Migrazione al cloud: ecco come gestirla in sicurezza - Cyber Security 360

LA GUIDA PRATICA

Migrazione al cloud: ecco come gestirla in sicurezza

Considerato che il cloud è un ambito sempre più utilizzato, soprattutto in tempo di pandemia e di ricorso al lavoro da remoto, è utile apprendere le regole per gestire con la massima sicurezza la migrazione alla piattaforma che si intende utilizzare

03 Mag 2021
L
Andrea Lorenzoni

Expert Cybersecurity Analyst, Forensics, Automotive & Training presso CyberFVG.it

Del cloud abbiamo già parlato: a dire il vero, tutti ne parlano con la ragione del fatto che ormai non si possa non considerare questa piattaforma come la naturale evoluzione del proprio sistema IT. In ogni caso, data l’importanza che riveste, la migrazione al cloud deve essere analizzata e progettata per garantire che il passaggio avvenga totale sicurezza, consapevoli dei passi che si intendono attuare.

Seguire alcuni principi di base, di certo, può aiutare a completare tutto il procedimento con esito soddisfacente.

Migrazione al cloud: mappare l’infrastruttura esistente

Impossibile pensare di migrare in cloud un’infrastruttura della quale non abbiamo evidenza. Pensate che abbia detto una cosa banale? Non proprio.

Sto parlando di qualcosa che nelle aziende, piccole o grandi che siano, ci dovrebbe sempre essere. Chiamateli appunti sull’infrastruttura, IT management o come volete. Ma sta di fatto che in ogni contesto dovrebbe esserci un “pezzo di carta” dove c’è un inventario dell’hardware, del software, dei sistemi operativi, degli applicativi, eventuali customizzazioni, integrazioni, utenti, ruoli, restrizioni e via dicendo.

Senza dimenticarsi dei sistemi di sicurezza come firewall, le regole applicate, le VPN configurate per gli utenti in smart working, i responsabili tecnici e amministrativi. Diciamo il minimo, senza andare a pretendere piani di business con budget a disposizione.

Questo perché la prima cosa che deve essere chiara è che cosa si ha “in casa” e che cosa si vuole migrare in cloud. E la cosa non è proprio banale.

Bisogna analizzare i costi attuali, gli investimenti ai quali si va incontro con relativi vantaggi produttivi. Non meno gli svantaggi che bisogna subire nella fase “work in progress” definendo eventuali rischi nell’avere una situazione di transizione, evitando di perdere dati, contemplando lo stress del personale e quindi un inevitabile calo delle performance. Insomma, niente deve essere lasciato al caso.

Quindi, dopo aver chiarito e prodotto la documentazione necessaria, se all’interno dello staff non si ha un professionista in grado di analizzare, progettare e mettere in atto tutte le fasi della migrazione, occorre contattarne uno esterno che chiederà quali sono le esigenze e/o aspettative.

Dall’endpoint al cloud: come cambia il perimetro aziendale

Scegliere la soluzione di migrazione al cloud

Come si diceva, non tutte le migrazioni sono uguali. A seconda delle necessità che ci si trova ad esaminare, ci si trova di fronte al dovere di essere chiari: non tutto si può migrare. E ciò dipende dall’azienda in questione.

In alcuni ambiti, si possono trovare definizioni di migrazione al cloud che differiscono da semplici sfumature che sono, certo, belle da elencare ma che comportano essenzialmente confusione e, soprattutto, comunicano un contesto che spesso per pregiudizi viene interpretato con la formula “è complicato=costerà troppo”.

Diciamo quindi, più sinteticamente, che tre sono i macro-ambiti nei quali possiamo suddividere i cloud:

  1. Software-as-a-Service (SaaS), ovvero software come servizio: si tratta di un metodo per la distribuzione di applicativi software tramite internet, su richiesta e in genere in base a una sottoscrizione. Nel caso di una soluzione SaaS, i provider di servizi cloud ospitano e gestiscono il software e l’infrastruttura sottostante e si occupano delle attività di manutenzione. Gli utenti si connettono all’applicazione tramite internet e possono accedervi da diverse tipologie di dispositivi (desktop, mobile, tablet). Esempi di SaaS sono: Microsoft Office 365, le app di Google, iCloud. Ma questo tipo di servizio ormai viene proposto anche in ambiti diversi come i software di gestione per commercialisti, autofficine, laboratori di verifiche, per citarne solo alcuni.
  2. Platform-as-a-Service (PaaS), ovvero piattaforma distribuita come servizio: si tratta di servizi cloud che forniscono strumenti e ambienti per lo sviluppo, il test, la distribuzione e la gestione di applicazioni software, solitamente tramite strumenti specifici forniti dal provider stesso e pannelli di configurazione fruibili via browser web.
  3. Infrastructure-as-a-Service (IaaS), ovvero infrastruttura distribuita come servizio: si tratta di servizi cloud che permettono di allocare risorse infrastrutturali fisiche e virtuali (server, macchine virtuali, risorse di archiviazione e networking).

Ci sono, poi, tre diversi livelli di servizio:

  1. Cloud pubblico: offerti da fornitori che mettono a disposizione dei propri clienti la potenza di calcolo e/o di memorizzazione dei loro data center. Uno dei maggiori vantaggi del cloud pubblico per il cliente consiste nel fatto che egli può richiedere l’utilizzo dei servizi cloud di cui necessita nel momento in cui effettivamente ne ha bisogno, e solo per il tempo che gli sono necessari.
  2. Cloud privato: installato dall’utente nel suo data center per suo utilizzo esclusivo. I servizi vengono forniti da elaboratori che si trovano interamente nel dominio del cliente che detiene controllo e totale responsabilità della gestione delle macchine sulle quali vengono conservati i dati e vengono eseguiti i suoi processi, assieme ai complessi aspetti relativi alla sicurezza dei dati.
  3. Cloud ibrido: combinazione del modello pubblico e di quello privato. Ad esempio, un utente che dispone di un cloud privato, può utilizzare le risorse di un cloud pubblico per gestire improvvisi picchi di lavoro che non possono essere soddisfatti facendo ricorso unicamente alle risorse disponibili nel cloud privato. Tuttavia, questo modello comporta comunque la proprietà e conseguente gestione della parte privata delle infrastrutture, risultando in maggiori costi e rischi.

Integrazioni e limiti

Bene, ora che si è deciso quale strada scegliere, occorre pensare ad integrare quanto è stato scelto di migrare al cloud con la struttura aziendale che la deve utilizzare e i possibili limiti che è possibile incontrare e che potrebbero ostacolare lo svolgersi dei processi “core” dell’azienda.

Facciamo solo alcune considerazioni.

Nel caso, per esempio, che si scelga di adottare un gestionale on cloud (scenario quanto mai comune oramai), occorre per prima cosa determinare se quell’applicativo costituisce tutta la parte produttiva dei dati (in, work, out) oppure esso rappresenta una parte della lavorazione. I dati poi devono essere traspostati ad un altro applicativo (in cloud oppure in locale) per avere il risultato finale.

In ogni caso occorre prevedere la possibilità anche di una semplice stampa e quindi bisogna pianificare come l’out dei processi core debba essere all’altezza delle aspettative dei clienti.

In più, e cosa non ultima, nel progetto di migrazione occorre tener conto di come gli utenti si collegheranno. O meglio da dove, soprattutto in merito all’ormai realtà quotidiana che ci vede impegnati in smart working e che ci obbliga, per adesso e probabilmente per il futuro, a ridisegnare le infrastrutture dati proprio in ambito di cloud.

La sicurezza nella migrazione al cloud

In ogni caso le considerazioni riguardano anche, e soprattutto, la sicurezza della tecnologia verso la quale stiamo migrando in funzione del fornitore, del perimetro, degli utenti e dei dati “core” che l’azienda sta affidando a quella determinata infrastruttura.

Per quel che riguarda la sicurezza del fornitore, si riporta un breve testo di AgID che spiega molto bene il concetto.

“Amministrare le infrastrutture IT comporta responsabilità non solo di tipo economico-amministrativo, ma soprattutto di sicurezza e di protezione dei dati personali. Le recenti normative in materia di privacy e di sicurezza informatica l’adozione di misure tecniche e organizzative adeguate a garantire la sicurezza del trattamento dei dati.

Molti provider di servizi cloud offrono un’ampia gamma di metodi, tecnologie e controlli che rafforzano la sicurezza complessiva, grazie alla protezione dei dati (che possono essere criptati con i più alti livelli di sicurezza del mercato), dell’applicazione e dell’infrastruttura da minacce potenziali. I cloud service provider (CSP) qualificati hanno infrastrutture e servizi sviluppati secondo criteri di affidabilità e sicurezza considerati necessari per i servizi digitali.

Ad esempio, i data center dei CSP hanno tutti la certificazione ISO/IEC 27001. Nell’ambito della sicurezza, i provider di servizi cloud offrono anche servizi specifici di disaster recovery, che permettono un ripristino più rapido dei sistemi IT maggiormente critici senza sostenere le spese di un secondo sito fisico.

Questo garantisce la continuità operativa dell’infrastruttura ed elimina il rischio di perdita di dati. Inoltre, le applicazioni cloud sono in grado di mettere a disposizione dell’amministratore strumenti di auditing e controllo delle informazioni che consentono interventi puntuali all’insorgere di eventuali problemi.

Certamente non basta dotarsi di soluzioni cloud per assicurare privacy ai propri utenti e sicurezza delle infrastrutture e servizi IT, bensì serve un processo continuo di vigilanza e controllo che fin dalla prima fase di progettazione dei servizi, agisca trasversalmente su tutte le aree di interesse, e che sia costantemente aggiornato rispetto allo stato dell’arte delle principali misure di sicurezza.”

Una delle caratteristiche peculiari delle piattaforme cloud è che prevedono intrinsecamente la condivisione delle risorse. Ci potremmo, quindi, trovare di fronte a problematiche come il data leakage (trasmissione non autorizzata di dati all’interno di un applicativo ad un destinatario esterno), un controllo debole degli accessi, attacchi DDoS, data breach, l’indisponibilità generica di dati (dati persi per dolo, errore o negligenza).

La gestione delle identità e della privacy, poi, va tenuta in forte considerazione.

Per mitigare questi rischi, molte piattaforme (se non ormai tutte), forniscono un insieme di controlli e regole al fine di garantire la possibilità di instaurare una politica di sicurezza solida.

Alcune best practice:

  • mettere in sicurezza tutte le risorse, non solo quelle esposte verso l’esterno, edge layer (es. utilizzando una connessione TLS sicura anche nelle comunicazioni con altri applicativi);
  • proteggere i dati memorizzati in qualsiasi forma digitale attraverso la criptazione;
  • mitigare attacchi DDoS utilizzando il livello di network della piattaforma cloud;
  • utilizzare una lista di accessi sicuri per reti, applicativi e dati;
  • eseguire un’analisi periodica delle vulnerabilità e i penetration test;
  • utilizzare two factor authentication (2fa) e configurare un meccanismo di single sign on (SSO);
  • installare antivirus e antimalware per i nodi e il networking;
  • abilitare il monitoring ed il logging per il networking, gli applicativi e i dati;
  • connettere on-premise con cloud utilizzando sempre un link dedicato ed una VPN sul link pubblico;
  • criptazione dei dati prima di passare al cloud;
  • criptazione dei dati memorizzati nei dischi utilizzando standard di sistemi avanzati;
  • controllare gli accessi sulla base del ruolo degli utenti;
  • proteggere tutti i canali di comunicazione con un certificato SSL;

Non lasciare nulla all’improvvisazione

Ciò che è sempre importante è tenere traccia di tutto. Bisogna documentare tutta la fase di migrazione al cloud e, una volta completata, procedere a dei test prestazionali e simulazioni in ambito di sicurezza.

A seconda dei progetti di migrazione al cloud, proprio in ambito di sicurezza, il consiglio è di affidarsi agli organismi che svolgono questo tipo di verifiche poiché sono i nostri “migliori amici” che ci aiutano soprattutto per lo sviluppo e il mantenimento delle politiche di sicurezza dei dati.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3