Questa storia appartiene alla categoria Innovazione e al dossier CloudServizi infrastrutturali

Quanta sicurezza nel cloud?

Tutti ne parlano. Ma quanto è veramente sicuro il cloud computing?

Testo: Rüdiger Rissmann, pubblicato il 17.07.2014

A SWITCH abbiamo lanciato il nostro pilota di cloud computing nel 2012. Oggi, con il progetto SCALE, siamo già nella fase di realizzazione del livello operativo dell’infrastruttura cloud e offriamo i primi servizi alla comunità di utenti, come SWITCHdrive. La sicurzza nel ambito del cloud computing è solo uno dei numerosi aspetti da affrontare quando si vuole realizzare un’architettura cloud.

Sulla scia delle esperienze che ho maturato nel campo della sicurezza in ambito cloud computing, la questione che mi sembra più interessante approfondire è chiedersi quanto sicuro può essere una cloud e che cosa la gente intende per sicurezza. La risposta può essere suddivisa in due parti, gli aspetti tecnici e quelli non tecnici.

Aspetti tecnici

In campo tecnico dobbiamo paragonare il sistema del cloud a quello su base hardware. La seguente tabella mostra che la superficie esposta agli attacchi aumenta con ogni livello aggiunto. Le applicazioni su base bare metal presentano una superficie di attacco inferiore a quella delle applicazioni virtualizzate e cloud. Ogni livello porta con sé i suoi problemi e rischi. Più livelli aggiungiamo, meno sicuri siamo. Ma le cose non sono così semplici, perché al contempo, ognuno di questi livelli può contribuire alla sicurezza dell’ambiente cloud:

 Area / grado di virtualizzazione  Base bare metal  Virtualizzazione Cloud
 Front end del cloud     X
 Infrastruttura cloud     X
 Livello di virtualizzazione   X X
Hypervisor OS   X X
Hypervisor Management   X X
 Applicazione X X X
Middleware X X X
 Sistema operativo X X X
Hardware X X X
 Area di esposizione agli attacchi. Le crocette indicano possibili vulnerabilità

 

Come menzionato prima, il cloud computing offre nuove opzioni nel campo della sicurezza. Il proprietario delle risorse cloud è sempre individuabile. Nel livello di virtualizzazione, si può per esempio rintracciare il conto utente di ogni macchina virtuale. Il cloud possiede inoltre un repertorio integrato di tutte le macchine virtuali che ospita. Queste macchine virtuali possono essere protette mediante firewall virtuali e altri dispositivi di sicurezza ad hoc per il cloud.

Sono poi disponibili soluzioni speciali per i settori regolamentati come quello farmaceutico e bancario in cui i requisiti di sicurezza sono estremamente severi.

Aspetti non tecnici

In campo non tecnico, il sistema del cloud presenta sempre nuove sfide di crescente complessità (per esempio a livello legale, organizzativo e dei processi). Si dice anche però che i requisiti di sicurezza per l’infrastruttura IT rimangono invariati indipendentemente dall’attuazione tecnica. Non importa che i servizi siano forniti dal reparto IT interno all’azienda o da fornitori esterni, i quali di solito operano nell’ambito di contratti standardizzati (Service Level Agreements, SLAs). Nel secondo caso, dobbiamo assicurarci però che il contratto stipulato con il fornitore esterno copra tutti i nostri requisiti di sicurezza. Come ci hanno indicato numerosi membri della nostra comunità, la sicurezza non si limita più ai filtri firewall, snapshot, redundancy ecc. Oggi sono possibili molteplici forme di attacco volte a compromettere la protezione dei dati che non riguardano le forme elementari di sicurezza tecnica. Diventa sempre più determinante conoscere le normative applicabili ai provider e i servizi da loro offerti, che dipendono dal paese in cui opera il provider.

Accanto al suo know-how tecnico, è proprio qui che SWITCH offre un grande valore aggiunto e tutta la sua esperienza nel campo dei servizi cloud. Il modello di governance di SWITCH permette ai suoi stakeholder di contribuire a plasmare la gamma di soluzioni cloud. In questo senso, SWITCH mira a diventare un’estensione dell’infrastruttura di un’istituzione. È un ruolo ben diverso rispetto a un provider esterno, perché consente alla comunità SWITCH di partecipare alla governance del cloud SWITCH e al suo funzionamento.

Cloud per la comunità accademica svizzera

A SWITCH stiamo realizzando un’infrastruttura cloud destinata alla comunità accademica svizzera. Nella fase iniziale il nostro gruppo utenti target sarà quello dei progetti di ricerca e dei ricercatori. In funzione del feedback che riceveremo dalla comunità e dalle esperienze maturate con l’infrastruttura cloud, potremo adeguare i servizi alle future esigenze di sicurezza della nostra comunità. Ci focalizzeremo comunque su una visione integrata della sicurezza che abbracci sia gli aspetti tecnici che quelli – ancora più importanti – non tecnici legati alla gestione di un cloud, inclusi i requisiti speciali a livello legale e di governance che si applicano agli istituti universitari svizzeri.

Contatto: ruediger.rissmann@switch.ch
Sull’autore
Rüdiger   Rissmann

Rüdiger Rissmann

Dopo aver conseguito la laurea di fisica all’Università di Heidelberg nel 1999, Rüdiger Rissmann ha lavorato come architetto IT ed esperto di sicurezza per l’unità di ricerca di IBM per poi passare a SWITCH nel 2013. Attualmente si occupa del progetto SCALE per realizzare l’infrastruttura cloud di SWITCH.

E-mail

Link di approfondimento

Il progetto SCALE:

https://www.switch.ch/uni/projects/cloud/

https://www.switch.ch/drive/

Aspetti legali del cloud:

http://stories.switch.ch/de/stories/cloud_legal/

Principali fonti esterne sulla sicurezza del cloud:

Cloud Security Alliance (CSA): https://cloudsecurityalliance.org/

Agenzia europea per la sicurezza delle reti e dell'informazione (European Network and Information Security Agency - ENISA): Report

Zdnet.com: Hypervisors: The cloud's potential security Achilles heel

The Guardian: Yahoo, Google and Apple also claim right to read user emails

Altri contributi