|
La sicurezza del cloud computing o, più semplicemente, la sicurezza del [[cloud]] si riferisce ad un'ampia gamma di politiche, tecnologie e controlli atti alla protezione di dati, applicazioni e leinfrastrutture associate infrastrutture di [[cloud computing]]. La sicurezza di questo ambito è un sotto-dominio della [[sicurezza informatica]] nel suo complesso.
== Problemi di sicurezza associati al cloud ==
Il [[cloud]] offre agli utenti di archiviare ed elaborare i loro dati e processi in [[Centro elaborazione dati|data center]] di terze parti.<ref name="cloudid">{{Cita pubblicazione|cognome1= Haghighat |nome1= M. |cognome2= Zonouz |nome2= S. |cognome3= Abdel-Mottaleb |nome3= M. |anno= 2015 |titolo= CloudID: Trustworthy Cloud-based and Cross-Enterprise Biometric Identification | doi = 10.1016/j.eswa.2015.06.025 |rivista= Expert Systems with Applications |volume= 42 |numero= 21|pp= 7905–7916 }}</ref> Le aziende utilizzando il [[cloud]] tramite differenti modelli di servizio ([[Software as a service|SaaS]], [[Platform as a service|PaaS]], and [[IaaS]]) e modelli di distribuzione (privati, pubblici, ibridi o di community).<ref name="Srinavasin">{{Cita web|cognome=Srinavasin|nome=Madhan|titolo='State-of-the-art cloud computing security taxonomies: a classification of security challenges in the present cloud computing environment|editore= ACM ICACCI'|anno=2012|url=http://doi.acm.org/10.1145/2345396.2345474}}</ref> I problemi di sicurezza associati al cloud computing si dividono in due ampie categorie: problemi di sicurezza affrontati dai [[cloud provider]] (organizzazioni che forniscono servizi cloud) e problemi di sicurezza affrontati dai loro clienti (aziende, organizzazioni o privati che utilizzano i servizi offerti dal cloud stesso).<ref>{{Cita news|url=http://security.sys-con.com/node/1231725|titolo=Swamp Computing a.k.a. Cloud Computing|editore=Web Security Journal|data=28 dicembre 2009|accesso=25 gennaio 2010}}</ref> La responsabilità è condivisa: il provider deve assicurare che la loro infrastruttura è sicura e che i dati e le applicazioni dei clienti sono protette, mentre gli utenti devono adottare misure per rendere le loro applicazioni difficilmente violabili.
Quando un'organizzazione decide di effettuare lo storage dei propri dati o di ospitare un'applicazione sul cloud, perde la possibilità di avere ill'accesso fisico accesso ai server che contengono queste informazioni. Di conseguenza, i potenziali dati sensibili sono esposti al rischio di attacchi interni.
Secondo un recente report della [[Cloud Security Alliance]], gli attacchi interniche partono dall'interno del cloud provider sono la sesta più grande minaccia nel [[cloud computing]].<ref name="Top Threats to Cloud Computing v1.0">{{Cita web|titolo=Top Threats to Cloud Computing v1.0|url=https://cloudsecurityalliance.org/topthreats/csathreats.v1.0.pdf|editore=Cloud Security Alliance|accesso=20 ottobre 2014}}</ref> Pertanto, i cloud providers devono garantire che vengano eseguiti controlli approfonditi sui dipendenti che hanno accesso fisico ai server nelnei loro data center.
Al fine di risparmiare risorse, ridurre i costi e mantenere alta l'efficienza, i cloud providersprovider spesso memorizzano i dati di più clienti sullosulla stessostessa servermacchina. Di conseguenza, esiste la possibilità che i dati privati di un utente possano essere visualizzati da altri utenti (eventualmente anche loro concorrenti). Per gestire tali situazioni sensibili, i fornitori di servizi cloud dovrebbero garantire il corretto isolamento dei dati e la separazione logica dell'archiviazione.<ref name ="Srinavasin"/>
L'ampio uso della [[virtualizzazione]] nell'implementazione dell'infrastruttura cloud crea problemi di sicurezza per i clienti di un servizio di cloud pubblico.<ref name="Cloud Virtual Security Winkler">{{Cita web|cognome=Winkler|nome=Vic|titolo=Cloud Computing: Virtual Cloud Security Concerns|url=https://technet.microsoft.com/en-us/magazine/hh641415.aspx|editore=Technet Magazine, Microsoft|accesso=12 febbraio 2012}}</ref> La [[virtualizzazione]] altera il rapporto tra il sistema operativo e l'hardware sottostante: sia esso relativo al computing, all'archiviazione o persino al networking. Ciò introduce un ulteriore livello che deve essere configurato, gestito e protetto correttamente. Una delle preoccupazioni include la potenziale compromissione del software di virtualizzazione, o "[[hypervisor]]".<ref name="virtualization risks hickey">{{Cita web|cognome=Hickey|nome=Kathleen|titolo=Dark Cloud: Study finds security risks in virtualization|url=http://gcn.com/articles/2010/03/18/dark-cloud-security.aspx|editore=Government Security News|accesso=12 febbraio 2012}}</ref> Una Specificdelle concernspreoccupazioni include thela potentialpotenziale tocompromissione compromisedel thesoftware virtualizationdi softwarevirtualizzazione, oro "[[hypervisor]]". While these concerns are largely theoretical, they do exist.<ref name="Securing the Cloud Winkler virt">{{Cita libro|cognome=Winkler|nome=Vic|titolo=Securing the Cloud: Cloud Computer Security Techniques and Tactics|anno=2011|editore=Elsevier|città=Waltham, MA USA|isbn=978-1-59749-592-9 |p=59|url=http://www.elsevier.com/wps/find/bookdescription.cws_home/723529/description#description}}</ref> Ad esempio, una violazione della workstation dell'amministratore con il software di gestione del software didella virtualizzazione può causare l'interruzione delldei servizi erogati dall'intero datacenterdata center o la riconfigurazione a piacere di un utente malintenzionato.
== Controlli di sicurezza nel cloud ==
L'architettura di sicurezza del cloud è efficace solo se sono state implementate le corrette difese. Un'efficiente architettura di sicurezza cloud dovrebbe tenere conto dei problemi che si presenterannopresentano relativi alla gestione della sicurezza.<ref name="Krutz, Ronald L. 2010">Krutz, Ronald L., and Russell Dean Vines. "Cloud Computing Security Architecture." Cloud Security: A Comprehensive Guide to Secure Cloud Computing. Indianapolis, IN: Wiley, 2010. 179-80. Print.</ref> Quest'ultima risolve questi problemi effettuando controlli che sono messi in atto per salvaguardare eventuali punti deboli del sistema e ridurre l'effetto di un attacco. Un'architettura di sicurezza per un cloud ha molti tipi di controlli, ma di solito si trovano in una delle seguenti categorie:<ref name="Krutz, Ronald L. 2010"/>
;Controlli deterrenti
;Controlli preventivi
:I controlli preventivi rafforzano il sistema contro gli incidenti, in genere riducendo se non eliminando effettivamente le vulnerabilità note. Una corretta ed efficace autenticazione degli utenti del cloud, ad esempio, rende meno probabile che utenti non autorizzati possano accedere ai sistemi cloud. L'utilizzo di chiavi RSA molto lunghe ne è un esempio.
;Controlli investigativi
== Le dimensioni della sicurezza nel cloud ==
In genere si raccomanda di selezionare e implementare i controlli di sicurezza dell'informazioniinformazione in base e in proporzione ai rischi: valutando le minacce, le vulnerabilità e gli impatti. I problemi di sicurezza del cloud possono essere raggruppati in vari modi; Gartner ne ha identificati sette <ref>{{Cita news|url=http://www.infoworld.com/d/security-central/gartner-seven-cloud-computing-security-risks-853|titolo=Gartner: Seven cloud-computing security risks|editore=InfoWorld|data=2 luglio 2008|accesso=25 gennaio 2010}}</ref> mentre la Cloud Security Alliance ha preso in considerazione quattordici aree di interesse<ref>{{Cita web|url=https://cloudsecurityalliance.org/research/projects/security-guidance-for-critical-areas-of-focus-in-cloud-computing/|titolo=Security Guidance for Critical Areas of Focus in Cloud Computing|editore=Cloud Security Alliance|anno=2011|accesso=4 maggio 2011}}</ref><ref name="forrester">{{Cita news|url=http://blogs.forrester.com/srm/2009/11/cloud-security-front-and-center.html|titolo=Cloud Security Front and Center|editore=Forrester Research|data=18 novembre 2009|accesso=25 gennaio 2010}}</ref>. I [[Cloud Access Security Broker|Cloud Access Security Brokers (CASB)]] sono un tipo di software che si trova a metà tra gli utenti del servizio cloud e le applicazioni cloud per monitorare tutte le attività e applicare correttamente le politiche di sicurezza.<ref>{{Cita web|titolo= What is a CASB (Cloud Access Security Broker)?|editore=Skyhigh Networks|url= https://www.skyhighnetworks.com/cloud-security-university/what-is-cloud-access-security-broker/|accesso= 11 agosto 2017}}</ref> Siccome creare un infrastruttura sicura al 100% non è mai possibile, spesso ci si affida a servizi di tipo assicurativo che coprono il rischio residuo.
== Sicurezza e Privacy ==
| 