Salta al contenuto

Temi di tendenza

Cos’è il modello di responsabilità condivisa nei servizi cloud?

Samanta Fumagalli

02.05.17 6 minuti di lettura

I servizi basati su cloud forniscono alternative alle tradizionali infrastrutture IT con sostanziali vantaggi per la sicurezza. I servizi cloud offrono vari livelli di responsabilità condivisa per la sicurezza. Cosa significa per la tua organizzazione?

Il focus della tua azienda dovrebbe essere basato su quella che è la vision e la mission aziendale, non sullo stare un passo avanti rispetto alle ultime vunerabilità dei tuoi sistemi IT. Mantenere questo focus nel business quotidiano è difficilissimo soprattutto quando violazioni alla sicurezza di massa come quelle accadute a Target o al gigante del web Yahoo! dominano i titoli dei giornali. I servizi basati su cloud forniscono alternative alle infrastrutture IT tradizionali con vantaggi sostanziali per la sicurezza. Che si tratti di modelli basati su infrastrutture, piattaforme, o software, i servizi cloud offrono vari livelli di responsabilità condivisa per la sicurezza.

Per raggiungere appieno il livello di sicurezza che la tua organizzazione e i tuoi asset richiedono, è necessario seguire due direttive chiare: 1) selezionare il tipo appropriato di servizio per la tua organizzazione e 2) comprendere i tuoi obblighi derivanti dal modello di responsabilità condivisa di quel servizio.

I servizi basati su cloud hanno rivoluzionato la sicurezza informatica. Ripetutamente, i fornitori di cloud hanno dimostrato che i loro sistemi possono superare soluzioni onsite in termini di efficacia, efficienza, e sicurezza. Infatti, il cloud rende possibile spostare facilmente in outsourcing e in modo sicuro alcuni aspetti dei sistemi IT di un’azienda a un fornitore esterno di cloud. Inoltre, i servizi basati su cloud pesano meno sulle risorse dell’azienda e possono quindi rappresentare una scelta eccellente da una prospettiva aziendale. Ogni cosa, dai servizi email alle macchine virtuali, possono essere gestite in modo più sicuro da un fornitore di cloud – ed evitare alle aziende di dover gestire porzioni sostanziali della loro sicurezza.

Tuttavia, il cloud non riduce il rischio per gli utenti finali di essere compromessi né per gli endpoint di essere infettati. Gli utenti finali e gli endpoint sono vulnerabili sempre.

Affidando i sistemi IT aziendali a un partner che fornisce cloud, organizzazioni di ogni dimensione sono maggiormente in grado di focalizzarsi sulla loro attività quotidiana. Ma ciò significa che le aziende sono assolte da ogni responsabilità quando si tratta di proteggersi da minacce informatiche? Sfortunatamente no. Non ci siamo ancora arrivati. Per ora, le organizzazioni devono comprendere le loro responsabilità e adempiere ai loro obblighi derivanti dal modello di responsabilità condivisa al fine di restare protetti.

Cos’è la responsabilità condivisa?

In poche parole, il cliente è responsabile per tutti gli aspetti delle soluzioni di sicurezza e gestione quando sono implementate in azienda. Poiché le organizzazioni si stanno spostando sempre più verso servizi basati su cloud, maggiori responsabilità vengono attribuite ai fornitori. In generale, il vantaggio principale dei servizi basati su cloud è che ciò che avviene sul cloud è di responsabilità del tuo vendor o partner. In altre parole, i fornitori di cloud e i clienti di servizi cloud sono ciascuno responsabili per problemi nelle funzioni sotto il loro controllo.

Più un servizio offerto dal fornitore è inclusivo, minori responsabilità ha l’organizzazione cliente. Le specifiche responsabilità dei fornitori di cloud si basano sul tipo specifico di servizio cloud, e vanno da modelli infrastructure as a service (IaaS), a modelli software as a service (SaaS), con le platform as a service (PaaS) che occupano una posizione intermedia.

IaaS: sei da solo, più o meno

Con il modello IaaS, la tua organizzazione è piuttosto indipendente per quanto riguarda la sicurezza. Con i modelli IaaS, le organizzazioni sono responsabili non solo dei loro stessi dati, clienti, e utenti ma anche delle applicazioni, configurazione di rete, e persino dei sistemi operativi.

Tuttavia, IaaS scarica verso il tuo partner la responsabilità considerevole dell’archiviazione fisica e della manutenzione dei server e rende le risorse di calcolo disponibili attraverso semplici interfacce come le macchine virtuali. Inoltre, il tuo fornitore di IaaS è responsabile per alcuni livelli base di sicurezza di rete (es. rilevare le violazioni) e di sicurezza fisica (es. i backup). Anche questo livello basilare di servizio cloud è sufficiente per aiutare il management a dormire meglio la notte.

PaaS: qualche fastidio in meno

Con il PaaS, solo le problematiche di sicurezza di rete e di archiviazione diventano di responsabilità del tuo fornitore di cloud. Questo livello di servizio permette alla tua organizzazione un comfort aggiuntivo derivante dal sapere che alle violazioni di rete deve pensare il tuo vendor, il tutto combinato con la facilità d’uso che deriva dalle risorse di calcolo disponibili on-demand.

A questo livello, se le organizzazioni clienti possono focalizzarsi sul mantenere gli utenti dei loro endpoint al sicuro dall’introduzione di malware e contenuti malevoli nel cloud, i loro dati possono essere mantenuti abbastanza protetti. Con il PaaS, sei responsabile per la sicurezza e la gestione delle applicazioni così come per gli utenti, i dispositivi endpoint, e i dati.

SaaS: il modello cloud più semplice e spesso il più sicuro

La minore responsabilità alle organizzazioni clienti deriva dai modelli SaaS. A questo punto, il fornitore di cloud mantiene e protegge ogni cosa tranne gli utenti, i dispositivi endpoint, e i dati sul cloud. Questo livello di servizio sottrae quasi tutti i dettagli tecnici di computing: fornitori di SaaS affidabili aggiornano continuamente le applicazioni con l’emergere di nuove minacce. I modelli SaaS includono i molteplici servizi per le aziende e i consumatori offerti da Google (es. Gmail e Google Docs) così come Salesforce e Microsoft Office 365.

Anche se i modelli SaaS sono i più sicuri servizi cloud, non sono comunque scevri da rischi – come dimostrato dall’attacco ransomware Cerber su Microsoft 365 di Giugno 2016. Come molti virus tradizionali per Microsoft Office, Cerber si basava su utenti che aprivano file da un’email e che abilitavano poi le macro come richiesto nell’email.

Quindi qual è eattamente la tua parte di responsabilità condivisa?

Non importa come, ma la sicurezza nel cloud è una responsabilità condivisa, poiché i servizi cloud non sono sicuri di default. Ogni cosa che viene caricata su cloud dagli utenti della tua organizzazione e da dispositivi endpoint ricade sotto la responsabilità della tua azienda. L’azienda di ricerca e consulenza Gartner prevede che entro il 2020 il 95% delle falle nella sicurezza cloud sarà il risultato della supervisione del cliente. Alla luce di questa previsione, è essenziale che le aziende comprendano pienamente i modelli di responsabilità condivisa per implementare le misure di sicurezza necessarie che ci si aspetta vengano gestite.

Se il cloud offre da un lato significativi vantaggi in termini di semplicità e sicurezza, le più grandi vulnerabilità ancora derivano da errori umani. Se fai ciò che devi sulla base dei modelli di responsabilità condivisa, implementi misure di sicurezza complementari, ed educhi i tuoi utenti, la tua organizzazione può ottenere grandi vantaggi dai servizi cloud senza nessun timore.

 

Samanta Fumagalli

02.05.17 6 minuti di lettura

Categorie

Articolo in primo piano

Post correlati

Newsletter modal

Grazie del tuo interesse per la newsletter di F-Secure. Riceverai a breve un email per confermare la sottoscrizione.

Gated Content modal

Congratulazioni – ora puoi accedere al contenuto cliccando sul bottone sottostante.