|
== Descrizione ==
=== Problemi di sicurezza associati al cloud ===
Il [[cloud computing|cloud]] offre agli utenti di archiviare ed elaborare i loro dati e processi in [[Centro elaborazione dati|centri di elaborazionedata daticenter]] di terze parti.<ref name="cloudid">{{Cita pubblicazione|cognome= Haghighat |nome= M. |cognome2= Zonouz |nome2= S. |cognome3= Abdel-Mottaleb |nome3= M. |anno= 2015 |titolo= CloudID: Trustworthy Cloud-based and Cross-Enterprise Biometric Identification | doi = 10.1016/j.eswa.2015.06.025 |rivista= Expert Systems with Applications |volume= 42 |numero= 21|pp= 7905–7916 }}</ref> Le aziende utilizzando il ''cloud'' tramite differenti modelli di servizio ([[Software as a service|SaaS]], [[Platform as a service|PaaS]], and [[IaaS]]) e modelli di distribuzione (privati, pubblici, ibridi o di comunitàcommunity).<ref name="Srinavasin">{{Cita web|cognome=Srinavasin|nome=Madhan|titolo='State-of-the-art cloud computing security taxonomies: a classification of security challenges in the present cloud computing environment|editore= ACM ICACCI'|anno=2012|url=http://doi.acm.org/10.1145/2345396.2345474}}</ref> I problemi di sicurezza associati al ''cloud computing'' si dividono in due ampie categorie: problemi di sicurezza affrontati dai [[fornitoricloud di servizi cloudprovider]] (organizzazioni che forniscono servizi cloud) e problemi di sicurezza affrontati dai loro clienti (aziende, organizzazioni o privati che utilizzano i servizi offerti dal cloud stesso).<ref>{{Cita news|url=http://security.sys-con.com/node/1231725|titolo=Swamp Computing a.k.a. Cloud Computing|editore=Web Security Journal|data=28 dicembre 2009|accesso=25 gennaio 2010}}</ref> La responsabilità è condivisa: il fornitore di serviziprovider deve assicurare che la loro infrastruttura è sicura e che i dati e le applicazioni dei clienti sono protette, mentre gli utenti devono adottare misure per rendere le loro applicazioni difficilmente violabili.
Quando un'organizzazione decide di archiviareeffettuare ilo storage dei propri dati o di ospitare un'applicazione sul cloud, perde la possibilità di avere l'accesso fisico ai server che contengono queste informazioni. Di conseguenza, i potenziali dati sensibili sono esposti al rischio di attacchi interni.
Secondo un recente rapportoreport della [[Cloud Security Alliance]], gli attacchi che partono dall'interno del ''cloud provider'' sono la sesta più grande minaccia nel [[cloud computing]].<ref name="Top Threats to Cloud Computing v1.0">{{Cita web|titolo=Top Threats to Cloud Computing v1.0|url=https://cloudsecurityalliance.org/topthreats/csathreats.v1.0.pdf|editore=Cloud Security Alliance|accesso=20 ottobre 2014}}</ref> Pertanto, i fornitoricloud di servizi cloudproviders devono garantire che vengano eseguiti controlli approfonditi sui dipendenti che hanno accesso ai server nei loro centri di elaborazionedata daticenter.
Al fine di risparmiare risorse, ridurre i costi e mantenere alta l'efficienza, i fornitoricloud di servizi cloudprovider spesso memorizzano i dati di più clienti sulla stessa macchina. Di conseguenza, esiste la possibilità che i dati privati di un utente possano essere visualizzati da altri utenti (eventualmente anche loro concorrenti). Per gestire tali situazioni sensibili, i fornitori di servizi cloud dovrebbero garantire il corretto isolamento dei dati e la separazione logica dell'archiviazione.<ref name="Srinavasin"/>
L'ampio uso della [[virtualizzazione]] nell'implementazione dell'infrastruttura cloud crea problemi di sicurezza per i clienti di un servizio di cloud pubblico.<ref name="Cloud Virtual Security Winkler">{{Cita web|cognome=Winkler|nome=Vic|titolo=Cloud Computing: Virtual Cloud Security Concerns|url=https://technet.microsoft.com/en-us/magazine/hh641415.aspx|editore=Technet Magazine, Microsoft|accesso=12 febbraio 2012}}</ref> La [[virtualizzazione]] altera il rapporto tra il sistema operativo e l'hardware sottostante: sia esso relativo al computing, all'archiviazione o persino al ''networking''. Ciò introduce un ulteriore livello che deve essere configurato, gestito e protetto correttamente.<ref name="virtualization risks hickey">{{Cita web|cognome=Hickey|nome=Kathleen|titolo=Dark Cloud: Study finds security risks in virtualization|url=http://gcn.com/articles/2010/03/18/dark-cloud-security.aspx|editore=Government Security News|accesso=12 febbraio 2012}}</ref> Una delle preoccupazioni include la potenziale compromissione del software di virtualizzazione, o "[[hypervisor]]".<ref name="Securing the Cloud Winkler virt">{{Cita libro|cognome=Winkler|nome=Vic|titolo=Securing the Cloud: Cloud Computer Security Techniques and Tactics|anno=2011|editore=Elsevier|città=Waltham, MA USA|isbn=978-1-59749-592-9|p=59|url=https://www.elsevier.com/wps/find/bookdescription.cws_home/723529/description#description|accesso=4 maggio 2019|urlarchivio=https://web.archive.org/web/20120729015225/http://www.elsevier.com/wps/find/bookdescription.cws_home/723529/description#description|dataarchivio=29 luglio 2012|urlmorto=sì}}</ref> Ad esempio, una violazione della ''workstation'' dell'amministratore con il software di gestione della virtualizzazione può causare l'interruzione dei servizi erogati dall'intero centro di elaborazionedata daticenter o la riconfigurazione a piacere di un utente malintenzionato.
=== Le dimensioni della sicurezza nel cloud ===
;Controlli investigativi
:I controlli investigativi hanno lo scopo di rilevare e reagire in modo appropriato a qualsiasi incidente che si verifichi. In caso di un attacco, un controllo investigativo segnalerà i controlli preventivi o correttivi da adottare per risolvere il problema.<ref name="Krutz, Ronald L. 2010"/> Il monitoraggio della sicurezza del sistema e della rete, compresocompresi ilgli rilevamentointrusion di intrusionidetection, è tipicamente impiegato per rilevare attacchi ai sistemi e all'infrastruttura di comunicazione.
;Controlli correttivi
;Sicurezza fisica
:I fornitori di servizi cloud proteggono fisicamente l'hardware IT (server, router, cavi ecc.) da accessi non autorizzati, interferenze, sbalzi di corrente, furti, incendi e disastri naturali inoltre assicurano la [[continuità operativa]]. Normalmente questi servizi si possono avere usufruendo di centridata di elaborazione daticenter di livello mondiale (ovvero, professionalmente specificati, progettati, costruiti, monitorati e gestiti). Bisogna sottolineare che la sicurezza informatica senza la sicurezza fisica dei server non vale nulla; poiché il malintenzionato che riesce a mettere mano fisicamente sulle macchine può violarle scavalcando tutta l'infrastruttura virtuale creata per proteggerle.
;Sicurezza del personale
;Privacy
:I fornitoricloud di servizi cloudproviders garantiscono che tutti i dati critici (ad esempio i numeri delle carte di credito o le password) siano mascherati o crittografati e che solo gli utenti autorizzati abbiano accesso ai dati nella loro interezza. Inoltre, le identità e le credenziali digitali devono essere protette come dovrebbero esserlo tutti i dati che il fornitoreprovider raccoglie o produce sull'attività dei clienti nel cloud.
=== La sicurezza del dato ===
Una serie di minacce alla sicurezza sono associate ai servizi in cloud: non solo le tradizionali minacce alla sicurezza, come intercettazioni di rete, esfiltrazioni e attacchi [[DOS|denial of service]], ma anche minacce specifiche al [[cloud computing]], come attacchi ai [[Canale laterale|canaliside lateralichannel]], vulnerabilità della virtualizzazione e abuso di servizi cloud. I seguenti requisiti di sicurezza limitano le minacce.<ref>{{Cita pubblicazione|cognome=Jun Tang|nome=Yong Cui|data=2016|titolo=Ensuring Security and Privacy Preservation for Cloud Data Services|url=http://www.4over6.edu.cn/cuiyong/lunwen/Ensuring%20Security%20and%20Privacy%20Preservation%20for%20Cloud%20Data%20Services.pdf|rivista=ACM Computing Surveys|urlmorto=sì|urlarchivio=https://web.archive.org/web/20160406214320/http://www.4over6.edu.cn/cuiyong/lunwen/Ensuring%20Security%20and%20Privacy%20Preservation%20for%20Cloud%20Data%20Services.pdf|dataarchivio=6 aprile 2016}}</ref>
;Confidenzialità
:La riservatezza del dato è la proprietà che il contenuto di esso non sia reso disponibile o divulgato a utenti non autorizzati a visionarlo. I dati esternalizzatiin outsourcing vengono archiviati in un cloud fuori dal controllo diretto dei proprietari. Solo gli utenti autorizzati possono accedere ai dati mentre tutti gli altri, inclusi i fornitoricloud di servizi cloudprovider, non devono acquisire alcuna informazione su di essi. Al contempo, i proprietari dei dati si aspettano di utilizzare appieno i servizi cloud relativi ai dati per esempio la ricerca, l'elaborazione e la condivisione di questi, senza causare la dispersione dei contenuti.
;Controllo degli accessi
;Integrità
:L'integrità dei dati richiede di mantenere e assicurare l'accuratezza e la completezza del dato. Un utente si aspetta sempre che i suoi dati presenti nel cloud possano essere archiviati correttamente e in maniera affidabile. Ciò significa che i dati non devono poter essere illegalmente manomessi, modificati in modo inappropriato, eliminati involontariamente o creati in modo malevolo. Se eventuali operazioni indesiderate corrompono o cancellano i dati, il proprietario dovrebbe essere in grado di rilevare la corruzione o la perdita. Inoltre, quando una porzione dei dati in esternalizzazioneoutsourcing è danneggiata o persa, deve poter essere recuperata.
== Crittografia ==
Alcuni algoritmi di crittografia avanzati applicati al campo del ''cloud computing'' aumentano la protezione del dato e quindi la privacy. Vediamo ora alcuni esempi di algoritmi effettivamente utilizzati in servizi cloud.
=== Algoritmi di crittografia basati sugli attributi (ABE) ===
Numerose leggi e regolamenti riguardano la conservazione e l'uso dei dati. Negli Stati Uniti queste includono le leggi sulla privacy o sulla protezione dei dati, lo standard PCI DSS (Payment Insurance Industry Data Security), l'HIPAA (Health Insurance Portability and Accountability Act), il [[Sarbanes-Oxley Act]], la legge federale sulla sicurezza delle informazioni (FISMA) e la legge sulla protezione della privacy online dei bambini del 1998.
Leggi simili possono essere applicate in diverse giurisdizioni e possono differire in modo abbastanza marcato da quelle applicate negli Stati Uniti. Spesso gli utenti del servizio cloud devono essere consapevoli delle differenze legali e normative tra le giurisdizioni. Ad esempio, i dati archiviati da un fornitoreprovider di servizi cloud possono trovarsi a Singapore e il server avere un [[Mirror (informatica)|mirror]] negli Stati Uniti d'America.<ref>{{Cita web|url=http://www.technologyslegaledge.com/2014/08/29/managing-legal-risks-arising-from-cloud-computing/|titolo=Managing legal risks arising from cloud computing |editore=DLA Piper |accesso=22 novembre 2014}}</ref>
Molti di questi regolamenti impongono particolari controlli (come controlli di accesso e audit) e richiedono report regolari. I clienti di servizi cloud devono assicurarsi che i loro fornitori soddisfino adeguatamente tali requisiti, consentendo loro di adempiere ai loro obblighi poiché sono i principali responsabili.
;Requisiti di conformità
:Oltre ai requisiti a cui i clienti sono soggetti, anche i centridata di elaborazione daticenter utilizzati dai fornitori di servizi cloud potrebbero essere soggetti a requisiti di conformità. L'utilizzo di un ''provider'' può comportare ulteriori problemi di sicurezza in relazione alla giurisdizione dei dati, poiché i dati dei clienti o dei locatari potrebbero non rimanere sullo stesso sistema, o nello stesso centro dati o persino all'interno dello stesso cloud del fornitoreprovider.<ref name="Securing the Cloud Winkler">{{Cita libro|cognome=Winkler|nome=Vic|titolo=Securing the Cloud: Cloud Computer Security Techniques and Tactics|anno=2011|editore=Elsevier|città=Waltham, MA USA|isbn=978-1-59749-592-9|pp=65, 68, 72, 81, 218–219, 231, 240|url=https://www.elsevier.com/wps/find/bookdescription.cws_home/723529/description#description|accesso=4 maggio 2019|urlarchivio=https://web.archive.org/web/20120729015225/http://www.elsevier.com/wps/find/bookdescription.cws_home/723529/description#description|dataarchivio=29 luglio 2012|urlmorto=sì}}</ref> Per quanto riguarda l'Unione Europea, da maggio 2018 entrerà in vigore il [[Regolamento generale sulla protezione dei dati|GDPR]] che comporterà il fatto che i dati sensibili dei cittadini dell'Unione Europea dovranno risiedere fisicamente all'interno di un paese membro.
== Problemi legali e contrattuali ==
;Pubblici registri
:Le questioni legali possono anche includere requisiti di mantenimento di registri nel settore pubblico, in cui molte agenzie sono obbligate per legge a conservare e rendere disponibili i record elettronici in modo specifico. Questo può essere determinato dalla legislazione, o la legge può richiedere alle agenzie di conformarsi alle regole e alle pratiche stabilite da un'agenzia di tenuta dei registri. Le agenzie pubbliche che utilizzano il ''cloud computing'' e l'archiviazionelo storage devono tenere conto di queste preoccupazioni.
== Note ==
| 