Utilizzare i servizi cloud in sicurezza

La sicurezza dei nostri dati nell’epoca del digitale è un tema alquanto centrale e la sicurezza legata ai servizi di cloud sembrerebbe presentare una delle sfide più ardue: c’è sempre chi mette in guardia sul fatto che i dati contenuti all’interno di un cloud non sono mai realmente al sicuro, finendo tra l’altro per spaventare gli utenti privati più scrupolosi, inducendoli così a non utilizzare tali servizi. Chiaramente la sicurezza cloud non è importante solamente per l’utilizzo privato, ma anche le aziende devono confrontarsi con questa problematica. Infatti molte aziende oltre a utilizzare i servizi di cloud per l’archiviazione di dati personali sensibili, se ne servono anche per i propri segreti aziendali.

Nonostante sia noto che ci siano dei rischi per la sicurezza, il volume dei dati archiviati nei cloud aumenta sempre più a causa della grande popolarità di questi servizi: gli utenti privati sfruttano il vantaggio di avere i propri dati sempre a portata di mano ovunque si trovino, e non esitano quindi a caricare i propri file dai dischi fissi alla memoria online. Le aziende invece dal canto loro riescono in questo modo a migliorare la connessione tra i loro dipendenti impostando i propri processi in maniera più efficiente. La tecnologia cloud permette inoltre di risparmiare, poiché con il cloud hosting le risorse sono regolate su misura dell’azienda, diminuendo l’infrastruttura necessaria presente in loco.

La variante più comune di utilizzo del cloud è il cosiddetto public cloud o cloud pubblico: i provider come Google Drive o Box offrono ai loro clienti uno spazio di archiviazione già pronto all’uso con incluse alcune misure di sicurezza. Chi tuttavia vuole avere maggiore controllo sui propri dati deve servirsi di un cloud privato o un cloud ibrido. Questi cloud vengono configurati completamente o in parte da provider pubblici e offrono maggiore controllo sulle misure di sicurezza, ma richiedono anche un maggiore impiego di conoscenze tecniche. In modo particolare sono le aziende ad affidarsi a cloud ibridi o privati per motivi legati alla protezione dei propri dati o del proprio apparato IT.I

Con un software come ownCloud anche gli utenti singoli possono impostare con semplicità il proprio cloud e gestirlo di persona.

Poiché sempre più settori del mondo del digitale fanno affidamento sulla tecnologia cloud, la questione sicurezza diventa sempre più pressante. Dunque cosa possono fare privati e aziende per proteggere al meglio i propri accessi al cloud? Vi spieghiamo quali sono i problemi nei quali potete incappare e quali sono gli aspetti legati alla sicurezza sui quali va prestata maggiore attenzione. Dopodiché vi presentiamo alcuni metodi su come utilizzare tutti i tipi di servizi cloud nel modo più sicuro possibile.

IONOS Cloud Compute Engine

Le medie e grandi aziende scelgono il Cloud made in Germany. IaaS e PaaS, servizi per veri campioni.

Sicuro
Affidabile
Flessibile

Le sfide per un utilizzo sicuro della tecnologia cloud

L’enorme comfort offerto dalla tecnologia cloud è collegato a rischi altrettanto grandi. Per minimizzarli è necessario innanzi tutto avere un’idea di dove questi effettivamente si nascondano.

Le fonti di pericolo per la sicurezza dei dati

È un’affermazione ricorrente che non ci sia alcun cloud completamente sicuro, ma quali sarebbero i rischi ai quali si fa riferimento? La risposta non può che essere un po’ vaga: ci sono molti scenari possibili che rendono i servizi cloud non del tutto sicuri. Oltre alla perdita dei dati (che potrebbe essere da ricondurre a una mancanza da parte del provider, a problemi tecnici o a un blocco inaspettato dell’account in questione), i rischi si basano soprattutto su accessi illeciti e indesiderati da parte di terzi. Ma chi è che potrebbe avere interesse ad accedere ai vostri dati? Qui di seguito vi proponiamo una lista dei maggiori attori nel panorama attuale:

  1. Furto di dati: una fonte di pericolo sono le persone che fanno del furto di dati il proprio business. Non solo coordinate bancarie ma anche i dati personali degli utenti risultano economicamente interessanti. Attraverso una sicurezza insufficiente viene inoltre spianata la strada allo spionaggio industriale.

  2. Hacker: gli hacker mettono alla prova le proprie capacità tentando di farsi varco all’interno della rete di sicurezza di istituzioni pubbliche e di aziende. C’è chi, una volta identificata una falla nel sistema, informa gli amministratori responsabili, e chi preferisce invece approfittarne criminalmente.

  3. Organi statali: ciò che è stato recentemente svelato riguardo la NSA ha portato davanti all’opinione pubblica come i servizi segreti possano ampiamente accedere ai dati personali dei cittadini. Come determinato in sede di tribunale, in casi sospetti sono varie le autorità alle quali è consentito l’accesso a dati salvati su cloud. In considerazione di ciò, anche gli attori statali possono rappresentare un fattore di rischio. Tuttavia la legge italiana dovrebbe limitare al minimo tali accessi.

  4. Provider cloud: molte grandi aziende IT come Google o Apple basano il proprio potere di mercato sull’elaborazione di dati degli utenti, facendo sottoscrivere agli stessi delle condizioni d’utilizzo formulate in maniera alquanto vaga e garantendosi così maggiore libertà sull’impiego dei dati e quindi la possibilità di sfruttarli a scopo economico. La poca trasparenza dei provider rappresenta infatti un problema: gli utenti hanno poco controllo su ciò che accade con i propri dati su di un public cloud.

  5. Persone interne all’azienda: in linea teorica anche il personale attivo o gli ex dipendenti di un’azienda possono rappresentare una minaccia alla sicurezza dei dati riservati poiché potrebbero utilizzare le proprie informazioni di accesso al cloud aziendale in maniera illecita o criminosa. Perciò soprattutto le aziende di grandi dimensioni dovrebbero prendersi adeguata cura della gestione dei diritti e delle identità relativi ai servizi di cloud.

Sfide particolari per le aziende

Se sia i privati che le aziende desiderano proteggere i propri accessi al cloud in maniera efficace, si trovano a dover affrontare diverse sfide. Mentre i privati utilizzano i servizi cloud in maniera sicura soprattutto attraverso misure di protezione dei dati generali, come password sapientemente scelte o dati codificati, per le aziende la questione è leggermente più complicata.

Contrariamente ai privati, le aziende non lavorano con un singolo servizio cloud, bensì con infrastrutture IT basate su cloud più o meno complesse che vengono utilizzate da molti dipendenti e collaboratori. Il cosiddetto cloud computing è un concetto generale per le infrastrutture che invece di funzionare a livello locale, sui computer e sui server dell’azienda, sono principalmente eseguite su Internet. Considerando il numero di dipendenti che accede ai servizi di cloud per mezzo di diversi dispositivi da luoghi diversi, la questione sicurezza diventa una sfida complicata da un punto di vista puramente tecnico.

Fatto

Anche il cloud hosting diventa sempre più diffuso tra le aziende. Il cloud hosting può essere compreso come una parte del cloud computing e sta a significare che i dati non vengono più ospitati su di un server fisico presente in loco, ma su di una nuvola informatica che ha i suoi server altrove. Solitamente i server cloud sono in grado di adattarsi con maggiore flessibilità alle esigenze dell’azienda, rispetto a quanto fa il server fisico.

L’ostica sfida sta nella gestione delle identità relative ai dati di accesso, che serve a regolare chi può accedere a quali risorse all’interno del cloud. Per un migliore flusso di lavoro le aziende sono portate a garantire l’accesso dei propri dipendenti attraverso una gestione dell’utenza centralizzata. Le sfide in questione si presentano già anche attraverso l’utilizzo di servizi di filesharing come Dropbox, al quale hanno accesso molti dipendenti, ognuno con i propri dati di login. Chiaramente in un ambiente multi cloud vale la seguente considerazione: la complessità del sistema di Identity Management e quindi l’attenzione che è necessario riporre nella sicurezza del cloud aumentano proporzionalmente con le dimensioni dell’azienda.

Utilizzare i servizi cloud in maniera sicura: consigli per gli utenti privati

La valutazione della qualità della sicurezza dei servizi cloud per gli utenti privati dipende dal livello delle misure generalmente adottate in materia di protezioni dati. A fianco all’utilizzo di password sicure si dovrebbe fare attenzione alla posizione geografica del cloud, all’equità delle sue condizioni di utilizzo e alla codifica dei dati.

Posizione dei server e della sede legale dell’azienda

Per un utilizzo sicuro dei servizi cloud la prima cosa da tenere a mente è la situazione legislativa (in materia di protezione dati) del paese dove si trovano sia i server che la sede legale del provider. La posizione degli uni e dell’altra influisce infatti su ciò che accadrà con i dati archiviati nel cloud. Perciò gli utenti privati dovrebbero ben riflettere a quale provider di cloud decidono di affidare i propri dati.

Se i server si trovano negli USA, anche gli utenti italiani vengono sottoposti alle leggi statunitensi. La situazione legislativa è decisiva, poiché fa sì che le autorità statali possono (o non possono) mettere mano ai dati archiviati nei cloud, anche contro il volere degli utenti, sostituendosi di fatto agli hacker. La legge nord americana prevede una protezione minore della privacy rispetto a quella europea, causando inevitabilmente dei contenziosi persistenti in merito ai rapporti tra le aziende americane e i dati dei cittadini dell’Unione Europea. È perciò consigliabile scegliere un servizio cloud i cui server si trovino all’interno dell’EU, ancor meglio se in Italia. Tra l’altro questo è un fattore che va a influire anche sulla velocità con la quale si può accedere ai propri dati, caricarli e scaricarli.

N.B.

I server di IONOS si trovano in Germania, dove la legge in materia di privacy è simile a quella italiana, se non più dettagliata. IONOS mette a vostra disposizione diversi pacchetti di servizi di archiviazione cloud con diverse fasce di prezzo e caratteristiche. Un ulteriore vantaggio è rappresentato dalla disponibilità di app per documenti, foto e musica, che vi aiutano a gestire i dati contenuti nel cloud. Inoltre c’è anche la possibilità di poter accedere ad alcune cartelle offline.

Vista la crescente presa di coscienza da parte degli utenti, alcune aziende nord americane hanno iniziato a salvare i dati degli utenti europei su server all’interno dell’UE. Tuttavia ciò non è sempre sufficiente, poiché anche la sede legale dell’azienda rappresenta un fattore decisivo per la protezione dati: ovvero anche se i server di un’azienda statunitense si dovessero trovare sul territorio europeo, questa potrebbe comunque essere costretta a fornire i dati personali degli utenti all’autorità americane. Questo tema continua perciò a essere oggetto di dibattito politico e giuridico.

Disposizioni sulla protezione dei dati da parte dei provider dei servizi cloud

Le disposizioni sulla privacy dei provider di servizi cloud stabiliscono come vengono trattati i dati archiviati. A questo proposito bisogna riflettere sul fatto che i più importanti provider quali Google o Apple ottengano i maggiori profitti dal trattamento dei dati degli utenti e non dalla vendita o dalla prestazione di servizi a pagamento. Infatti grazie alle disposizioni piuttosto blande in materia di privacy, oggetto di critica continua da parte dei responsabili della tutela dei dati, essi possono contare su degli spazi di manovra particolarmente vantaggiosi.

Tra l’altro le grandi aziende di IT hanno solitamente più mezzi a disposizione per l’estrazione delle enormi moli di dati dai cloud, riuscendo così a creare le cosiddette Digital Footprint dei singoli utenti o dei gruppi di utenti. Queste “orme digitali” a loro volta possono essere combinate con quelle di altri servizi (nel caso di Google sono Search, Maps, Mail, ecc.), risultando ancora più efficaci. Se si vuole evitare tutto ciò bisogna affidarsi a un provider minore, con il quale si ottiene maggiore sicurezza per i propri dati, sottoscrivendo un abbonamento mensile di pochi euro.

Codifica dei dati

Un altro punto chiave per quel che riguarda la sicurezza dei cloud è la codifica: chiunque archivia dati online, dovrebbe preoccuparsi di codificarli. Di processi di codifica ce ne sono molti, ma siccome risultano spesso molto complessi, la maggior parte degli utenti tende ad affidarsi alla codifica offerta dai provider stessi. Così facendo sono sì necessarie meno conoscenze tecniche ma gli utenti rinunciano alla possibilità di verificare l’efficacia di tali misure di sicurezza. I cloud pubblici offrono ai propri utenti ben poca trasparenza su ciò che accade realmente con i loro dati.

A questo proposito, ad aumentare costantemente è anche il numero di programmi di codifica esterni implementati per i dati archiviati su cloud. Programmi come Cryptomator, CrytpSync o Boxcryptor dovrebbero servire a proteggere i propri dati, indipendentemente dal gestore del cloud. Il mercato dei software di codifica si è ampliato talmente tanto che è difficile averne una chiara visione d’insieme, ciononostante rimane il fatto che una cifratura esterna aiuta a rendere concretamente più sicuro l’utilizzo di un servizio cloud.

Tip

Un backup dei dati particolarmente importanti o sensibili va sempre fatto. Infatti anche i dati archiviati su cloud possono andare perduti, sia a causa della perdita della password, sia per una mancanza da parte del provider o di una circostanza imprevista. Perciò assicuratevi di salvare tali dati anche offline. Per semplificare il lavoro potete affidarvi a un software di sincronizzazione come SyncBack.

Utilizzare i servizi cloud in maniera sicura: consigli per le aziende

Come già accennato, il tema sicurezza su cloud si complica notevolmente per le aziende. Seppure la posizione geografica dei server e una buona ed efficace codifica siano comunque estremamente importanti, le aziende si devono anche confrontare con la protezione di accesso al o ai cloud da parte di molti dipendenti e tuttavia gestire i dati centralmente e in maniera efficiente.

Perciò sono necessarie delle soluzioni più complesse per la gestione dei diritti dei dipendenti al cloud: l’infrastruttura IT dell’azienda viene utilizzata da diversi collaboratori, la cui identità deve sempre essere autentificata e le cui possibilità di accesso al cloud devono sempre essere autorizzate. L’autentificazione e l’autorizzazione sono dunque due concetti centrali per quel che riguarda la tutela dei dati su cloud a livello aziendale. Qui di seguito vi illustriamo alcuni approcci funzionali.

Cloud Access Security Broker (CASB)

Una soluzione particolarmente attuale è l’utilizzo di un cosiddetto Cloud Access Security Broker (CASB). Con CASB ci si riferisce a un software specificamente sviluppato per controllare e proteggere l’accesso al cloud. Questa forma relativamente nuova di sicurezza per cloud è un sistema di sicurezza esterno che va a collocarsi tra il servizio di cloud e l’utente, gestendo così la loro comunicazione. I CASB hanno inoltre molte altre funzioni: servono come strumento di monitoraggio e di gestione, informano riguardo l’esecuzione di processi insoliti e stabiliscono quale azione debba essere eseguita nel caso venga comunicata una falla di sicurezza. I CASB costituiscono perciò un nuovo gruppo di software, sviluppato specialmente per i flussi di lavoro delle aziende basati su cloud.

Per garantire la sicurezza del cloud, i CASB offrono varie soluzioni: tramite questi sistemi è infatti possibile regolare l’autentificazione degli utenti, codificare il traffico dati, bloccare il traffico dati indesiderato, indentificare malware, attivare allarmi nel caso di azioni sospette o integrare requisiti di accesso aggiuntivi. Infine, in merito al loro utilizzo, il CASB deve identificare e garantire l’accesso del dispositivo tramite il quale i dipendenti vogliono connettersi al cloud. Queste misure di sicurezza vengono definite in anticipo per poi essere applicate dal CASB. Inoltre molte CASB lavorano in cooperazione con altre soluzioni di sicurezza, per quel che riguarda la codifica dei dati, la multi factor authentication, la IAM (Identity and Access Management) o la SIEM (Security Informationen and Event Management).

Grazie a queste prestazioni le CASB vengono incontro agli attuali requisiti di sicurezza delle aziende. L’istituto di ricerca Gartner predisse nel 2015 che già a partire dal 2020, l’85 percento di tutte le aziende avrebbe reso sicuri i propri accessi al cloud tramite un servizio CASB. In vista di ciò non sorprende che alcuni dei giovani servizi CASB sono già stati acquisiti dalle grandi aziende operanti nel campo dell’IT: il servizio Elastica è stato inglobato da parte di Blue COat Systems (facente parte di Symantec), Adallom da Microsoft. Questo serve a mostrare quanto potenziale c’è in questo ramo del settore e anche quanto è attuale il tema della sicurezza del cloud.

Per far sì che i servizi CASB come CensorNet, Bitglass, Netskope o CipherCloud funzionino correttamente, la struttura dell’azienda in questione deve essere innanzitutto ben integrata. Ciò significa che da un lato i CASB necessitano della connessione al gestionale degli utenti dell’azienda e dall’altro una contemporanea e profonda integrazione nei servizi di cloud che sono tenuti a proteggere. A questo scopo molti CASB supportano già i comuni servizi basati su cloud, quotidianamente utilizzati negli ambienti aziendali, come Microsoft 365, OneDrive, Box, Google Apps o Salesforce. Ma sono anche in grado di implementare servizi non ancora conosciuti.

Al fine di integrare un CASB in una rete aziendale ci sono diverse possibilità. Un software CASB ha due possibilità, o opera a sua volta su cloud o viene eseguito in locale. Nell’infrastruttura IT dell’azienda viene integrato come gateway centrale o come applicazione API. Entrambi queste varianti presentano vantaggi e svantaggi: se il CASB è implementato come gateway, significa che si trova direttamente tra l’utente e il servizio di cloud. In questo modo viene inserito nel flusso dati e può così bloccare azioni non desiderate.

Uno svantaggio di questa variante è tuttavia che la performance del cloud può essere inficiata dall’aumento del carico di lavoro. Se un’azienda ha molti dipendenti, allora sono più adatte le soluzioni basate su Api. In questo caso il CASB rappresenta una componente esterna alla comunicazione diretta tra utente e cloud. Ma anche senza interporsi, il suo influsso sulle performance del servizio di cloud risulta ugualmente significativo.

Autentificazione a due o più fattori (2FA/MFA)

I CASB sono delle meta soluzioni per la sicurezza del cloud e i vari metodi di autentificazione sono le loro componenti più importanti. Le soluzioni di autentificazione si occupano dei controlli di accesso di un servizio di cloud e regolano perciò chi può utilizzare o meno il cloud. Attualmente le aziende mettono al sicuro tale autentificazione all’interno di un proprio servizio di autentificazione (Identity provider). Questa subentra come terza istanza tra il provider cloud e l’utente: se un dipendente della vostra azienda desidera utilizzare il servizio IT, per prima cosa sarà indirizzato all’Identity Provider, dove dovrà identificarsi, solitamente inserendo una password. L’Identity Provider ovvero il metodo di autentificazione scelto è decisivo per un utilizzo sicuro di un servizio di cloud.

Un metodo di autentificazione è dunque particolarmente sicuro se non si basa unicamente su di una password ma se piuttosto comprende anche un altro parametro. Si parla perciò di autentificazione a due o apiù (multi) fattori. Si tratta delle misure di sicurezza più importanti per l’accesso al cloud. Degli efficienti metodi di autentificazione dovrebbero essere adottati soprattutto nei settori di utilizzo dove la sicurezza è una questione fondamentale.

Alle aziende è perciò consigliato impostare un processo di autentificazione a più fattori per le funzioni amministrative sul servizio di cloud. Oltre alla combinazione di più parole chiavi (password) c’è anche la possibilità di utilizzare delle One-Time Password, ovvero delle password utilizzabili una sola volta, o includere oggetti nel processo di autentificazione, come ad esempio una pennetta USB.

Processo dinamico di autorizzazione

La gestione dei diritti di accesso dei cloud non si basa solamente sull’autentificazione dei collaboratori, ma anche sull’autorizzazione dei diritti. Il concetto di “autorizzazione” descrive l’approvazione di diritti utente all’interno di un cloud. Questi diritti vengono assegnati individualmente a ogni singolo utente all’interno dell’ambiente multi-user di un’azienda, solitamente da parte di uno o più amministratori. Le autorizzazioni regolano chi può modificare le impostazioni, chi ha accesso alle sottodirectory, chi è sottoposto a un accesso a tempo limitato o a chi è permesso di visualizzare dei documenti ma non di modificarli.

Per un utilizzo sicuro dei servizi cloud le aziende dovrebbero disporre di processi di autorizzazione dinamici: le autorizzazioni dovrebbero essere impostate in maniera individuale e costantemente aggiornate, così che ogni utente può visualizzare e/o elaborare solamente quei dati necessari per il suo ruolo all’interno dell’azienda (Principio del privilegio minimo). Le autorizzazioni dovrebbero avvenire in base ai ruoli ed essere costantemente verificate. Se un dipendente smette di lavorare per l’azienda, la sue autorizzazioni devono essere revocate.

Fatto

L’autentificazione serve a stabilire quali persone hanno accesso a un cloud. Attraverso le autorizzazioni invece viene definito quali risorse possono essere utilizzate dagli utenti che dispongono dell’accesso al cloud. Per entrambi questi ambiti di sicurezza del cloud esistono protocolli aperti per adottare queste misure: OpenID è adatto per un’autentificazione utente decentralizzata, con OAuth invece viene garantita un’autorizzazione sicura da desktop o da applicazioni web.

Protezione della rete aziendale

Per garantire la sicurezza IT necessaria, alle aziende non basta affidarsi a dei singoli servizi, piuttosto devono preoccuparsi di proteggere sufficientemente anche la struttura circostante, ovvero la rete aziendale. Questo è particolarmente importante non appena le aziende iniziano a utilizzare servizi cloud. Poiché anche una rete insufficientemente sicura può essere causa di furto di password dei dipendenti, e le password rubate rappresentano ancora uno dei metodi più comuni per permettere accessi non autorizzati ai cloud.

Le aziende di grandi dimensioni che lavorano con reti aziendali particolarmente complesse dovrebbero mettere al sicuro le proprie reti interne e i propri dispositivi di sicurezza (Security Appliances), come ad esempio i firewall o i programmi antivirus. Un firewall esterno (soprannominato anche hardware firewall) ha il vantaggio di essere sviluppato in maniera mirata al fine di controllare la connessione tra due reti e impedire accessi indesiderati.

Impostare un Identity Management centralizzato sicuro

In modo particolare per le grandi aziende che impiegano dipendenti in varie città e paesi, la sicurezza dell’IT e del cloud rappresenta una vera e propria sfida. Se queste aziende desiderano far sì che il loro flusso di lavoro sia basato su cloud, devono unificare e centralizzare le identità eterogenee dei loro collaboratori.

Mentre le aziende di dimensioni ridotte si affidano spesso a servizi di sicurezza esterni per un Identity Management centrale, le aziende più grandi sono invece solite costruirsi la propria struttura internamente; e mentre le aziende più giovani possono permettersi di puntare sin da principio sul cloud computing, quelle con più storia alle spalle sono invece costrette a rinnovarsi, il che può risultare un processo alquanto dispendioso. Impostare un Identity Management centrale e sicuro è perciò un ulteriore importante compito per assicurarsi che gli accessi al cloud siano protetti.

Per far sì che il rinnovamento vada a buon fine e che le identità dei dipendenti vengano centralizzate è necessario includere uno strato di integrazione aggiuntivo all’interno dell’architettura di sistema della rete. Riunite assieme le informazioni relative all’identità dei dipendenti e rendete possibile la gestione centralizzata di questi dati. Attraverso l’implementazione di uno strato di integrazione di questo tipo è possibile rende sicuro l’utilizzo di servizi cloud anche per aziende di grandi dimensioni.