Il cloud computing presenta numerosi vantaggi rispetto alle metodologie più tradizionali di distribuzione del software: economie di scala; interfacce standardizzate per la gestione dei servizi di sicurezza; scalabilità delle risorse e così via. Tuttavia perché conquisti definitivamente il mercato è necessario rimuovere alcuni ostacoli soprattutto nella percezione che di questa modalità hanno oggi i potenziali clienti
Il concetto di cloud computing è strettamente connesso a quello di sicurezza It. Da tempo la criminalità organizzata ne ha intuito le potenzialità realizzando reti estese di computer infetti, le famigerate botnet, per scopi criminali. Solo in seguito i vantaggi del cloud hanno trovato applicazione anche per fini legittimi; più di recente l’accesso a questi servizi ha incontrato il gradimento sempre più ampio di aziende e istituzioni. Il cloud computing è un modello di distribuzione di risorse computazionali. Non è l’unico e non è neppure nuovo; soprattutto non è una nuova tecnologia. L’idea sottostante a tale modello presenta numerosi vantaggi rispetto alle metodologie più tradizionali di distribuzione del software: economie di scala; interfacce standardizzate per la gestione dei servizi di sicurezza; scalabilità delle risorse e altro. Tuttavia perché conquisti definitivamente il mercato è necessario rimuovere alcuni ostacoli non tanto dal punto di vista tecnologico quanto nella percezione che del cloud computing hanno oggi i potenziali clienti.
IL PERICOLO DI PERDITA DELLA GOVERNANCE
L’utilizzatore di un’infrastruttura cloud cede giocoforza al fornitore di questo servizio un certo numero di competenze che potrebbero indebolirne la sicurezza interna. Per esempio potrebbero sorgere dei conflitti tra le procedure interne di hardening dei sistemi e l’ambiente cloud; le Sla pattuite potrebbero non prevedere l’impegno da parte del fornitore di servizi cloud di fornire tale genere di servizi e questo lascerebbe aperta una falla nelle misure di sicurezza previste. Ancora, il fornitore di servizi cloud potrebbe cedere a terzi la gestione della clientela acquisita che a sua volta potrebbe non offrire le stesse garanzie previste dal fornitore originario; oppure il pacchetto azionario di controllo del provider potrebbe passare di mano e di conseguenza cambiare anche i termini e le condizioni del servizio. La perdita di governance può avere un impatto potenzialmente elevato sulla strategia di sicurezza dell’azienda e di conseguenza sulla sua capacità di portare avanti la mission e gli obiettivi, condurre all’impossibilità di far fronte alle richieste di sicurezza, minando confidenzialità, integrità e disponibilità del dato, e deteriorando le prestazioni (performance) e la qualità del servizio, per non parlare dei problemi che potrebbero aprirsi in campo legale e normativo. Sull’altro versante gli elementi più importanti per qualificare l’affidabilità del vendor sono la trasparenza in materia di policy, la disponibilità a essere valutati con audit da società esterne, l’individuazione delle persone fisiche che hanno la responsabilità del trattamento dati del cliente, la definizione e la condivisione dei piani di recovery e la corretta localizzazione delle informazioni nei data center e nelle strutture di backup coinvolte.
DISPERSIONE DEI DATI: I CRITERI ADOTTATI DAI VENDOR
La dispersione dei dati tipica del ricorso al cloud solleva questioni di sicurezza molto delicate. L’individuazione delle sedi e delle normative di riferimento dei Paesi in cui si trovano i dati – il cui corollario è la definizione delle responsabilità delle parti – e la puntuale individuazione del personale autorizzato ad accedere alle informazioni sono aspetti molto importanti per le aziende. Più in dettaglio il provider deve rispondere in tema di accesso privilegiato degli utenti (chi detiene la titolarità di accesso ai dati); conformità alle normative (accettazione esplicita delle verifiche); ubicazione dei dati (possibilità del cliente di controllare la localizzazione del dato) e loro separazione logica (invisibilità e inaccessibilità da parte di terzi); ripristino del servizio e della base dati (tempistiche relative al ripristino in seguito a incidente); sostenibilità economica (uscita forzata del provider dal mercato). «Per un’azienda che vuole imporsi sul mercato come vendor credibile di servizi cloud è fondamentale stabilire con i possibili clienti un “trust” condiviso, vale a dire una solida base di partenza a partire dalla quale stabilire modalità e obiettivi della futura collaborazione», nota Carlo Musazzi, responsabile business practice managed service & IaaS di Fujitsu (http://it.fujitsu.com/). Se la localizzazione fisica del dato in ambito outsourcing non presenta particolari problemi in ambito cloud dove tutto diventa “virtuale” le cose sono più complicate. In questo contesto la sicurezza rappresenta il fattore che fa la differenza tra un provider e l’altro in termini di reputazione. «Uno dei maggiori ostacoli è dato dal fatto che molte delle leggi e degli standard che governano le infrastrutture It non sono state disegnate pensando ai problemi legati alla virtualizzazione», ci dice Maurizio Tondi, responsabile marketing & business development Italy di Italtel (www.italtel.com). Anche se il concetto di cloud prevede che venga definito il “cosa”, ma non il “come” il servizio viene erogato, nota Simone Riccetti, security services expert di IBM Italia (www.ibm.com/services/it/security) «occorre dare trasparenza al cliente finale circa localizzazione, trasferimento e memorizzazione del dato, garantendo il rispetto dei vincoli normativi». Poiché non disponiamo di una normativa internazionale che regoli il trasferimento dei dati all’interno del cyberspazio, e in attesa di un “garante globale” della privacy, il consiglio di Marco Cusinato, executive partner di Reply (www.reply.eu) è di «proteggere i dati localizzandoli il più possibile all’interno dell’Unione europea, utilizzando e pretendendo dai provider, tecnologie privacy enhanced». Secondo Roberto Salucci, solutions consultant di Hitachi Data Systems Italia (www.hds.com) per evitare problematiche derivanti da normative e legislazioni non uniformi, è consigliabile non disperdere i dati: «L’ideale sarebbe poter archiviare tutte le informazioni in un unico sito e crearne una copia di sicurezza. Ove questo non fosse possibile, l’encription può garantire un ottimo livello di security». Per quanto riguarda il trasferimento di dati sensibili ricordiamo come già oggi esso sia possibile all’interno dell’Unione europea e verso Paesi che garantiscono, attraverso un impianto legislativo adeguato, una corretta gestione della privacy; tuttavia, come nota Elio Molteni, CA security solution strategist (www.ca.com/it), «alcune di queste norme sono spesso in contrasto fra di loro e ciò che vale per l’Italia non necessariamente è accettato in altre nazioni»; poiché le legislazioni tra i vari Paesi differiscono profondamente «è difficile rispondere in modo univoco – mette in guardia Dario Regazzoni, system engineer manager, VMware Italia (www.vmware.com/it) –; il vero criterio resta quindi il “buon senso”; occorre cioè far sì che sia il proprietario sia chi ha acquisito i dati abbiano effettivamente accesso al loro controllo e che, anche quando è reso liberamente accessibile in virtù di una scelta esplicita, il dato non sia contrario alla normativa». Circa l’identificazione del personale autorizzato ad accedere ai dati Lorenzo Gonzales, business consultant HP Technology Services, HP Italia (www.hp.com/italy), ribadisce che tutte le risorse dei sistemi It devono essere assegnate a un owner, cioè alla persona responsabile degli asset controllati da un sistema, «l’unico che può autorizzare l’accesso a risorse protette e che è responsabile di specificarne il grado di protezione; anche se questo non implica una “full rights of ownership”».
VINCERE LE RESISTENZE PSICOLOGICHE E CULTURALI
Soprattutto sul piano culturale la cessione totale o parziale del controllo sui propri dati solleva numerose resistenze da parte dei responsabili aziendali che in alcuni casi sono portati a credere che lo spostamento verso l’esterno di talune funzioni aziendali abbassi il livello di sicurezza e di servizio; «la sensazione di perdita del pieno controllo sulle applicazioni in outsourcing, è la principale riluttanza avvertita dalle società che pensano di rivolgersi ai servizi on the cloud», ci conferma Emilio Turani, country manager di Stonesoft Italia, Svizzera Italiana, Grecia e Turchia (www.stonesoft.com/it); in realtà gli investimenti in qualità e sicurezza fatti internamente sono spesso di gran lunga inferiori a quelli che deve sostenere un fornitore cloud per dare un servizio adeguato. «Il consiglio è quello di rimuovere qualsiasi pregiudizio iniziale e di effettuare un’analisi attenta delle capacità economiche, tecniche e organizzative che ha il fornitore rispetto a quelle che si possono mettere in campo internamente», afferma Fabio Battelli, practice manager Advisory Services, Symantec Consulting (www.symantec.it). Superare il preconcetto della delega della gestione dei propri dati quale sinonimo di perdita di controllo sugli stessi e rischio di minore sicurezza, non è tuttavia semplice. Servirebbe un cambio di paradigma come quello che auspica Feliciano Intini, chief security advisor di Microsoft Italia (www.microsoft.com/italy), quando sottolinea che uno dei benefici tipici dei servizi cloud è «la possibilità di utilizzare per la gestione delle proprie informazioni un soggetto che per capacità ed esperienza, è in grado di offrire livelli di sicurezza che per il cliente sarebbe troppo oneroso indirizzare in autonomia». In un mondo ideale le aziende guarderebbero al cloud proprio con questo spirito. Naturalmente anche con tale predisposizione d’animo nessuno potrebbe negare la necessità da parte dell’azienda di informarsi preventivamente partendo per esempio dalla verifica delle policy del vendor rispetto all’accesso e alla sicurezza dei dati; in seconda battuta «per riuscire a conquistare la fiducia delle aziende – rileva Paolo Lossa, regional sales manager di Brocade Italia (www.brocade.com) – sarebbe opportuno definire (e rispettare) standard riguardanti la sicurezza, l’integrazione, i livelli di interoperabilità, la portabilità e le misure di gestione e monitoraggio dei dati»; infine è importante che il fornitore illustri «i potenziali pericoli, le tipologie di violazione e dettagli gli strumenti che il vendor implementa per soddisfare queste esigenze, impegnandosi contrattualmente a rispondere a uno Sla definito», afferma Domenico Fusco, direttore vendite di Panda Software Italia (www.pandasecurity.com). La corretta definizione delle clausole contrattuali dipenderà sin dalle prime battute dal tipo di approccio che le parti adotteranno. «Ci aspettiamo che le aziende seguano due diverse strade – ci dice a questo proposito Roberto Salucci (HDS) -: nella maggior parte dei casi ci sarà un’evoluzione parallela di fornitori e clienti, che porterà alla creazione di relazioni e contratti che tengano in considerazione questi aspetti». Secondo Massimo Vulpiani, country manager RSA (www.rsa.com), «le organizzazioni che decidono di entrare nel cloud dovrebbero prendere tutte le misure necessarie alla creazione di un clima di fiducia con le aziende che forniranno loro i servizi»; prospettiva ribaltata, ma obiettivo identico, per Alexander Moiseev, managing director Kaspersky Lab Italia (www.kaspersky.it), che rileva come «la qualità dei servizi è una responsabilità del vendor o del provider che devono diradare i possibili dubbi del cliente. è compito loro inoltre garantire la qualità del servizio stesso, che a sua volta determina la scelta del fornitore operata dal cliente». La diffidenza da parte degli utenti può essere vinta solamente offrendo soluzioni valide. In certe situazioni la riluttanza è dovuta alle criticità di business che alcuni dati comportano; in questi casi, l’azienda preferirà non cedere i suoi dati e optare per sistemi cloud privati o di carattere ibrido che le consentano di mantenere il controllo e la gestione diretta. Una soluzione alternativa emergente in grado di risolvere il problema alla radice è l’adozione di “data spaces”, vale a dire di tecnologie di nuova generazione capaci di elaborare il dato esternalizzato in forma aggregata e non facilmente riconducibile alla forma originale e mantenendo al medesimo tempo inalterato il possesso dello stesso da parte dell’azienda.
L’IMPORTANZA DELL’AUDIT PER VENDOR E CLIENTI
Può accadere che un’azienda in procinto di migrare verso il cloud e che abbia sostenuto in passato cospicui investimenti per certificarsi in ambito sicurezza corra il rischio di vanificare questi investimenti qualora il cloud provider non sia in grado di fornire prove della propria compliance oppure non consenta alla clientela di condurre audit indipendenti. Sulla carta l’audit dovrebbe riguardare tutti gli aspetti della sicurezza, trasmissione e archiviazione dei dati, verifica dello stato del data center.
Battelli di Symantec Consulting individua gli ambiti da sottoporre a verifica delineando tre dimensioni principali, riassumibili dall’acronimo Grc – Governance, risk e compliance: «Per quanto riguarda la governance è importante verificare l’esistenza di politiche di sicurezza in linea con i livelli di servizio proposti dal fornitore cloud. Nella seconda (risk) devono essere sottoposte a verifica sia la robustezza delle infrastrutture It coinvolte nell’erogazione dei servizi, sia le pratiche adottate per ridurre i rischi legati alla perdita di confidenzialità, integrità e disponibilità dei dati». Per quanto concerne la compliance, infine, «il fornitore dovrebbe rendere noto l’insieme dei controlli di sicurezza effettuati sistematicamente per garantire la conformità con i due ambiti precedenti».
L’audit deve verificare che l’infrastruttura cloud sia stata implementata in modo da offrire un efficace supporto agli obiettivi di business aziendali. «In questo senso l’audit deve essere mirato, oltre che alla verifica dell’allineamento verso gli obiettivi di business, anche alla verifica degli adeguati livelli di confidenzialità, disponibilità e integrità dei dati trattati e del servizio», afferma Massimo Ciocca, data center e virtualization marketing manager di Cisco Mediterranean (www.cisco.com/it). Inteso in questi termini si intuisce quanto sia importante per il cliente un corretto e periodico accesso a questi dati. Poiché nel cloud le informazioni aziendali sono accessibili via Internet, «l’audit dovrebbe innanzitutto controllare la sicurezza degli accessi ovvero le encription sulle linee dati e le policy amministrative di gestione dell’authentication», afferma Marco Cusinato (Reply); in seconda battuta l’attenzione dovrebbe focalizzarsi sulla business continuity: «Se una dispersione imprevista di dati aziendali può essere grave, non poter accedere agli stessi potrebbe rivelarsi una catastrofe. Non limitiamoci quindi a negoziare penali per mancato uptime o performance insufficienti – continua Cusinato -, ma incarichiamo un auditor di scendere nel dettaglio delle procedure di disaster recovery e business continuity partendo dalla mappa dei rischi aziendali relativi all’inaccessibilità di ciascun sistema». Secondo Simone Riccetti (IBM) «in ambienti cloud condivisi (multi tenant) dove i dati possono essere “potenzialmente” ovunque, è importante che l’audit verifichi che le infrastrutture tecnologiche e di processo rispondano ai livelli di sicurezza richiesti dal cliente relativamente a policy di gestione dei sistemi di sicurezza, sicurezza del data center, controllo degli accessi, cifratura del dato durante la trasmissione e la memorizzazione. Inoltre è importante valutare il corretto isolamento tra i dati e le applicazioni associati a clienti diversi e le relative politiche di accesso». Nel campo della sicurezza, nessun singolo aspetto può essere trascurato. L’audit dovrebbe innanzitutto controllare la sicurezza degli accessi ovvero le encription sulle linee dati e le policy amministrative di gestione dell’authentication. Tutto questo i fornitori di servizi cloud lo sanno molto bene. Perciò, oltre che per venire incontro a una esigenza legittima da parte dei clienti, «occorre sottoporre i propri servizi cloud a rigorosi processi di audit condotti da terze parti indipendenti per verificare la conformità con i maggiori stardard di settore (ISO 27001, SAS70 Type I e II, FIPS 140-2, TIC, …)», ci conferma Intini di Microsoft Italia. Poiché l’attività di audit logging è esplicitamente richiesta da parte di molti regolamenti normativi «le organizzazioni che implementano private cloud dovrebbero coordinarsi con i differenti cloud provider per assicurarsi di ricevere le informazioni necessarie a provare la conformità normativa», ci dice Massimo Vulpiani (RSA). In questo modo i log dei cloud vendor possono essere importati all’interno di soluzioni Siem (Security information and event management) «consentendo così agli eventi virtuali, generati dal private cloud, di essere monitorati e analizzati dalla console delle security operation aziendali e dall’infrastruttura It interna all’impresa», conclude Vulpiani.
IL FUTURO DELLA SICUREZZA è CLOUD
Il futuro della sicurezza è cloud. Il potenziale in termini di efficacia e resilienza insito nel modello è molto alto. Già oggi implementare una qualsiasi misura di security su larga scala – filtering, gestione degli aggiornamenti di sicurezza, hardening delle macchine virtuali e degli hypervisors, ridondanza del software e dell’hardware, autenticazione forte, controllo accessi, implementazione di soluzioni di federation delle identità digitali, collaborazione tra partner e naturalmente risorse umane coinvolte – costa meno sia all’azienda sia al fornitore di servizi cloud. Gli effetti delle economie di scala si estendono ai minori costi di ridondanza delle location, di propagazione on the edge, di contrazione dei tempi di risposta in caso di incidenti, di maggiore specializzazione dei provider e dunque della capacità dello stesso di fare fronte a un ventaglio sempre più ampio di minacce. Esiste tuttavia un problema psicologico di accettazione della cessione del dato a terzi che sarebbe miope sottovalutare. «Un nuovo modello di computing sta lottando per imporsi e si chiama cloud computing», ha dichiarato Art Coviello, presidente di RSA, alla recente flagship conference di San Francisco. Il cloud computing mediante la governance e l’applicazione di policy di sicurezza ci consentirà di superare l’angusta visione della sicurezza dal punto di vista del singolo endpoint. La tematica cloud è un percorso che tutte le imprese prima o poi dovranno affrontare; non esiste un modello univoco, ma la possibilità di adottarne uno in base alle esigenze e al grado di maturità dell’azienda.
