Home » News » Attualità

Cloud Security

Cloud Security

Argomento dell'approfondimento odierno de I VENERDI' DI S NEWS, un tema a dir poco attualissimo e che sta coinvolgendo sempre di più il settore della sicurezza, per molteplici motivi.
“Cloud Security” a cura di Matteo Cavallini è il titolo dell'articolo che segue e rientra anche tra i focus on del rapporto Clusit, nuova edizione settembre 2013.
Buona lettura!

La Redazione


Cloud Security

Nel corso del 2012 il fenomeno del cloud computing è entrato nella fase di maturità in molti mercati del mondo e ha consolidato le relazioni con altre tendenze dominanti dell’information Technology quali ad esempio il mobile.

Dal punto di vista del mercato, hanno inoltre acquisito una notevole importanza le soluzioni di sicurezza erogate in modalità cloud (Security as a Service – SecaaS), con un marcato incremento della numerosità dei prodotti offerti e delle tipologie di servizi. In questo specifico campo, oltre agli ormai consolidati prodotti per la email security, web security e antivirus, si sono sviluppati consistenti offerte nel campo dell’Identity and Access Management, del SIEM e del Data Loss Prevention. Ciò è anche dovuto al fatto che, a livello dimensionale, i dati prodotti da questi sistemi di sicurezza in termini di log e eventi è in costante aumento e che, di conseguenza, la capacità di governare il fenomeno Big Data è ormai percepita come un abilitatore per riuscire a esprimere delle reali capacità di sicurezza. È quindi naturale che si sia sviluppato (e che probabilmente continuerà a svilupparsi) uno specifico settore del mercato del cloud dedicato a queste esigenze.

Uno sguardo agli incidenti del 2012

Dal punto di vista dei data breach, i servizi cloud non hanno avuto un’attenzione maggiore rispetto ai servizi erogati o gestiti in modo tradizionale. Gli episodi che si sono verificati sulle grandi cloud pubbliche rientrano nella media e non hanno costituito una particolare fonte di preoccupazione e attenzione da parte dei provider e dei consumer. Uno degli argomenti caldi per quanto riguarda gli incidenti nel mondo cloud è, invece, rimasto quello legato al tema della disponibilità dei servizi. Le ragioni di tanta attenzione risiedono fondamentalmente nella totale passività in cui sono costretti i Consumer in caso di incidente e nella supposta resilienza intrinseca delle infrastrutture cloud che viene puntualmente smentita ad ogni incidente. Da questo punto di vista, gli incidenti che più hanno fatto eco sono quelli che hanno colpito Amazon; probabilmente perché Amazon è una grande realtà nel mondo dei Cloud Provider di tipo IaaS e ha clienti tra i principali soggetti del mondo dell’IT. Nel corso del 2012, ci sono state alcune brevi interruzioni nell’erogazione dei servizi erogati da Amazon, soprattutto in alcuni datacenter americani. Queste interruzioni del servizio si sono però riflesse su grandi realtà del calibro di Netflix, Instagram e Pinterest, contribuendo così ad attrarre l’attenzione dei media e sottolineando l’esigenza, anche per i Cloud Consumer di piccolo e medio calibro, di dotarsi di contromisure specifiche a garanzia della continuità del servizio.

Gli Stati Uniti e la Federal Cloud Strategy

Gli Stati Uniti hanno elaborato una complessa strategia per diffondere il cloud computing all’interno delle agenzie federali. Questa strategia si compone di varie componenti tra cui il programma “Federal Risk and Authorization Management Program” (FedRAMP1) gestito dalla GSA che è finalizzato ad aumentare l’efficienza e la velocità nell’acquisizione di soluzioni cloud senza comprometterne la sicurezza. La General Service Administration si era imposta di iniziare a rilasciare certificazioni per i Cloud Provider entro la fine del 2012 ma ha incontrato numerose difficoltà che ne hanno rallentato il percorso e complicato l’iter, per cui la prima certificazione è stata emessa soltanto il 26 dicembre! A conferma delle difficoltà di questo percorso, nonostante la vivacità del mercato cloud negli Stati Uniti, a Febbraio 2013 risultano ancora solo 2 certificazioni emesse. Tutto ciò, quindi, mette in mostra quanto sia effettivamente complicato riuscire a realizzare degli approcci che coniughino il mantenimento dell’efficacia ed efficienza dei servizi cloud con la garanzia e la sicurezza richieste dagli enti pubblici e dalle pubbliche amministrazioni.

Uno sguardo all’Europa

L’attenzione che la Commissione Europea dedica al tema cloud, soprattutto in chiave sicurezza, è ormai ampiamente nota. Il costante impegno della Vice Presidente Kroes su questi temi è fonte di continue iniziative sia a livello europeo sia, a cascata, a livello nazionale. Interessante, da questo punto di vista, la gara che è stata bandita per lo sviluppo di progetti sul tema “Governmental Clouds & Incident Reporting”2. Questa gara è stata divisa in due lotti, il primo dei quali si occupa di incident reporting in ambito cloud e punta all’estensione ai Cloud Provider di quanto previsto dall’Articolo 13a (risk assessment, risk treatment e data breach notification) della direttiva sulle telecomunicazioni. Il secondo lotto punta, invece, alla definizione di un insieme di linee guida per rendere più sicure le infrastrutture dei Cloud Provider al fine di facilitare la sottoscrizione di servizi da parte del settore pubblico. Da segnalare, inoltre, la pubblicazione da parte di ENISA del documento “Procure Secure”3 che costituisce uno dei primi esempi di guide per il monitoraggio dei livelli di servizio per le componenti di sicurezza nei contratti cloud. In particolare, tra gli altri, vengono ad essere analizzati i seguenti importanti parametri: incident response, conformità tecnica e gestione delle vulnerabilità, isolamento dei dati, gestione dei log e forensic. Un importante contributo, quindi, per consentire il trasferimento sicuro sul cloud anche delle parti “core” delle infrastrutture IT.

La situazione in Italia

A livello italiano, tra le varie iniziative interessanti, vale la pena di sottolineare la pubblicazione, a maggio 2012, delle “Raccomandazioni e proposte sull’utilizzo del cloud computing nella Pubblica Amministrazione”4 da parte di DigitPA. Questo documento riporta una serie di analisi e considerazioni in merito a: le opportunità e i rischi del cloud nella PA, le condizioni per il successo di una iniziativa cloud e le raccomandazioni in senso stretto. Questo documento è il frutto degli sforzi di un gruppo di lavoro molto ampio, costituito dai principali attori nel campo della consulenza e dei player del mondo IT, da diverse Amministrazioni Pubbliche, da alcune aziende statali, da alcune Università e da Istituti di ricerca. Il Gruppo di lavoro è stato coordinato da DigitPA con il contributo, per gli aspetti di sicurezza, di Cloud Security Alliance – EMEA. Parallelamente alla pubblicazione di questo documento, a livello legislativo, è iniziato un percorso che ha portato a definire gli obiettivi dell’Agenda Digitale Italiana e a costituire l’Agenzia per l’Italia Digitale, con la soppressione di DigitPA. Il cloud, in questo scenario, è visto come un argomento di assoluta centralità, che può svolgere un ruolo di abilitatore anche per altri obiettivi dell’Agenda Digitale Italiana, quali l’uso degli open data, le smart cities e l’e-health. L’Agenzia è, ad inizio 2013, ancora in una fase di start-up e, probabilmente, necessita del varo del prossimo governo per avere la necessaria sponsorship e diventare pienamente operativa. Quando però l’Italia disporrà di questo nuovo strumento per l’innovazione, potrà essere nella condizione di riuscire a colmare il ritardo accumulato nel tempo e realizzare una strategia compiuta che attui l’Agenda Digitale, riuscendo a raggiungere quegli obiettivi che tanto sono richiesti da cittadini, imprese e Pubbliche Amministrazioni italiane per riuscire a mettere in pratica i risparmi e l’efficientamento di cui il Paese ha estremo bisogno. Infine, a completamento del quadro italiano, è da segnalare che il capitolo italiano di Cloud Security Alliance ha pubblicato un paio di ricerche in ambito cloud, la prima dal titolo “Portabilità, Interoperabilità e Sicurezza Applicativa nel Cloud”5 svolta in collaborazione con OWASP-Italy e la seconda dal titolo “Standard Contrattuali per il Cloud Computing”6.

Alcune nuove sfide

Con l’accresciuta maturità dei servizi cloud, si è anche “alzato il tiro” delle possibili applicazioni del cloud computing. Le due maggiori sfide che stanno per essere raccolte in questo campo sono: il cloud nelle applicazioni militari e il cloud per le infrastrutture critiche.

Dal punto di vista delle applicazioni militari del cloud computing, l’esercito americano, come era lecito aspettarsi, è all’avanguardia, esprimendo delle posizioni di cauta apertura e di interesse. Sostanzialmente, viene riconosciuto al cloud la capacità di ottenere grandi vantaggi in termini di efficienza, risparmi e flessibilità, oltre alla ineguagliata efficacia nel trattare le grandi moli di dati che caratterizzano le applicazioni più spinte. L’esercito americano, infatti, riconosce al cyberspace un’importanza pari a quella che ha avuto nel recente passato lo spazio aereo. Per questi motivi, la Cyber Superiority viene vista come un obiettivo primario da raggiungere quanto prima. Il cloud computing viene quindi considerato una componente molto rilevante nel quadro delle iniziative per il raggiungimento di questo strategico obiettivo, anche se viene riconosciuta l’esigenza di migliorarne la sicurezza a tutti i livelli: dal “data layer” al “compute layer” passando per il “display layer” (ossia il livello nel quale i dati interagiscono con gli operatori). Analoghe valutazioni possono essere svolte anche nel campo del cloud per le infrastrutture critiche. L’Europa, in questo caso, ha un ruolo preminente, come anche dimostrato dalla iniziativa di ENISA che ha pubblicato un interessante studio dal titolo: “Critical Cloud Computing. CIIP Perspective on Cloud Computing”7. In questo studio vengono analizzati proprio gli aspetti più importanti nella valutazione dell’adozione di servizi cloud da parte di gestori di infrastrutture critiche. In particolare sono valutati gli aspetti dell’analisi del rischio, della gestione degli incidenti, del monitoraggio, del governo dei servizi e della sicurezza in generale.

Conclusioni

Il mondo del cloud computing è ancora in una fase fortemente propulsiva in cui, da parte dei Provider, si elaborano nuove nicchie di mercato nel tentativo di allargare la base dei potenziali consumer che possono essere serviti. Dal punto di vista dei consumer, invece, c’è la presa d’atto che questo tipo di servizi cominciano a diventare essenziali per la moderna gestione delle infrastrutture IT. In questo scenario, i governi cercano di trovare il modo per far entrare in campo anche il mercato della Amministrazione Pubblica, al fine di farlo avvicinare alle capacità esecutive tipiche del settore privato e, in ultima analisi, per contribuire al rilancio dell’economia attraverso la creazione delle migliori condizioni per il rilancio delle imprese. L’auspicio è che l’Italia ritrovi la forza e la chiarezza di visione necessarie per riuscire ad eliminare il ritardo accumulato in questo settore così determinante per la crescita del Paese.

A cura di Matteo Cavallini

1 www.fedramp.gov
2 http://www.enisa.europa.eu/procurement/cloud-security-governmental-clouds-incident-reporting
3 http://www.enisa.europa.eu/activities/Resilience-and-CIIP/cloud-computing/procure-secure-a-guide-to-monitoring-
of-security-service-levels-in-cloud-contracts

4 http://www.digitpa.gov.it/notizie/uso-del-cloud-computing-nella-pa
5 http://cloudsecurityalliance.it/wp-content/uploads/2012/12/CSA_Italy_Portabilita_Interoperabilita_e_Sicurezza_
Applicativa_v1.pdf

6 http://cloudsecurityalliance.it/wp-content/uploads/2012/12/Studio-Standard-Contrattuali-per-il-Cloud-Computing-
DEC-2012-IT.pdf

7 https://resilience.enisa.europa.eu/cloud-security-and-resilience/critical-cloud-computing/view


Matteo Cavallini lavora nel campo della sicurezza informatica da oltre 15 anni per aziende private ed enti governativi. Attualmente è il Responsabile dell’Area Security di Consip e il Responsabile della Struttura Operativa dell’Unità Locale di Sicurezza MEF/Consip, il CERT interno del Ministero dell’Economia e di Consip. Dal 2010 è il referente delle attività di Consip nel campo della cloud security e, a luglio 2011, Consip ha pubblicato il suo studio dal titolo: “Cloud Security: una sfida per il futuro”. Cavallini è anche Vice Presidente della Cloud Security Alliance – Italy Chapter ed è membro del direttivo di AIPSI. Precedentemente, ha lavorato al progetto GovCERT.it (ora CERT_SPC) presso il CNIPA e come responsabile della sicurezza perimetrale in Consip. Sempre presso il CNIPA ha svolto il ruolo di esperto senior di sicurezza della Commissione di Collaudo dei servizi di sicurezza del Sistema Pubblico di Connettività. Dal 2000 al 2004 è stato IT Security Project Manager in Consip realizzando alcuni dei progetti più critici dal punto di vista della sicurezza informatica.

Condividi questo articolo su:

Fiere ed eventi

S NewsLetter

Rimani sempre aggiornato sulle ultime novità della sicurezza.

Ho letto e compreso la vostra privacy policy.