disposizione il codice sorgente a beneficio di altri. In pratica, un provider di servizi Cloud ha erroneamente pubblicato le credenziali del proprio account AWS lavorando il codice su GitHub. Si è poi scoperto che GitHub rappresenta un punto di attenzione per gli hacker che vogliono minare le monete virtuali come Bitcoin e che quindi ricercano le credenziali di accesso ad AWS che per sbaglio vengono rilasciate dagli sviluppatori durante la modifica del codice sorgente.
  • Sicurezza delle API (Application Programming Interface): le API sono interfacce applicative che i Cloud provider rendono disponibili ai propri clienti al fine di gestire e interagire con i servizi Cloud, automatizzandoli e integrandoli in maniera semplice. Inoltre, le aziende utenti possono riutilizzare le API del provider per offrire servizi a valore aggiunto ai propri clienti, accrescendone la complessità di gestione. La disponibilità e la sicurezza dei servizi in Cloud è quindi fortemente dipendente dalla sicurezza di queste interfacce: le API potrebbero presentare vulnerabilità dal punto di vista di accesso e password, trasmissione del contenuto, autorizzazioni, limitate capacità di monitoraggio e dipendenze sconosciute da altri servizi o API. Tutto questo potrebbe portare ad un loro utilizzo improprio sia accidentale sia intenzionale esponendo l’azienda a problemi di sicurezza relativi a confidenzialità, integrità e disponibilità dei servizi. Rendendo il sistema esposto all’esterno dei confini aziendali, le API diventano un punto focale per gli attacchi hacker. Il fornitore deve quindi assicurare che le pratiche di sicurezza siano ben integrate nel proprio modello di servizio con test rigorosi e continua revisione del codice lungo tutto il ciclo di vita delle API. Un esempio recente è l’attacco subito dall’Internai Revenue Service (IRS) americano nel 2015 in cui sono stati rubati i dati personali di più di 300.000 account a causa dell’utilizzo fraudolento dell’API “get transcript” con cui l’utente può richiedere i rimborsi sulle tasse pagate. Gli hacker sono riusciti a sottrarre informazioni sugli account e a compilare false dichiarazioni dei redditi per poi richiedere i rimborsi all’IRS.
  • Attacchi agli amministratori Cloud o installazione di software malevolo: è altamente probabile che all’interno della posta elettronica degli amministratori IT vi siano riferimenti alle credenziali di accesso al portale di amministrazione del Public Cloud. Gli attaccanti, prendendo il controllo dell’account email, possono effettuare modifiche e ottenere l’accesso alle risorse in Cloud. È dunque necessario porre maggiore attenzione alle workstation degli amministratori, limitandone per esempio l’accesso ad Internet o controllandone il flusso di email. Con riferimento ai rischi legati alla workstation, attraverso l’invio di una mail contenente un link ad un sito malevolo, qualsiasi utente può essere indotto ad installare un software che, tramite la semplice modifica delle impostazioni di sincronizzazione, crea una copia di tutto ciò che viene memorizzato nel Cloud.
  • Sicurezza dell’Hypervisor: l’Hypervisor è una funzione che astrae e isola i sistemi operativi e le applicazioni dalle infrastrutture sottostanti. In questo modo, più macchine virtuali possono girare sulla stessa macchina hardware condividendo le risorse fisiche. Nel Cloud, soprattutto nello scenario Infrastructure as a Service, le risorse sono condivise tra più clienti. Dunque, se il modello di sicurezza dell’Hypervisor presenta delle vulnerabilità, l’isolamento delle risorse può essere compromesso generando un accesso non autorizzato ai dati.
  • Vulnerabilità del sistema: si tratta di bug di sistema che gli attaccanti possono sfruttare per rubare i dati, prendere il controllo o distruggere le operations del sistema stesso. Questo tipo di minaccia non è certamente nuovo ma nel Cloud risulta amplificato dal fatto che le risorse sono condivise tra più clienti e quindi si crea un nuovo strato di attacco. Le conseguenze di questo genere di attacchi possono essere considerevoli, tuttavia il costo per mitigare il rischio è basso e legato a normali processi IT come l’aggiornamento dei sistemi, i patching specifici per i sistemi di sicurezza e i regolari test sulle vulnerabilità (vulnerability scanning).

I contratti Cloud e la relazione con il fornitore
Secondo la Ricerca 2016 dell’Osservatorio Cloud & ICT as a Service del Politecnico di Milano, la garanzia di sicurezza e affidabilità è il criterio più rilevante per l’87% delle aziende nella scelta del fornitore di servizi Cloud. Relativamente alle minacce per la sicurezza citate, risulta evidente come, oltre a buone pratiche di sicurezza interne all’azienda tra cui anche la sensibilizzazione del personale, sia fondamentale avere una chiara comprensione delle pratiche implementate dal fornitore. Infatti, il provider stesso deve gestire in maniera sicura l’accesso dei propri operatori, deve garantire l’isolamento dei dati sulle risorse condivise da più clienti, la sicurezza delle API e l’aggiornamento dei sistemi, deve assicurare che le risorse siano immediatamente e correttamente allocate secondo la disponibilità richiesta. È importante quindi definire per contratto dei livelli minimi di servizio (SLA) sulla protezione dei dati, sulla continuità del servizio, sui controlli di sicurezza, sulle modalità di virtualizzazione e di isolamento dell’Hypervisor, nonché sull’aggiornamento dei sistemi.
I contratti attualmente proposti sul mercato sono spesso standardizzati, in una logica che deriva anche dalla natura consumer dei servizi Cloud e che spesso poco si addice alle esigenze specifiche delle realtà aziendali. Inoltre, talvolta il provider è poco trasparente rispetto ai termini del servizio e le prestazioni definite sono esageratamente generiche, limitando il potere negoziale del cliente a cui viene imposto un accordo rigido in maniera unilaterale. La valutazione precontrattuale del servizio è dunque un momento fondamentale in cui porre attenzione alle caratteristiche tecniche, alle condizioni economiche e ai termini di utilizzo delle tecnologie Cloud. importante indirizzare le scelte secondo queste valutazioni preliminari, orientandosi verso determinati modelli di servizio o fornitori in base alle esigenze d’impresa.
Oltre alle garanzie in termini di funzionamento del servizio, occorre porre attenzione alle responsabilità del provider in caso di impossibilità di utilizzazione del servizio e perdita dei dati. Molto spesso queste clausole prevedono la limitazione o addirittura l’esclusione della responsabilità del fornitore, in maniera estremamente sbilanciata a favore di quest’ultimo. Inoltre, talvolta i contratti prevedono il diritto di modifica unilaterale delle condizioni contrattuali da parte del provider, esercitabile più o meno in ogni momento del rapporto, salvo il diritto di rece: accordato all’utente. Per tutelarsi, si dovrebbe richiedere che queste modifiche non siano peggiorative per il cliente, che gli siano sottoposte e comunicate in maniera diretta e non semplicemente pubblicate sul sito e tacitamente accettate, e che divengano effettive solo al rinnovo contrattuale.
Infine, come già accennato, una delle maggiori preoccupazioni relative al Cloud riguarda il lock in col fornitore, ovvero il rischio che quest’ultimo renda complicata la transizione di dati e applicazioni verso i servizi di un altro provider. Ovviamente il livello di rischio è diverso a seconda del modello di servizio utilizzato, ovvero Infrastructure, Platform o Software as a Service. Nel caso di servizi IaaS il controllo sulle risorse è maggiore, mentre già un’applicazione personalizzata rispetto a certe funzionalità di un servizio PaaS può diventare molto costosa da adattare ad altre piattaforme. Un esempio di rallentamento della migrazione dei servizi verso quelli di un competitor è quello in cui il fornitore sfrutta la giustificazione dei controlli di sicurezza per limitare l’accesso ai dati ed impedire una transizione semplice. È dunque importante che per contratto venga chiarito che il cliente è il vero possessore dei dati, i quali quindi dovranno essergli restituiti a fine rapporto, e che quest’ultimo abbia sempre la possibilità di accedere ai dati criptati, possedendone le chiavi crittografiche, e ai dati di autenticazione degli utenti.
La Ricerca 2016 dell’Osservatorio Cloud & ICT as a Service ha analizzato quali sono gli aspetti da presidiare maggiormente nella stesura dei contratti Public Cloud, individuando nel trattamento dei dati l’elemento di maggior rilevanza (nel 47%, delle aziende che già usufruiscono di servizi Cloud), ovvero dove i dati sono archiviati, chi può accedervi, se e in che misura si prevede il coinvolgimento di subfornitori, e quali sono le modalità di cancellazione alla cessazione del rapporto ecc. A seguire, gli aspetti maggiormente presidiati sono il regime di responsabilità del fornitore (nel 25% dei casi), la descrizione dettagliata delle misure e delle procedure di sicurezza (20%) e in minima parte gli aspetti relativi alla disciplina del subappalto e al trasferimento dei dati all’estero. Inoltre, l’indagine ha analizzato quali sono le competenze richieste alla Direzione IT per governare efficacemente la transizione in atto verso i servizi Cloud e proprio li Contract Management si è posizionato al primo posto, risultando essenziale per il 28% delle organizzazioni.
Concludendo, i servizi Cloud rappresentano una modalità di fruizione delle tecnologie ICT che permette alle aziende di stare al passo con l’innovazione in maniera agile ed efficiente. Risulta chiaro come la derivante perdita di controllo sulle risorse fisiche elevi la sicurezza a priorità chiave per chi vuole cogliere le opportunità di questo paradigma. In quest’ottica, è fondamentale non rendere la sicurezza stessa un freno a quest’evoluzione ma sfruttare la transizione verso il Cloud come occasione per migliorare i propri processi, introdurre nuove pratiche e sensibilizzare il personale sul tema, in modo da uscirne nel complesso rafforzati.

Fonte: Gruppo Sole 24 Ore

Leave a comment

You must be logged in to post a comment.