sicurezza-nel-cloud

Cloud computing e sicurezza dati

Indice dei contenuti

L’utilizzo di sistemi di archiviazione dei dati in cloud richiede una profonda riflessione sulla sicurezza nel cloud computing e su come si possano proteggere dati, software e applicazioni di aziende e privati.

Quando un’azienda o un libero professionista effettua delle operazioni in cloud, soprattutto l’archiviazione e il monitoraggio dei dati, è indispensabile che sappia come e quanto proteggere tali dati. 

Di sicurezza nel cloud computing si parla soprattutto da qualche anno, ovvero da quando usare sistemi, piattaforme e database in cloud è diventato la norma per moltissime aziende. Quando si gestiscono grosse quantità di dati, la preoccupazione è sempre quella di tenerli al sicuro, e d’altra parte le normative vigenti in fatto di privacy ci ricordano che la sicurezza dei dati in cloud non è un affare da poco. 

Cos’è la sicurezza nel cloud?

Se è vero che la cyber sicurezza delle infrastrutture cloud sia in mano ai provider di servizi, è bene che elementi di cloud security siano conosciuti anche dai clienti. Il pericolo principale si configura in questo momento nei settori IT delle aziende, che spesso hanno completamente virtualizzato le proprie attività trasferendole su SaaS (Software as a Service) o IaaS (Infrastructure as a Service).  

Il risultato è che spesso l’intero reparto IT di un’azienda opera completamente sulla nuvola, con i conseguenti pericoli di intersezione tra cloud e sicurezza sul lavoro. La protezione dei dati dei dipendenti è quindi la priorità per brand e aziende che lavorano in questo modo. Rivolgersi a un provider che faccia della sicurezza in cloud un fiore all’occhiello è quindi indispensabile. 

Ancora più complessa è la situazione di chi lavora in ambienti Paas (Platform as a Service). È questo il caso delle aziende completamente serverless, i cui ambienti virtuali sono completamente ospitati sul cloud di provider terzi. In questa situazione non solo i dati dei dipendenti, ma l’intero lavoro di mesi e di anni rischia di perdersi o di subire attacchi dall’esterno. 

La sicurezza in cloud computing condivisi

Quando si parla di sistemi in cloud condivisi, la faccenda si fa più complessa. Quello che viene stipulato con il provider è un contratto molto simile a quello di locazione di un immobile. 

L’”affittuario” sottoscrive un contratto con il provider del cloud, nel quale vengono definite le rispettive responsabilità. Il proprietario si impegna a mantenere lo spazio sicuro ed efficiente, conserva le chiavi (ovvero l’accesso) e in generale non accede alla proprietà affidata al cliente (in questo modo vengono rispettate ulteriormente le norme di privacy). In cambio, il cliente si impegna a non agire con modalità che potrebbero danneggiare l’integrità dello spazio virtuale, e questo vale anche per azioni che darebbero fastidio o metterebbero in pericolo i “vicini”, ovvero le persone e le aziende con cui si condivide lo spazio in cloud. 

Poiché tuttavia non si possono scegliere i propri vicini, può accadere che qualcuno di loro non rispetti le regole concordate e che quindi, in qualche modo, venga introdotto un elemento dannoso per tutti. 

Cloud computing, sicurezza e privacy

Il pericolo per le aziende è quindi doppio, anzi triplo: 

  • che i dati dell’azienda stessa e dei dipendenti finiscano in mano a terzi; 
  • che lo stesso accada ai dati dei clienti, se vengono raccolti e conservati; 
  • che il lavoro del reparto IT e non solo possa essere rubato da concorrenti o vada perduto. 

Per tutte queste ragioni è impossibile parlare di cloud computing senza che sicurezza e privacy siano prioritarie. Quando ci si rivolge a un provider, è importante assicurarsi che abbia messo in atto delle operazioni di sicurezza del cloud prima di affidare i dati di aziende, dipendenti, clienti e fornitori. 

Come si controlla la sicurezza nel cloud computing? Ogni azienda provider ha delle azioni che mette in pratica per proteggere tutto ciò che è contenuto sul cloud. Ci sono molti pericoli che vanno tenuti in considerazione in base alle dimensioni del cloud, alla tipologia e alla sensibilità dei dati conservati. E altrettanti sono i modi per tenerli a bada in un ambiente di cloud computing. Eccone alcuni: 

  • Controlli deterrenti. Sono il livello base della sicurezza nel cloud e corrispondono agli allarmi che si accendono quando un intruso prova ad entrare in una proprietà privata. Servono di fatto a “spaventare” il potenziale hacker che sarà dissuaso dal continuare la sua attività di intrusione. 
  • Controlli preventivi. Servono a ridurre o eliminare del tutto le vulnerabilità di un sistema di cloud computing. Anche il semplice utilizzo di chiavi RSA lunghe e complicate ne è un esempio: permette di tenere sotto controllo le persone che hanno accesso al sistema in cloud e quindi di proteggere la sicurezza. 
  • Controlli investigativi. Rilevano l’intrusione o l’attacco al sistema di cloud computing da parte di chi non ne dovrebbe avere accesso. Monitorare in maniera costante il sistema permette di trovare subito faglie e ospiti indesiderati, e quindi di agire tempestivamente. 
  • Controlli correttivi. Sono l’ultimo step delle fasi di sicurezza in cloud e si mettono in atto solo dopo il verificarsi di un incidente (quindi si spera il più raramente possibile). Permettono di comprendere la vulnerabilità che ha permesso l’attacco e rimediare affinché la stessa situazione non si ripeta. 

Quali sono le possibili minacce alla sicurezza del cloud storage?

Ma quando vanno attivati tali controlli? Quando la sicurezza nel cloud computing è stata compromessa. Questo può avvenire per una serie di motivi che vanno dal semplice malware all’attacco hacker, dalla distruzione fisica dei server a problemi di connettività. 

Per riconoscere una breccia nella sicurezza del cloud non ci sono delle soluzioni definitive, ma il rischio di una fuoriuscita di dati è troppo grosso per lasciarlo al caso. Ecco allora che le aziende, sia dei provider che di chi se ne serve, possono mettere in atto alcune strategie per evitare l’intrusione da parte di ospiti indesiderati sul proprio ambiente di lavoro virtuale.
Tra queste, importantissimo è rivolgersi a produttori e fornitori affidabili. App, software, siti web e soprattutto i server vanno protetti al meglio da minacce costanti e aggressive o imprevedibili ma altrettanto pericolose. Rispettare il regolamento generale sulla protezione dei dati (GDPR) ora in vigore in Europa sia per i propri dipendenti che per i propri clienti è un altro passo fondamentale verso la sicurezza nel cloud computing. Infine, l’elemento umano. Affidare le parti più delicate del lavoro, quelle che hanno a che fare con dati sensibili o finanziari e con la sicurezza del cloud storage solo a chi ha meritato la tua fiducia in ambito lavorativo sembra una cosa banale, ma può davvero salvare la tua azienda.

Altri modi in cui un’azienda può migliorare la sicurezza dei dati in cloud

Ogni azienda ha un proprio modo per identificare i dipendenti e suddividere le informazioni a cui hanno accesso. Per esempio, è possibile creare ambienti privati per i dati più sensibili, ai quali potranno accedere solo alcuni dei lavoratori. In questo caso è bene assicurarsi che il sistema di rilevazione dell’identità (magari a due fattori) sia affidabile e che password e codici vengano modificati in maniera costante. 

Un altro modo per impedire l’accesso di intrusi a dati in cloud è la protezione fisica dei server. Se questi si trovano all’interno dell’azienda, è bene investire nei servizi di sicurezza e, nel caso di dati molto sensibili, anche in una o più guardie. Lo stesso fanno i data center provider per assicurare ai propri clienti la sicurezza del cloud e dei propri asset che si trovano all’esterno dell’azienda cliente. 
Un’altra tematica particolarmente importante per le aziende è la gestione della privacy di dipendenti e clienti, che deve essere conforme alle normative vigenti. Nessun dato sensibile può essere raccolto senza l’adesione alle norme della GDPR, che prevedono il consenso del diretto interessato.

Soluzioni sofisticate per la sicurezza del cloud

Le aziende che producono software appositamente per il cloud e la sicurezza dei dati lavorano a sistemi sempre più sofisticati, che permettano una assoluta privacy e un controllo completo sul cloud storage. Alcuni di questi sono già in uso presso la maggior parte dei provider di cloud computing. 

Le soluzioni CASB forniscono controllo sull’utilizzo del cloud in contesti SaaS e sul data storage, proteggendo da minacce interne e account compromessi, attuando le policy di Data Loss Prevention (DLP), controllando gli accessi degli utenti finali e cifrando i dati in cloud. CSPM è invece l’acronimo delle soluzioni che proteggono prevalentemente i contesti IaaS. Queste consentono di gestire in maniera centralizzata le configurazioni di sicurezza dei servizi cloud, verificandone anche la compliance con standard e requisiti normativi e proteggendo da alcune tipologie di attacco. Infine, le soluzioni CWPP assicurano sicurezza nel cloud in base ai workload (quindi si possono usare anche per contesti PaaS).

Il tema della cyber sicurezza e della protezione dei dati è importante tanto per i provider che per le aziende che acquistano i servizi di cloud computing e storage. Ricorda infatti che, oltre a perdere preziose informazioni sui tuoi clienti e potenzialmente anche mesi di lavoro, rischi anche delle conseguenze penali se non rispetti pienamente le norme sulla sicurezza dei dati in cloud

Soluzioni di sicurezza nel cloud Seeweb

La sicurezza nel cloud si basa su un approccio multi-level che consente di agire:

  • sul piano infrastrutturale
  • sul piano applicativo.

In un panorama di costante evoluzione e diversificazione della tipologia di attacchi malware e violazioni, diventa sempre più importante aumentare le difese.
Un aumento di difese che va di pari passo con una maggiore consapevolezza delle conseguenze che in un’azienda può causare un attacco all’integrità dei propri dati.
Ma se il tema è estremamente vasto, in questo post ci concentriamo su alcune misure preventive e di protezione che come Seeweb possiamo offrire sul cloud.
Misure che riescono a dare al cliente un livello di tranquillità in più al contempo non caricandolo di oneri o non gravando sulle prestazioni dei suoi servizi web.

Anti-DoS gratuito

Un’infrastruttura sicura e pienamente tutelata non è soltanto un’esigenza del cliente, ma è soprattutto un dovere del provider che la fornisce. Come Seeweb siamo consci del ruolo che un tale assunto riveste per la qualità dell’esperienza del professionista IT che ne fruisce; è per questo che per ogni singola infrastruttura da noi progettata ed erogata forniamo al contempo una protezione contro gli attacchi DoS gratuita e inclusa nell’offerta.

Predisporre le basi su cui costruire un piano di sicurezza efficiente è fondamentale e, in tal senso, un servizio anti-DoS garantito apporta sicuramente notevoli vantaggi per la mitigazione di:

  • attacchi volumetrici, attraverso i quali si genera tantissimo traffico tanto che server e reti non saranno più in grado di gestire il minimo tentativo di connessione ulteriore da fuori;
  • attacchi applicativi, ossia quelli mirati al programma utilizzato dal cliente ma che comunque generano conseguenze sull’intero sistema.
  •  

Il servizio anti-DoS gratuito può e deve essere integrato con altre forme di protezione ad hoc che in Seeweb customizziamo allo scopo di soddisfare anche le esigenze più specifiche e per restituire la serenità di soluzioni di data protection affidabili e adatte a tutti i contesti IT.

Web Accelerator

Il Web Accelerator fa caching delle pagine e permette di dare una risposta efficace a siti che fanno un traffico significativo.
Interessante anche per la sua funzione di difesa semplice e rapida da attacchi DDoS.

Il servizio permette di definire uno standard relativo alle richieste URI che l’applicativo è in grado di gestire.

Questo consente di ridurre tentativi di attacco all’applicativo stesso in caso di tentativi di connessione da URI non conformi allo standard definito.

Anche in questo caso, per il suo funzionamento è necessario modificare il DNS facendo in modo che il dominio punti all’IP dell’appliance invece che a quello del server di origine.

Web Application Firewall

Si tratta di un firewall in grado di intercettare minacce note e non. In caso di problemi di sicurezza dovuti a vulnerabilità, agisce – e lo fa in modo centralizzato – come una virtual patch: in questo modo, a seguito di una vulnerabilità, prima di organizzare aggiornamenti che potrebbero avere problemi di incompatibilità, applica una prima soluzione in modo immediato e centralizzato. WAF è inoltre in grado di agire anche su più progetti web consentendo di non interrompere la continuità dei servizi e preservare la brand reputation dell’azienda.

Server antivirus

Il servizio antivirus e antimalware Seeweb consente protezione dei server basati su Windows verso attacchi malware anche di tipo “sconosciuto”.

Attraverso scansioni anche personalizzabili, la soluzione – basata su Vir.IT e completamente sviluppata in Italia – permette la protezione efficace e completamente managed da virus, spyware e cyber minacce: è quindi estremamente efficace per la capacità che ha di identificare minacce nuove, in un contesto in cui cresce sempre di più la varietà di violazioni possibili.

Cloud Appliance VPN

Si tratta di una security appliance amministrabile remotamente via browser.
Questo servizio è in grado di gestire VPN (Virtual Private Network) multiple al fine di realizzare una rete sicura nel cloud, tra sistemi remoti.
Cloud Appliance VPN può unire la funzione di load balancer a quella di un firewall dalle funzionalità avanzate e consente di installare varie tipologie di filtri e plugin.

Website Security Plus

Website Security Plus è un antimalware scan che identifica segnali di attività malevole sul tuo sito e di conseguenza riesce anche a prevenire penalizzazioni nel posizionamento su Google.
La scansione effettuata quotidianamente e senza impatto sulle prestazioni da Website Security Plus identifica la presenza di malware o javascript. Inoltre:

  • previene che i visitatori del tuo sito vengano dirottati su siti di phishing;
  • agisce anche sulla sicurezza email impedendo che, a causa di un problema di sicurezza, le email inviate dal tuo server vengano rifiutate o identificate come spam oltre che dai servizi di posta elettronica, anche da utenti che utilizzano sistemi di antispam.
  •  

Mentre tutti gli altri servizi sopra citati sono integrabili solo a partire da soluzioni dedicate, come Cloud Server, Cloud Server Shared CPU e Foundation Server, Website Security Plus si attiva su qualsiasi tipo di hosting e addirittura anche su servizi gestiti al di fuori del nostro datacenter.

Supporto tecnico nella sicurezza nel cloud

La sicurezza sul piano infrastrutturale in un data center non si deve solo ad aspetti tecnici e di servizio.
Una componente importante è rappresentata dalle professionalità interne: un team tecnico in grado di reagire in modo immediato alle minacce informatiche è davvero cruciale per velocizzare i tempi di reazione a qualsiasi problema di sicurezza.
Come ti possiamo supportare:

  • con una squadra specializzata nella sicurezza delle reti, dei sistemi e delle applicazioni
  • con un test chiamato QSA (Quick Security Assessment), tale da permetterti di scegliere la modalità di test: se in white, gray o black
  • testando sia il sito che l’applicazione e soprattutto l’infrastruttura per verificare la presenza di vulnerabilità che, sfruttabili per via remota, potrebbero generare problemi di intrusione e conseguentemente di reputazione
  • indicando best practice e misure utili alla prevenzione
  • velocizzando i tempi generali di incident response
  •  

Se quindi la security sul cloud è un obiettivo e un modus operandi, lo è a livello globale, coinvolgendo tanti livelli e tante figure diverse.

In un percorso di miglioramento degli standard di sicurezza, il contributo di Seeweb è una parte importante, che unisce alla sicurezza logico-fisica delle sue server farm, una serie di servizi da integrare all’infrastruttura di web hosting, unitamente a un supporto che agisce sia a livello di assessment (prevenzione) che di mitigazione del rischio e bonifica del sito (reazione).

Desideri un sicurezza su misura per proteggere il tuo business? Contattaci e i nostri esperti ti consiglieranno al meglio.

CONDIVIDI SUI SOCIAL

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

9 + 1 =