Sicurezza del cloud computing: differenze tra le versioni
Contenuto cancellato Contenuto aggiunto
Aggiunto paragrafo "Controlli di sicurezza nel cloud" |
m Aggiunte Fonti |
||
Riga 2:
== Problemi di sicurezza associati al cloud ==
Il [[cloud]] offre agli utenti di archiviare ed elaborare i loro dati e processi in [[Centro elaborazione dati|data center]] di terze parti.<ref name="cloudid">{{cite journal | last1 = Haghighat | first1 = M. | last2 = Zonouz | first2 = S. | last3 = Abdel-Mottaleb | first3 = M. | year = 2015 | title = CloudID: Trustworthy Cloud-based and Cross-Enterprise Biometric Identification | doi = 10.1016/j.eswa.2015.06.025 | journal = Expert Systems with Applications | volume = 42 | issue = 21| pages = 7905–7916 }}</ref> Le aziende utilizzando il [[cloud]] tramite differenti modelli di servizio ([[Software as a service|SaaS]], [[Platform as a service|PaaS]], and [[IaaS]]) e modelli di distribuzione (privati, pubblici, ibridi o di community).<ref name="Srinavasin">{{cite web|last=Srinavasin|first=Madhan|title='State-of-the-art cloud computing security taxonomies: a classification of security challenges in the present cloud computing environment|publisher= ACM ICACCI'|year=2012|url=http://doi.acm.org/10.1145/2345396.2345474}}</ref> I problemi di sicurezza associati al cloud computing si dividono in due ampie categorie: problemi di sicurezza affrontati dai [[cloud provider]] (organizzazioni che forniscono servizi cloud) e problemi di sicurezza affrontati dai loro clienti (aziende, organizzazioni o privati che utilizzano i servizi offerti dal cloud).<ref>{{cite news|url=http://security.sys-con.com/node/1231725|title=Swamp Computing a.k.a. Cloud Computing|publisher=Web Security Journal|date=2009-12-28|accessdate=2010-01-25}}</ref> La responsabilità è condivisa: il provider deve assicurare che la loro infrastruttura è sicura e che i dati e le applicazioni dei clienti sono protette, mentre gli utenti devono adottare misure per rendere le loro applicazioni difficilmente violabili.
Quando un'organizzazione decide di effettuare lo storage dei propri dati o di ospitare un'applicazione sul cloud, perde la possibilità di avere il fisico accesso ai server che contengono queste informazioni. Di conseguenza, i potenziali dati sensibili sono esposti al rischio di attacchi interni.
Secondo un recente report della [[Cloud Security Alliance]], gli attacchi interni sono la sesta più grande minaccia nel [[cloud computing]].<ref name="Top Threats to Cloud Computing v1.0">{{cite web|title=Top Threats to Cloud Computing v1.0|url=https://cloudsecurityalliance.org/topthreats/csathreats.v1.0.pdf|publisher=Cloud Security Alliance|accessdate=2014-10-20}}</ref> Pertanto, i cloud providers devono garantire che vengano eseguiti controlli approfonditi sui dipendenti che hanno accesso fisico ai server nel data center.
Al fine di risparmiare risorse, ridurre i costi e mantenere alta l'efficienza, i cloud providers spesso memorizzano i dati di più clienti sullo stesso server. Di conseguenza, esiste la possibilità che i dati privati di un utente possano essere visualizzati da altri utenti (eventualmente anche concorrenti). Per gestire tali situazioni sensibili, i fornitori di servizi cloud dovrebbero garantire il corretto isolamento dei dati e la separazione logica dell'archiviazione.<ref name ="Srinavasin"/>
L'ampio uso della [[virtualizzazione]] nell'implementazione dell'infrastruttura cloud crea problemi di sicurezza per i clienti di un servizio di cloud pubblico.<ref name="Cloud Virtual Security Winkler">{{cite web|last=Winkler|first=Vic|title=Cloud Computing: Virtual Cloud Security Concerns|url=https://technet.microsoft.com/en-us/magazine/hh641415.aspx|publisher=Technet Magazine, Microsoft|accessdate=12 February 2012}}</ref> La [[virtualizzazione]] altera il rapporto tra il sistema operativo e l'hardware sottostante: sia esso relativo al computing, all'archiviazione o persino al networking. Ciò introduce un ulteriore livello che deve essere configurato, gestito e protetto correttamente. Una delle preoccupazioni include la potenziale compromissione del software di virtualizzazione, o "[[hypervisor]]".<ref name="virtualization risks hickey">{{cite web|last=Hickey|first=Kathleen|title=Dark Cloud: Study finds security risks in virtualization|url=http://gcn.com/articles/2010/03/18/dark-cloud-security.aspx|publisher=Government Security News|accessdate=12 February 2012}}</ref> Specific concerns include the potential to compromise the virtualization software, or "hypervisor". While these concerns are largely theoretical, they do exist.<ref name="Securing the Cloud Winkler virt">{{cite book|last=Winkler|first=Vic|title=Securing the Cloud: Cloud Computer Security Techniques and Tactics|year=2011|publisher=Elsevier|___location=Waltham, MA USA|isbn=978-1-59749-592-9 |page=59|url=http://www.elsevier.com/wps/find/bookdescription.cws_home/723529/description#description}}</ref> Ad esempio, una violazione della workstation dell'amministratore con il software di gestione del software di virtualizzazione può causare l'interruzione dell'intero datacenter o la riconfigurazione a piacere di un utente malintenzionato.
== Controlli di sicurezza nel cloud ==
| |||