non è solo responsabilità del provider… anche l’utente ha un ruolo da svolgere!
Con l’accelerazione della trasformazione digitale delle aziende, spinta in particolare dalla crescente necessità di servizi online durante la pandemia, il cloud pubblico rimane l’opzione principale per le operazioni aziendali di trasformazione digitale. Tuttavia, l’outsourcing nel cloud non funziona in base a nessun tipo di ” clicca e dimentica “: i clienti devono rimanere vigili e assumersi diverse responsabilità di sicurezza, altrimenti potrebbero verificarsi gravi incidenti.
Con un costo medio di tre milioni di dollari sostenuti dalle aziende vittime di malware e il 51% delle aziende che sono state attaccate, il crimine informatico è vivo e vegeto. Uno dei motivi è la migrazione diffusa delle aziende al cloud a seguito della crisi sanitaria. Ad esempio, tra il 2019 e il 2020 in Francia, il mercato dei servizi di cloud computing ha registrato un aumento del 17%, mentre IaaS e PaaS, noti per fornire soluzioni di videoconferenza, collaborazione, e-commerce e streaming online, sono aumentati del 25% rispetto al periodo. Ma mentre spostano dati e applicazioni nel cloud, le organizzazioni creano anche una superficie di attacco molto più ampia per i criminali. Questo è il motivo per cui, in un momento in cui la sicurezza informatica deve stare un passo avanti rispetto ai criminali informatici, la sicurezza non deve essere vista come il parente povero nell’approccio cloud dell’azienda.
Nel cloud, la sicurezza è un problema a tutti i livelli
Piaccia o no, il cloud non offre la possibilità di esternalizzare completamente la sicurezza degli asset IT migrati. Il cliente avrà sempre delle responsabilità. Ignorare questo fatto significa mettere la sicurezza sotto il tappeto ed esporsi a molti incidenti e attacchi alla sicurezza: furto o perdita di dati, violazioni della riservatezza, operazioni interrotte, solo per citarne alcuni. “ E la fiducia che portiamo al nostro ambiente cloud deve operare a tutti i livelli, dai fornitori di servizi in outsourcing alle applicazioni e soluzioni di sicurezza gestite direttamente dal cliente. I sistemi di qualificazione di ANSSI per i fornitori di servizi di cloud computing (SecNumCloud) o per i prodotti di sicurezza aiutano a sviluppare questa fiducia”, sottolinea Matthieu Bonenfant .
E la fiducia che portiamo al nostro ambiente cloud deve operare a tutti i livelli, dai fornitori di servizi in outsourcing alle applicazioni e soluzioni di sicurezza gestite direttamente dal cliente. I sistemi di qualificazione di ANSSI per i fornitori di servizi di cloud computing (SecNumCloud) o i prodotti di sicurezza aiutano a sviluppare questa fiducia
Matthieu Bonenfant, Direttore Marketing Stormshield
Innanzitutto, è importante comprendere che la sicurezza nel cloud richiede misure di protezione a tutti i livelli dell’infrastruttura:
- Infrastruttura fisica alla base del cloud: server, storage array, switch, sistemi di monitoraggio;
- Infrastruttura virtuale: istanze di calcolo, storage, VPC, reti virtuali;
- Applicazioni e microservizi eseguiti nel cloud;
- Identità di utenti e amministratori i cui profili e account di accesso devono essere gestiti per utilizzare applicazioni e dati;
- Dati archiviati nell’infrastruttura cloud, non strutturati o strutturati in un database.
Cliente/fornitore: chi protegge cosa nel cloud?
Non esiste un’unica risposta valida per tutti i casi. Tutto dipende dal modello offerto dal provider cloud. Questo è il motivo per cui l’azienda ha bisogno di capire di cosa è responsabile il suo fornitore in termini di sicurezza e di cosa è necessario per proteggersi. Partendo dai seguenti principi chiave:
Con IaaS, il provider di servizi cloud è responsabile solo dell’infrastruttura fisica alla base del cloud e della sua sicurezza. Ciò lascia al cliente la responsabilità della sicurezza a tutti gli altri livelli. PaaS aggiunge la sicurezza dell’infrastruttura virtuale alle responsabilità del provider, mentre il cliente si prende cura delle identità e dei dati. Infine, in un modello SaaS, la maggior parte della responsabilità della sicurezza spetta al fornitore; tuttavia, il cliente deve sempre mantenere il controllo sulle identità e sui propri dati.
In sintesi, i clienti saranno sempre responsabili per lo meno dei propri dati, account utente e amministratore e identità. Devono verificare con ciascun fornitore quali altre responsabilità di sicurezza il contratto richiede loro di assumersi. A maggior ragione se l’azienda segue una strategia di cloud ibrido e/o multi-cloud, possibilmente in connessione con l’edge-computing, e coinvolge diversi provider e tipologie di cloud.
Migliori pratiche di sicurezza per il cloud
Il punto principale da tenere a mente: il cliente rimane il principale responsabile della sicurezza nei cloud che utilizza e deve essere proattivo in quest’area. A tutti i livelli di sicurezza del cloud, l’azienda deve garantire di mantenere il maggior numero di informazioni possibili su ciò che sta accadendo: “Deve raccogliere e sfruttare le informazioni di tracciamento come i registri delle attività e degli accessi e le informazioni operative per le applicazioni. Con una tale panoramica olistica, l’azienda mantiene il controllo e, se del caso, garantisce che la sicurezza nel cloud sia reversibile”, spiega Edouard Camoin .
Un’altra buona pratica: pensare in termini di ” Sicurezza in base alla progettazione “, in altre parole, integrare la sicurezza nel tuo progetto cloud fin dall’inizio. Ciò significa pensare al futuro ed essere organizzati, il che implica stabilire criteri di sicurezza per specificare quali applicazioni e dati sono idonei per il cloud, decidere chi fa cosa in termini di sicurezza e a che punto includerli, pianificare le risorse da allocare e impostare backup e piani di continuità e ripristino che sfruttino appieno le funzionalità di sicurezza dei cloud utilizzati dall’azienda. Ciò eviterà la necessità di sostenere le successive violazioni a costi elevati e, cosa più importante, eviterà le crisi. Il tutto senza tralasciare formazione e sensibilizzazione, perché: “Troppi operatori stanno ancora scegliendo la propria tecnologia cloud, configurandola internamente e pensando alla sicurezza all’ultimo momento: l’approccio peggiore alla sicurezza cloud! ”, afferma Edouard Camoin.
Deve raccogliere e sfruttare le informazioni di tracciamento come i registri delle attività e degli accessi e le informazioni operative per le applicazioni. Con una tale panoramica olistica, l’azienda mantiene il controllo e, se del caso, garantisce che la sicurezza nel cloud sia reversibile
Edouard Camoin , VP Resilience presso 3DS OUTSCALE
Nella scelta dei propri fornitori di servizi cloud e nella creazione di un ambiente affidabile, l’azienda deve tenere conto del concetto di fiducia nei propri criteri di selezione. Lavorare con fornitori di servizi cloud qualificati SecNumCloud e tecnologie di sicurezza qualificate ANSSI è un passo nella giusta direzione. Inoltre, la valutazione dei fornitori richiede un’attenzione particolare all’ambito di sicurezza che è effettivamente coperto da una certificazione esposta: l’azienda deve garantire che gli impegni di sicurezza siano chiaramente definiti nelle clausole contrattuali.
Poiché la proattività del cliente è essenziale per la sicurezza del cloud, l’azienda deve essere pronta a prendere l’iniziativa per coprirsi dal punto di vista della sicurezza, anche nei casi in cui il fornitore si assume la responsabilità. “Ad esempio, conservare la chiave di crittografia per i propri dati e persino impedire al fornitore di eseguire operazioni di crittografia. E nei casi in cui la sicurezza è responsabilità diretta del cliente, questi deve sfruttare al massimo le tecnologie di protezione di terze parti, compatibili con i vari ambienti cloud, sui quali ha il pieno controllo”,raccomanda Matthieu Bonenfant. In tal modo, l’azienda garantisce la coerenza delle politiche di sicurezza nell’intero sistema informativo (incluso il cloud ibrido o multi-cloud) e semplifica l’inversione della sicurezza in caso di cambio di provider di servizi cloud.
Le aziende hanno una parte di responsabilità quando si tratta di sicurezza nel cloud: i loro dati e la loro sovranità nel cloud non sono problemi che possono essere rimandati!
