|
== Problemi di sicurezza associati al cloud ==
Il [[cloud]] offre agli utenti di archiviare ed elaborare i loro dati e processi in [[Centro elaborazione dati|data center]] di terze parti.<ref name="cloudid">{{cite journalCita pubblicazione| last1 cognome1= Haghighat | first1 nome1= M. | last2 cognome2= Zonouz | first2 nome2= S. | last3 cognome3= Abdel-Mottaleb | first3 nome3= M. | year anno= 2015 | title titolo= CloudID: Trustworthy Cloud-based and Cross-Enterprise Biometric Identification | doi = 10.1016/j.eswa.2015.06.025 | journal rivista= Expert Systems with Applications | volume = 42 | issue numero= 21| pages pp= 7905–7916 }}</ref> Le aziende utilizzando il [[cloud]] tramite differenti modelli di servizio ([[Software as a service|SaaS]], [[Platform as a service|PaaS]], and [[IaaS]]) e modelli di distribuzione (privati, pubblici, ibridi o di community).<ref name="Srinavasin">{{citeCita web|lastcognome=Srinavasin|firstnome=Madhan|titletitolo='State-of-the-art cloud computing security taxonomies: a classification of security challenges in the present cloud computing environment|publishereditore= ACM ICACCI'|yearanno=2012|url=http://doi.acm.org/10.1145/2345396.2345474}}</ref> I problemi di sicurezza associati al cloud computing si dividono in due ampie categorie: problemi di sicurezza affrontati dai [[cloud provider]] (organizzazioni che forniscono servizi cloud) e problemi di sicurezza affrontati dai loro clienti (aziende, organizzazioni o privati che utilizzano i servizi offerti dal cloud).<ref>{{citeCita news|url=http://security.sys-con.com/node/1231725|titletitolo=Swamp Computing a.k.a. Cloud Computing|publishereditore=Web Security Journal|datedata=2009-12-28 dicembre 2009|accessdateaccesso=2010-01-25 gennaio 2010}}</ref> La responsabilità è condivisa: il provider deve assicurare che la loro infrastruttura è sicura e che i dati e le applicazioni dei clienti sono protette, mentre gli utenti devono adottare misure per rendere le loro applicazioni difficilmente violabili.
Quando un'organizzazione decide di effettuare lo storage dei propri dati o di ospitare un'applicazione sul cloud, perde la possibilità di avere il fisico accesso ai server che contengono queste informazioni. Di conseguenza, i potenziali dati sensibili sono esposti al rischio di attacchi interni.
Secondo un recente report della [[Cloud Security Alliance]], gli attacchi interni sono la sesta più grande minaccia nel [[cloud computing]].<ref name="Top Threats to Cloud Computing v1.0">{{citeCita web|titletitolo=Top Threats to Cloud Computing v1.0|url=https://cloudsecurityalliance.org/topthreats/csathreats.v1.0.pdf|publishereditore=Cloud Security Alliance|accessdateaccesso=2014-10-20 ottobre 2014}}</ref> Pertanto, i cloud providers devono garantire che vengano eseguiti controlli approfonditi sui dipendenti che hanno accesso fisico ai server nel data center.
Al fine di risparmiare risorse, ridurre i costi e mantenere alta l'efficienza, i cloud providers spesso memorizzano i dati di più clienti sullo stesso server. Di conseguenza, esiste la possibilità che i dati privati di un utente possano essere visualizzati da altri utenti (eventualmente anche concorrenti). Per gestire tali situazioni sensibili, i fornitori di servizi cloud dovrebbero garantire il corretto isolamento dei dati e la separazione logica dell'archiviazione.<ref name ="Srinavasin"/>
L'ampio uso della [[virtualizzazione]] nell'implementazione dell'infrastruttura cloud crea problemi di sicurezza per i clienti di un servizio di cloud pubblico.<ref name="Cloud Virtual Security Winkler">{{citeCita web|lastcognome=Winkler|firstnome=Vic|titletitolo=Cloud Computing: Virtual Cloud Security Concerns|url=https://technet.microsoft.com/en-us/magazine/hh641415.aspx|publishereditore=Technet Magazine, Microsoft|accessdateaccesso=12 Februaryfebbraio 2012}}</ref> La [[virtualizzazione]] altera il rapporto tra il sistema operativo e l'hardware sottostante: sia esso relativo al computing, all'archiviazione o persino al networking. Ciò introduce un ulteriore livello che deve essere configurato, gestito e protetto correttamente. Una delle preoccupazioni include la potenziale compromissione del software di virtualizzazione, o "[[hypervisor]]".<ref name="virtualization risks hickey">{{citeCita web|lastcognome=Hickey|firstnome=Kathleen|titletitolo=Dark Cloud: Study finds security risks in virtualization|url=http://gcn.com/articles/2010/03/18/dark-cloud-security.aspx|publishereditore=Government Security News|accessdateaccesso=12 Februaryfebbraio 2012}}</ref> Specific concerns include the potential to compromise the virtualization software, or "hypervisor". While these concerns are largely theoretical, they do exist.<ref name="Securing the Cloud Winkler virt">{{citeCita booklibro|lastcognome=Winkler|firstnome=Vic|titletitolo=Securing the Cloud: Cloud Computer Security Techniques and Tactics|yearanno=2011|publishereditore=Elsevier|___locationcittà=Waltham, MA USA|isbn=978-1-59749-592-9 |pagep=59|url=http://www.elsevier.com/wps/find/bookdescription.cws_home/723529/description#description}}</ref> Ad esempio, una violazione della workstation dell'amministratore con il software di gestione del software di virtualizzazione può causare l'interruzione dell'intero datacenter o la riconfigurazione a piacere di un utente malintenzionato.
== Controlli di sicurezza nel cloud ==
== Le dimensioni della sicurezza nel cloud ==
In genere si raccomanda di selezionare e implementare i controlli di sicurezza dell'informazioni in base e in proporzione ai rischi: valutando le minacce, le vulnerabilità e gli impatti. I problemi di sicurezza del cloud possono essere raggruppati in vari modi; Gartner ne ha identificati sette <ref>{{citeCita news|url=http://www.infoworld.com/d/security-central/gartner-seven-cloud-computing-security-risks-853|titletitolo=Gartner: Seven cloud-computing security risks|publishereditore=InfoWorld|datedata=2 luglio 2008-07-02|accessdateaccesso=2010-01-25 gennaio 2010}}</ref> mentre la Cloud Security Alliance ha preso in considerazione quattordici aree di interesse<ref>{{citeCita web|url=https://cloudsecurityalliance.org/research/projects/security-guidance-for-critical-areas-of-focus-in-cloud-computing/|titletitolo=Security Guidance for Critical Areas of Focus in Cloud Computing|publishereditore=Cloud Security Alliance|yearanno=2011|accessdateaccesso=4 maggio 2011-05-04}}</ref><ref name="forrester">{{citeCita news|url=http://blogs.forrester.com/srm/2009/11/cloud-security-front-and-center.html|titletitolo=Cloud Security Front and Center|publishereditore=Forrester Research|datedata=18 novembre 2009-11-18|accessdateaccesso=25 gennaio 2010-01-25}}</ref>. I [[Cloud Access Security Broker|Cloud Access Security Brokers (CASB)]] sono un tipo di software che si trova a metà tra gli utenti del servizio cloud e le applicazioni cloud per monitorare tutte le attività e applicare correttamente le politiche di sicurezza.<ref>{{CiteCita web|title titolo= What is a CASB (Cloud Access Security Broker)?|publishereditore=Skyhigh Networks|url = https://www.skyhighnetworks.com/cloud-security-university/what-is-cloud-access-security-broker/|accessdate accesso= 2017-08-11 agosto 2017}}</ref>
== Sicurezza e Privacy ==
;Gestione dell'identità
:Ogni azienda ha il proprio sistema di gestione dell'identità per controllare l'accesso alle informazioni e alle risorse informatiche. I fornitori di servizi cloud integrano il sistema di gestione delle identità del cliente nella propria infrastruttura, utilizzando la tecnica del [[Single_sign-on | SSO]] o sfruttando un sistema di identificazione basato su dati biometrici <ref name="cloudid"/> oppure ancora fornendo un proprio sistema di gestione delle identità <ref>{{citeCita web|url=http://www.darkreading.com/identity-management-in-the-cloud/d/d-id/1140751 |titletitolo=Identity Management in the Cloud |publishereditore=Information Week |datedata=2013-10-25 ottobre 2013 |accessdateaccesso=5 giugno 2013-06-05}}</ref>. CloudID,<ref name="cloudid"/> ad esempio, fornisce un sistema di identificazione biometrica cross-enterprise basata sul cloud che preserva la privacy. Esso collega le informazioni riservate degli utenti ai loro dati biometrici e li memorizza in modo crittografato. Facendo uso di una tecnica di crittografia, l'identificazione biometrica viene eseguita in un dominio crittografato per assicurarsi che il fornitore di servizi cloud o potenziali aggressori non ottengano l'accesso a dati sensibili. <ref name="cloudid"/>
;Sicurezza fisica
== La sicurezza del dato ==
Una serie di minacce alla sicurezza sono associate ai servizi in cloud: non solo le tradizionali minacce alla sicurezza, come intercettazioni di rete, esfiltrazioni e attacchi [[DOS|denial of service]], ma anche minacce specifiche al [[cloud computing]], come attacchi ai [[Canale laterale|side channel]], vulnerabilità della virtualizzazione e abuso di servizi cloud. I seguenti requisiti di sicurezza limitano le minacce. <ref>{{CiteCita journalpubblicazione|lastcognome=Jun Tang|firstnome=Yong Cui|datedata=2016|titletitolo=Ensuring Security and Privacy Preservation for Cloud Data Services|url=http://www.4over6.edu.cn/cuiyong/lunwen/Ensuring%20Security%20and%20Privacy%20Preservation%20for%20Cloud%20Data%20Services.pdf|journalrivista=ACM Computing Surveys|doi=|pmid=|access-date=}}</ref>
;Confidenzialità
==== Ciphertext-policy ABE (CP-ABE) ====
Nel CP-ABE, l'encryptor ha il controllo degli accesso, all'aumentare della complessità della strategia di accesso, diventa più difficile la creazione della chiave pubblica del sistema. Il principale lavoro di ricerca di CP-ABE è focalizzato sulla progettazione della struttura di accesso.<ref>{{CiteCita journalpubblicazione|title titolo= Attribute-Based Encryption Schemes|url = http://pub.chinasciencejournal.com/article/getArticleRedirect.action?doiCode=10.3724/SP.J.1001.2011.03993|journal rivista= Journal of Software|pages pp= 1299–1315|volume = 22|issue numero= 6|doi = 10.3724/sp.j.1001.2011.03993|first nome= Jin-Shu|last cognome= SU|first2 nome2= Dan|last2 cognome2= CAO|first3 nome3= Xiao-Feng|last3 cognome3= WANG|first4 nome4= Yi-Pin|last4 cognome4= SUN|first5 nome5= Qiao-Lin|last5 cognome5= HU}}</ref>
==== Key-policy ABE (KP-ABE) ====
Nel KP-ABE, gli insiemi di attributi vengono utilizzati insieme alla chiave privata per visualizzare correttamente i testi crittografati.<ref>{{CiteCita journalpubblicazione|title titolo= Attribute-based encryption schemes with constant-size ciphertexts|url = http://www.sciencedirect.com/science/article/pii/S0304397511009649|journal rivista= Theoretical Computer Science|date data= 9 marzo 2012-03-09|pages pp= 15–38|volume = 422|doi = 10.1016/j.tcs.2011.12.004|first nome= Nuttapong|last cognome= Attrapadung|first2 nome2= Javier|last2 cognome2= Herranz|first3 nome3= Fabien|last3 cognome3= Laguillaumie|first4 nome4= Benoît|last4 cognome4= Libert|first5 nome5= Elie|last5 cognome5= de Panafieu|first6 nome6= Carla|last6 cognome6= Ràfols}}</ref>
=== [[Crittografia omomorfica|Crittografia omomorfica (FHE)]] ===
La crittografia completamente omomorfa consente calcoli semplici sulle informazioni crittografate e consente inoltre di calcolare la somma e il prodotto per i dati crittografati senza decrittografia.<ref>{{CiteCita journalpubblicazione|url = http://www.ijarcce.com/upload/2014/november/IJARCCE3A%20s%20hema%20Performance%20of%20Ring%20Based%20Fully%20Homomorphic%20Encryption%20for%20securing%20data%20in%20Cloud%20Computing.pdf|title titolo= Performance of Ring Based Fully Homomorphic Encryption for securing data in Cloud Computing|last cognome= S.Hemalatha|first nome= Raguram|date data= 2014|journal rivista= International Journal of Advanced Research in Computer and Communication Engineering|doi = |pmid = |access-date = }}</ref>
=== Searchable Encryption (SE) ===
Numerose leggi e regolamenti riguardano la conservazione e l'uso dei dati. Negli Stati Uniti queste includono le leggi sulla privacy o sulla protezione dei dati, lo standard PCI DSS (Payment Insurance Industry Data Security), l'HIPAA (Health Insurance Portability and Accountability Act), il [[Sarbanes-Oxley Act]], la legge federale sulla sicurezza delle informazioni (FISMA) e la legge sulla protezione della privacy online dei bambini del 1998.
Leggi simili possono essere applicate in diverse giurisdizioni e possono differire in modo abbastanza marcato da quelle applicate negli Stati Uniti. Spesso gli utenti del servizio cloud devono essere consapevoli delle differenze legali e normative tra le giurisdizioni. Ad esempio, i dati archiviati da un provider di servizi cloud possono trovarsi in Singapore e il server avere un [[Mirror (informatica)|mirror]] negli Stati Uniti.<ref>{{citeCita web|url=http://www.technologyslegaledge.com/2014/08/29/managing-legal-risks-arising-from-cloud-computing/|titletitolo=Managing legal risks arising from cloud computing |publishereditore=DLA Piper |accessdateaccesso=2014-11-22 novembre 2014}}</ref>
Molti di questi regolamenti impongono particolari controlli (come controlli di accesso e audit) e richiedono report regolari. I clienti di servizi cloud devono assicurarsi che i loro fornitori soddisfino adeguatamente tali requisiti, consentendo loro di adempiere ai loro obblighi poiché sono i principali responsabili.
;[[Business continuity|Business Continuity]] e [[Recupero dati|Data Recovery]]
:I fornitori di servizi cloud dispongono di piani di [[Business continuity|business continuity]] e di [[Recupero dati|recupero dati]] per garantire che il servizio possa essere mantenuto in caso di disastro o in caso di emergenza e che qualsiasi perdita di dati venga ripristinata.<ref>{{citeCita web|url=http://content.dell.com/us/en/enterprise/d/large-business/benefits-cloud-based-recovery.aspx|titletitolo=It’s Time to Explore the Benefits of Cloud-Based Disaster Recovery |publishereditore=Dell.com |accessdateaccesso=2012-03-26 marzo 2012}}</ref> Questi piani possono essere condivisi e rivisti dai loro clienti, idealmente in linea con le disposizioni di continuità richieste da questi ultimi. Fare esercitazioni di continuità congiunta possono essere appropriati, simulando, ad esempio, una grave interruzione della fornitura di energia elettrica o di Internet.
;Log and Audit trail
;Requisiti di conformità
:Oltre ai requisiti a cui i clienti sono soggetti, anche i data center utilizzati dai fornitori di servizi cloud potrebbero essere soggetti a requisiti di conformità. L'utilizzo di un provider può comportare ulteriori problemi di sicurezza in relazione alla giurisdizione dei dati, poiché i dati dei clienti o dei locatari potrebbero non rimanere sullo stesso sistema, o nello stesso centro dati o persino all'interno dello stesso cloud del provider.<ref name="Securing the Cloud Winkler">{{citeCita booklibro|lastcognome=Winkler|firstnome=Vic|titletitolo=Securing the Cloud: Cloud Computer Security Techniques and Tactics|yearanno=2011|publishereditore=Elsevier|___locationcittà=Waltham, MA USA|isbn=978-1-59749-592-9|pagespp=65, 68, 72, 81, 218–219, 231, 240|url=http://www.elsevier.com/wps/find/bookdescription.cws_home/723529/description#description}}</ref> Per quanto riguarda l'Unione Europea, da maggio 2018 entrerà in vigore il [[Regolamento generale sulla protezione dei dati|GDPR]] che comporterà il fatto che i dati sensibili dei cittadini dell'Unione Europea dovranno risiedere fisicamente all'interno di un paese membro.
== Problemi legali e contrattuali ==
Oltre ai problemi di sicurezza e conformità sopra elencati, i fornitori di servizi cloud e i loro clienti negoziano i termini di responsabilità (stipulando come verranno risolti gli incidenti che implicano perdita o compromissione dei dati), la proprietà intellettuale e la fine del servizio (quando i dati e le applicazioni vengono restituite definitivamente al cliente). Inoltre, ci sono considerazioni per l'acquisizione di dati dal cloud che potrebbero essere coinvolti in contenziosi.<ref name="adams">{{citeCita web|lastcognome=Adams|firstnome=Richard|titletitolo='The emergence of cloud storage and the need for a new digital forensic process model|publishereditore=Murdoch University|yearanno=2013|url=http://researchrepository.murdoch.edu.au/19431/1/emergence_of_cloud_storage.pdf}}</ref> Questi problemi sono discussi tramite [[Service level agreement|SLA]].
;Pubblici registri
| 