Guida essenziale alla sicurezza del cloud: rischi, standard, politiche e best practice

Il cloud computing è diventato la nuova normalità, con una disponibilità on-demand e a basso costo delle risorse digitali su Internet. Scopri i suggerimenti più utili per ridurre al minimo i rischi per la sicurezza del cloud e massimizzare i vantaggi del cloud computing.

In questa pagina troverai dettagli sulle sfide di sicurezza delle soluzioni cloud, un confronto tra la sicurezza del cloud e la sicurezza IT tradizionale, informazioni sull'architettura di sicurezza cloude altro ancora.

Cosa si intende per sicurezza cloud?

La sicurezza del cloud è simile alla sicurezza IT tradizionale, ma si concentra sulle politiche e sui controlli utilizzati per proteggere i dati, le applicazioni software e l'infrastruttura cloud computing associata.

Il cloud computing risale agli anni '60. L'adozione diffusa di servizi cloud nella vita aziendale e personale ha determinato la necessità di solide pratiche e controlli sicuri.

Cos'è un modello di sicurezza cloud?

Il cloud computing è dotato di diverse opzioni di implementazione (chiamate modelli), tra cui cloud pubblico, privato e ibrido. Nel diagramma seguente, puoi trovare le informazioni specifiche di gestione cloud associate a ciascun modello di distribuzione:

Modello di distribuzioneDescrizioneUtenti targetCaso d'usoVantaggi
Cloud pubblico

I fornitori di servizi cloud di terze parti (come Microsoft, Amazon e Google, i tre più popolari) sono proprietari di queste risorse (cioè hardware, software e infrastruttura). Le aziende condividono queste risorse con altre organizzazioni.

Sviluppatori e tester i softwareComunemente utilizzato per e-mail, applicazioni da ufficio e archiviazione

  • Basso costo/accessibile
  • Senza manutenzione
  • Scalabile
  • Su richiesta
  • Altamente affidabile
Cloud privatoUna singola azienda è proprietaria di queste risorse, che un fornitore di servizi di terze parti o il data center dell'organizzazione possono ospitare.Istituzioni governative e finanziarieComunemente utilizzato per carichi di lavoro sensibili in settori altamente regolamentati
  • Flessibile per soddisfare esigenze aziendali specifiche
  • Controlli di sicurezza elevati
  • Cloud ibrido scalabile
Cloud ibridoQuesto modello distribuisce i carichi di lavoro nell'infrastruttura cloud pubblica e privata. Le applicazioni condividono le risorse e sono interoperabili tra cloud pubblico e privato, in base alle esigenze di sicurezza e prestazioni.Entità che servono più organizzazioni con normative e requisiti di sicurezza diversiComunemente utilizzato dalle startup che hanno requisiti incoerenti e sconosciuti e dai fornitori di servizi IT con una varietà di clienti
  • Altamente controllato
  • Flessibile per adattarsi alle infrastrutture pubbliche e private, secondo le necessità
  • Scalabile

Per coloro che utilizzano cloud diversi per attività diverse, sono disponibili anche modelli multi-cloud. A differenza del cloud ibrido, le soluzioni multi-cloud servono alle organizzazioni che utilizzano una varietà di servizi di cloud pubblico diversi da vari fornitori. Un'organizzazione può anche avere un'infrastruttura cloud privata e persino un'infrastruttura on-premise. Ognuno di questi ambienti viene utilizzato per il proprio scopo indipendente e in silos. Il cloud ibrido, d'altra parte, include sempre infrastrutture di cloud pubblico e cloud privato che lavorano insieme e si integrano. 

Individui o organizzazioni di specifici settori aziendali che hanno preoccupazioni simili in materia di privacy, sicurezza e conformità condividono ciò che è noto come cloud di comunità. Tali organizzazioni includono banche, ospedali e agenzie governative. 

La differenza tra la sicurezza cloud e la sicurezza IT tradizionale

Le tecnologie IT e cloud tradizionali devono affrontare la stessa esposizione al furto e alle perdite di dati, nonché alle interruzioni. La differenza principale tra le due tecnologie è che le risorse di cloud computing sono più astratte rispetto ad hardware, server e software tradizionali on-premise. 

L'infrastruttura IT tradizionale comprende l'acquisto, l'installazione e la gestione in-house di hardware, software e altri elementi infrastrutturali dedicati. Con l'infrastruttura IT tradizionale, hai il pieno controllo locale dei dati, delle applicazioni e dell'infrastruttura della tua azienda, creando un sistema apparentemente sicuro. Man mano che la tua organizzazione cresce e i requisiti di archiviazione dei dati aumentano, acquisterai hardware aggiuntivo per soddisfare le tue esigenze di capacità. Gli ambienti IT tradizionali consentono una connessione tra i dispositivi hardware e i server situati nel data center on-premise e si affidano a modelli di sicurezza perimetrale.

Il cloud computing è astratto rispetto all'infrastruttura IT tradizionale. Le risorse di cloud computing non sono accessibili fisicamente o in locale. Il cloud offre una soluzione virtuale, che consente alle aziende di ottenere un hosting esterno affittando spazio server da un fornitore di servizi cloud. Questo accordo incarica della sicurezza il fornitore di servizi cloud. Si accede agli ambienti di cloud computing utilizzando le interfacce di programmazione delle applicazioni (API). Le API consentono la comunicazione tra i tuoi dispositivi e i server cloud. L'ambiente cloud è sicuro quanto queste API. Sebbene la sicurezza tradizionale e cloud si basi su metodi simili, un'infrastruttura cloud sempre più complessa e le minacce alla sicurezza sempre più sofisticate stanno costringendo la transizione dalla sicurezza perimetrale verso un cloud computing che utilizza metodi di autenticazione e cifratura più forti. 

I contrasti tra ambiente cloud e ambiente tradizionale possono far sembrare il cloud computing irragionevolmente insicuro, ma con le dovute precauzioni e il giusto fornitore di servizi, i vantaggi superano i rischi, rendendo la sicurezza del cloud una soluzione ideale per la maggior parte delle organizzazioni.

Quanto è sicuro il cloud?

I servizi cloud sono diventati molto comuni, ma i problemi di sicurezza rimangono in primo piano. Mantenere la sicurezza, la disponibilità e la privacy è fondamentale per le aziende. I data center cloud sono solitamente gestiti da esperti di sicurezza cloud, controllati da organizzazioni terze e sottoposti a criteri e standard rigorosi. Molti di questi data center sono conformi all'Health Insurance Portability and Accountability (HIPAA) e al Peripheral Component Interconnect (PCI) e seguono gli Statements on Standards for Attestation Engagements (SSAE). Questi fornitori di servizi cloud si sono impegnati a rispettare solidi requisiti di sicurezza e hanno dimostrato la loro capacità di proteggere le informazioni sensibili.

Perché la sicurezza del cloud è così importante?

Con le spese per il cloud computing in continua crescita, la sicurezza del cloud è più importante che mai. Secondo il sondaggio State of the Cloud di RightScale, il 96% dei professionisti IT utilizza il cloud. Si prevede che la spesa per il cloud pubblico aziendale crescerà rapidamente e in modo significativo. 

I fornitori di servizi cloud sono un obiettivo per gli hacker. Di seguito sono riportate le principali minacce alla sicurezza cloud che questi fornitori devono affrontare, secondo la Cloud Security Alliance® (CSA):

  • Violazioni dei dati
  • Gestione insufficiente dell'identità, delle credenziali e dell'accesso
  • Interfacce e API non sicure
  • Vulnerabilità del sistema
  • Violazioni di account
  • Dipendenti interni malintenzionati
  • Minacce persistenti avanzate (PRT)
  • Perdita di dati
  • Due diligence inadeguata
  • Abusi e usi criminali dei servizi cloud
  • Attacchi denial-of-service (DDoS)
  • Problemi di tecnologia condivisa

Altre minacce alla sicurezza sono le seguenti:

  • Ransomware, come BadRabbit
  • Mining di criptovalute
  • Cryptojacking
  • Trojan, come Dridex, Trickybot, Zbot ed Emotet
  • Problemi di sicurezza di Windows, come EternalBlue
  • Grayware
  • Gli hacker "parassiti"
  • Malware, come Petya/NotPetya, che sfrutta gli aggiornamenti software e che sfrutta i difetti della CPU e la ripartizione delle misure di sicurezza, come Meltdown, Spectre e problemi di single-point-of-failure
  • Worm, come Ramnit
  • Spear phishing
  • Vulnerabilità del software senza patch (note come Zero Days)
  • Attacchi di ingegneria sociale
  • Intercettazioni di rete
  • Errore umano
  • Credenziali rubate
  • Abuso da parte dei dipendenti
  • Negligenza
  • Uso non autorizzato
  • Dati non eliminati
  • Perdita di dati che si verifica quando un fornitore di servizi cloud va fuori servizio
  • Personale IT non qualificato o sovraccarico di lavoro
  • IT ombra

Vantaggi della sicurezza cloud

Seguire le best practice di sicurezza del cloud e implementare misure preventive adeguate può garantire la sicurezza dei dati e dei sistemi, assicurare visibilità sulle misure di sicurezza, fornire avvisi e prepararsi per quando si verificano attività insolite. L'impegno in queste pratiche può anche aiutarti a garantire la disponibilità, l'affidabilità e la sicurezza per operare senza interruzioni.

Chi si affida al cloud computing?

La flessibilità, l'efficienza dei costi e l'affidabilità del cloud computing lo rendono un ottimo candidato per le aziende di tutte le dimensioni, in tutti i settori. I leader e i professionisti IT delle aziende, delle piccole e medie imprese e delle startup, nonché dei settori governativo, finanziario e dell'istruzione si stanno spostando rapidamente verso il cloud. Nomi familiari come Target si affidano fortemente al cloud computing. Infatti, Target ha subito un attacco informatico su larga scala nel 2013 a causa di lacune nella sicurezza. Gli aggressori hanno sequestrato i dati bancari di 40 milioni di clienti e i dati personali di 70 milioni di clienti utilizzando una tecnica chiamata RAM scraping.

Responsabilità del provider di sicurezza cloud

Con la rapida domanda di servizi di cloud computing, i fornitori stanno spuntando ovunque, offrendo un'ampia gamma di servizi tra cui livelli di cloud, infrastructure as a service (IaaS), platform as a service (PaaS), software as a service (SaaS), cloud storage, testing, integrazione e applicazioni native del cloud. I servizi cloud più popolari provengono da nomi familiari come Amazon, Microsoft, Google e IBM.

La crescente domanda di servizi di cloud computing sta aumentando la domanda di sicurezza del cloud. La maggior parte dei fornitori di servizi cloud ha standard normativi molto rigorosi, strumenti di sicurezza accessibili, pratiche per mantenere la riservatezza dei dati e protezione dagli attacchi DDoS. Quando valuti i fornitori di servizi cloud, assicurati di chiedere a ciascun provider informazioni sulle seguenti misure di sicurezza:

  • Gestione delle identità
  • Sicurezza fisica
  • Formazione del personale
  • Privacy, riservatezza, integrità dei dati e controllo degli accessi
  • Continuità aziendale e ripristino di emergenza
  • Metodo di crittografia, ad esempio basato sugli attributi (ABE), policy di testo cifrato-ABE (CP-ABE), policy chiave-ABE (KP-ABE), completamente omomorfico (FHE) o crittografia ricercabile (SE)
  • Registri e percorsi di audit
  • Requisiti di conformità unici, come HIPA

Sfide per la sicurezza che derivano dalla fornitura di soluzioni cloud

Come già detto in precedenza, hacker, malware e ransomware sono minacce che derivano dal cloud computing. Insieme ai comuni problemi di sicurezza del cloud si presentano sfide legali e di responsabilità.

  • L'afflusso di informazioni archiviate dai fornitori di servizi cloud li rende obiettivi primari di attività criminali.
  • I fornitori di soluzioni cloud sono responsabili della proprietà intellettuale e dei termini relativi alla perdita di dati o ai dati compromessi.
  • I requisiti per conservare o addirittura fornire registri pubblici su richiesta possono mettere i fornitori di servizi cloud in una posizione scomoda.
  • Il numero di implementazioni cloud può facilmente andare fuori controllo, poiché i requisiti per l'archiviazione di dati e informazioni possono limitare le opportunità di disattivazione. 

Anche la facilità di accesso e l'ampia disponibilità di soluzioni cloud sono una sfida per aziende e organizzazioni. I dipendenti possono facilmente sfruttare le soluzioni e le app cloud, facendo perdere il controllo dei servizi IT interni. L'IT ombra lascia un'organizzazione a rischio: l'organizzazione è all'oscuro dei servizi utilizzati, della posizione delle informazioni, delle persone che hanno accesso e delle politiche di sicurezza. Questi fattori rendono difficile l'applicazione delle politiche di sicurezza, lasciando un'azienda a correre il rischio di non conformità ai mandati normativi.

Architettura di sicurezza delle soluzioni cloud

L'obiettivo numero uno di tutti i fornitori di servizi e soluzioni cloud consolidati è mantenere i dati proprietari e riservati al sicuro. I fornitori progettano e costruiscono soluzioni in base ai requisiti e ai protocolli per proteggere i tuoi dati e la necessità di offrire flessibilità. Sia il fornitore di servizi cloud che il cliente sono responsabili della sicurezza. Gli accordi sul livello di servizio del fornitore devono indicare il livello di responsabilità del cliente. Il fornitore di servizi cloud avrà sviluppato un'architettura di sicurezza cloud che dimostra come il proprio cloud è protetto.

Quali sono gli standard di sicurezza del cloud?

Gli standard di sicurezza del cloud sono standard, controlli e linee guida specifiche relativi alla sicurezza che varie organizzazioni del settore, tra cui l'International Organization for Standardization (ISO), il CSA e altri, delineano e definiscono per i fornitori di servizi cloud e i loro clienti.

Controlli e standard di sicurezza cloud

Il CSA è responsabile di definire e sensibilizzare le best practice del cloud computing. Oltre a definire le principali minacce per la sicurezza di cui sopra, ha progettato la Cloud Security Alliance Cloud Controls Matrix (CCM) per fornire indicazioni sui domini di governance e operazioni. Questi domini includono quanto segue:

  • Sicurezza delle applicazioni e dell'interfaccia
  • Garanzia e conformità dell'audit
  • Gestione della continuità aziendale e resilienza degli operatori
  • Gestione del controllo delle modifiche e delle configurazioni
  • Sicurezza dei dati e gestione del ciclo di vita delle informazioni
  • Sicurezza del data center
  • Crittografia e gestione delle chiavi
  • Governance e gestione dei rischi
  • Sicurezza delle risorse umane
  • Gestione di identità e accessi
  • Infrastruttura e virtualizzazione
  • Interoperabilità e portabilità
  • Sicurezza mobile
  • Gestione degli incidenti di sicurezza, e-disk e analisi cloud
  • Gestione della supply chain, trasparenza e responsabilità
  • Gestione dei thread e delle vulnerabilità

Il CCM fornisce una struttura di 133 controlli allineati con i 16 domini e si concentra su scoraggiare, prevenire, rilevare e correggere i problemi di sicurezza.

Oltre al CSA, il National Institute of Standards and Technology (NIST) è un'agenzia non normativa costituita dal Dipartimento del Commercio degli Stati Uniti per sviluppare standard di settore che incoraggiano l'innovazione. Le linee guida del cloud computing del NIST sono pubblicate nell'ambito della serie 800 della pubblicazione speciale (SP) e si applicano alle agenzie federali. 

Il NIST fornisce un report (NIST SP 500-322) che aiuta a qualificare un servizio cloud in linea con la definizione del NIST di cloud computing (NIST SP 800-145). Questo report fornisce indicazioni per analizzare le caratteristiche essenziali del cloud computing, dei modelli di servizi cloud e dei modelli di distribuzione del cloud.

Best practice di sicurezza del cloud.

Il cloud computing offre alle aziende molti vantaggi, ma queste ultime devono implementare misure di protezione per difendersi dalle minacce. Oltre all'implementazione delle best practice di CSA e NIST, le organizzazioni possono istituire ulteriori controlli di sicurezza, come i seguenti:

  • Utilizzare solo software conosciuto e affidabile.
  • Comprendere le normative di conformità.
  • Gestire il ciclo di vita delle istanze cloud, applicando patch e aggiornamenti.
  • Monitorare continuamente le violazioni della sicurezza del cloud. 
  • Scegliere fornitori di cloud esperti e valutarli in base a requisiti rigorosi.
  • Assicurarsi di poter trasferire il carico di lavoro su un altro provider, se necessario.
  • Implementare ulteriori misure di sicurezza (oltre a quelle offerte dal provider di servizi cloud) per proteggerti da infrastrutture cloud compromesse.
  • Utilizzare il software cloud access security broker (CASB) ed eseguire test di vulnerabilità nel cloud utilizzando prodotti di scansione e penetration testing.
  • Mettere insieme un piano di risposta agli incidenti nel cloud.
  • Sostituire qualsiasi soluzione di sicurezza legacy, inclusa la sicurezza del computer e della rete.
  • Prendi in considerazione DevOps e DevSecOps per integrare la sicurezza nei progetti del team di sviluppo.
  • Unificare e centralizzare le pratiche di sicurezza in tutti i servizi cloud.
  • Mantenere un elenco completo di tutte le risorse cloud.
  • Comprendere le best practice di sicurezza del cloud.
  • Formare i dipendenti sulla sicurezza del cloud.
  • Seguire le best practice di sicurezza.
  • Automatizzare per rimuovere l'errore umano.
  • Proteggere correttamente le API.

Quando stabilisci gli standard di sicurezza del cloud, puoi creare un piano di sicurezza dei dati per la tua organizzazione. Questo modello personalizzabile fornisce indicazioni su come gestire i dati in locale e nel cloud.

 
Modello del piano di sicurezza dei dati

Scarica il modello di piano di sicurezza dei dati

Word

Cos'è il cloud?

In poche parole, il cloud è Internet. Il cloud rende le risorse, i programmi software, le informazioni e i servizi disponibili su Internet piuttosto che sul computer locale. Queste risorse sono archiviate su server fisici da qualche parte in un data center, ma il cloud elimina la necessità di un'infrastruttura hardware on-premise. Di seguito è riportato un confronto tra la tecnologia cloud e la tecnologia tradizionale

CloudTradizionale
Le applicazioni e i dati sono archiviati in data center di terze parti (riducendo l'amministrazione).Le applicazioni e i dati sono archiviati su computer locali o nei data center interni.
Investimenti infrastrutturali minimiInvestimenti infrastrutturali elevati
Facile e veloce da ridimensionareScalabilità lenta
Commissioni basate sull'utilizzo (che possono essere più convenienti)Tariffe indipendenti dall'utilizzo

Come funziona il cloud?

Il cloud funziona consentendo agli utenti di accedere a dati e applicazioni su Internet, indipendentemente dalla loro posizione e dal loro dispositivo.

I cloud pubblici sono sicuri?

I cloud pubblici sono sicuri se il fornitore di servizi è sicuro. È possibile valutare la sicurezza di un fornitore di cloud esaminando i suoi audit di conformità, ponendogli domande in base alle best practice sopra descritte e visitando le sue strutture.

Il futuro della sicurezza cloud

Per molte aziende, i servizi cloud sono passati da un lusso a una priorità strategica. L'ampia quantità di dati archiviati nel cloud lo rende un obiettivo enorme per hacker, truffatori e criminali informatici. Le colossali ramificazioni di queste potenziali minacce hanno reso la sicurezza una priorità assoluta del settore. Stiamo già vedendo metodi di autenticazione più solidi nelle forme di autenticazione multi-fattore e biometrica.

Migliora la sicurezza delle informazioni e dei dati con Smartsheet

Potenzia il rendimento dei tuoi dipendenti con una piattaforma flessibile progettata per soddisfare le esigenze del tuo team e capace di adattarsi alle condizioni mutevoli del lavoro. La piattaforma Smartsheet semplifica la pianificazione, l'acquisizione, la gestione e la creazione di report sul lavoro da qualsiasi luogo, aiutando il tuo team a essere più efficace e ottenere di più. Crea report sulle metriche chiave e ottieni visibilità in tempo reale sul lavoro mentre accade con report di riepilogo, pannelli di controllo e flussi di lavoro automatizzati creati per mantenere il tuo team connesso e informato. Quando i team hanno chiarezza sul lavoro da svolgere, possono ottenere maggiori risultati in meno tempo. Prova Smartsheet gratuitamente, oggi.

Qualsiasi articolo, modello o informazione sono forniti da Smartsheet sul sito web solo come riferimento. Pur adoperandoci a mantenere le informazioni aggiornate e corrette, non offriamo alcuna garanzia o dichiarazione di alcun tipo, esplicita o implicita, relativamente alla completezza, l’accuratezza, l’affidabilità, l’idoneità o la disponibilità rispetto al sito web o le informazioni, gli articoli, i modelli o della relativa grafica contenuti nel sito. Qualsiasi affidamento si faccia su tali informazioni, è pertanto strettamente a proprio rischio. 

Questi modelli sono forniti solo come esempi. Questi modelli non sono in alcun modo concepiti come consigli legali o di conformità. Gli utenti di questi modelli devono individuare tra le varie informazioni quelle necessarie e adeguate ai propri obiettivi.

Collegate persone, processi e strumenti con una piattaforma semplice e facile da usare.

Prova Smartsheet gratis Get a Free Smartsheet Demo