cloud computing, cybersecurity, Guida

Applicazioni in Cloud: quali sono le best practice per la sicurezza informatica

Le aziende stanno migrando sempre più le loro infrastrutture e i loro servizi verso il cloud.

Secondo una ricerca effettuata dagli analisti di Gartner, entro il 2025 l’85% delle imprese darà la priorità a servizi in cloud che sosterranno l’innovazione tecnologica.

È  evidente che il cloud computing abbia assunto negli ultimi anni un ruolo baricentrico nella trasformazione digitale e nel supportare priorità tecnologiche e di business grazie agli ormai comprovati vantaggi in termini di flessibilità e scalabilità rispetto alle tradizionali logiche on-premise. Grazie al cloud le aziende possono avere accesso a potenti infrastrutture di server gestite da provider esterni. Questo permette di ottimizzare l’utilizzo delle risorse e di ottenere garanzie per la business continuity.

Secondo il rapporto “Il digitale in Italia 2022 (Vol.2)” redatto da Anitec-Assinform, in collaborazione con gli analisti di NetConsulting cube, si stima che la crescita del cloud computing non si arresterà e che anzi si avvierà a superare quota 10 miliardi come valore di mercato nazionale nel 2025. Parliamo, quindi, di un tasso di incremento annuale che sfiora il 25%.

Al crescere dell’utilizzo di modelli e servizi cloud aumentano anche i rischi in ambito sicurezza. Con una mole sempre più grande di dati caricati “sulla nuvola” è chiaro che le opportunità per hacker e malintenzionati siano maggiori. E, non a caso, gli attacchi informatici sono in netta crescita nell’ultimo periodo. Specie se non viene posta particolare attenzione su misure e strategie di sicurezza del cloud aziendale.

Quali sono i tipi di servizi in Cloud?

I servizi cloud sono costituiti da infrastrutture, piattaforme o software in hosting presso provider esterni che mettono a disposizione, tramite la rete Internet,  i diversi servizi all’utente. I tipi di cloud computing possono essere divisi soprattutto in 3 categorie.

  1. Infrastructure-as-a-Service (IaaS): offre risorse di infrastruttura on demand, come calcolo, archiviazione, networking e virtualizzazione.
  2. Platform-as-a-Service (PaaS): pensato per gli sviluppatori e i programmatori. Con questo servizio un provider mette a disposizione un ambiente di sviluppo e degli appositi strumenti per ideare nuove applicazioni. Un servizio PaaS combina server, storage e infrastruttura di rete con il software necessario per distribuire le applicazioni. Con PaaS, non è necessario investire in hardware on-premise o preoccuparsi di configurare un ambiente virtuale per gestire le applicazioni.
  3. Software-as-a-Service (SaaS): in questo caso il provider offre all’utente applicazioni pronte all’uso gestite su un’infrastruttura Cloud. I servizi applicativi sono compresi nel modello SaaS, ove l’utente finale accede in modalità on-demand tramite tecnologie Internet a servizi di diversa natura, sostenendo costi in base al loro effettivo consumo.

Oltre al tipo di servizio cloud, è importante definire il modello di distribuzione del cloud computing. In questo caso i principali metodi di distribuzione sono:

  • modello pubblico: i servizi cloud sono offerti da provider di terze parti tramite la rete Internet pubblica e disponibili per chiunque voglia usarli o acquistarli;
  • modello privato: un ambiente cloud riservato esclusivamente a un’unica entità aziendale (ma solitamente condiviso da diverse organizzazioni all’interno della stessa entità);
  • modello ibrido: i servizi cloud vengono forniti combinando cloud privati (di terzi o in-house) con cloud pubblici, a seconda delle esigenze, sfruttando il meglio di entrambe le infrastrutture;
  • modello multi cloud: una combinazione tra servizi cloud; include tipicamente diversi tipi di servizi (computing, storage, ecc.) residenti su più cloud pubblici e privati.

Quali sono i vantaggi del cloud?

L’importanza e i vantaggi del Cloud sono ormai noti a gran parte delle imprese italiane che hanno iniziato il percorso verso il Cloud Computing e, anzi, lo hanno reso parte integrante della propria strategia IT, ritenendola una soluzione preferenziale per la realizzazione di nuovi progetti.

vantaggi immediati del passaggio al cloud sono:

  • Agilità e flessibilità. Il Cloud rende l’azienda aperta e scalabile rispetto ai cambiamenti del mercato e alle future opportunità di business.
  • Riduzione del time-to-market. Grazie al Cloud il personale IT non deve più preoccuparsi della gestione infrastrutturale, aumentando così la competitività dell’impresa. La continua evoluzione dei provider consente inoltre di stare al passo con il progresso tecnologico.
  • Riduzione dei costi. Il Cloud elimina i costi di gestione dell’infrastruttura, del personale dedicato e gli eventuali costi di interruzione delle attività di business migliorando la disponibilità di risorse e garantendo una maggiore sostenibilità economica nel medio-lungo periodo.
  • Sicurezza e affidabilità. Il Cloud presenta un modello più snello basato sul servizio e riduce il rischio di sovra-allocazione delle risorse. L’affidabilità e la sicurezza del servizio Cloud è poi garantita dal provider stesso che ha tutto l’interesse di mantenere alto il livello di servizio.

Le principali minacce alla sicurezza del cloud

Se fino a poco tempo fa gli hacker erano soliti prendere di mira i sistemi di rete IT tradizionali, oggi sono i sistemi basati sul cloud quelli su cui viene puntata l’attenzione.

Il 2022 è stato un anno particolarmente delicato per la sicurezza informatica, con violazioni e attacchi alle infrastrutture che hanno raggiunto numeri a dir poco esponenziali e che hanno generato un impatto significativo per le vittime in termini di perdite economiche, danni alla reputazione e diffusione di dati sensibili. In questo contesto la cloud security diventa pertanto una priorità.

Vediamo quali sono le principali minacce, rischi e vulnerabilità che ogni azienda dovrebbe prendere in considerazione quando affronta l’adozione o la migrazione al cloud – sia essa di poche applicazioni o di interi sistemi e infrastrutture.

Mancanza di visibilità

Le risorse basate su cloud vengono eseguite in un’infrastruttura esterna alla tua rete aziendale e di proprietà di una terza parte. Di conseguenza, i tradizionali strumenti di visibilità della rete non sono adatti agli ambienti cloud, rendendo difficile il controllo su tutti i tuoi asset cloud, sul modo in cui vi si può accedere e su chi vi può accedere.

Configurazioni errate

La configurazione errata delle impostazioni di sicurezza del cloud è una delle principali cause della violazione dei dati negli ambienti cloud. I servizi basati su cloud sono progettati per consentire un facile accesso e la condivisione dei dati, ma molte organizzazioni potrebbero non comprendere appieno come proteggere l’infrastruttura cloud. Ciò può causare errori di configurazione, ad esempio il mantenimento delle password predefinite, la non attivazione della crittografia dei dati o la gestione errata dei controlli delle autorizzazioni.

Interfacce poco sicure

Gli utenti interagiscono con il cloud provider attraverso una serie di interfacce o API che gestiscono, orchestrano e monitorano tutta l’attività degli utenti. Queste API funzionano come dei gateway alle risorse e ai servizi cloud. Mettere in sicurezza il gateway ha un impatto enorme sulla sicurezza globale dei servizi cloud. Ogni accesso non autorizzato a questi portali potrebbe compromette l’integrità del software o dell’applicazione.

Gestione degli accessi

È possibile accedere direttamente ai deployment cloud utilizzando la rete internet pubblica, che consente un comodo accesso da qualsiasi località o dispositivo. Allo stesso tempo, significa anche che gli utenti malintenzionati possono ottenere più facilmente risorse autorizzate con credenziali compromesse o un controllo degli accessi improprio.

Utenti interni malintenzionati

Sicuramente gli utenti malintenzionati interni all’azienda sono una minaccia su qualsiasi livello. Tuttavia, questa minaccia viene amplificata in un ambiente cloud: il cliente finale non ha nessun controllo sul processo di assunzione dei dipendenti del provider. Non ha neanche alcun controllo sul tipo di background check che viene eseguito dal provider prima di assumere un dipendente, in modo particolare a quelli che hanno accesso ai data center. Controlli stringenti, monitoraggio e log di tutti gli accessi ai dati sono indispensabili per attenuare la possibilità di data breach originati dallo staff interno.

Attacchi Dos e DDos

Gli attacchi Dos (Denial of Service) sfruttano le vulnerabilità delle infrastrutture cloud. Un attacco DoS  è un attacco mirato ad arrestare un computer o una rete, per impedirne l’accesso da parte degli utenti autorizzati.
Un attacco DDoS (Distributed Denial-of-Service) è una variante di un attacco DoS che impiega un vastissimo numero di computer infetti per sovraccaricare il bersaglio con traffico fasullo. Per raggiungere le dimensioni necessarie, gli attacchi DDoS vengono spesso eseguiti da botnet in grado di cooptare milioni di computer infetti, affinché partecipino involontariamente all’attacco, anche nel caso in cui non siano il bersaglio dell’attacco stesso.

Compliance

Assicurarsi che il cloud provider segua tutti regolamenti e i requisiti di conformità della nazione di riferimento è ovviamente essenziale. I requisiti del GDPR includono, ad esempio, che il titolare del trattamento sia trasparente riguardo alla trasmissione dei dati ad un cloud provider. Il GDPR obbliga anche i titolari del trattamento a notificare violazioni di sicurezza dei dati personali entro 72 ore dal momento in cui ne siano venuti a conoscenza. In Europa, si è formata ad esempio la CISPE (Cloud Infrastructure Service Provider in Europe), un’associazione di cloud provider che si impegna a rispettare un codice di condotta orientato al rispetto del GDPR.

Il fattore umano

Considerando che l’errore umano e il cadere vittima di truffe di ingegneria sociale sono le principali ragioni per cui le organizzazioni vengono violate, vien da sé che uno dei maggiori rischi  ricade nella mancata formazione sulla consapevolezza della sicurezza alle risorse aziendali. Le persone di fatto rappresentano l’ultima linea di difesa, una volta che tutti gli altri livelli di sicurezza, basati sulla tecnologia, vengono aggirati.

Best practice per la sicurezza del cloud

La Cloud Security è un insieme di procedure e tecnologie progettate per proteggere gli ambienti cloud da minacce interne ed esterne. Include controlli di sicurezza, miglioramenti dei processi, avvisi di potenziali tentativi di violazione e rilevamento di incidenti. La Cloud Security è strettamente correlata ai piani di Business Continuity, Backup e Disaster Recovery.

Ci sono molti metodi per migliorare la sicurezza quando si tratta di cloud, e apprendere quelli fondamentali è assolutamente essenziale; e questo vale ai diversi livelli sia per gli stakeholder dell’infrastruttura informatica, sia per l’utente comune delle tecnologie cloud.

Per risolvere il problema degli attacchi occorre pensare che la sicurezza del cloud deve iniziare dalle fondamenta e la predisposizione alla cyber hygiene ne è il presupposto fondamentale. Processi di gestione delle password, autenticazione a più fattori, gestione delle patch, aggiornamenti del software e la sicurezza dei dispositivi possono aiutare in caso di attacchi.

Anche adottare un approccio Zero Trust è sicuramente di grande aiuto, nell’ambito di una strategia di difesa olistica. Il principio dell’approccio Zero Trust funziona eliminando la “trust by default”, richiedendo l’autenticazione e la valutazione contestuale della postura di sicurezza di ogni utente e dispositivo, prima che questi possano accedere ai dati.

A seconda dei casi e delle esigenze, sono diversi gli strumenti che un’azienda può implementare per una solida cloud security. Di seguito riportiamo alcuni esempi:

  • prevenzione della perdita di dati (DLP): per monitorare, ispezionare i dati e prevenirne l’esfiltrazione. Un elemento essenziale della sicurezza del cloud computing, la DLP non può essere implementata in modo efficace con un approccio tradizionale alla sicurezza informatica;
  • gestione delle informazioni di sicurezza e degli eventi (SIEM), per analizzare i log di sicurezza in tempo reale, offrendo al team addetto alla sicurezza una maggiore visibilità sull’ecosistema cloud;
  • sistema identity and access management (IAM): è un framework implementato per controllare e monitorare l’accesso degli utenti alle risorse e ai sistemi digitali, utilizzando strumenti come il controllo delle password, l’autenticazione multifattoriale e la biometria. Agli utenti dovrebbe essere concessa solo l’autorizzazione necessaria per operare. Questo è generalmente indicato come: “principle of least privilege” (principio del privilegio minimo);
  • micro-segmentazione: grazie alla quale viene divisa l’implementazione del cloud in segmenti distinti, fino al livello del singolo carico di lavoro, riducendo al minimo i danni di un eventuale aggressore;
  • firewall di nuova generazione: i controlli degli accessi sono inutili se la sicurezza della rete e delle applicazioni non è all’altezza. I firewall di rete mal configurati, ad esempio, sono una porta aperta per gli hacker. Vale quindi la pena di assicurarsi che le basi, come la configurazione del firewall, siano impostate correttamente e testate a fondo. I firewall di nuova generazione, rispetto a quelli tradizionali, aggiungono funzionalità avanzate, come filtri application-aware, ispezione profonda dei pacchetti, sistemi di prevenzione delle intrusioni, ecc;
  • crittografia: in modo che i dati possano essere decodificati solo tramite apposita chiave;
  • test di vulnerabilità e penetrazione: un’altra pratica per mantenere e migliorare la sicurezza del cloud è il test di vulnerabilità e di penetrazione. Queste pratiche implicano che voi o il vostro fornitore attacchiate la vostra infrastruttura cloud per identificare eventuali punti deboli o possibilità di sfruttamento. È quindi possibile implementare soluzioni per riparare queste vulnerabilità e migliorare la vostra posizione di sicurezza;
  • conformità normativa: qualsiasi strategia di sicurezza del cloud deve tenere conto degli standard e delle linee guida internazionali; La compliance offre un’ulteriore garanzia di aver fatto tutto il possibile per rafforzare la sicurezza informatica;
  • intelligence sulle minacce, monitoraggio e prevenzione: qualunque siano le misure di sicurezza informatica adottate, non è possibile proteggersi una volta per tutte. È necessaria una vigilanza continuativa e un monitoraggio efficace per rilevare gli incidenti. Non meno importante è disporre di procedure di risposta ben ponderate e testate, in modo che, quando si verificano le violazioni, possiate affrontarle efficacemente per ridurre i danni ai vostri servizi e alla vostra reputazione.
  • responsabilità condivisa: aderire al modello di responsabilità condivisa consente la delega di responsabilità tra il fornitore di servizi e l’utente. Quando gli utenti comprendono le attività operative di cui sono responsabili, il rischio che si verifichino configurazioni errate è ridotto al minimo;
  • educazione e formazione:  è fondamentale che tutti, all’interno dei vari team, comprendano le proprie responsabilità in materia di sicurezza dei sistemi informatici e siano in grado di identificare e segnalare eventuali problemi. Tutti dovrebbero essere formati su quali minacce informatiche e configurazioni errate prestare attenzione per garantire la protezione dei dati.

Conclusioni

L’outsourcing verso terze parti di applicazioni, database, elaborazione dati e così via è un aspetto essenziale nelle pratiche delle aziende moderne, e ha dei vantaggi in termini di efficienza, soddisfazione per il cliente e costi.

Tuttavia, come abbiamo visto, la sicurezza per il cloud è una preoccupazione reale. È pertanto fondamentale comprendere il proprio ruolo all’interno del modello di responsabilità condivisa. I fornitori di servizi cloud fanno la loro parte all’interno di questo modello, progettando, implementando e rivedendo costantemente la propria infrastruttura secondo gli standard più elevati.  Tuttavia possono ancora verificarsi problemi che impattano in maniera anche grave la sicurezza delle applicazioni quando, lato cliente, vengono impostati servizi cloud in maniera errata.

La piattaforma in Cloud Intrusa – dedicata a PMI, Professionisti e Pubblica Amministrazione – offre un set completo di soluzioni per prevenire intrusioni nella rete, monitorare l’accesso agli account, mantenere il controllo sulla tua infrastruttura e rispondere alle esigenze di conformità normativa.

Prenota una demo per scoprire tutte le funzionalità della piattaforma Intrusa.