Quando un’organizzazione decide di spostare i propri dati e applicazioni nel Cloud, si apre un mondo di opportunità: maggiore scalabilità, riduzione dei costi, accesso a tecnologie avanzate. Ma questo passo fondamentale verso la Trasformazione Digitale porta con sé una domanda cruciale: come garantire che le informazioni aziendali rimangano sicure in un ambiente che, per definizione, esce dal controllo diretto dell’organizzazione?
In questo contesto, la Cloud Security è diventata una priorità assoluta per le aziende che hanno abbracciato il Cloud Computing come modello di fruizione delle tecnologie ICT. Organizzazioni di ogni settore e dimensione hanno avviato i propri percorsi di transizione verso la “nuvola”, scoprendo che la Cybersecurity in ambiente Cloud richiede approcci e competenze profondamente diversi rispetto alla gestione IT tradizionale.
Attraverso la ricerca dell’Osservatorio Cybersecurity & Data Protection della POLIMI School of Management, questo articolo esplora il mondo della sicurezza nel Cloud, dalle sue caratteristiche fondamentali alle vulnerabilità più critiche, fornendo una guida completa per navigare sicuramente nell’ecosistema della nuvola.
Per Cloud Security si intende l’insieme di tecnologie, protocolli e best practice volte a proteggere gli ambienti di Cloud Computing, le applicazioni e i dati in essi contenuti. Si tratta di un ramo della Cybersecurity che si pone come obiettivo primario quello di mantenere sicure e private tutte le informazioni presenti all’interno dell’intera infrastruttura online.
La natura distributiva e condivisa del Cloud introduce vantaggi significativi in termini di sicurezza. I sistemi sono più semplici da aggiornare, beneficiano di patch di sicurezza automatiche e centralizzate, e la gestione della sicurezza infrastrutturale diventa dominio del provider, riducendo l’onere della gestione interna per le organizzazioni. Inoltre, i provider possono investire in tecnologie di sicurezza avanzate e team specializzati che sarebbero economicamente impraticabili per singole organizzazioni.
Tuttavia, il Cloud introduce anche nuove categorie di minacce che richiedono approcci di sicurezza evoluti. Il perimetro di attacco non è più confinato ai domini interni aziendali, ma si estende attraverso reti pubbliche, data center condivisi e interfacce di programmazione applicativa (API) esposte su internet. Questa trasformazione richiede alle organizzazioni di aggiornare ed evolvere radicalmente la propria strategia di difesa, passando da un modello basato sul controllo in autonomia del perimetro difensivo a uno fondato sulla condivisione del perimetro di protezione.
Prima di approfondire i principi della security nel Cloud è opportuno ricordare la definizione di Cloud Computing:
secondo la definizione del NIST (National Institute for Standards and Technology), il Cloud Computing è un insieme di servizi ICT accessibili on-demand e in modalità self-service tramite tecnologie Internet, basati su risorse condivise, caratterizzati da rapida scalabilità e dalla misurabilità puntuale dei livelli di performance, in modo da poter essere pagati in base al consumo.
Nell’ambito delle tecnologie Cloud Computing, esistono quattro diversi modelli di deployment:
È specialmente il Cloud Pubblico a generare le maggiori preoccupazioni nelle organizzazioni. L’utilizzo di infrastrutture non sotto controllo diretto dell’azienda crea una tensione fondamentale. Da un lato, i provider dispongono di capacità di investimento e competenze specialistiche che permettono di implementare strumenti di sicurezza molto più potenti di quanto potrebbe realizzare un team interno. Dall’altro, perdere controllo su informazioni e servizi critici rappresenta oggi uno dei maggiori freni nell’adozione del Cloud.
La gestione efficace della Cloud Security si articola su pilastri fondamentali che devono essere implementati in modo integrato e coerente. Questi principi rappresentano il framework attraverso cui le organizzazioni possono mitigare i rischi di sicurezza negli ambienti Cloud e prendere decisioni strategiche per la protezione delle proprie risorse digitali.
Esistono numerose tecnologie che permettono ai provider e alle aziende di implementare barriere tecniche fra l’accesso e la visibilità di dati e informazioni riservate. Fra queste figure la crittografia, ossia la conversione dei dati da un formato leggibile in un formato codificato che può essere letto o elaborato solo dopo sua decriptazione.
Gli strumenti per il controllo degli accessi (soluzioni di password management, autenticazione multi-fattore, Identity & Access Management, ecc.) assumono un ruolo fondamentale per la Security Cloud, poiché limitano la compromissione di dati, sistemi e piattaforme da parte degli utenti. Tali soluzioni permettono infatti di gestire e monitorare il comportamento di coloro che accedono alle risorse, impendendo accessi da parte di soggetti non autorizzati o malintenzionati.
Con il termine DevSecOps si fa riferimento a un approccio di Cloud Security che si concretizza nella messa in campo di strumenti e controlli necessari per garantire la sicurezza degli applicativi fin dalla fase di sviluppo degli stessi, volti a favorire logiche di collaborazione tra le diverse funzioni coinvolte (Sviluppo, Security e Operations). In un contesto di ampia diffusione di sistemi Hybrid & Multi Cloud, devono essere sempre più spesso inseriti, nelle diverse fasi della pipeline DevSecOps, strumenti per la protezione dalle minacce a diversi livelli, spesso coadiuvati da algoritmi e tecniche di Artificial Intelligence.
Per Business Continuity e Disaster Recovery si intendono le misure e gli strumenti da adottare per garantire la continuità operativa aziendale qualora si verifichi un incidente di sicurezza o le misure per ripristinare la normale operatività a seguito di un evento imprevisto, finalizzate ad evitare interruzioni di business o perdite di dati. Tra le soluzioni più diffuse in questo ambito rientrano sicuramente gli strumenti di backup.
Per migliorare la Cloud Security in azienda, oltre alla componente che concerne le tecnologie pari attenzione deve essere dedicata ad aspetti più legati alla sfera organizzativa e alla governance. Tra questi, vi sono l’adozione di regole e policy in materia di sicurezza, la sensibilizzazione del personale aziendale al fine di aumentare la consapevolezza rispetto alle minacce informatiche e la disciplina della relazione con il Cloud provider attraverso l’evoluzione degli strumenti contrattuali, affinché le pratiche, le responsabilità e i livelli di disponibilità dei servizi del fornitore siano chiaramente definiti.
Oltre agli aspetti tecnologici, il miglioramento della Cloud Security richiede uguale attenzione anche alla sfera organizzativa e alla governance. L’adozione di regole e policy specifiche per la sicurezza Cloud deve essere accompagnata dalla sensibilizzazione del personale aziendale, aumentando la consapevolezza rispetto alle minacce informatiche specifiche dell’ambiente Cloud.
La relazione con il Cloud provider deve essere disciplinata attraverso l’evoluzione degli strumenti contrattuali, garantendo che pratiche, responsabilità e livelli di disponibilità dei servizi siano chiaramente definiti. Questo include la definizione di contratti di Service Level Agreements (SLA) specifici per la sicurezza, clausole di audit e conformità, e procedure di notifica degli incidenti, in modo da definire in modo chiaro e misurabile i servizi erogati dal fornitore.
Le organizzazioni devono inoltre implementare processi di vendor risk management che valutino continuamente l’affidabilità e la sicurezza dei provider Cloud, includendo assessment periodici, monitoraggio delle performance di sicurezza, e piani di uscita che permettano di migrare rapidamente verso alternative in caso di deterioramento del livello di servizio.
L’Osservatorio Cybersecurity & Data Protection ha indagato le principali vulnerabilità, minacce di sicurezza e criticità legate alla Cloud Security. Dai dati della survey è emerso un quadro eterogeneo, in cui la scarsa consapevolezza delle minacce alla Cloud Security viene vista come l’aspetto più critico. Altre due importanti minacce legate alla sicurezza del Cloud si concretizzano nell’aumento degli attacchi informatici rispetto ai sistemi tradizionali e nella presenza di vulnerabilità intrinseche nelle applicazioni, quali bug o interfacce non sicure.
Seguono l’insufficiente visibilità e controllo sull’infrastruttura Cloud e la possibile presenza di errori di configurazione nelle diverse piattaforme. Infine, emergono aspetti legati alla difficoltà di integrazione dei sistemi in Cloud con le soluzioni di sicurezza già presenti all’interno dell’organizzazione, spesso sviluppate con logiche custom, e alla mancanza di attività di training del personale per la gestione della sicurezza del Cloud, solitamente basata su logiche e meccanismi differenti rispetto ai sistemi on-premise.
Con l’adozione di soluzioni as-a-Service, assume sempre più rilievo anche la relazione con i diversi Cloud service provider, per le possibili criticità legate alla gestione della sicurezza informatica che ne possono scaturire. A questo proposito, la maggior parte dei rispondenti afferma che la più grande sfida riguardante la Cloud Security da affrontare sia lo scarso potere negoziale in fase di stipula dei contratti con il provider di servizi Cloud, seguita dalla difficoltà nell’effettuare attività di security assessment e di monitoraggio della sicurezza del fornitore.
Seguono poi la scarsa customizzazione delle misure di sicurezza fornite dal provider, spesso standardizzate e non focalizzate sugli aspetti peculiari dell’azienda, e la scarsa visibilità sulle pratiche di sicurezza implementate dal fornitore. In coda, infine, emergono la difficoltà nel ripartire le responsabilità in termini di Operations e di Compliance in materia di sicurezza informatica e la mancanza di un presidio formale di Security in azienda focalizzato sulla relazione con il Cloud provider.
Contenuti suggeriti dell’Osservatorio Cloud Transformation
