Sicurezza del cloud computing: differenze tra le versioni
Contenuto cancellato Contenuto aggiunto
Aggiunto paragrafo "La sicurezza del dato" |
m Bot: numeri di pagina nei template citazione |
||
| (41 versioni intermedie di 26 utenti non mostrate) | |||
Riga 1:
La '''sicurezza del cloud computing''' o, più semplicemente, la '''sicurezza del [[cloud computing|cloud]]''', si riferisce ad un'ampia gamma di politiche, tecnologie e controlli atti alla protezione di dati, applicazioni e
== Descrizione ==
=== Problemi di sicurezza associati al cloud === Il [[cloud computing|cloud]] offre agli utenti di archiviare ed elaborare i loro dati e processi in [[Centro elaborazione dati|data center]] di terze parti.<ref name="cloudid">{{
Quando un'organizzazione decide di effettuare lo storage dei propri dati o di ospitare un'applicazione sul cloud, perde la possibilità di avere
Secondo un recente report della [[Cloud Security Alliance]], gli attacchi
Al fine di risparmiare risorse, ridurre i costi e mantenere alta l'efficienza, i cloud
L'ampio uso della [[virtualizzazione]] nell'implementazione dell'infrastruttura cloud crea problemi di sicurezza per i clienti di un servizio di cloud pubblico.<ref name="Cloud Virtual Security Winkler">{{
===
In genere si raccomanda di selezionare e implementare i controlli di sicurezza dell'
L'architettura di sicurezza del cloud è efficace solo se sono state implementate le corrette difese. Un'efficiente architettura di sicurezza cloud dovrebbe tenere conto dei problemi che si presenteranno relativi alla gestione della sicurezza.<ref name="Krutz, Ronald L. 2010">Krutz, Ronald L., and Russell Dean Vines. "Cloud Computing Security Architecture." Cloud Security: A Comprehensive Guide to Secure Cloud Computing. Indianapolis, IN: Wiley, 2010. 179-80. Print.</ref> Quest'ultima risolve questi problemi effettuando controlli che sono messi in atto per salvaguardare eventuali punti deboli del sistema e ridurre l'effetto di un attacco. Un'architettura di sicurezza per un cloud ha molti tipi di controlli, ma di solito si trovano in una delle seguenti categorie:<ref name="Krutz, Ronald L. 2010"/>▼
▲L'architettura di sicurezza del cloud è efficace solo se sono state implementate le corrette difese. Un'efficiente architettura di sicurezza cloud dovrebbe tenere conto dei problemi che si
;Controlli deterrenti
Line 19 ⟶ 24:
;Controlli preventivi
:I controlli preventivi rafforzano il sistema contro gli incidenti, in genere riducendo se non eliminando effettivamente le vulnerabilità note. Una corretta ed efficace autenticazione degli utenti
;Controlli investigativi
Line 27 ⟶ 32:
:I controlli correttivi riducono le conseguenze di un incidente, di solito limitando il danno. Essi entrano in azione durante o dopo un incidente. Il ripristino dei backup del sistema per ricostruire un sistema compromesso è un esempio di controllo correttivo.
=== Sicurezza e Privacy ===▼
▲== Le dimensioni della sicurezza nel cloud ==
▲In genere si raccomanda di selezionare e implementare i controlli di sicurezza dell'informazioni in base e in proporzione ai rischi: valutando le minacce, le vulnerabilità e gli impatti. I problemi di sicurezza del cloud possono essere raggruppati in vari modi; Gartner ne ha identificati sette <ref>{{cite news|url=http://www.infoworld.com/d/security-central/gartner-seven-cloud-computing-security-risks-853|title=Gartner: Seven cloud-computing security risks|publisher=InfoWorld|date=2008-07-02|accessdate=2010-01-25}}</ref> mentre la Cloud Security Alliance ha preso in considerazione quattordici aree di interesse<ref>{{cite web|url=https://cloudsecurityalliance.org/research/projects/security-guidance-for-critical-areas-of-focus-in-cloud-computing/|title=Security Guidance for Critical Areas of Focus in Cloud Computing|publisher=Cloud Security Alliance|year=2011|accessdate=2011-05-04}}</ref><ref name="forrester">{{cite news|url=http://blogs.forrester.com/srm/2009/11/cloud-security-front-and-center.html|title=Cloud Security Front and Center|publisher=Forrester Research|date=2009-11-18|accessdate=2010-01-25}}</ref>. I [[Cloud Access Security Broker|Cloud Access Security Brokers (CASB)]] sono un tipo di software che si trova a metà tra gli utenti del servizio cloud e le applicazioni cloud per monitorare tutte le attività e applicare correttamente le politiche di sicurezza.<ref>{{Cite web|title = What is a CASB (Cloud Access Security Broker)?|publisher=Skyhigh Networks|url = https://www.skyhighnetworks.com/cloud-security-university/what-is-cloud-access-security-broker/|accessdate = 2017-08-11}}</ref>
▲== Sicurezza e Privacy ==
;Gestione dell'identità
:Ogni azienda ha il proprio sistema di gestione dell'identità per controllare l'accesso alle informazioni e alle risorse informatiche. I fornitori di servizi cloud integrano il sistema di gestione delle identità del cliente nella propria infrastruttura, utilizzando la tecnica del [[
;Sicurezza fisica
:I fornitori di servizi cloud proteggono fisicamente l'hardware IT (server, [[router]], cavi ecc.) da accessi non autorizzati, interferenze, sbalzi di corrente, furti, incendi e disastri naturali inoltre assicurano la [[
;Sicurezza del personale
Line 45 ⟶ 46:
:I cloud providers garantiscono che tutti i dati critici (ad esempio i numeri delle carte di credito o le password) siano mascherati o crittografati e che solo gli utenti autorizzati abbiano accesso ai dati nella loro interezza. Inoltre, le identità e le credenziali digitali devono essere protette come dovrebbero esserlo tutti i dati che il provider raccoglie o produce sull'attività dei clienti nel cloud.
=== La sicurezza del dato ===
Una serie di minacce alla sicurezza sono associate ai servizi in cloud: non solo le tradizionali minacce alla sicurezza, come intercettazioni di rete, esfiltrazioni e attacchi [[DOS|denial of service]], ma anche minacce specifiche al [[cloud computing]], come attacchi ai [[Canale laterale|side channel]], vulnerabilità della virtualizzazione e abuso di servizi cloud. I seguenti requisiti di sicurezza limitano le minacce.
;Confidenzialità
:La riservatezza del dato è la proprietà che il contenuto di esso non sia reso disponibile o divulgato a utenti non
;Controllo degli accessi
:Il controllo degli accessi è una pratica che permette al proprietario del dato di eseguire una restrizione selettiva dell'accesso ai suoi dati salvati nel cloud. Alcuni utenti possono essere autorizzati dal proprietario ad accedere ai dati, mentre altri non possono accedervi senza autorizzazione. Inoltre, è auspicabile applicare un controllo di accesso
;Integrità
:L'integrità dei dati richiede di mantenere e assicurare l'accuratezza e la completezza del dato. Un utente si aspetta sempre che i suoi dati presenti nel cloud possano essere archiviati correttamente e in maniera affidabile. Ciò significa che i dati non devono poter essere illegalmente manomessi, modificati in modo inappropriato, eliminati involontariamente o creati in modo malevolo. Se eventuali operazioni indesiderate corrompono o cancellano i dati, il proprietario dovrebbe essere in grado di rilevare la corruzione o la perdita. Inoltre, quando una porzione dei dati in outsourcing è danneggiata o persa, deve poter essere recuperata.
==
Alcuni algoritmi di crittografia avanzati applicati al campo del cloud computing aumentano la protezione del dato e quindi la privacy. Vediamo ora alcuni esempi di algoritmi effettivamente utilizzati in servizi cloud.
=== Algoritmi di crittografia basati sugli attributi (ABE) ===
==== Ciphertext-policy ABE (CP-ABE) ====
Nel CP-ABE, l'encryptor ha il controllo degli accessi, all'aumentare della complessità della strategia di accesso, diventa più difficile la creazione della chiave pubblica del sistema. Il principale lavoro di ricerca di CP-ABE è focalizzato sulla progettazione della struttura di accesso.<ref>{{Cita pubblicazione|titolo= Attribute-Based Encryption Schemes|url= http://pub.chinasciencejournal.com/article/getArticleRedirect.action?doiCode=10.3724/SP.J.1001.2011.03993|rivista= Journal of Software|pp= 1299-1315|volume= 22|numero= 6|doi= 10.3724/sp.j.1001.2011.03993|nome= Jin-Shu|cognome= SU|nome2= Dan|cognome2= CAO|nome3= Xiao-Feng|cognome3= WANG|nome4= Yi-Pin|cognome4= SUN|nome5= Qiao-Lin|cognome5= HU|urlmorto= sì}}</ref>
==== Key-policy ABE (KP-ABE) ====
Nel KP-ABE, gli insiemi di attributi vengono utilizzati insieme alla chiave privata per visualizzare correttamente i testi crittografati.<ref>{{Cita pubblicazione|titolo= Attribute-based encryption schemes with constant-size ciphertexts|rivista= Theoretical Computer Science|data= 9 marzo 2012|pp= 15-38|volume= 422|doi = 10.1016/j.tcs.2011.12.004|nome= Nuttapong|cognome= Attrapadung|nome2= Javier|cognome2= Herranz|nome3= Fabien|cognome3= Laguillaumie|nome4= Benoît|cognome4= Libert|nome5= Elie|cognome5= de Panafieu|nome6= Carla|cognome6= Ràfols}}</ref>
=== Crittografia omomorfica (FHE) ===
La crittografia completamente omomorfa consente calcoli semplici sulle informazioni crittografate e consente inoltre di calcolare la somma e il prodotto per i dati crittografati senza decrittografia.<ref>{{Cita pubblicazione|url= http://www.ijarcce.com/upload/2014/november/IJARCCE3A%20s%20hema%20Performance%20of%20Ring%20Based%20Fully%20Homomorphic%20Encryption%20for%20securing%20data%20in%20Cloud%20Computing.pdf|titolo= Performance of Ring Based Fully Homomorphic Encryption for securing data in Cloud Computing|cognome= S.Hemalatha|nome= Raguram|data= 2014|rivista= International Journal of Advanced Research in Computer and Communication Engineering}}</ref>
=== Searchable Encryption (SE) ===
La Searchable Encryption è una primitiva crittografica che offre funzioni di ricerca sicure su dati crittografati. Al fine di migliorare l'efficienza della ricerca, la SE generalmente crea indici di parole chiave per eseguire in modo sicuro query utente. Gli schemi SE possono essere classificati in due categorie: SE basata su crittografia a chiave segreta e SE basata su crittografia a chiave pubblica.
== Conformità ==
Numerose leggi e regolamenti riguardano la conservazione e l'uso dei dati. Negli Stati Uniti queste includono le leggi sulla privacy o sulla protezione dei dati, lo standard PCI DSS (Payment Insurance Industry Data Security), l'HIPAA (Health Insurance Portability and Accountability Act), il [[Sarbanes-Oxley Act]], la legge federale sulla sicurezza delle informazioni (FISMA) e la legge sulla protezione della privacy online dei bambini del 1998.
Leggi simili possono essere applicate in diverse giurisdizioni e possono differire in modo abbastanza marcato da quelle applicate negli Stati Uniti. Spesso gli utenti del servizio cloud devono essere consapevoli delle differenze legali e normative tra le giurisdizioni. Ad esempio, i dati archiviati da un provider di servizi cloud possono trovarsi a Singapore e il server avere un [[Mirror (informatica)|mirror]] negli Stati Uniti d'America.<ref>{{Cita web|url=http://www.technologyslegaledge.com/2014/08/29/managing-legal-risks-arising-from-cloud-computing/|titolo=Managing legal risks arising from cloud computing |editore=DLA Piper |accesso=22 novembre 2014}}</ref>
Molti di questi regolamenti impongono particolari controlli (come controlli di accesso e audit) e richiedono report regolari. I clienti di servizi cloud devono assicurarsi che i loro fornitori soddisfino adeguatamente tali requisiti, consentendo loro di adempiere ai loro obblighi poiché sono i principali responsabili.
;[[Continuità operativa]] e [[recupero dati]]
:I fornitori di servizi cloud dispongono di [[Piano di continuità operativa|piani di continuità operativa]] e di [[recupero dati]] per garantire che il servizio possa essere mantenuto in caso di disastro o in caso di emergenza e che qualsiasi perdita di dati venga ripristinata.<ref>{{Cita web|url=http://content.dell.com/us/en/enterprise/d/large-business/benefits-cloud-based-recovery.aspx|titolo=It’s Time to Explore the Benefits of Cloud-Based Disaster Recovery|editore=Dell.com|accesso=26 marzo 2012|urlmorto=sì|urlarchivio=https://web.archive.org/web/20120515134339/http://content.dell.com/us/en/enterprise/d/large-business/benefits-cloud-based-recovery.aspx|dataarchivio=15 maggio 2012}}</ref> Questi piani possono essere condivisi e rivisti dai loro clienti, idealmente in linea con le disposizioni di continuità richieste da questi ultimi. Fare esercitazioni di continuità congiunta possono essere appropriati, simulando, ad esempio, una grave interruzione della fornitura di energia elettrica o di Internet.
;Log and Audit trail
:Oltre a produrre log e audit trail, i fornitori di servizi cloud collaborano con i loro clienti per garantire che questi siano adeguatamente protetti, mantenuti per il tempo necessario dal cliente e accessibili ai fini dell'indagine forense (ad esempio, eDiscovery).
;Requisiti di conformità
:Oltre ai requisiti a cui i clienti sono soggetti, anche i data center utilizzati dai fornitori di servizi cloud potrebbero essere soggetti a requisiti di conformità. L'utilizzo di un provider può comportare ulteriori problemi di sicurezza in relazione alla giurisdizione dei dati, poiché i dati dei clienti o dei locatari potrebbero non rimanere sullo stesso sistema, o nello stesso centro dati o persino all'interno dello stesso cloud del provider.<ref name="Securing the Cloud Winkler">{{Cita libro|cognome=Winkler|nome=Vic|titolo=Securing the Cloud: Cloud Computer Security Techniques and Tactics|anno=2011|editore=Elsevier|città=Waltham, MA USA|isbn=978-1-59749-592-9|pp=65, 68, 72, 81, 218–219, 231, 240|url=https://www.elsevier.com/wps/find/bookdescription.cws_home/723529/description#description|accesso=4 maggio 2019|urlarchivio=https://web.archive.org/web/20120729015225/http://www.elsevier.com/wps/find/bookdescription.cws_home/723529/description#description|dataarchivio=29 luglio 2012|urlmorto=sì}}</ref> Per quanto riguarda l'Unione Europea, da maggio 2018 entrerà in vigore il [[Regolamento generale sulla protezione dei dati|GDPR]] che comporterà il fatto che i dati sensibili dei cittadini dell'Unione Europea dovranno risiedere fisicamente all'interno di un paese membro.
== Problemi legali e contrattuali ==
Oltre ai problemi di sicurezza e conformità sopra elencati, i fornitori di servizi cloud e i loro clienti negoziano i termini di responsabilità (stipulando come verranno risolti gli incidenti che implicano perdita o compromissione dei dati), la proprietà intellettuale e la fine del servizio (quando i dati e le applicazioni vengono restituite definitivamente al cliente). Inoltre, ci sono considerazioni per l'acquisizione di dati dal cloud che potrebbero essere coinvolti in contenziosi.<ref name="adams">{{Cita web|cognome=Adams|nome=Richard|titolo='The emergence of cloud storage and the need for a new digital forensic process model|editore=Murdoch University|anno=2013|url=http://researchrepository.murdoch.edu.au/19431/1/emergence_of_cloud_storage.pdf}}</ref> Questi problemi sono discussi tramite [[Service level agreement|SLA]].
;Pubblici registri
:Le questioni legali possono anche includere requisiti di mantenimento di registri nel settore pubblico, in cui molte agenzie sono obbligate per legge a conservare e rendere disponibili i record elettronici in modo specifico. Questo può essere determinato dalla legislazione, o la legge può richiedere alle agenzie di conformarsi alle regole e alle pratiche stabilite da un'agenzia di tenuta dei registri. Le agenzie pubbliche che utilizzano il cloud computing e lo storage devono tenere conto di queste preoccupazioni.
== Note ==
<references />
== Collegamenti esterni ==
* [https://www.cloudsecurityalliance.org Cloud Security Alliance]
* [https://www.usatoday.com/story/cybertruth/2013/11/25/why-cloud-security-requires-multiple-layers/3683171 Why cloud security requires multiple layers]
* [http://visual.ly/data-security-breaches-2014 Data Security Breaches Infographics]
* [https://aws.amazon.com/security/introduction-to-cloud-security The Beginner's Guide to Cloud Security]
[[Categoria:Cloud computing]]
[[Categoria:Sicurezza informatica]]
| |||