Cloud security: cos’è e come implementarla per mettere in sicurezza dati, applicazioni e infrastrutture

La sempre più consistente migrazione di dati, applicazioni e infrastrutture verso nuovi ambienti tecnologici pone alcune sfide di sicurezza informatica in contesti del tutto inesplorati e in cui la cloud security riveste un ruolo di primo piano. Ecco tutto quello che c’è da sapere

In un contesto sociale e produttivo sempre più data driven e fortemente interconnesso, i servizi offerti tramite cloud godono inevitabilmente di una grandissima popolarità e importanza: alla luce del sempre maggiore ricorso a soluzioni as-a-Service, la cloud security riveste un ruolo di primo piano per la protezione dell’incredibile mole di dati e degli investimenti fatti in questo settore.

Vero è, infatti, che sempre più aziende di ogni settore e dimensione hanno avviato un processo di transizione verso la “nuvola” (accelerato anche dalla crisi pandemica mondiale), con una consistente migrazione di dati, applicazioni e infrastrutture verso nuovi ambienti tecnologici.

Migrazione che pone altre sfide di sicurezza informatica in contesti del tutto nuovi. Infatti, se da una parte l’adozione del cloud sta sostenendo le organizzazioni verso una sempre più consistente trasformazione digitale che consente loro di espandere le operazioni e trovare modi innovativi di connettersi ai clienti, dall’altra introduce nuove complessità e vulnerabilità che devono essere riconosciute e gestite da chi si occupa di sicurezza aziendale.

Ma in cosa consiste esattamente la cloud security e in cosa si differenzia dalla sicurezza dei sistemi informatici tradizionali?

L’evoluzione della minaccia informatica ci insegna come combatterla

Indice degli argomenti

Cos’è la cloud security

Parlando di cloud security ci si riferisce a quell’insieme di policy, procedure e tecnologie che interagiscono tra di loro per garantire la protezione dei sistemi nel cloud, dell’infrastruttura sottostante (fatta anche di router, sistemi elettrici e hardware), delle applicazioni e dei dati dalle minacce interne ed esterne e dagli attacchi informatici.

La sicurezza del cloud è dunque un sottoinsieme della sicurezza informatica il cui scopo è quello di garantire la protezione di tutti gli asset aziendali collocati nella nuvola.

In particolare, l’obiettivo principale di una corretta strategia di cloud security deve essere la protezione totale di tutti gli elementi che in qualche modo interagiscono con il cloud stesso.

Bisogna però considerare anche che da un’organizzazione all’altra non esistono due ambienti cloud uguali. Esigenze e procedure, infatti, variano in base al settore, all’area geografica e all’architettura specifica di un cloud singolo, multiplo o ibrido.

Cloud computing e sicurezza aziendale

È evidente, quindi, che non si può parlare di cloud security senza tener presente quanto il cloud computing possa incidere sulla sicurezza aziendale

Ricordiamo che, secondo la definizione data dal NIST nella SP 800-145, il cloud computing è “un modello che consente di accedere in rete in modo ubiquo, conveniente e on-demand a un pool condiviso di risorse informatiche configurabili (ad esempio, reti, server, storage, applicazioni e servizi) che possono essere rapidamente messe a disposizione e rilasciate con un minimo sforzo di gestione o di interazione con il fornitore di servizi”.

In particolare, alla luce delle più recenti evoluzioni tecnologiche è possibile individuare quattro differenti ambienti di cloud computing:

Ambienti cloud pubblici, che vengono gestiti direttamente dai Cloud Service Provider (CSP) e in cui i server sono condivisi tra i vari clienti che accedono ai servizi (tenant). Clienti che, dunque, usufruiscono di servizi basati su infrastrutture che non sono sotto il loto controllo e gestione.
Ambienti cloud privati, che possono essere configurati all’interno di un data center di proprietà del cliente o gestiti da un CSP. In entrambi i casi, l’accesso ai server è esclusivo per ogni singolo cliente e dunque l’infrastruttura non viene condivisa con altre aziende.
Ambienti cloud ibridi: come dice il nome stesso, sono una combinazione di servizi cloud pubblici e date center locali.
Ambienti multi-cloud, in cui convivono più servizi cloud gestiti da differenti CSP.

Secondo l’edizione 2023 del Cloud Security report, condotta da Cybersecurity Insiders e sponsorizzata da Fortinet, su 752 professionisti della sicurezza informatica intervistati in tutto il mondo il 53% concorda sul fatto che le loro organizzazioni hanno sperimentato maggiore flessibilità e scalabilità, maggiore agilità (45%), migliore disponibilità e continuità operativa (44%) e, infine, implementazione e provisioning accelerati (41%).

Di contro, lo stesso Cloud Security report evidenzia come l’aumento dei costi, i requisiti di conformità, le complessità legate all’hybrid e al multi-cloud, la visibilità ridotta e la mancanza di professionisti qualificati sono tutti fattori che fanno sì che le organizzazioni rallentino o modifichino le proprie strategie di adozione del cloud.

Con evidenti problemi di sicurezza.

Infatti, sebbene le aziende continuino ad adottare il cloud e beneficiare dei suoi numerosi vantaggi, quasi tutte le aziende intervistate dagli analisti del rapporto Fortinet non nascondono forti preoccupazioni per la sicurezza del cloud, mentre per quasi la metà di loro (43%) i rischi più significativi derivano proprio dall’utilizzo del cloud pubblico, ritenendo le soluzioni on-premise più sicure.

Senza dire che la spinta dell’innovazione digitale sempre più forte all’interno delle organizzazioni porta con sé una vera e propria trasformazione dei sistemi informativi verso logiche di hybrid e multi-cloud obbligando di fatto le organizzazioni stesse ad avere il proprio portafoglio applicativo dislocato tra differenti provider.

Come funziona la cloud security

Dunque, il paradigma del cloud porta con sé evidenti vantaggi in termini di sicurezza informatica e dei dati, ma allo stesso tempo introduce nuove minacce andando a espandere notevolmente la superficie di attacco.

Da una parte, infatti, l’adozione di un ambiente cloud riduce l’onere operativo della gestione della propria infrastruttura. I sistemi, di conseguenza, sono più semplici da aggiornare e la sicurezza stessa diventa diretta pertinenza del Cloud Service Provider.

D’altra parte, il cloud modifica drasticamente il perimetro difensivo delle aziende che evidentemente non può più essere circoscritto a un unico dominio interno, costringendo le aziende stesse a rivedere e aggiornare le proprie strategie difensive.

Molte organizzazioni, infatti, utilizzano ancora tecnologie e sistemi di sicurezza tradizionali di tipo network-based per proteggere ambienti cloud che per loro natura non sono vincolati all’infrastruttura e non hanno un perimetro statico e ben delimitato.

Il modello di responsabilità condivisa

Quest’ultimo punto consente di evidenziare la principale differenza tra la cloud security e la sicurezza tradizionale: la sicurezza del cloud e la sua conformità sono responsabilità condivise trai Cloud Service Provider e i clienti.

È il cosiddetto modello di responsabilità condivisa secondo cui i CSP forniscono generalmente la sicurezza fisica dell’infrastruttura cloud, mentre il cliente e nello specifico il reparto IT dell’azienda è responsabile della configurazione dei controlli degli accessi, della gestione dei criteri di sicurezza e della protezione dei dati all’interno della nuvola.

Una responsabilità che dipende anche dal tipo di servizi offerti che possono essere erogati sfruttando infrastrutture cloud distinte in tre diverse tipologie:

Infrastructure as a Service (IaaS). In questo modello di servizio cloud i CSP offrono la potenza di calcolo, la rete e le risorse di archiviazione, rendendosene quindi responsabile. Ai clienti che scelgono di adottare questa soluzione cloud spetta dunque l’onere di mettere in sicurezza il sistema operativo, le applicazioni, l’ambiente di sviluppo e i dati.
Platform as a Service (PaaS). In questo caso, i Cloud Service Provider forniscono ai clienti un ambiente di sviluppo e distribuzione, assumendosi quindi la responsabilità di proteggere l’ambiente di runtime, il sistema operativo e i servizi di cloud computing di base. Da parte loro, quindi, i clienti le applicazioni, i dati, l’accesso degli utenti, i dispositivi e le reti formate dagli utenti stessi.
Software as a Service (SaaS). Rappresenta il servizio cloud più completo: l’utente non deve scaricare o installare nulla, i servizi sono utilizzabili semplicemente con una connessione internet e un browser. Di fatto, quindi, le organizzazioni accedono al software con un modello “a consumo”: l’esempio più famoso è Microsoft 365. In questo modello di servizio cloud, gli utenti devono garantire esclusivamente la sicurezza dei dati, degli utenti e dei dispositivi.

È evidente che la giusta comprensione del modello di responsabilità condivisa e la corretta configurazione degli account di accesso alle risorse cloud sono importanti per aiutare le aziende a implementare i necessari criteri di conformità normativa e sicurezza.

Perché la cloud security è così importante

Va da sé che la corretta applicazione del modello di responsabilità condivisa tra CSP e clienti consente di sfruttare al meglio quelli che sono i vantaggi della cloud security e, di conseguenza, mitigare i rischi di un ambiente cloud non correttamente configurato.

Vantaggi e svantaggi di un ambiente di lavoro remoto

Per cominciare, l’integrazione del cloud computing nella propria infrastruttura aziendale offre una indubbia accessibilità ai dati indispensabile a garantire flessibilità e agilità nei processi produttivi.

Di contro, l’accesso non sicuro alle risorse cloud da parte dei propri dipendenti crea numerosi punti di debolezza nel perimetro di sicurezza aziendale. Un problema che si aggrava nel momento in cui i dipendenti utilizzano dispositivi personali o portano fuori dall’azienda i dispositivi usati per lavoro esponendoli a malware o trojan in grado di compromettere l’intero sistema cloud.

La cloud security per un’archiviazione dati più sicura

Un altro indubbio vantaggio offerto dal cloud è la possibilità di archiviare i propri dati e creare backup facili da ripristinare.

Ma cosa succederebbe nel caso in cui i dati non fossero adeguatamente protetti? Innanzitutto, il rischio principale è quello di scaricare file danneggiati, con evidenti conseguenze sulla continuità produttiva aziendale.

E se file malevoli riuscissero a penetrare nell’infrastruttura cloud? Il rischio è la compromissione di tutti i nostri archivi e il danneggiamento non solo della rete e dei dispositivi aziendali, ma anche di quelli dei clienti esterni.

Le principali vulnerabilità di sicurezza degli ambienti cloud

Eppure, secondo una ricerca di Venafi, l’81% delle organizzazioni ha subito un incidente di sicurezza legato al cloud nell’ultimo anno, mentre il 45% ha dichiarato di averne subito quattro o più. Numeri, questi, che evidenziano come molte aziende continuino a non comprendere i rischi legati all’utilizzo della tecnologia cloud, sottovalutandone le principali minacce e criticità.

Configurazioni errate

Il dato più preoccupante è la mancata consapevolezza che i rischi critici per i dati e l’infrastruttura sono causati da configurazioni errare dei propri ambienti cloud.

Gestire ed eliminare le configurazioni errate è fondamentale per contrastare gli attacchi informatici. Ma sebbene i Cloud Service Provider spesso forniscano strumenti per aiutare a gestire il cloud, proprio le configurazioni sbagliate rappresentano la vulnerabilità più diffusa che gli attori delle minacce possono sfruttare per accedere ai dati e ai servizi.

Errori nelle autorizzazioni degli account, nella memorizzazione e gestione delle password, nella creazione di archivi di dati non crittografati e così via sono la causa principale delle violazioni di sicurezza che potrebbero esporre miliardi di record.

Vulnerabilità

Un’altra importante criticità è rappresentata dall’esecuzione di carichi di lavoro su istanze di calcolo di macchine virtuali vulnerabili esposte a internet, che potrebbero portare a fughe di dati critici.

Il recente caso della vulnerabilità Log4Shell è emblematica di come la mancanza di una corretta politica di patching possa aprire le porte agli attori delle minacce mettendoli nelle condizioni di creare rapidamente exploit e cercare dispositivi, siti, app e istanze cloud esposte da attaccare.

Account compromessi

L’accesso ad account privilegiati può consentire ai criminal hacker di eludere i sistemi di controllo e di rilevamento e sferrare una miriade di attacchi.

Ciononostante, molte organizzazioni continuano a non limitare adeguatamente i privilegi di accesso degli utenti o a non applicare i sistemi di autenticazione multi-fattore (MFA).

Eppure, tenendo conto che buona parte delle violazioni inizia con un attacco di tipo phishing e che la sofisticazione di queste truffe le rende sempre più difficili da individuare, è fondamentale aumentare il controllo degli accessi per proteggere i dati sensibili, le applicazioni e i carichi di lavoro nel cloud.

Senza dire che, a volte, le minacce intenzionali o accidentali provengono da utenti interni (i cosiddetti insider). Per prevenire questo rischio è importante limitare i dati sensibili solo ai dispositivi gestiti, usare l’analisi comportamentale per monitorare le attività e formare frequentemente gli utenti aziendali su minacce e rischi cyber.

Attacchi alla supply chain

Molte organizzazioni ha utenti esterni che possono accedere all’ambiente cloud con permessi di amministrazione, aumentando il rischio di esfiltrazione dei dati e di exploit.

E purtroppo, con la continua migrazione delle organizzazioni verso il cloud, se la sicurezza del cloud non si estende alla catena di fornitura e l’accesso continua a non essere controllato, il numero di violazioni dovute ad attacchi alla supply chain non potrà che aumentare.

Le migliori pratiche di cloud security

Per godere appieno dei vantaggi offerti dal cloud computing e allo stesso tempo mitigare i rischi di una sua integrazione nelle infrastrutture aziendali è necessario rispettare alcuni principi base della cloud security per raggiungere i quattro obiettivi principali della cloud security: proteggere, rilevare, contenere e ripristinare:

Protezione dei dati mediante tecnologie e strumenti informatici come la crittografia che consentano di garantire l’accesso ai dati e al tempo stesso limitare la visibilità di informazioni riservate.
Gestione delle identità e degli accessi per limitare la compromissione del patrimonio informativo aziendale archiviato nel cloud e delle infrastrutture stesse. In questo senso, assumono un ruolo fondamentale le soluzioni di controllo degli accessi come l’autenticazione multifattoriale o i sistemi di Identity & Access Management (IAM) che consentono la gestione e il monitoraggio continuo del comportamento di coloro che accedono alle risorse.
Adozione di strumenti e misure di continuità operativa e disaster recovery per garantire l’operatività aziendale anche nel caso in cui si verifichi un incidente di sicurezza e ripristinarla nel minor tempo possibile.

È evidente, però, che da sola la componente tecnologica non è sufficiente a definire una corretta strategia di cloud security: è importante anche sviluppare anche alcuni importanti aspetti organizzativi e di governance:

Definizione di policy da integrare nei processi di sviluppo di prodotti e servizi adottando approcci di tipo DevOps e DevSecOps e richiedendo al contempo a tutti gli utenti aziendali di partecipare all’identificazione, alla classificazione e alla responsabilità sugli asset produttivi così da creare consapevolezza e alzare il livello di protezione.
Configurazione corretta degli asset del cloud per separare i dati dalle operazioni per consentire l’accesso solo alle persone e ai sistemi strettamente necessari a svolgere una determinata attività.
Gestione centralizzata della cloud security per tutti i servizi e i Cloud Service Provider così da avere visibilità di tutti gli access point e semplificare il monitoraggio e l’identificazione delle possibili minacce.
Continuous monitoring degli accessi degli utenti alle piattaforme cloud e ai vari servizi così da individuare le attività che potrebbero mettere a rischio l’infrastruttura aziendale.
Prevedere un piano di manutenzione che garantisca la ridondanza e i backup dei dati e preveda anche una politica di patching, ricordando che è a carico dei service provider la gestione degli aggiornamenti e delle patch di sicurezza del software, mentre spetta ai reparti IT delle organizzazioni l’aggiornamento dei propri servizi.

Conclusioni

Come abbiamo visto, la cloud security sta assumendo sempre più un ruolo prioritario rispetto alla tradizionale sicurezza on-premise.

È vero, infatti, che gli attacchi informatici mirati agli ambienti cloud sono in continuo aumento, ma contestualmente aumenta anche la consapevolezza su questi temi da parte delle aziende che scelgono di migrare le proprie infrastrutture verso questo tipo di soluzione.

D’altronde, la comodità e la facilità d’uso della tecnologia cloud hanno cambiato il nostro mondo, consentendo una scalabilità delle operazioni aziendali mai vista prima e offrendo la possibilità di lavorare da qualsiasi luogo e una maggiore produttività ovunque.

Le aziende devono dunque rispettare la loro parte nel modello di responsabilità condivisa e adottare tutte le misure tecniche e organizzative per proteggersi dalle minacce alla sicurezza del cloud.