Problemi di sicurezza nel cloud computing

La CSA (Cloud Security Alliance) recentemente ha analizzato i problemi di sicurezza connessi all’utilizzo dei servizi cloud. Sono stati coinvolti 271 esperti del settore e a questi è stato chiesto di valutare una ventina di rischi rispetto a una scala di pericolosità. Il risultato finale ha evidenziato dodici minacce che, da buoni americani, hanno subito ribattezzato Treacherous Twelve, ovvero i 12 maggiori pericoli che si possono concretizzare in un ambiete cloud. Questo studio ha lo scopo di fornire alle aziende maggiori informazioni per poter supportare le decisioni legate alla sicurezza nell’ambito delle loro strategie cloud.

Prendo queste informazioni dal sito silicon.it, la cui descrizione è per me molto stimolante: “Insieme per la Business Transformation”. L’articolo, di Francesco Pignatelli, si intitola Cloud e sicurezza: i 12 pericoli da cui difendersi secondo la CSA  e risale a un paio di anni fa, ma credo di poter affermare che molti dei concetti espressi siano tuttora validi.

Al primo posto della classifica delle minacce è stato inserito il pericolo di una violazione della sicurezza o di un errore umano che portino alla sottrazione o alla condivisione non voluta di dati sensibili o confidenziali. Questo tema è di scottante attualità dopo il caso di Cambridge Analytics di qualche settimena fa. Ovviamente, questo rischio è sentito anche per quanto riguarda i sistemi IT tradizionali, ma nel caso del cloud si aggiungono i pericoli legari alla condivisione di risorse in ambienti multi-tenant. Inoltre, è sempre presente qualche rischio derivante dal comportamento del personale del cloud provider e dei suoi partner.

Il secondo posto lo ha guadagnato la gestione inadeguata degli accessi, che in parte riporta al problema sopra evidenziato. I sistemi cloud, secondo la CSA presentano poca scalabilità dei sistemi di Identity Access Management, dal non prevedere un’autenticazione a più fattori e dalla mancanza di policy automatizzate per la rotazione di password, certificati digitali e chiavi crittografiche. Chi lavora in un’azienda o un ente è abituato al cambio periodico delle password, ma non sempre questo è sufficiente.

Al terzo posto si colloca la poca sicurezza delle interfacce e delle API (Application Programming Interface, interfaccia di programmazione di un’applicazione) utilizzate per gestire i servizi cloud o per l’interazione con essi. Le API devono essere progettate per evitare usi impropri, voluti o accidentali. Questo rischio aumenta quando un’azienda usa le API di un servizio per crearne uno personalizzato al quale si accede mediante altre API. Concatenare API diverse comporta l’aumento della possibilità di errori, specie nella gestione “a scalare” delle autorizzazioni ad accedere al servizio di partenza.

Al quarto e quinto posto, rispettivamente, si collocano la vulnerabilità dei sistemi IT e il furto di account. Non si tratta certo di pericoli nuovi, ma nel cloud questi rischi aumentano.

Le altre sette minacce alla sicurezza segnalate dagli esperti sono:

  • le attività illecite o improprie del personale interno del cloud provider;
  • le Advanced Persistent Threat;
  • la perdita accidentale di dati;
  • una due diligence insufficiente nel valutare un cloud provider;
  • l’abuso di servizi cloud per attaccare aziende o utenti;
  • gli attacchi DDoS e
  • i genereci rischi causati dalla condivisione delle risorse tipica delle infrastrutture cloud.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *