I Quaderni del Cloud : dubbi e perplessità sulla sicurezza? Parliamone…

  • Article

Analizzando varie survey internazionali e nazionali si nota subito che il problema della sicurezza è di fatto al primo posto come fattore critico bloccante all’adozione del cloud computing!
Esistono diverse analisi a seconda delle figure professionali a cui sono state rivolte (CIO, architetti, developers, sistemisti...) ma la sostanza non cambia...la sicurezza fa (ancora) molta paura!

Ma di che sicurezza stiamo parlando? stiamo parlando di Cloud Security o di Sicurezza nel Cloud? Sembra la stessa cosa, ma in realtà gli scenari sono diversi. Con Cloud Security si intende la sicurezza fornita dalle piattaforme per il cloud mentre con Sicurezza nel Cloud si copre uno spettro molto più vasto che comprende anche le singole applicazioni che vengono sviluppate ed eseguite sul cloud! non è finita qui! Di che (in)sicurezza stiamo parlando? (in)Sicurezza dei dati? (in)Sicurezza delle identità, (in)sicurezza delle applicazioni?

Un po’ tutto a dire il vero ... cercando di scavare in profondità quali siano le reali motivazioni di questa reazione credo di aver evidenziato i 2 motivi principali per cui oggi la sicurezza nel cloud fa ancora così tanta paura nella testa dei CIO/CTO e degli architetti :

  1. Cloud Computing == migrazione completa di tutto l’IT verso l’esterno! (dati compresi).Ad essere sincero non conosco le ragioni per cui di primo acchito si è tentati a pensare ad un big swith...(sarà anche colpa di chi lo spiega probabilmente??? JJ)
  2. Cloud Computing == nessuno controllo sui miei dati!
    Howard Phillips Lovecraft diceva :

“La più antica e potente emozione umana è la paura,
e la paura più antica e potente è la paura dell'ignoto .

Infatti, oggi c’è ancora molta confusione su cosa sia esattamente il cloud e questo genera sfiducia, paura di qualche cosa che non si conosce e quindi non si sa come controllare.

Ora, vedendo esplicitati questi due punti, se fossero veri, aver timore del cloud non solo è da saggi ma sarebbe da pazzi anche solo cercare di sostenere il contrario!
Fortunatamente però queste due assunzioni sono errate e cercherò di dimostrarlo. Innanzitutto quando si tratta di scenari così vasti e complessi nulla è biano o nero ma al contrario ci possono essere varie tonalità di grigio (con una accezione positiva del termine).

La prima assunzione è errata perchè nessuno sano di mente oggi proporrebbe di spostare tutto sul cloud... Il cloud comupting è uno stile, un modello di utilizzo dell’ IT e come tale deve essere utilizzato. Potremo spostare parte delle nostre risorse a fronte di un business plan adeguato e un controllo preciso delle singole policy di sicurezza, privacy e delle leggi locali e comunitarie. Quindi né bianco né nero, ma una serie di opzioni da considerare a fronte di precise scelte economiche e di business che ogni azienda deve fare internamente. Un processo che ha al suo centro anche un risk assessment adeguato! Esistono ovviamente delle best-practices e dei riferimenti economici che possono aiutare nelle scelte...ma in generale è un esercizio che deve partire dalle assunzioni di sicurezza che oggi sono presenti per le architetture on-premises e adeguatamente riviste in ottica cloud...un percorso di estensioni delle proprie policy di sicurezza (e di privacy)e una analitica valutazione dei rischi... ma di questo ne parlerò adeguatamente in un altro post.

La seconda assunzione che vede la paura di perdere il controllo è errata perchè le componenti del nostro IT che decidiamo di spostare nel cloud non vengono “date sulla parola” ma bensì tramite un formal agreement, ovvero un contratto tra aziende che nel caso diventeranno dei business partner!! A mio avviso si riduce tutto a questo semplice concetto : business partner! O meglio, quanta fiducia abbiamo in altre aziende/vendor fornitrice di servizi quando diventano dei business partner? Se non sappiamo rispondere a questa domanda, allora non saremo in grado di rispondere alle nuove opportunità del futuro.

E’ quindi tutta e sola paranoia? Ovviamente no!! Una volta capito cosa è il cloud e quali sono i vantaggi in termini di business, l’aspetto della sicurezza deve essere preso molto seriamente cercando un approccio chiaro e trasparente con i propri fornitori della piattaforma cloud!
D’altro canto è compito dei vendor far si che i clienti si possano fidare di loro J.. Ogni fornitore di piattaforme di Cloud dal canto suo ha una risposta diversa a seconda della propria sensibilità nell’affrontare il tema sicurezza per i propri clienti.

A questo proposito cerco di schematizzare l’approccio di Microsoft alla sicurezza per la propria piattaforma Cloud:

  • Certificazione da BSI (British Standards Institute) come compliant a ISO/IEC 27001:2005 del processo di sicurezza “Information Security program”. Questo è di fatto il programma di security certification più maturo e completo oggi disponibile! Questa certificazione comprende gli aspetti:
    • Amministrativi
    • Tecnici
    • Fisici 
  • Cultura del Trustworthy Computing esportata nel Cloud! 
  • Piano di sicurezza : Defence-in-Depth. Tutto l’ambiente Cloud (MS Cloud Computing Environment) è basato su vari livelli di security check:
    • Sicurezza fisica
    • Network Security
    • Data Security
    • Identity & Access Management
    • Application Security
    • Auditing e Reporting

Infine tutto il codice della piattaforma cloud è soggetto all’ormai famoso processo SDL (Security Development LifeCycle).

image

Maggiori informazioni sull’intero processo leggete questo whitepaper :

Concludendo, il mio consiglio è quello andare oltre alle paure iniziali che possono nascere quando si parla di sicurezza in ambito cloud computing ed adottare un approccio analitico che veda integrato il processo sopra descritto in un’ottica di risk assessment e business plan aziendali.

 

--Mario