Tratto dallo speciale:

Cloud: la valutazione continua dei rischi di sicurezza

di Alessia Valentini

scritto il

Come instaurare una valutazione dei rischi continua in azienda per tenersi pronti a contrastare eventuali difficoltà legate all'adozione del Cloud Computing.

Il picco di interesse verso il Cloud Computing e la sua crescente diffusione richiedono una conoscenza approfondita del suo funzionamento ma anche dei rischi di sicurezza informatica ad esso connessi. L’adozione del Cloud consente nel medio periodo periodo di risparmiare sui costi delle infrastrutture in favore di un servizio, una considerazione condivisa con la PA  (Government Cloud). Per aziende pubbliche e private, però, la necessità resta garantire la disponibilità continua.

Si tratta di consolidare una building trust per il Cloud, analogamente a quanto avviene tra sistema delle banche e clienti sui risparmi affidati: il punto chiave è la garanzia di disponibilità immediata su richiesta. Allo stesso modo, anche per il Cloud si rende necessaria una cultura di fiducia fra provider e utenti, basata su livelli di servizio concordati e monitorabili e su misure di sicurezza tangibili e possibilmente configurabili.

=> Adozione dei servizi cloud e integrità dei dati

Cloud privati

Il primo passo è la valutazione dei rischi di sicurezza, ovvero l’individuazione di quel che deve essere protetto (tipicamente il dato) e di ciò che può minarne la sicurezza in termini di RID (Riservatezza, Integrità e Disponibilità). I principali fornitori di Cloud privati offrono un servizio di Cloud Security Assessment per valutare la robustezza dell’architettura cloud, dei processi che vi si poggiano e delle policy che dovrebbero regolamentarne l’uso.

Il Cloud Provider deve fare un passo in più, arrivando a una vero e proprio auditing continuo delle risorse, in ottica di performance e sicurezza: da un lato si deve garantire la velocità elaborativa e la continuità delle prestazioni anche con accessi e traffico elevati, dall’altra si deve attuare una immediata detection delle anomalie, sulla base dei log di accesso a risorse critiche implementando sistemi di event management (SIEM) che analizzano i dati per rendere evidenti i modelli di attacco.

Parimenti è necessario gestire le vulnerabilità, la data forensics, gli incidenti, attuando contromisure opportune fra cui anche le revisione di policy e regole. Un ulteriore servizio che può determinare la scelta del fornitore, quando si vuol fornire ad utenti finali servizi veicolati su Cloud esterna, è la possibilità di configurare il livello dei servizi da offrire: dalle performance alla sicurezza.

Alla parametrizzazione dei servizi si abbinano i costi e, in funzione della scelta dell’utente, il servizio effettua il provisioning delle risorse, il dimensionamento (per infrastrutture visualizzate) e il livello di security: in questo modo l’utente sa esattamente quanto spende e per che cosa spende. Così, di pari passo con la security-as-service e la performance-as-service finalmente si ottiene  l’economics-as-service!