Il cloud computing si sta affermando come modello essenziale di fruizione e gestione delle tecnologie ICT: secondo Gartner, la “cloud adoption” continuerà a crescere annualmente con tasso medio del 17% fino al 2027. Nell’arco temporale 2019-2023, come riporta il Politecnico di Milano, il mercato cloud italiano ha mantenuto una progressione a doppia cifra.
Tuttavia, il ricorso a soluzioni as-a-Service comporta nuove sfide in termini di cybersecurity, che richiedono approcci, strumenti e best practice alternativi e più evoluti rispetto all’IT tradizionale.
Indice
Come funziona la cloud security
Caratteristiche e obiettivi della cloud security
Cloud-native e nuovi paradigmi di sicurezza
Le principali componenti per un cloud sicuro
Caratteristiche avanzate della cloud security
Quali sono i vantaggi della cloud security
Principali minacce alla sicurezza nel cloud
Normative per la conformità del cloud
Come impostare una cloud security strategy
Soluzioni di cloud security disponibili
Cos'è la cloud security
Con cloud security si intende l’insieme di tecnologie, processi e buone pratiche finalizzato a proteggere gli ecosistemi implementati sul cloud (infrastrutture, applicazioni e informazioni) contro minacce interne ed esterne.
È dunque un ramo della sicurezza informatica che si pone l’obiettivo di proteggere le risorse aziendali collocate nel cloud e qualsiasi elemento (dispositivo, applicazione o utente) che vi si connette.
Un approccio sempre più diffuso per sfruttare i vantaggi del cloud è il modello as-a-Service, che consente di accedere a risorse e servizi cloud su richiesta, senza la necessità di gestire direttamente l'infrastruttura sottostante.
Qualunque azienda intenda ricorrere al modello as-a-Service, deve innanzitutto sincerarsi di poggiare su fornitori affidabili e architetture secure-by-design. Il cloud infatti fornisce vantaggi in termini di protezione dei dati, ma contemporaneamente presenta nuove sfide, soprattutto perché espande la superficie di attacco.
I benefici dell’opzione as-a-Service sono svariati: ad esempio, si riduce l’onere operativo legato alla gestione dell’infrastruttura aziendale, il processo di aggiornamento dei sistemi viene semplificato, la responsabilità sulla sicurezza è condivisa con il Cloud Service Provider (CSP). Tuttavia, esistono anche le criticità: con l’adozione del cloud, il perimetro aziendale si evolve e non può più essere circoscritto a un unico dominio interno. Così le aziende sono costrette a rivedere le strategie difensive.
Come funziona la cloud security
In termini di gestione della sicurezza, il cloud introduce il concetto di responsabilità condivisa tra il CSP e il cliente, che varia a seconda della tipologia di servizio acquistato ovvero infrastrutturale, applicativo o di piattaforma.
|
|
|
|
|
|
Secondo le previsioni di Gartner, nell’orizzonte temporale fino al 2027, il 99% delle violazioni ai dati negli ambienti cloud saranno imputabili ad errori di configurazione da parte delle aziende utenti e delle compromissioni degli account, non il risultato di imperizie del CSP.
Ciò porta a una riflessione: ricorrere a un cloud provider non significa solo scegliere la formula IaaS, PaaS o SaaS più aderente alle proprie esigenze, ma vuol dire anche prendersi l’onere di attivare o costruire servizi opportuni per raggiungere i livelli di sicurezza desiderati. Ecco perché affidarsi a un CSP affidabile, che offre servizi di cybersecurity avanzati e connaturati alla propria offerta di soluzioni cloud, è il primo passo per una cloud security strategy efficace.
Caratteristiche e obiettivi della cloud security
Come anticipato, la finalità della cloud security è quella di proteggere le risorse aziendali trasferite sulla “nuvola” e qualsiasi dispositivo, applicazione o utente che vi si connette.
Per raggiungere tale obiettivo, è fondamentale fare affidamento su un Cloud Service Provider che fornisca infrastrutture secured-by-design. Questo approccio non solo migliora la protezione dei dati, ma assicura anche la compliance con normative e regolamentazioni europee, come il GDPR e la direttiva NIS2, oltre a standard internazionali e normative di settore.
Di seguito riportiamo i principi, i processi e gli strumenti che concorrono alla sicurezza degli ambienti cloud.
Cloud-native e nuovi paradigmi di sicurezza
Innanzitutto, tra i fattori principali per il controllo e la tutela degli asset sulla nuvola, bisogna annoverare il concetto di visibility.
Il cloud computing ribalta i tradizionali modelli di gestione e fruizione dei servizi IT, introducendo nuove architetture software basate sui microservizi. Le cosiddette applicazioni “cloud-native” infatti sono intrinsecamente progettate per sfruttare al massimo i benefici derivanti dall’elasticità e dalla natura distribuita della nuvola. Pertanto, non vengono più concepite secondo una struttura monolitica, ma come aggregazione di singole unità funzionali, indipendenti e dislocate su più risorse di elaborazione, quali host, macchine virtuali e container.
Oltre al traffico dati Nord-Sud, che rappresenta la trasmissione dei dati dal client al server attraverso il perimetro di sicurezza dell’organizzazione, si generano anche connessioni orizzontali Est-Ovest, che avvengono su un unico livello all’interno della rete aziendale e riguardano gli scambi di dati tra diversi workload.
Tipicamente, la maggioranza del traffico cloud è rappresentata dalle comunicazioni Est-Ovest per cui le soluzioni di sicurezza perimetrale non riescono a individuare anomalie di tali comunicazioni, visto che lo scambio dati avviene tra sistemi dentro i confini del network.
Inoltre, proprio perché il traffico orizzontale è interno, tende a essere considerato implicitamente sicuro e spesso non viene ispezionato, mentre la visibilità completa sui workload e tutte le connessioni anche di tipo Est-Ovest è essenziale per garantire la protezione degli ambienti IT.
Le tecniche di microsegmentazione permettono di isolare i singoli carichi di lavoro all’interno di una rete definendo per ciascuno policy di accesso granulari, secondo l’approccio Zero Trust e il principio dei privilegi minimi (ovvero si autorizza esclusivamente la fruizione delle risorse necessarie all’esecuzione dell’attività specifica).
In questo modo si può prevenire il pericolo dei movimenti laterali, una tecnica che permette agli attaccanti di spostarsi progressivamente all’interno della rete in cerca di risorse e dati da sottrarre, dopo essere entrati da un punto di ingresso compromesso.
Le principali componenti per un cloud sicuro
Oltre a fornire visibilità sull’intero traffico di rete, le infrastrutture cloud intrinsecamente sicure si distinguono per una serie di caratteristiche e funzionalità, come le garanzie di sicurezza fisica dei data center e l’alta disponibilità dei sistemi grazie ad architetture ridondanti.
Gli elementi che concorrono alla cloud security possono essere così sintetizzati:
- Security Operations Center (SOC). Essenziale per il monitoraggio dei workload su cloud, assicura una sorveglianza costante e una risposta rapida agli incidenti di sicurezza.
- Data Protection. Le tecniche di crittografia garantiscono l’accesso ai dati limitando tuttavia la visibilità di informazioni riservate;
- Gestione di identità e accessi. Strumenti come l’autenticazione multifattore, il Single Sign-On e le piattaforme IAM (Identity & Access Management) permettono di riconoscere gli utenti e assegnare correttamente le autorizzazioni;
- Sicurezza delle reti. Il traffico dentro e fuori il network aziendale va protetto con strumenti che spaziano dai tradizionali firewall agli Intrusion Detection Systems fino alle tecniche di segmentazione;
- Monitoraggio e logging. Il controllo continuo delle risorse cloud e degli eventi permette di identificare tempestivamente minacce e anomalie;
- Vulnerability Management. La scansione regolare delle risorse cloud permette di identificare e correggere tempestivamente eventuali falle.
Caratteristiche avanzate della cloud security
Le offerte cloud più evolute includono un servizio SOC 24/7 per la protezione degli asset digitali e la risposta in tempo reale alle minacce, così come servizi di backup e disaster recovery su misura per garantire l’adempimento degli obiettivi di business continuity, anche alla luce dei requisiti normativi più stringenti. Infine, si basano su data center certificati Tier IV, che garantiscono i massimi livelli di affidabilità e downtime praticamente nulli.
L’Uptime Institute infatti ha definito una classificazione dei data center su scala internazionale secondo quattro livelli (o Tier). Il Tier identifica la capacità tecnica e strutturale del data center di garantire la business continuity a fronte di circostanze avverse. Per ottenere il quarto e più alto livello, l’infrastruttura deve tollerare l’impatto cumulativo di fault su più sistemi, gestendo la continuità operativa senza intervento umano, per un uptime annuo del 99,995%.
Un’altra caratteristica essenziale di un’infrastruttura cloud sicura, tipica delle offerte più evolute, è rappresentata dalle Region: la prossimità del data center cloud alla sede del cliente offre infatti vantaggi in termini di prestazioni (riducendo ad esempio il fattore della latenza per informazioni e applicazioni critiche), ma soprattutto sul piano della sicurezza e della conformità. Numerose infatti sono le normative che legiferano in materia di localizzazione, responsabilità e controllo dei dati, appellandosi ai principi della digital sovereignty.
Sai come valutare il data center migliore per la tua impresa?
Quali sono i vantaggi della cloud security
La mossa vincente, insomma, sta nello scegliere un provider orientato all’approccio secure-by-design per i propri data center e strutturato per fornire un pacchetto di soluzioni di cybersecurity già connaturato all’offerta IaaS, PaaS o SaaS.
In questo modo, l’azienda riceve immediate garanzie sui livelli di protezione dell’ambiente cloud e si libera dell’onere di attivare o costruire il mix di servizi necessario al raggiungimento dei desiderata di sicurezza.
Riassumendo i vantaggi della cloud security concepita secondo una visione completa, olistica e integrata delle sue componenti, si possono quindi annoverare:
- visibilità totale sui workload e sulle comunicazioni Est-Ovest per identificare eventuali minacce;
- controllo sul traffico Nord-Sud, dentro e fuori il perimetro del network aziendale, per scongiurare le intrusioni;
- blocco degli accessi sospetti grazie alla verifica delle identità e a un sistema granulare di assegnazione delle autorizzazioni;
- prevenzione da possibili compromissioni mediante scansione e correzione tempestiva delle vulnerabilità che potrebbero essere sfruttate dagli attaccanti;
- da alti a massimi livelli di continuità operativa grazie alle infrastrutture certificate Tier;
- maggior resilienza in caso di incidente attraverso l’implementazione di soluzioni per il backup e il disaster recovery;
- monitoraggio continuo dell’ambiente IT e risposta immediata contro attacchi e incidenti grazie ai Managed Services erogati dagli specialisti della sicurezza.
Sai unire cloud e cybersecurity
per assicurare la continuità operativa e limitare il rischio di attacchi hacker?
Principali minacce alla sicurezza nel cloud
La cloud security è fondamentale in un contesto dove le minacce informatiche mostrano un aumento continuo e significativo a livello globale, senza risparmiare nessuna azienda o settore. Secondo il Clusit, l’Associazione Italiana per la Sicurezza Informatica, gli attacchi osservati nel periodo 2019-2023 sono stati 10.858, con una crescita globale del 60% mentre il dato nazionale raggiunge il 300%. Il 2023 ha registrato un rialzo dell’11% nel mondo e del 65% in Italia.
Gli ambienti cloud sono soggetti allo stesso spettro di minacce e rischi dei data center tradizionali (ransomware, furto dei dati, violazione di identità e accessi) ma devono fare i conti con alcune criticità tipiche come la mancanza di visibilità e controllo sull’infrastruttura, soprattutto in ecosistemi multi-cloud; la presenza di errori di configurazione dei diversi servizi; l’utilizzo di API accessibili tramite Internet che permettono agli utenti di interagire con le soluzioni sulla nuvola e possono essere sfruttate dai criminali per perpetrare attacchi.
Come sottolinea l’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano, tra le principali problematiche emergono anche le difficoltà legate all’integrazione tra i servizi sulla nuvola e le soluzioni di sicurezza già adottate in azienda così come la mancanza di formazione del personale interno sulla cloud security. Altri ostacoli riguardano il rapporto con il CSP, che spesso fornisce misure di sicurezza standardizzate, non declinate sulle specifiche necessità aziendali né verificabili dal cliente.
Inoltre, vista la crescente adozione di soluzioni as-a-Service, i criminali informatici stanno concentrando gli attacchi verso le risorse sulla nuvola, colpendo soprattutto le applicazioni SaaS, i sistemi di cloud storage e l’infrastruttura di gestione.
Rischi della cloud security
Per mitigare le criticità connesse all’adozione del cloud, la scelta del CSP riveste un ruolo chiave perché permette di superare i principali rischi della cloud security. Andiamo più nel dettaglio.
|
|
|
|
|
|
|
|
Normative per la conformità del cloud
In un contesto globale sempre più digitalizzato, la sicurezza informatica e la protezione dei dati sono diventate priorità assolute per le organizzazioni. Diverse normative sono state introdotte per garantire standard elevati di sicurezza e resilienza, influenzando direttamente le strategie aziendali e la gestione dei servizi cloud. Ecco una panoramica sulle principali direttive e regolamentazioni sul tema.
- NIS2 - Approvata dal Parlamento Europeo il 10 novembre 2022, la Direttiva NIS2 espande la precedente NIS del 2016, introducendo requisiti più stringenti in materia di cybersecurity, risk management e segnalazione degli incidenti per gli operatori di Servizi Essenziali e Importanti all’interno della UE. Gli stessi CSP rientrano tra i soggetti coinvolti. Le organizzazioni interessate devono garantire la resilienza della propria supply chain, monitorando gli aspetti di sicurezza dei propri fornitori, inclusi i cloud provider, che devono garantire continuità operativa.
- GDPR - Il General Data Protection Regulation definisce per il titolare precisi obblighi di diligenza nella scelta dei propri responsabili del trattamento, e quindi anche degli eventuali cloud provider, che vanno selezionati in base a diversi criteri come l’ubicazione geografica e misure di sicurezza fisica dei data center oppure la capacità di assicurare funzionalità di data protection avanzate.
- DORA - Pubblicato nella Gazzetta ufficiale dell’Unione europea del 27 dicembre 2022, il Digital Operational Resilience Act introduce obblighi di cyber risk management e breach reporting per tutti gli operatori del settore finanziario. Le istituzioni interessate dovranno inoltre eseguire cyber stress test per verificare il livello di resilienza operativa digitale contro le minacce informatiche. Ciò significa un controllo anche rispetto alle garanzie offerte dai propri fornitori ICT, inclusi i cloud provider.
- ISO/IEC 27017 e 27018 - La normativa ISO/IEC 27001:2013 definisce le linee guida per un Sistema di Gestione della Sicurezza delle Informazioni conforme agli standard dettati dall’Organizzazione Internazionale per la Standardizzazione (ISO) e dalla Commissione Elettrotecnica Internazionale (IEC). All’interno della normativa, le integrazioni ISO/IEC 27017:2021 e ISO/IEC 27018:2020 si riferiscono agli ambienti cloud. In particolare, la prima stabilisce i controlli di sicurezza generali per fornitori e utilizzatori di servizi cloud, chiarendo le responsabilità di ciascuno con l’obiettivo di garantire la protezione dei dati sulla nuvola. La seconda invece descrive il codice di condotta per la protezione delle informazioni di identificazione personale (PII) all’interno delle soluzioni di cloud pubblico e si rivolge ai provider che agiscono come responsabili del trattamento dati.
- ACN - Istituita dal Decreto Legge n.82 del 14 giugno 2021, l’Agenzia per la Cybersicurezza Nazionale ha il compito di tutelare la sicurezza e la resilienza nello spazio cibernetico, a tutela degli interessi nazionali. Tra i principali compiti, oltre all’attuazione della Strategia Nazionale di Cybersicurezza che contiene 82 obiettivi da perseguire entro il 2026, l’Agenzia regola le modalità e i termini di qualificazione delle infrastrutture e dei servizi cloud per la Pubblica Amministrazione. Pertanto, svolge le verifiche preventive sul livello di conformità delle soluzioni cloud offerte da operatori privati, dei quali si possono avvalere le PA. Come risultato delle verifiche, viene aggiornato il catalogo consultabile online con i soggetti e i servizi qualificati.
Qualsiasi azienda sotto giurisdizione italiana che intende modernizzare le proprie infrastrutture IT deve necessariamente considerare il quadro regolatorio descritto, scegliendo di conseguenza il CSP ottimale.
È da sottolineare che l’alternativa cloud può portare un deciso vantaggio nel raggiungere gli obiettivi di sicurezza IT e in termini di compliance. Affidarsi a un cloud provider allineato alle normative e certificato su determinati standard di processo per la cybersecurity, significa “ereditarne” di conseguenza la conformità.
Come impostare una cloud security strategy
Appare chiaro, dunque, che per sviluppare un’adeguata strategia di cloud security, occorre cominciare dall’analisi interna su necessità, gap e rischi.
L’assessment del parco IT aziendale è un passo fondamentale per sviluppare un ambiente sicuro e conforme. Bisognerebbe procedere quindi con una mappatura dei workload già residenti sulla nuvola e delle risorse on-premise che converrebbe migrare, valutando la migliore alternativa tra cloud pubblico e privato. È fondamentale identificare, poi, quali sono i dati a valore e mission-critical, avendo una chiara visione di dove risiedano e di quale protezione richiedano.
Una corretta cloud security strategy dovrebbe basarsi sul principio della selettività, differenziando il servizio cloud scelto in funzione della criticità del workload e delle informazioni. I carichi di lavoro strategici per il business andrebbero mantenuti all’interno delle infrastrutture private, contando sul pieno controllo e sulla localizzazione del dato, a differenza di informazioni, applicazioni e servizi esterni al core business per i quali si può adottare il public cloud.
A differenza della nuvola pubblica in cui i servizi vengono erogati da un’infrastruttura multi-tenant, il private cloud è dedicato a un unico cliente con benefici in termini di personalizzazione e piena gestione delle risorse hardware e software, miglior controllo degli accessi (dato che tutti i workload sono eseguiti dentro al perimetro aziendale) e servizi di sicurezza declinati sulle necessità specifiche, così come in termini di garanzia di conformità normativa secondo le effettive esigenze dell’azienda e del settore. Vantaggi, questi, che non escludono quelli tipici della nuvola, come scalabilità, disponibilità dei servizi o semplicità di provisioning.
Chiaramente, nella scelta della soluzione cloud, occorrono attente valutazioni in termini di data soverignty e prestazioni del servizio, per identificare dove conviene localizzare le informazioni e il workload traguardando i requisiti di velocità, disponibilità e compliance.
Successivamente, una volta identificate le potenziali soluzioni e proseguendo nell’attuazione della cloud security strategy, un’azienda dovrebbe indagare le funzionalità di sicurezza messe a disposizione dal CSP. In particolare, bisognerebbe verificare se le misure implementate si allineano ai requisiti tecnici e agli obiettivi strategici desiderati e soprattutto se garantiscono pienamente la compliance rispetto al quadro regolatorio di riferimento.
Le certificazioni sono un elemento differenziante nella scelta del cloud provider, perché forniscono garanzie di sicurezza validate da un ente terzo. In particolare, affidarsi a un CSP che offre data center Tier IV significa ottenere le massime assicurazioni sull’affidabilità delle infrastrutture. Altre certificazioni importanti da considerare ai fini della cloud security riguardano l’adesione allo standard ISO/IEC 27001 e relative integrazioni ISO/IEC 27017 e ISO/IEC 27018.
Verificato che il provider sia allineato agli obiettivi aziendali di sicurezza e che siano state garantite le misure protettive ottimali per ciascun workload, non bisognerebbe trascurare audit e aggiornamenti regolari, elementi essenziali per garantire l'efficacia della strategia sul lungo periodo.
Soluzioni di cloud security disponibili
Nel panorama delle nuvole disponibili, WIIT promuove la piattaforma Secure Cloud con cui le aziende possono migrare i carichi di lavoro critici e costruire soluzioni innovative, dai software di intelligenza artificiale alle applicazioni dell’Internet Of Things.
Secure Cloud poggia su un network europeo con più di 20 data center proprietari raggruppati in 7 Region sulla base di criteri geografici (Germania, Italia, Svizzera) così da rispondere alle varie necessità di compliance normativa in materia di data residency.
Le infrastrutture di WIIT sono state disegnate secondo un approccio secure-by-design, ovvero mettendo a disposizione, anche per le offerte del portafoglio base, un layer standard di funzionalità di sicurezza, con la possibilità di avvalersi di servizi aggiuntivi a seconda delle necessità. In questo modo, il cliente non ha l’onere di costruire le proprie soluzioni di difesa, godendo fin da subito di un ambiente cloud intrinsecamente protetto.
Secure Cloud infatti si differenzia per una serie di caratteristiche, come la workload visibility, la disponibilità di soluzioni Zero Trust, l’erogazione di Managed Service in modalità 24/7, la possibilità di backup offsite per la massima resilienza contro i ransomware, l’high availability delle risorse e i massimi livelli di uptime.
Nello specifico, sono state attivate 3 Zone, ovvero pacchetti di servizi di cybersecurity differenziati che possono essere attivati a seconda della Region selezionata.
- La Zona Standard fornisce servizi di sicurezza preventiva come il Vulnerability Management e la segmentazione delle reti, l’alta disponibilità dei sistemi grazie ad architetture ridondanti e scalabilità senza compromessi verso l’alto e verso il basso;
- La Zona Premium, disponibile esclusivamente nelle Region con data center Tier IV, aggiunge soluzioni di sicurezza avanzate per workload business-critical e include un servizio SOC 24/7 per il monitoraggio continuo dell’ambiente IT, la protezione delle risorse e la risposta in tempo reale alle minacce.
- Le Zone DR (Disaster Recovery) permettono di attivare servizi di backup e disaster recovery personalizzabili in funzione delle esigenze aziendali, con parametri di RTO (Recovery Time Objective) e RPO (Recovery Point Objective) garantiti.
Con Secure Cloud, le aziende dispongono quindi di un ambiente solido, sicuro e personalizzabile dove spostare le infrastrutture core e i workload critici, con la possibilità di implementare ecosistemi ibridi e senza vincoli poiché viene garantita l’integrazione con le soluzioni di cloud pubblico offerte degli hyperscaler.
Compila il form per richiedere maggiori informazioni