Sicurezza del cloud computing: differenze tra le versioni

La '''sicurezza del cloud computing''' o, più semplicemente, la '''sicurezza del [[cloud computing|cloud]]''', si riferisce ad un'ampia gamma di politiche, tecnologie e controlli atti alla protezione di dati, applicazioni e infrastrutture associate di [[cloud computing]]. La sicurezza di questo ambito è un sotto-dominio della [[sicurezza informatica]] nel suo complesso.

 

Il [[cloud computing|cloud]] offre agli utenti di archiviare ed elaborare i loro dati e processi in [[Centro elaborazione dati|data center]] di terze parti.<ref name="cloudid">{{Cita pubblicazione|cognome= Haghighat |nome= M. |cognome2= Zonouz |nome2= S. |cognome3= Abdel-Mottaleb |nome3= M. |anno= 2015 |titolo= CloudID: Trustworthy Cloud-based and Cross-Enterprise Biometric Identification | doi = 10.1016/j.eswa.2015.06.025 |rivista= Expert Systems with Applications |volume= 42 |numero= 21|pp= 7905–7916 }}</ref> Le aziende utilizzando il cloud tramite differenti modelli di servizio ([[Software as a service|SaaS]], [[Platform as a service|PaaS]], and [[IaaS]]) e modelli di distribuzione (privati, pubblici, ibridi o di community).<ref name="Srinavasin">{{Cita web|cognome=Srinavasin|nome=Madhan|titolo='State-of-the-art cloud computing security taxonomies: a classification of security challenges in the present cloud computing environment|editore= ACM ICACCI'|anno=2012|url=http://doi.acm.org/10.1145/2345396.2345474}}</ref> I problemi di sicurezza associati al cloud computing si dividono in due ampie categorie: problemi di sicurezza affrontati dai [[cloud provider]] (organizzazioni che forniscono servizi cloud) e problemi di sicurezza affrontati dai loro clienti (aziende, organizzazioni o privati che utilizzano i servizi offerti dal cloud stesso).<ref>{{Cita news|url=http://security.sys-con.com/node/1231725|titolo=Swamp Computing a.k.a. Cloud Computing|editore=Web Security Journal|data=28 dicembre 2009|accesso=25 gennaio 2010}}</ref> La responsabilità è condivisa: il provider deve assicurare che la loro infrastruttura è sicura e che i dati e le applicazioni dei clienti sono protette, mentre gli utenti devono adottare misure per rendere le loro applicazioni difficilmente violabili.

 

L'ampio uso della [[virtualizzazione]] nell'implementazione dell'infrastruttura cloud crea problemi di sicurezza per i clienti di un servizio di cloud pubblico.<ref name="Cloud Virtual Security Winkler">{{Cita web|cognome=Winkler|nome=Vic|titolo=Cloud Computing: Virtual Cloud Security Concerns|url=https://technet.microsoft.com/en-us/magazine/hh641415.aspx|editore=Technet Magazine, Microsoft|accesso=12 febbraio 2012}}</ref> La [[virtualizzazione]] altera il rapporto tra il sistema operativo e l'hardware sottostante: sia esso relativo al computing, all'archiviazione o persino al networking. Ciò introduce un ulteriore livello che deve essere configurato, gestito e protetto correttamente.<ref name="virtualization risks hickey">{{Cita web|cognome=Hickey|nome=Kathleen|titolo=Dark Cloud: Study finds security risks in virtualization|url=http://gcn.com/articles/2010/03/18/dark-cloud-security.aspx|editore=Government Security News|accesso=12 febbraio 2012}}</ref> Una delle preoccupazioni include la potenziale compromissione del software di virtualizzazione, o "[[hypervisor]]".<ref name="Securing the Cloud Winkler virt">{{Cita libro|cognome=Winkler|nome=Vic|titolo=Securing the Cloud: Cloud Computer Security Techniques and Tactics|anno=2011|editore=Elsevier|città=Waltham, MA USA|isbn=978-1-59749-592-9 |p=59|url=http://www.elsevier.com/wps/find/bookdescription.cws_home/723529/description#description}}</ref> Ad esempio, una violazione della workstation dell'amministratore con il software di gestione della virtualizzazione può causare l'interruzione dei servizi erogati dall'intero data center o la riconfigurazione a piacere di un utente malintenzionato.

 

 

L'architettura di sicurezza del cloud è efficace solo se sono state implementate le corrette difese. Un'efficiente architettura di sicurezza cloud dovrebbe tenere conto dei problemi che si presentano relativi alla gestione della sicurezza.<ref name="Krutz, Ronald L. 2010">Krutz, Ronald L., and Russell Dean Vines. "Cloud Computing Security Architecture." Cloud Security: A Comprehensive Guide to Secure Cloud Computing. Indianapolis, IN: Wiley, 2010. 179-80. Print.</ref> Quest'ultima risolve questi problemi effettuando controlli che sono messi in atto per salvaguardare eventuali punti deboli del sistema e ridurre l'effetto di un attacco. Un'architettura di sicurezza per un cloud ha molti tipi di controlli, ma di solito si trovano in una delle seguenti categorie:<ref name="Krutz, Ronald L. 2010"/>

:I controlli correttivi riducono le conseguenze di un incidente, di solito limitando il danno. Essi entrano in azione durante o dopo un incidente. Il ripristino dei backup del sistema per ricostruire un sistema compromesso è un esempio di controllo correttivo.

 

 

In genere si raccomanda di selezionare e implementare i controlli di sicurezza dell'informazione in base e in proporzione ai rischi: valutando le minacce, le vulnerabilità e gli impatti. I problemi di sicurezza del cloud possono essere raggruppati in vari modi; [[Gartner]] ne ha identificati sette<ref>{{Cita news|url=http://www.infoworld.com/d/security-central/gartner-seven-cloud-computing-security-risks-853|titolo=Gartner: Seven cloud-computing security risks|editore=InfoWorld|data=2 luglio 2008|accesso=25 gennaio 2010}}</ref> mentre la Cloud Security Alliance ha preso in considerazione quattordici aree di interesse<ref>{{Cita web|url=https://cloudsecurityalliance.org/research/projects/security-guidance-for-critical-areas-of-focus-in-cloud-computing/|titolo=Security Guidance for Critical Areas of Focus in Cloud Computing|editore=Cloud Security Alliance|anno=2011|accesso=4 maggio 2011}}</ref><ref name="forrester">{{Cita news|url=http://blogs.forrester.com/srm/2009/11/cloud-security-front-and-center.html|titolo=Cloud Security Front and Center|editore=Forrester Research|data=18 novembre 2009|accesso=25 gennaio 2010|urlmorto=sì|urlarchivio=https://web.archive.org/web/20091124191907/http://blogs.forrester.com/srm/2009/11/cloud-security-front-and-center.html|dataarchivio=24 novembre 2009}}</ref>. I [[Cloud Access Security Broker|Cloud Access Security Brokers (CASB)]] sono un tipo di software che si trova a metà tra gli utenti del servizio cloud e le applicazioni cloud per monitorare tutte le attività e applicare correttamente le politiche di sicurezza.<ref>{{Cita web|titolo= What is a CASB (Cloud Access Security Broker)?|editore=Skyhigh Networks|url= https://www.skyhighnetworks.com/cloud-security-university/what-is-cloud-access-security-broker/|accesso= 11 agosto 2017}}</ref> Siccome creare un'infrastruttura sicura al 100% non è mai possibile, spesso ci si affida a servizi di tipo assicurativo che coprono il rischio residuo.

 

 

;Gestione dell'identità

:I cloud providers garantiscono che tutti i dati critici (ad esempio i numeri delle carte di credito o le password) siano mascherati o crittografati e che solo gli utenti autorizzati abbiano accesso ai dati nella loro interezza. Inoltre, le identità e le credenziali digitali devono essere protette come dovrebbero esserlo tutti i dati che il provider raccoglie o produce sull'attività dei clienti nel cloud.

 

 

Una serie di minacce alla sicurezza sono associate ai servizi in cloud: non solo le tradizionali minacce alla sicurezza, come intercettazioni di rete, esfiltrazioni e attacchi [[DOS|denial of service]], ma anche minacce specifiche al [[cloud computing]], come attacchi ai [[Canale laterale|side channel]], vulnerabilità della virtualizzazione e abuso di servizi cloud. I seguenti requisiti di sicurezza limitano le minacce.<ref>{{Cita pubblicazione|cognome=Jun Tang|nome=Yong Cui|data=2016|titolo=Ensuring Security and Privacy Preservation for Cloud Data Services|url=http://www.4over6.edu.cn/cuiyong/lunwen/Ensuring%20Security%20and%20Privacy%20Preservation%20for%20Cloud%20Data%20Services.pdf|rivista=ACM Computing Surveys|urlmorto=sì|urlarchivio=https://web.archive.org/web/20160406214320/http://www.4over6.edu.cn/cuiyong/lunwen/Ensuring%20Security%20and%20Privacy%20Preservation%20for%20Cloud%20Data%20Services.pdf|dataarchivio=6 aprile 2016}}</ref>