|
La '''sicurezza del ''cloud computing''''' o, più semplicemente, la '''sicurezza del [[cloud computing|''cloud'']]''', si riferisce ad un'ampia gamma di politiche, tecnologie e controlli atti alla protezione di dati, applicazioni e infrastrutture associate di [[cloud computing|''cloud computing'']]. La sicurezza di questo ambito è un sotto-dominio della [[sicurezza informatica]] nel suo complesso.
== Problemi di sicurezza associati al ''cloud'' ==
Il [[cloud computing|''cloud'']] offre agli utenti di archiviare ed elaborare i loro dati e processi in [[Centro elaborazione dati|centridata di elaborazione daticenter]] di terze parti.<ref name="cloudid">{{Cita pubblicazione|cognome= Haghighat |nome= M. |cognome2= Zonouz |nome2= S. |cognome3= Abdel-Mottaleb |nome3= M. |anno= 2015 |titolo= CloudID: Trustworthy Cloud-based and Cross-Enterprise Biometric Identification | doi = 10.1016/j.eswa.2015.06.025 |rivista= Expert Systems with Applications |volume= 42 |numero= 21|pp= 7905–7916 }}</ref> Le aziende utilizzando il ''cloud'' tramite differenti modelli di servizio ([[Software as a service|SaaS]], [[Platform as a service|PaaS]], and [[IaaS]]) e modelli di distribuzione (privati, pubblici, ibridi o di comunitàcommunity).<ref name="Srinavasin">{{Cita web|cognome=Srinavasin|nome=Madhan|titolo='State-of-the-art cloud computing security taxonomies: a classification of security challenges in the present cloud computing environment|editore= ACM ICACCI'|anno=2012|url=http://doi.acm.org/10.1145/2345396.2345474}}</ref> I problemi di sicurezza associati al ''cloud computing'' si dividono in due ampie categorie: problemi di sicurezza affrontati dai [[cloud provider|fornitori]] di(organizzazioni che forniscono servizi ''cloud'']]) e problemi di sicurezza affrontati dai loro clienti (aziende, organizzazioni o privati che utilizzano i servizi offerti dal ''cloud'' stesso).<ref>{{Cita news|url=http://security.sys-con.com/node/1231725|titolo=Swamp Computing a.k.a. Cloud Computing|editore=Web Security Journal|data=28 dicembre 2009|accesso=25 gennaio 2010}}</ref> La responsabilità è condivisa: il fornitoreprovider deve assicurare che la loro infrastruttura è sicura e che i dati e le applicazioni dei clienti sono protette, mentre gli utenti devono adottare misure per rendere le loro applicazioni difficilmente violabili.
Quando un'organizzazione decide di salvareeffettuare ilo storage dei propri dati o di ospitare un'applicazione sul ''cloud'', perde la possibilità di avere l'accesso fisico ai server che contengono queste informazioni. Di conseguenza, i potenziali dati sensibili sono esposti al rischio di attacchi interni.
Secondo un recente rapportoreport della [[Cloud Security Alliance]], gli attacchi che partono dall'interno del fornitoricloud di servizi ''cloud''provider sono la sesta più grande minaccia nel [[cloud computing|''cloud computing'']].<ref name="Top Threats to Cloud Computing v1.0">{{Cita web|titolo=Top Threats to Cloud Computing v1.0|url=https://cloudsecurityalliance.org/topthreats/csathreats.v1.0.pdf|editore=Cloud Security Alliance|accesso=20 ottobre 2014}}</ref> Pertanto, i cloud providers devono garantire che vengano eseguiti controlli approfonditi sui dipendenti che hanno accesso ai server nei loro data center.
Al fine di risparmiare risorse, ridurre i costi e mantenere alta l'efficienza, i fornitoricloud di servizi ''cloud''provider spesso memorizzano i dati di più clienti sulla stessa macchina. Di conseguenza, esiste la possibilità che i dati privati di un utente possano essere visualizzati da altri utenti (eventualmente anche loro concorrenti). Per gestire tali situazioni sensibili, i fornitori di servizi cloud dovrebbero garantire il corretto isolamento dei dati e la separazione logica dell'archiviazione.<ref name="Srinavasin"/>
L'ampio uso della [[virtualizzazione]] nell'implementazione dell'infrastruttura ''cloud'' crea problemi di sicurezza per i clienti di un servizio di cloud pubblico.<ref name="Cloud Virtual Security Winkler">{{Cita web|cognome=Winkler|nome=Vic|titolo=Cloud Computing: Virtual Cloud Security Concerns|url=https://technet.microsoft.com/en-us/magazine/hh641415.aspx|editore=Technet Magazine, Microsoft|accesso=12 febbraio 2012}}</ref> La [[virtualizzazione]] altera il rapporto tra il sistema operativo e l'hardware sottostante: sia esso relativo al ''computing'', all'archiviazione o persino al ''networking''. Ciò introduce un ulteriore livello che deve essere configurato, gestito e protetto correttamente.<ref name="virtualization risks hickey">{{Cita web|cognome=Hickey|nome=Kathleen|titolo=Dark Cloud: Study finds security risks in virtualization|url=http://gcn.com/articles/2010/03/18/dark-cloud-security.aspx|editore=Government Security News|accesso=12 febbraio 2012}}</ref> Una delle preoccupazioni include la potenziale compromissione del software di virtualizzazione, o "[[hypervisor|''hypervisor'']]".<ref name="Securing the Cloud Winkler virt">{{Cita libro|cognome=Winkler|nome=Vic|titolo=Securing the Cloud: Cloud Computer Security Techniques and Tactics|anno=2011|editore=Elsevier|città=Waltham, MA USA|isbn=978-1-59749-592-9 |p=59|url=http://www.elsevier.com/wps/find/bookdescription.cws_home/723529/description#description}}</ref> Ad esempio, una violazione della workstation dell'amministratore con il software di gestione della virtualizzazione può causare l'interruzione dei servizi erogati dall'intero data center o la riconfigurazione a piacere di un utente malintenzionato.
== Controlli di sicurezza nel ''cloud'' ==
L'architettura di sicurezza del cloud è efficace solo se sono state implementate le corrette difese. Un'efficiente architettura di sicurezza cloud dovrebbe tenere conto dei problemi che si presentano relativi alla gestione della sicurezza.<ref name="Krutz, Ronald L. 2010">Krutz, Ronald L., and Russell Dean Vines. "Cloud Computing Security Architecture." Cloud Security: A Comprehensive Guide to Secure Cloud Computing. Indianapolis, IN: Wiley, 2010. 179-80. Print.</ref> Quest'ultima risolve questi problemi effettuando controlli che sono messi in atto per salvaguardare eventuali punti deboli del sistema e ridurre l'effetto di un attacco. Un'architettura di sicurezza per un cloud ha molti tipi di controlli, ma di solito si trovano in una delle seguenti categorie:<ref name="Krutz, Ronald L. 2010"/>
:I controlli correttivi riducono le conseguenze di un incidente, di solito limitando il danno. Essi entrano in azione durante o dopo un incidente. Il ripristino dei backup del sistema per ricostruire un sistema compromesso è un esempio di controllo correttivo.
== Le dimensioni della sicurezza nel ''cloud'' ==
In genere si raccomanda di selezionare e implementare i controlli di sicurezza dell'informazione in base e in proporzione ai rischi: valutando le minacce, le vulnerabilità e gli impatti. I problemi di sicurezza del ''cloud'' possono essere raggruppati in vari modi; [[Gartner]] ne ha identificati sette<ref>{{Cita news|url=http://www.infoworld.com/d/security-central/gartner-seven-cloud-computing-security-risks-853|titolo=Gartner: Seven cloud-computing security risks|editore=InfoWorld|data=2 luglio 2008|accesso=25 gennaio 2010}}</ref> mentre la Cloud Security Alliance ha preso in considerazione quattordici aree di interesse<ref>{{Cita web|url=https://cloudsecurityalliance.org/research/projects/security-guidance-for-critical-areas-of-focus-in-cloud-computing/|titolo=Security Guidance for Critical Areas of Focus in Cloud Computing|editore=Cloud Security Alliance|anno=2011|accesso=4 maggio 2011}}</ref><ref name="forrester">{{Cita news|url=http://blogs.forrester.com/srm/2009/11/cloud-security-front-and-center.html|titolo=Cloud Security Front and Center|editore=Forrester Research|data=18 novembre 2009|accesso=25 gennaio 2010|urlmorto=sì|urlarchivio=https://web.archive.org/web/20091124191907/http://blogs.forrester.com/srm/2009/11/cloud-security-front-and-center.html|dataarchivio=24 novembre 2009}}</ref>. I [[Cloud Access Security Broker|Cloud Access Security Brokers (CASB)]] sono un tipo di software che si trova a metà tra gli utenti del servizio ''cloud'' e le applicazioni cloud per monitorare tutte le attività e applicare correttamente le politiche di sicurezza.<ref>{{Cita web|titolo= What is a CASB (Cloud Access Security Broker)?|editore=Skyhigh Networks|url= https://www.skyhighnetworks.com/cloud-security-university/what-is-cloud-access-security-broker/|accesso= 11 agosto 2017}}</ref> Siccome creare un'infrastruttura sicura al 100% non è mai possibile, spesso ci si affida a servizi di tipo assicurativo che coprono il rischio residuo.
== Sicurezza e Privacy ==
;Gestione dell'identità
:Ogni azienda ha il proprio sistema di gestione dell'identità per controllare l'accesso alle informazioni e alle risorse informatiche. I fornitori di servizi cloud integrano il sistema di gestione delle identità del cliente nella propria infrastruttura, utilizzando la tecnica del [[Single sign-on|SSO]] o sfruttando un sistema di identificazione basato su dati biometrici<ref name="cloudid"/> oppure ancora fornendo un proprio sistema di gestione delle identità<ref>{{Cita web|url=http://www.darkreading.com/identity-management-in-the-cloud/d/d-id/1140751 |titolo=Identity Management in the Cloud |editore=Information Week |data=25 ottobre 2013 |accesso=5 giugno 2013}}</ref>. CloudID,<ref name="cloudid"/> ad esempio, fornisce un sistema di identificazione biometrica cross-enterprise basata sul ''cloud'' che preserva la privacy. Esso collega le informazioni riservate degli utenti ai loro dati biometrici e li memorizza in modo crittografato. Facendo uso di una tecnica di crittografia, l'identificazione biometrica viene eseguita in un dominio crittografato per assicurarsi che il fornitore di servizi cloud o potenziali aggressori non ottengano l'accesso a dati sensibili.<ref name="cloudid"/>
;Sicurezza fisica
:I fornitori di servizi cloud proteggono fisicamente l'hardware IT (server, router, cavi ecc.) da accessi non autorizzati, interferenze, sbalzi di corrente, furti, incendi e disastri naturali inoltre assicurano la [[business continutity|business continuity]]. Normalmente questi servizi si possono avere usufruendo di centridata di elaborazione daticenter di livello mondiale (ovvero, professionalmente specificati, progettati, costruiti, monitorati e gestiti). Bisogna sottolineare che la sicurezza informatica senza la sicurezza fisica dei server non vale nulla; poiché il malintenzionato che riesce a mettere mano fisicamente sulle macchine può violarle scavalcando tutta l'infrastruttura virtuale creata per proteggerle.
;Sicurezza del personale
;Privacy
:I fornitoricloud di servizi ''cloud''providers garantiscono che tutti i dati critici (ad esempio i numeri delle carte di credito o le password) siano mascherati o crittografati e che solo gli utenti autorizzati abbiano accesso ai dati nella loro interezza. Inoltre, le identità e le credenziali digitali devono essere protette come dovrebbero esserlo tutti i dati che il provider raccoglie o produce sull'attività dei clienti nel ''cloud''.
== La sicurezza del dato ==
Una serie di minacce alla sicurezza sono associate ai servizi in cloud: non solo le tradizionali minacce alla sicurezza, come intercettazioni di rete, esfiltrazioni e attacchi ''[[DOS|denial of service'']], ma anche minacce specifiche al [[cloud computing|''cloud computing'']], come attacchi ai [[Canale laterale|canaliside lateralichannel]], vulnerabilità della virtualizzazione e abuso di servizi ''cloud''. I seguenti requisiti di sicurezza limitano le minacce.<ref>{{Cita pubblicazione|cognome=Jun Tang|nome=Yong Cui|data=2016|titolo=Ensuring Security and Privacy Preservation for Cloud Data Services|url=http://www.4over6.edu.cn/cuiyong/lunwen/Ensuring%20Security%20and%20Privacy%20Preservation%20for%20Cloud%20Data%20Services.pdf|rivista=ACM Computing Surveys|urlmorto=sì|urlarchivio=https://web.archive.org/web/20160406214320/http://www.4over6.edu.cn/cuiyong/lunwen/Ensuring%20Security%20and%20Privacy%20Preservation%20for%20Cloud%20Data%20Services.pdf|dataarchivio=6 aprile 2016}}</ref>
;Confidenzialità
:La riservatezza del dato è la proprietà che il contenuto di esso non sia reso disponibile o divulgato a utenti non autorizzati a visionarlo. I dati in esternalizzazioneoutsourcing vengono archiviati in un ''cloud'' fuori dal controllo diretto dei proprietari. Solo gli utenti autorizzati possono accedere ai dati mentre tutti gli altri, inclusi i fornitoricloud di servizi ''cloud''provider, non devono acquisire alcuna informazione su di essi. Al contempo, i proprietari dei dati si aspettano di utilizzare appieno i servizi ''cloud'' relativi ai dati per esempio la ricerca, l'elaborazione e la condivisione di questi, senza causare la dispersione dei contenuti.
;Controllo degli accessi
:Il controllo degli accessi è una pratica che permette al proprietario del dato di eseguire una restrizione selettiva dell'accesso ai suoi dati salvati nel ''cloud''. Alcuni utenti possono essere autorizzati dal proprietario ad accedere ai dati, mentre altri non possono accedervi senza autorizzazione. Inoltre, è auspicabile applicare un controllo di accesso a molto fine ai dati esternalizzati, cioè, creazione di utenti diversi con categorie di privilegi diversi per quanto riguarda l'accesso stesso. In ambienti ''cloud'' non affidabili l'autorizzazione di accesso deve essere esclusivamente del proprietario.
;Integrità
:L'integrità dei dati richiede di mantenere e assicurare l'accuratezza e la completezza del dato. Un utente si aspetta sempre che i suoi dati presenti nel cloud possano essere archiviati correttamente e in maniera affidabile. Ciò significa che i dati non devono poter essere illegalmente manomessi, modificati in modo inappropriato, eliminati involontariamente o creati in modo malevolo. Se eventuali operazioni indesiderate corrompono o cancellano i dati, il proprietario dovrebbe essere in grado di rilevare la corruzione o la perdita. Inoltre, quando una porzione dei dati esternalizzatiin outsourcing è danneggiata o persa, deve poter essere recuperata.
== Crittografia ==
Alcuni algoritmi di crittografia avanzati applicati al campo del ''cloud computing'' aumentano la protezione del dato e quindi la privacy. Vediamo ora alcuni esempi di algoritmi effettivamente utilizzati in servizi ''cloud''.
=== Algoritmi di crittografia basati sugli attributi (ABE) ===
==== Ciphertext-policy ABE (CP-ABE) ====
Nel CP-ABE, ''l'encryptor'' ha il controllo degli accessi, all'aumentare della complessità della strategia di accesso, diventa più difficile la creazione della chiave pubblica del sistema. Il principale lavoro di ricerca di CP-ABE è focalizzato sulla progettazione della struttura di accesso.<ref>{{Cita pubblicazione|titolo= Attribute-Based Encryption Schemes|url= http://pub.chinasciencejournal.com/article/getArticleRedirect.action?doiCode=10.3724/SP.J.1001.2011.03993|rivista= Journal of Software|pp= 1299–1315|volume= 22|numero= 6|doi = 10.3724/sp.j.1001.2011.03993|nome= Jin-Shu|cognome= SU|nome2= Dan|cognome2= CAO|nome3= Xiao-Feng|cognome3= WANG|nome4= Yi-Pin|cognome4= SUN|nome5= Qiao-Lin|cognome5= HU}}</ref>
==== Key-policy ABE (KP-ABE) ====
Numerose leggi e regolamenti riguardano la conservazione e l'uso dei dati. Negli Stati Uniti queste includono le leggi sulla privacy o sulla protezione dei dati, lo standard PCI DSS (Payment Insurance Industry Data Security), l'HIPAA (Health Insurance Portability and Accountability Act), il [[Sarbanes-Oxley Act]], la legge federale sulla sicurezza delle informazioni (FISMA) e la legge sulla protezione della privacy online dei bambini del 1998.
Leggi simili possono essere applicate in diverse giurisdizioni e possono differire in modo abbastanza marcato da quelle applicate negli Stati Uniti. Spesso gli utenti del servizio cloud devono essere consapevoli delle differenze legali e normative tra le giurisdizioni. Ad esempio, i dati archiviati da un fornitoreprovider di servizi ''cloud'' possono trovarsi a Singapore e il server avere un [[Mirror (informatica)|''mirror'']] negli Stati Uniti.<ref>{{Cita web|url=http://www.technologyslegaledge.com/2014/08/29/managing-legal-risks-arising-from-cloud-computing/|titolo=Managing legal risks arising from cloud computing |editore=DLA Piper |accesso=22 novembre 2014}}</ref>
Molti di questi regolamenti impongono particolari controlli (come controlli di accesso e audit) e richiedono report regolari. I clienti di servizi ''cloud'' devono assicurarsi che i loro fornitori soddisfino adeguatamente tali requisiti, consentendo loro di adempiere ai loro obblighi poiché sono i principali responsabili.
;[[Business continuity|Business Continuity]] e [[Recupero dati|Data Recovery]]
;Log and Audit trail
:Oltre a produrre log e ''audit trail'', i fornitori di servizi ''cloud'' collaborano con i loro clienti per garantire che questi siano adeguatamente protetti, mantenuti per il tempo necessario dal cliente e accessibili ai fini dell'indagine forense (ad esempio, eDiscovery).
;Requisiti di conformità
:Oltre ai requisiti a cui i clienti sono soggetti, anche i data center utilizzati dai fornitori di servizi cloud potrebbero essere soggetti a requisiti di conformità. L'utilizzo di un provider può comportare ulteriori problemi di sicurezza in relazione alla giurisdizione dei dati, poiché i dati dei clienti o dei locatari potrebbero non rimanere sullo stesso sistema, o nello stesso centro dati o persino all'interno dello stesso ''cloud'' del fornitoreprovider.<ref name="Securing the Cloud Winkler">{{Cita libro|cognome=Winkler|nome=Vic|titolo=Securing the Cloud: Cloud Computer Security Techniques and Tactics|anno=2011|editore=Elsevier|città=Waltham, MA USA|isbn=978-1-59749-592-9|pp=65, 68, 72, 81, 218–219, 231, 240|url=http://www.elsevier.com/wps/find/bookdescription.cws_home/723529/description#description}}</ref> Per quanto riguarda l'Unione Europea, da maggio 2018 entrerà in vigore il [[Regolamento generale sulla protezione dei dati|GDPR]] che comporterà il fatto che i dati sensibili dei cittadini dell'Unione Europea dovranno risiedere fisicamente all'interno di un paese membro.
== Problemi legali e contrattuali ==
;Pubblici registri
:Le questioni legali possono anche includere requisiti di mantenimento di registri nel settore pubblico, in cui molte agenzie sono obbligate per legge a conservare e rendere disponibili i record elettronici in modo specifico. Questo può essere determinato dalla legislazione, o la legge può richiedere alle agenzie di conformarsi alle regole e alle pratiche stabilite da un'agenzia di tenuta dei registri. Le agenzie pubbliche che utilizzano il ''cloud computing'' e lo ''storage'' devono tenere conto di queste preoccupazioni.
== Note ==
| 