A cura di Elena Minghelli, Sara Frati e Luigi Belvivere, Cybersecurity Consultant
Stiamo vivendo in un’epoca caratterizzata da importanti trasformazioni tecnologiche. Una di queste è il cloud, un ecosistema ricco di strumenti interconnessi in infiniti modi con lo scopo di creare valore per le imprese. Ogni giorno aumentano le aziende che trovano più conveniente spostare i loro dati in cloud, soprattutto in un’ottica di condivisione delle responsabilità e di un vantaggioso rapporto tra costi e benefici. Questo perché i servizi cloud permettono ai clienti, indipendentemente dalle loro dimensioni o dal settore, di creare risorse on demand liberandosi dai vincoli tecnologici della gestione dell’infrastruttura. Questo processo però è tutt’altro che semplice e privo di rischi; è fondamentale tenere bene a mente cosa voglia dire mettere in atto questa migrazione e quali siano le tipologie di offerte cloud oggi esistenti. Risulta quindi necessaria una certa consapevolezza sia dei punti di forza sia dei fattori di rischio di questa realtà.
Cloud pubblico, privato e ibrido
Per contestualizzare il fenomeno della migrazione dall’on-premises al cloud è necessario fare una breve premessa relativa alle differenti modalità di erogazione dei servizi e alle tre tipologie di cloud computing.
Innanzitutto, i servizi cloud possono essere distribuiti nelle seguenti modalità: pubblica, privata e ibrida. Cloud Security Alliance (CSA), un’associazione internazionale no-profit dedita allo sviluppo e promozione delle buone pratiche, formazione e certificazioni per la sicurezza del cloud, riporta tali definizioni nel Security Guidance v.4 citando il NIST (National Institute of Standard and Technology) e ISO/IEC (insieme di standard internazionali volto a migliorare la gestione dei servizi IT).
Il cloud pubblico può essere definito come un insieme di servizi disponibili al pubblico in generale ed è di proprietà dell’organizzazione che vende tali servizi, il Cloud Service Provider (CSP). Possono risultare più convenienti in quanto permettono alle aziende di risparmiare sui costi dell’acquisto, sulla gestione e manutenzione dell’infrastruttura, applicazioni e hardware.
A quelli pubblici si contrappongono quelli privati, che invece sono riservati al singolo cliente e sono un insieme di servizi offerti tramite internet o rete privata solo ad utenti selezionati. Questa tipologia di cloud offre un livello di sicurezza e privacy maggiore garantito dalla presenza di firewalls aziendali e hosting interno.
Infine, il cloud ibrido mette in relazione le due modalità di erogazione citate precedentemente.
Le diverse tipologie di servizi cloud: IaaS, PaaS, SaaS
Un altro aspetto di fondamentale importanza è la tipologia di servizio che si vuole acquistare avendo chiare le proprie esigenze. Sono tre le macrocategorie di servizi cloud. La prima è Software as a Service (SaaS), un’applicazione gestita e ospitata dal Cloud Service Provider (CSP), a cui iconsumatori vi accedono tramite un browser web.
La seconda Platform as a Service (PaaS) fornisce piattaforme di sviluppo applicative come ad esempio database. In questa modalità la gestione dei server, le reti o delle infrastrutture sono in carico al CSP. Infine, la terza modalità è Infrastructure as a Service (IaaS): in questo caso, il CSP offre l’accesso a un pool di risorse dell’infrastruttura come il calcolo, la rete e lo storage. Il CSP è responsabile dei livelli fondamentali di sicurezza mentre il consumatore sarà responsabile di quella relativa agli oggetti che implementerà sull’infrastruttura.
Analisi di fattibilità e technical audit
Consapevoli delle differenti modalità e tipologie di cloud computing sarà necessario effettuare le dovute analisi di fattibilità relative alla migrazione in cloud. È di fondamentale importanza tenere presente che non tutti i servizi possono essere idonei alla migrazione. Inoltre, le risorse di cloud computing sono distribuite e altamente interdipendenti.
Un approccio tradizionale alla sicurezza non è più sufficiente, pertanto NTT DATA Italia propone in ottica security by design & by default strumenti e strategie per garantire un livello soddisfacente di sicurezza. In particolare, le attività di technical audit che consistono nell’esecuzione operativa delle attività di verifica atte a valutare lo stato di implementazione delle misure di sicurezza, tramite interviste e verifiche tecniche sui sistemi.
La gestione della privacy
Nel valutare l’opportunità di effettuare una migrazione dei dati in cloud, affidandone la gestione ad un fornitore esterno, è necessario procedere ad un’ulteriore analisi costi-benefici relativa agli oneri di gestione dei dati personali in capo al Cloud Service Customer (CSC) al fine di verificarne la compliance al GDPR.
Le attività di Assessment GDPR svolte da NTT DATA Italia in ambito cloud si articolano nelle seguenti macro-fasi:
- Qualificazione dei ruoli: volta ad individuare la corretta ripartizione delle responsabilità in relazione ai trattamenti effettuati in ambito cloud. In particolare, nel caso in cui il CSP sia qualificato come Titolare autonomo del trattamento, egli avrà piena responsabilità e capacità decisionale su tutti i dati ricevuti dal CSC; tuttavia ne consegue che il CSC, se da un lato, in caso di violazione, sarà esente da qualsiasi responsabilità, dall’altro non avrà più il controllo sui dati trasferiti in cloud al proprio fornitore. Invece, nel caso in cui il CSP sia nominato Responsabile del trattamento, il CSC manterrà il suo status di Titolare e avrà una generale responsabilità su tutti i dati gestiti dal CSP.
- Contrattualistica: la fase di negoziazione contrattuale è volta alla predisposizione di specifiche clausole contrattuali che definiscano strumenti da utilizzare in caso di trasferimento di dati personali in territori extra-europei, modalità di comunicazione dei dati personali ad eventuali soggetti terzi, modalità di comunicazione sul trasferimento dei propri dati agli interessati nonché misure tecniche ed organizzative da implementare per garantire la sicurezza dei dati.
- Compliance normativa e regolamentare: parallelamente alle due fasi sopracitate, in ambito cloud NTT DATA Italia fornisce ai propri clienti anche servizi di monitoraggio di pronunce e provvedimenti emessi delle autorità competenti - nazionali ed estere - in materia di protezione dei dati personali, al fine di fornire tempestivi resoconti su eventuali disposizioni che impattino direttamente i mercati e/o i settori di appartenenza.
Shared responsibility and Governance
In base alla tipologia del servizio mutano la gestione e la ripartizione delle responsabilità operative tra Cloud Service Provider e Cloud Service Customer.
Come già appurato precedentemente il contratto tra CSP e CSC gioca un ruolo preponderante. Come riporta CSA (Cloud Security Alliance), il cloud computing cambia radicalmente la distribuzione delle responsabilità introducendo il concetto di shared responsibility, e i meccanismi di implementazione e gestione della governance. Le responsabilità e i meccanismi per la governance risiedono nel contratto. Per questa ragione la fase di negoziazione rappresenta un momento critico in quanto sono necessarie forti competenze sia giuridiche sia informatiche. Risulta centrale prestare particolare attenzione ai Service Level Agreement (SLA), che sono gli accordi che nello specifico garantiscono il livello minimo di sicurezza. In questi rientrano le responsabilità, i parametri di prestazione accettabili, la descrizione dei servizi coperti dal contratto e le procedure per il monitoraggio. Si delineano chiaramente metriche e responsabilità tra le parti coinvolte nelle configurazioni cloud, garantendo che i provider di servizi cloud soddisfino determinati requisiti di livello aziendale e forniscano ai clienti un set chiaramente definito di risultati finali. Per questa ragione tali accordi devono essere conosciuti anche dalle linee operative, così facendo non si rischia di ignorare attività di propria competenza generando potenziali vulnerabilità.
Cybersecurity Framework
Al fine di ridurre al massimo la superficie di attacco e le annesse vulnerabilità, NTT DATA Italia ha definito un modello di ICT Security Assessment volto alla valutazione del livello di sicurezza in ambito cloud. Attraverso l’analisi delle componenti di gestione dell’infrastruttura e delle soluzioni tecnologiche di sicurezza adottate si prendono in analisi i possibili scenari di minaccia.
Il framework adottato risulta il frutto della combinazione delle Best Practice di sicurezza quali il CCMv4 (Cloud Controls Matrix – CSA), ISO 27001, ISO 27017, ISO 27018, NIST Risk Management Framework e CIS Critical Security Controls.
Seguendo tale metodologia è quindi possibile individuare gap o possibili aree di miglioramento e quindi la stesura di un remediation plan, le cui azioni di rientro seguono le priorità previste dalla criticità della contromisura disattesa.
L'articolo è stato pubblicato in lingua inglese anche sul sito della Cloud Security Alliance (CSA), consultabile sulla pagina dedicata.