IL PARERE DEGLI ESPERTI
La presenza di un modello di responsabilità condivisa per la sicurezza nel cloud rappresenta un passo verso la modernizzazione, la protezione dei dati e delle infrastrutture digitali del nostro Paese: è il Cloud Shared Responsibility Model.
Ma di cosa si tratta e perché oggi è così attuale?
Di questo parlano Massimo Bianchi, Head of Hybrid Infrastructure Services e Gianandrea Daverio, Head of Cybersecurity & Compliance di Npo Sistemi.
Massimo, perché oggi si parla tanto di Cloud Shared Responsibility Model?
MASSIMO: Il Cloud Shared Responsibility model, lo dice il nome, è legato proprio al Cloud, la cui adozione è ormai una prassi diffusissima ed estremamente consolidata: dati recenti dimostrano che oggi più del 50% del budget IT è destinato al cloud, inteso nelle sue varie forme e declinazioni.
Con la migrazione in cloud, poi, le responsabilità tra Cloud Provider e Cliente sono ripartite e variano in funzione delle diverse tipologie di servizi basati su cloud.
Bisogna ricordare che la responsabilità della protezione del dato è sempre del Cliente, poiché il Cloud provider si cura della protezione dei propri dati.
Detto in maniera semplice e pragmatica: anche se ho i dati nel Cloud, devo adottare tecniche per proteggerli, aspetto sicuramente facilitato dalle molteplici opzioni messe a disposizione.
Di questo si parla quando si fa riferimento al Cloud Shared Responsibility Model, un tema tornato in primo piano non solo a causa dell’aumento del numero di minacce informatiche, ma anche per le (fortunatamente) rare situazioni di indisponibilità locale dei singoli offering Cloud.
Gianandrea di cosa si tratta nello specifico?
GIANANDREA: “È un modello di riferimento che illustra la ripartizione delle responsabilità sugli aspetti di sicurezza negli ambienti basati su cloud.
Il concetto di Cloud Shared Responsibility Model affronta un aspetto fondamentale della sicurezza informatica nel contesto del cloud computing. Fondamentalmente, stabilisce una demarcazione netta delle responsabilità dei diversi aspetti di sicurezza degli ambienti/servizi in cloud. Questo modello varia in modo significativo in funzione delle diverse tipologie di servizi basati su cloud (IaaS, PaaS, SaaS) e delle offerte specifiche dei diversi fornitori, ma generalmente ripartisce le responsabilità tra due parti: il provider di servizi cloud ed il Cliente finale.
Il provider di servizi cloud è responsabile:
- della sicurezza fisica dell'infrastruttura
- della resilienza dei dati (garantirà insomma la ridondanza del dato, ma la sicurezza del dato in sè sarà di competenza del Cliente)
- della protezione delle reti
- dell'hardware
Il Cliente, invece, è responsabile:
- della sicurezza dei dati caricati sul cloud
- delle configurazioni di sicurezza dei servizi cloud utilizzati
- delle autorizzazioni di accesso
- della protezione degli account
- delle credenziali di accesso
- della gestione delle applicazioni
- delle patch di sicurezza
Quale domanda dovrebbe porsi un’azienda?
MASSIMO:
Prima di tutto occorre inquadrare e definire, con il proprio partner tecnologico il contesto in cui l’azienda opera, la necessità, o meno, di compliance a regolamentazioni specifiche. Prendiamo due esempi:
- Un’azienda che realizza Yacht non ha esigenze specifiche o obblighi di real time
- Una società bancaria è invece soggetta a diverse regolamentazioni settoriali, comprese le recenti direttive NIS2 e DORA, sorveglianza da parte dell’ABI ed un blocco di operatività incide direttamente ed immediatamente sui propri correntisti
Una volta definito questo, risulta abbastanza evidente che le soluzioni alle necessità saranno diverse, e magari spingeranno il Cliente stesso a valutare cosa il singolo Cloud provider metta a disposizione nei servizi offerti, magari come opzione.
La seconda cosa da chiedersi, e qui parliamo davvero di domanda, più pratica, che le aziende dovrebbero farsi è se perdo i dati, in quanto tempo devo ripartire? In base alla risposta, infatti, sarà necessario intraprendere un percorso esteso verso la protezione del dato che varierà proprio a seconda del contesto e può evolvere con il crescere dell’azienda stessa:
- se posso perdere qualche giorno di lavoro, potrò scegliere un backup, magari con un repository remoto
- se sono nell’ordine delle ore (15 m – 24 ore) sarà più indicata una soluzione di Disaster Recovery
- se siamo nell’ordine dei minuti (5-15 minuti) parleremo di business continuity
- per tempi di risposta ancora più stretti (<15 sec) parleremo di replica sincrona dei dati, di solito a livello di storage
Quali sono invece i consigli che daresti a un’azienda?
GIANANDREA: Il primo consiglio che mi sento di suggerire ad aziende ed organizzazioni che fanno uso a vario titolo di servizi cloud (chi non lo fa oggi? ndr) è proprio quello di approfondire e comprendere il modello di Cloud Shared Responsibility Model adottato dai propri fornitori. Comprendere quali aspetti di sicurezza debbano essere di responsabilità dell'azienda è, infatti, il primo passo per potersi adoperare in tal senso.
Una volta compreso il perimetro della responsabilità aziendale, è possibile definire ed attuare una strategia di valutazione del rischio e della sua mitigazione. Fortunatamente diversi standard di riferimento - come i CIS Controls - e soluzioni tecnologiche - sia proprietarie dei singoli cloud provider che orientate al multicloud - possono fornire linee guida e supporto operativo per procedere in tal senso.
MASSIMO: Dal mio punto di vista è importante tenere aggiornati processi e procedure, e testare – testare – testare.
Bisogna partire con un aggiornamento periodico dei propri processi, per assicurarsi che le procedure di protezione IT implementate siano ancora allineate con la realtà della produzione; dopo il necessario controllo è importante fare le prove, esattamente come le prove di evacuazione; si spera sempre di non doverle mai utilizzare, ma devono funzionare al bisogno. Il Cloud semplifica molti di questi passaggi, ma non li elimina.
Quali sono i benefici concreti di una maggiore consapevolezza nella demarcazione delle responsabilità?
GIANANDREA: Come detto, il Cloud Shared Responsibility Model varia notevolmente in funzione del modello di servizio offerto dal cloud provider, contemplando maggiori oneri di responsabilità a carico del cliente nell'ambito di modelli IaaS e PaaS rispetto ai modelli SaaS.
In linea generale, l'adozione di strumenti specifici per la gestione delle operazioni di sicurezza in contesti multicloud, fornisce i seguenti benefici:
- Visibilità multicloud: poiché sempre più aziende utilizzano una combinazione di servizi cloud pubblici, privati e ibridi da diversi provider, la visibilità multicloud diventa cruciale per garantire una gestione efficiente, sicura e conforme delle risorse cloud.
- Risoluzione rapida delle lacune di sicurezza: grazie alle funzionalità di automazione e gestione centralizzata è possibile distribuire le politiche di sicurezza e le configurazioni dei workload tra diversi tenant e diversi cloud provider, con un solo clic.
- Conformità costante: sostenere e documentare la conformità a policy e normative in ambienti multicloud distribuiti può essere sfidante in assenza di strumenti che consentano di avere una vista unificata di tutti gli ambienti e del rispettivo stato di conformità alle policy e alle normative strategiche per il business dell'azienda.
MASSIMO: io ne aggiungerei un altro:
- Protezione delle DevOps: l'agilità delle DevOps in assenza di un quadro di monitoraggio e controllo della conformità alle policies aziendali può rappresentare un boomerang per la sicurezza aziendale. È sufficiente un servizio non protetto da adeguate patch o una credenziale privilegiata non adeguatamente robusta per compromettere la sicurezza dell'intera organizzazione, con le conseguenze economiche, reputazionali e legali del caso.
