A Brave Chi detiene la sicurezza in-the-cloud?

A Brave
Chi detiene la sicurezza
in-the-cloud?
Un punto di vista
di Trend Micro
Febbraio 2011
Dave Asprey,
VP Cloud Security
CHI DETIENE LA SICUREZZA IN-THE-CLOUD?
I.
CHI DETIENE LA SICUREZZA IN-THE-CLOUD?
Il cloud computing è la parola più in voga del momento nell’ambito tecnologico. La fornitura
di servizi software e infrastrutture IT su richiesta tramite Internet può offrire ai team IT
vantaggi ineguagliabili per quanto riguarda efficienza, risparmi di costi e scalabilità. Tuttavia,
questi vantaggi rivoluzionari sono accompagnati da un insieme di nuove sfide che diminuiscono la validità di molti approcci tradizionali alla sicurezza. Il paradosso al centro di
questo nuovo paradigma informatico consiste nel fatto che il cloud computing da un lato
offre la possibilità di un IT semplificato, con tariffe al consumo, in cui le attività più pesanti
vengono demandate all’outsourcing, ma introduce anche numerose problematiche relative
alla conformità e aree potenziali di rischio per la protezione dei dati.
DI loro iniziativa o perché sono costretti a farlo da ragioni aziendali, i responsabili IT stanno
rivalutando le loro opzioni alla luce del nuovo ambiente informatico del 21° secolo. Vogliono
conoscere i rischi connessi e soprattutto a quale livello si debbano collocare responsabilità
e contabilità relative alla sicurezza.
In questo documento intendiamo affrontare tali problematiche nel contesto di IaaS
(Infrastructure as a Service), cioè dell’ambito che consente ai responsabili IT di affittare reti,
spazio di archiviazione, server e altri elementi operativi. Inoltre, IaaS offre alle imprese una
maggiore autonomia nell’implementazione di un maggior numero di controlli rispetto a modelli
come SaaS.
II.
PERCHÉ IN-THE-CLOUD?
Dal punto di vista del metodo del cloud pubblico, ciò che soprattutto conta è la scalabilità
e la capacità di utilizzare le spese di esercizio anziché le spese in conto capitale. I clienti
che adottano cloud computing evitano spese per capitale per hardware, software e altri
servizi infrastrutturali, pagando ai loro vendor solo ciò che utilizzano, secondo un modello di
fornitura di servizio. La fornitura su richiesta di risorse consente inoltre alle aziende una
scalabilità dinamica, regolata secondo le esigenze informatiche in tempo reale, migliorando
notevolmente l’agilità aziendale.
Dal punto di vista privato, il cloud computing verte soprattutto su un aumento di flessibilità
e reattività rispetto alle esigenze dei consumatori interni.
Con questo genere di vantaggi, non è certo sorprendente che vi sia un grande interesse nei
confronti di questo nuovo paradigma informatico. Una ricerca Cisco di dicembre, ad esempio,
ha rilevato che il 52% dei professionisti IT a livello globale utilizza o intende utilizzare il cloud
computing entro i prossimi tre anni. Da un sondaggio analogo relativo alla sicurezza dei dati
effettuato da ISACA (marzo 2010) è emerso che un terzo delle organizzazioni europee ha già
adottato sistemi di cloud computing, mentre Accenture, in un’inchiesta a livello globale (luglio
2010), ha riscontrato che la metà dei suoi clienti esegue in-the-cloud varie applicazioni
mission critical.
1 | Punto di vista Trend Micro™ | Chi detiene la sicurezza in-the-cloud?
CHI DETIENE LA SICUREZZA IN-THE-CLOUD?
III.
LA PROTEZIONE DEL PERIMETRO NON È MORTA: DUE APPROCCI
PER LA PROTEZIONE IN-THE-CLOUD
Si è detto molto a proposito del fatto che, con il modello del cloud pubblico, la tradizionale
protezione del perimetro aziendale semplicemente cessa di esistere. Firewall, sistemi di
prevenzione delle intrusioni e altre funzionalità standard di protezione, secondo tale visione,
non possono estendersi in-the-cloud e le aziende devono invece affidarsi al livello di base
di protezione del perimetro offerta dal vendor del servizio in-the-cloud.
Tuttavia, da un’altra prospettiva, l’operatività del modello della protezione del perimetro non
cessa assolutamente, bensì diviene un utile elemento di un’architettura attiva della protezione, ma non l’unico elemento. Nell’adottare il modello in-the-cloud, le aziende mantengono la nozione di perimetro. La scelta per le aziende è se estendere il perimetro
all’ambiente in-the-cloud, estendere il modello in-the-cloud all’interno del perimetro oppure
adottare entrambe le soluzioni. In ogni caso, sono necessari livelli ulteriori di protezione,
così come avviene negli ambienti interni di protezione aziendale. Tuttavia, entrambi gli
scenari hanno alcuni svantaggi relativamente alla potenziale carenza di visibilità e controllo
che derivano dall’utilizzo dei servizi forniti in-the-cloud. I CISO (Chief Information Security
Officer, responsabile della sicurezza informativa) devono essere attenti, operare con la
dovuta cura ed essere coscienti dei rischi conseguenti.
1) Il primo scenario, cioè l’estensione del perimetro del cloud, comporta l’impostazione di
un tunnel VPN IPSec verso i server dei provider del cloud pubblico e l’implementazione di
protezione di livello aziendale sui server del cloud pubblico, di solito mediante software di
protezione e dispositivi virtuali.
Il vantaggio di questo approccio è che non è necessario riconfigurare l’Active Directory
e molti altri strumenti di gestione preesistenti dovrebbero poter funzionare anche
in-the-cloud, dal momento che i server in-the-cloud si trovano in effetti all’interno del
“perimetro” aziendale.
Tuttavia, per quanto concerne gli svantaggi, si deve dire che, a seconda dell’efficacia nella
protezione dei server in-the-cloud, si potrebbero introdurre nella propria architettura i rischi
associati al cloud computing (illustrati di seguito). Per favorire la riduzione del rischio,
è importante che il collegamento fra ambiente in-the-cloud e server interni venga controllato
alla ricerca di traffico sospetto, come del resto deve avvenire per tutti i server più importanti,
a prescindere dalla loro collocazione in ambiente in-the-cloud. Un’altra opzione è l’aggiunta
di un’ulteriore DMZ e di un firewall, benché ciò comporti la creazione di un altro perimetro
da proteggere.
Molte aziende dimenticano o ignorano questo passaggio nella fretta di adottare il modello
in-the-cloud, specialmente quelle di dimensioni più piccole che non dispongono del tempo
e delle risorse IT per gestire l’architettura di tali barriere di protezione.
È inoltre essenziale attivare un livello di protezione sufficiente a livello dei server
in-the-cloud in modo da poterli utilizzare con fiducia (firewall bidirezionali IDS/IPS ecc.).
2 | Punto di vista Trend Micro™ | Chi detiene la sicurezza in-the-cloud?
CHI DETIENE LA SICUREZZA IN-THE-CLOUD?
RISCHI
I CIO devono essere coscienti dal fatto che i server in-the-cloud saranno soggetti a minacce
diverse da quelle che sono abituati ad affrontare internamente all’azienda.

Uno dei principali motivi di preoccupazione è che i vendor in-the-cloud ben difficilmente
forniranno all’azienda i registri di accesso, fisico o amministrativo. In che modo l’azienda
potrà sapere se un amministratore IT che lavora per il vendor del cloud pubblico ha
effettuato un accesso ai dati aziendali? La minaccia interna può essere mitigata in una
certa misura mediante la gestione dei registri di accesso, ma questa carenza di visibilità
a livello in-the-cloud dovrebbe comportare un’adozione diffusa dalla crittografia dei dati
come metodo standard.
(A dicembre è emerso un accesso ai dati aziendali di proprietà di aziende clienti della
suite di applicazioni BPOS in hosting di Microsoft; i dati sono poi stati scaricati da altri
utenti del software a causa di un errore di configurazione. Benché il problema sia stato
prontamente risolto, pone in risalto le possibilità di errore e l’importanza di disporre di una
visibilità a livello dei sistemi dei vendor in-the-cloud per garantire che rispettino sia i loro
standard regolamentari sia quelli aziendali).

Gli archivi condivisi presentano un’ulteriore area a rischio per quelle aziende preoccupate
della protezione dei loro dati, qualora vengano archiviati nel medesimo disco in-the-cloud
utilizzato da un’azienda concorrente.

Alcuni vendor del cloud pubblico non affrontano le tematiche della sicurezza con la giusta
attenzione, o non si comportano in modo trasparente circa le loro attività, come invece
dovrebbero fare. Innanzitutto, se si intende collocare dati mission-critical in-the-cloud,
è necessario verificare almeno il rigoroso rispetto delle best practice per la sicurezza,
come le normative ISO 27001 e SAS70 II, ed esaminare con la massima attenzione il
livello dei servizi (SLA) e le politiche di sicurezza del vendor.

In collegamento al punto precedente, molti vendor in-the-cloud, nel caso di violazione dei
dati, prevedono un rimborso del solo costo del servizio fornito, anche quando il problema
è stato causato da una loro negligenza. Una violazione dei dati che può causare un
danno incalcolabile alla reputazione, multe e perdite economiche potenzialmente
nell’ordine di milioni, ad esempio, ricadrà sulle spalle del cliente.
2) Il secondo scenario, cioè l’estensione del cloud nell’azienda, consente di estendere
efficacemente tale ambito all’interno del perimetro e comporta l’installazione in sede di un
nodo cloud da parte di un vendor di cloud pubblico IaaS o MSSP.
Il vantaggio di questa soluzione, che si sta diffondendo sempre di più nelle imprese di
grandi dimensioni, è che si tratta di un modello relativamente ben conosciuto. Akamai, ad
esempio, segue questa strada da più di dieci anni, gestendo un server collocato all’interno
del perimetro di protezione del cliente, mentre MSSP come Integralis forniscono da anni
servizi di gestione remota dei firewall “from the cloud”. Altri esempi sono Trend Micro Smart
3 | Punto di vista Trend Micro™ | Chi detiene la sicurezza in-the-cloud?
CHI DETIENE LA SICUREZZA IN-THE-CLOUD?
Protection Network, che collega i server di protezione all’interno della rete aziendale a una
rete di protezione costituita da migliaia di server in-the-cloud.
Tuttavia, nonostante la relativa semplicità con cui si può avere uno di questi elementi nel
proprio datacenter o in un sede aziendale secondaria, gestito e aggiornato a livello centralizzato da parte del vendor in-the-cloud, i principali svantaggi sono rappresentati dal fatto
che, essenzialmente, si tratta sempre di un servizio in-the-cloud e come tale presenta ai
responsabili IT molti dei rischi tipici della prima soluzione.

Permangono i rischi connessi alla mancanza di visibilità dei registri di accesso fisici e/o
amministrativi.

La responsabilità per eventuali negligenze che provochino la perdita di dati aziendali
mission-critical non andrà oltre il rimborso del costo del servizio.

Il servizio può essere attivato o disattivato, ma quando è attivato, il vendor avrà accesso
ai dati di rete e applicativi, per cui è necessario che sia affidabile. Se il vendor è molto
attento alle tematiche della sicurezza e si comporta i modo trasparente per quanto
concerne il livello del servizio (SLA), non dovrebbero esserci motivi di preoccupazione.
Tuttavia, come si è visto, molti vendor generalisti in-the-cloud non tengono nel debito
conto le tematiche della sicurezza nell’ambito della loro value proposition..
Si tratta di prestare attenzione alla differenza fra un protezione “abbastanza buona” e una
protezione “ottimale”. Un servizio e-mail basato su cloud attivato all’interno del perimetro
aziendale da un fornitore di servizi che preveda la gestione della protezione, ad esempio,
probabilmente sarà più affidabile rispetto allo stesso servizio offerto da un vendor
pubblico in-the-cloud.
IV.
MA ALLORA CHI DETIENE LA SICUREZZA IN-THE-CLOUD E DOVE SI
TROVANO LE LACUNE?
La verità spiacevole è che se si pensa di poter chiedere aiuto al vendor in-the-cloud probabilmente si resterà delusi; anzi, i propri compiti potrebbero essere resi ancora più difficili
dalla carenza di visibilità nell’accesso ai registri o dalla sconcertante nebulosità sui criteri
di protezione.

È necessario proteggere i propri server in-the-cloud così come si proteggono i server
interni. Ciò comprende l’adozione di IDS/IPS, strumenti DLP, firewall bidirezionali
e crittografia.

Possono presentarsi problemi per la protezione della rete in ambiente in-the-cloud, dal
momento che ben pochi vendor di cloud pubblico saranno disposti a consentire di
controllare il traffico di rete con la precisione desiderata. Nella rete aziendale, la configurazione e i registri di tutti i router/switch sono disponibili, perciò è possibile controllare
qualsiasi traffico di rete. Al contrario, in-the-cloud questi dati non sono disponibili. Questo
fattore potrebbe causare l’impossibilità da parte del metodo in-the-cloud di conformarsi
alle regole, dunque è essenziale sapere qual è il livello di controllo e accesso di rete
consentito dal vendor.
4 | Punto di vista Trend Micro™ | Chi detiene la sicurezza in-the-cloud?
CHI DETIENE LA SICUREZZA IN-THE-CLOUD?

La crittografia dei dati a riposo e in transito assume una grande importanza, a causa
della carenza di visibilità del traffico di rete e dei registri di accesso amministrativo del
vendor.

Molti vendor in-the-cloud evidenziano inoltre una preoccupante carenza di controlli
sull’accesso basati sui ruoli a livello amministrativo. Ad esempio, con Amazon EC2 un
account è proprietario del servizio, per cui un membro dell’organizzazione con accesso
all’account può effettivamente disporre di un potere assoluto, con la possibilità di
aggiungere ed eliminare servizi a piacimento.

Negli ambienti in-the-cloud privati, la gestione della sicurezza da parte del settore IT
viene messa in discussione dalla velocità con cui vengono creati i server. L’equilibrio
naturale fra la capacità del settore IT di implementare i server e le esigenze aziendali di
utilizzarli vacilla a causa dell’accelerazione del processo stesso. Ciò che interessa alle
aziende, oggi, è di sapere se riusciranno a coprire i costi di una licenza, inoltre in un
ambiente in-the-cloud privato un dipartimento aziendale può disporre di un server
funzionante in 1/2 giorni, non più in 6 settimane.
Tuttavia, ogni richiesta per un nuovo server dev’essere gestita in modo appropriato, poiché
i rischi per la sicurezza aumentano all’aumentare del numero di unità da gestire. È importante
che i responsabili IT mettano a punto un processo centralizzato di autorizzazione che assicuri
che ogni richiesta aziendale passi innanzitutto tramite il settore IT.
V.
APPROFONDIMENTI
Aziende
Si devono crittografare i dati a riposo e in movimento e fare attenzione ad archiviare le
chiavi di crittografia in una posizione separata dai dati, ossia in un punto in cui non siano
facilmente accessibili al vendor in-the-cloud.
Vanno utilizzati tutti gli strumenti di protezione che si adottano per i server fisici anche per
i server in-the-cloud, dal momento che i vendor in-the-cloud vi forniranno un OS privo di
funzioni adeguate per la protezione dei dati.
Vendor in-the-cloud
In qualità di vendor in-the-cloud, occorre adottare una maggiore trasparenza nei criteri
e nelle procedure di protezione, nell’ambito dei controlli dell’accesso e del traffico di rete.
I clienti hanno la necessità di sapere chi fa che cosa, e devono poter accedere ai registri.
Occorre chiarire al meglio il livello del servizio (SLA), in modo che i clienti possano sapere
quali sono le funzioni di protezione offerte e di cosa hanno bisogno per assicurare la protezione dei loro dati secondo i loro e i propri standard di regolamentazione.
5 | Punto di vista Trend Micro™ | Chi detiene la sicurezza in-the-cloud?
CHI DETIENE LA SICUREZZA IN-THE-CLOUD?
Ambienti in-the-cloud privati
È necessario creare un processo centralizzato di autorizzazione per tutti i nuovi server inthe-cloud richiesti dall’azienda, qualora non ne esista già uno. Per ogni richiesta, si dovrà
sapere quali sono le esigenze alla base della richiesta, che cosa andrà in esecuzione sul
server e la quantità di traffico previsto; inoltre si dovranno effettuare controlli periodici su
questi elementi.
Bisogna essere pronti al fatto che il settore IT verrà spinto ad accelerare la propria velocità
operativa. Per il bene dell’azienda, occorre essere pronti a supportare tali esigenze in modo
puntuale, senza compromettere la sicurezza.
6 | Punto di vista Trend Micro™ | Chi detiene la sicurezza in-the-cloud?