Sicurezza del cloud computing

La sicurezza del cloud computing o, più semplicemente, la sicurezza del cloud si riferisce ad un'ampia gamma di politiche, tecnologie e controlli atti alla protezione di dati, applicazioni e le associate infrastrutture di cloud computing. La sicurezza di questo ambito è un sotto-dominio della sicurezza informatica nel suo complesso.

Problemi di sicurezza associati al cloud

Il cloud offre agli utenti di archiviare ed elaborare i loro dati e processi in data center di terze parti.^[1] Le aziende utilizzando il cloud tramite differenti modelli di servizio (SaaS, PaaS, and IaaS) e modelli di distribuzione (privati, pubblici, ibridi o di community).^[2] I problemi di sicurezza associati al cloud computing si dividono in due ampie categorie: problemi di sicurezza affrontati dai cloud provider (organizzazioni che forniscono servizi cloud) e problemi di sicurezza affrontati dai loro clienti (aziende, organizzazioni o privati che utilizzano i servizi offerti dal cloud).^[3] La responsabilità è condivisa: il provider deve assicurare che la loro infrastruttura è sicura e che i dati e le applicazioni dei clienti sono protette, mentre gli utenti devono adottare misure per rendere le loro applicazioni difficilmente violabili.

Quando un'organizzazione decide di effettuare lo storage dei propri dati o di ospitare un'applicazione sul cloud, perde la possibilità di avere il fisico accesso ai server che contengono queste informazioni. Di conseguenza, i potenziali dati sensibili sono esposti al rischio di attacchi interni. Secondo un recente report della Cloud Security Alliance, gli attacchi interni sono la sesta più grande minaccia nel cloud computing.^[4] Pertanto, i cloud providers devono garantire che vengano eseguiti controlli approfonditi sui dipendenti che hanno accesso fisico ai server nel data center.

Al fine di risparmiare risorse, ridurre i costi e mantenere alta l'efficienza, i cloud providers spesso memorizzano i dati di più clienti sullo stesso server. Di conseguenza, esiste la possibilità che i dati privati di un utente possano essere visualizzati da altri utenti (eventualmente anche concorrenti). Per gestire tali situazioni sensibili, i fornitori di servizi cloud dovrebbero garantire il corretto isolamento dei dati e la separazione logica dell'archiviazione.^[2]

L'ampio uso della virtualizzazione nell'implementazione dell'infrastruttura cloud crea problemi di sicurezza per i clienti di un servizio di cloud pubblico.^[5] La virtualizzazione altera il rapporto tra il sistema operativo e l'hardware sottostante: sia esso relativo al computing, all'archiviazione o persino al networking. Ciò introduce un ulteriore livello che deve essere configurato, gestito e protetto correttamente. Una delle preoccupazioni include la potenziale compromissione del software di virtualizzazione, o "hypervisor".^[6] Specific concerns include the potential to compromise the virtualization software, or "hypervisor". While these concerns are largely theoretical, they do exist.^[7] Ad esempio, una violazione della workstation dell'amministratore con il software di gestione del software di virtualizzazione può causare l'interruzione dell'intero datacenter o la riconfigurazione a piacere di un utente malintenzionato.

Controlli di sicurezza nel cloud

L'architettura di sicurezza del cloud è efficace solo se sono state implementate le corrette difese. Un'efficiente architettura di sicurezza cloud dovrebbe tenere conto dei problemi che si presenteranno relativi alla gestione della sicurezza.^[8] Quest'ultima risolve questi problemi effettuando controlli che sono messi in atto per salvaguardare eventuali punti deboli del sistema e ridurre l'effetto di un attacco. Un'architettura di sicurezza per un cloud ha molti tipi di controlli, ma di solito si trovano in una delle seguenti categorie:^[8]

Controlli deterrenti: Questi controlli hanno lo scopo di ridurre gli attacchi a un sistema cloud. Molto simile a un segnale di avvertenza su una recinzione di una proprietà, i controlli deterrenti in genere riducono il livello di minaccia informando i potenziali attaccanti che ci saranno conseguenze negative per loro se procedono. (Alcuni li considerano un sottoinsieme dei controlli preventivi).

Controlli preventivi: I controlli preventivi rafforzano il sistema contro gli incidenti, in genere riducendo se non eliminando effettivamente le vulnerabilità. Una corretta ed efficace autenticazione degli utenti del cloud, ad esempio, rende meno probabile che utenti non autorizzati possano accedere ai sistemi cloud.

Controlli investigativi: I controlli investigativi hanno lo scopo di rilevare e reagire in modo appropriato a qualsiasi incidente che si verifichi. In caso di un attacco, un controllo investigativo segnalerà i controlli preventivi o correttivi da adottare per risolvere il problema.^[8] Il monitoraggio della sicurezza del sistema e della rete, compresi gli intrusion detection, è tipicamente impiegato per rilevare attacchi ai sistemi e all'infrastruttura di comunicazione.

Controlli correttivi: I controlli correttivi riducono le conseguenze di un incidente, di solito limitando il danno. Essi entrano in azione durante o dopo un incidente. Il ripristino dei backup del sistema per ricostruire un sistema compromesso è un esempio di controllo correttivo.

Le dimensioni della sicurezza nel cloud

In genere si raccomanda di selezionare e implementare i controlli di sicurezza dell'informazioni in base e in proporzione ai rischi: valutando le minacce, le vulnerabilità e gli impatti. I problemi di sicurezza del cloud possono essere raggruppati in vari modi; Gartner ne ha identificati sette ^[9] mentre la Cloud Security Alliance ha preso in considerazione quattordici aree di interesse^[10]^[11]. I Cloud Access Security Brokers (CASB) sono un tipo di software che si trova a metà tra gli utenti del servizio cloud e le applicazioni cloud per monitorare tutte le attività e applicare correttamente le politiche di sicurezza.^[12]

Sicurezza e Privacy

Gestione dell'identità: Ogni azienda ha il proprio sistema di gestione dell'identità per controllare l'accesso alle informazioni e alle risorse informatiche. I fornitori di servizi cloud integrano il sistema di gestione delle identità del cliente nella propria infrastruttura, utilizzando la tecnica del SSO o sfruttando un sistema di identificazione basato su dati biometrici ^[1] oppure ancora fornendo un proprio sistema di gestione delle identità ^[13]. CloudID,^[1] ad esempio, fornisce un sistema di identificazione biometrica cross-enterprise basata sul cloud che preserva la privacy. Esso collega le informazioni riservate degli utenti ai loro dati biometrici e li memorizza in modo crittografato. Facendo uso di una tecnica di crittografia, l'identificazione biometrica viene eseguita in un dominio crittografato per assicurarsi che il fornitore di servizi cloud o potenziali aggressori non ottengano l'accesso a dati sensibili. ^[1]

Sicurezza fisica: I fornitori di servizi cloud proteggono fisicamente l'hardware IT (server, router, cavi ecc.) da accessi non autorizzati, interferenze, sbalzi di corrente, furti, incendi e disastri naturali inoltre assicurano la business continuity. Normalmente questi servizi si possono avere usufruendo di data center di livello mondiale (ovvero, professionalmente specificati, progettati, costruiti, monitorati e gestiti).

Sicurezza del personale: Varie preoccupazioni in materia di sicurezza delle informazioni relative all'IT e ad altri professionisti associati ai servizi cloud sono generalmente gestite attraverso attività pre- e post-impiego come programmi di sensibilizzazione e formazioni sulla sicurezza. Essi sono molto importanti per creare una conoscenza collettiva riguardante i rischi derivanti da azioni apparentemente innocue, come per esempio controllare che informazioni sono presenti su una chiavetta USB trovata per terra davanti all'azienda.

Privacy: I cloud providers garantiscono che tutti i dati critici (ad esempio i numeri delle carte di credito o le password) siano mascherati o crittografati e che solo gli utenti autorizzati abbiano accesso ai dati nella loro interezza. Inoltre, le identità e le credenziali digitali devono essere protette come dovrebbero esserlo tutti i dati che il provider raccoglie o produce sull'attività dei clienti nel cloud.

La sicurezza del dato

Una serie di minacce alla sicurezza sono associate ai servizi in cloud: non solo le tradizionali minacce alla sicurezza, come intercettazioni di rete, esfiltrazioni e attacchi denial of service, ma anche minacce specifiche al cloud computing, come attacchi ai side channel, vulnerabilità della virtualizzazione e abuso di servizi cloud. I seguenti requisiti di sicurezza limitano le minacce. ^[14]

Confidenzialità: La riservatezza del dato è la proprietà che il contenuto di esso non sia reso disponibile o divulgato a utenti non autotrizzati a visionarlo. I dati in outsourcing vengono archiviati in un cloud fuori dal controllo diretto dei proprietari. Solo gli utenti autorizzati possono accedere ai dati mentre tutti gli altri, inclusi i cloud service provider, non devono acquisire alcuna informazione su di essi. Al contempo, i proprietari dei dati si aspettano di utilizzare appieno i servizi di dati cloud per esempio la ricerca, l'elaborazione e la condivisione di questi, senza causarne la dispersione dei contenuti.

Controllo degli accessi: Il controllo degli accessi è una pratica che permette al proprietario del dato di eseguire una restrizione selettiva dell'accesso ai suoi dati salvati nel cloud. Alcuni utenti possono essere autorizzati dal proprietario ad accedere ai dati, mentre altri non possono accedervi senza autorizzazione. Inoltre, è auspicabile applicare un controllo di accesso a molto fine ai dati esternalizzati, cioè, creazione di utenti diversi con categorie di privilegi diversi per quanto riguarda l'accesso ai dati. In ambienti cloud non affidabili l'autorizzazione di accesso deve essere esclusivamente del proprietario.

Integrità: L'integrità dei dati richiede di mantenere e assicurare l'accuratezza e la completezza del dato. Un utente si aspetta sempre che i suoi dati presenti nel cloud possano essere archiviati correttamente e in maniera affidabile. Ciò significa che i dati non devono poter essere illegalmente manomessi, modificati in modo inappropriato, eliminati involontariamente o creati in modo malevolo. Se eventuali operazioni indesiderate corrompono o cancellano i dati, il proprietario dovrebbe essere in grado di rilevare la corruzione o la perdita. Inoltre, quando una porzione dei dati in outsourcing è danneggiata o persa, deve poter essere recuperata.

Crittografia

Alcuni algoritmi di crittografia avanzati applicati al campo del cloud computing aumentano la protezione del dato e quindi la privacy. Vediamo ora alcuni esempi di algoritmi effettivamente utilizzati in servizi cloud.

Algoritmi di crittografia basati sugli attributi (ABE)

Ciphertext-policy ABE (CP-ABE)

Nel CP-ABE, l'encryptor ha il controllo degli accesso, all'aumentare della complessità della strategia di accesso, diventa più difficile la creazione della chiave pubblica del sistema. Il principale lavoro di ricerca di CP-ABE è focalizzato sulla progettazione della struttura di accesso.^[15]

Key-policy ABE (KP-ABE)

Nel KP-ABE, gli insiemi di attributi vengono utilizzati insieme alla chiave privata per visualizzare correttamente i testi crittografati.^[16]

Crittografia omomorfica (FHE)

La crittografia completamente omomorfa consente calcoli semplici sulle informazioni crittografate e consente inoltre di calcolare la somma e il prodotto per i dati crittografati senza decrittografia.^[17]

Searchable Encryption (SE)

La Searchable Encryption è una primitiva crittografica che offre funzioni di ricerca sicure su dati crittografati. Al fine di migliorare l'efficienza della ricerca, la SE generalmente crea indici di parole chiave per eseguire in modo sicuro query utente. Gli schemi SE possono essere classificati in due categorie: SE basata su crittografia a chiave segreta e SE basata su crittografia a chiave pubblica.

Collegamenti

^ ^a ^b ^c ^d CloudID: Trustworthy Cloud-based and Cross-Enterprise Biometric Identification, in Expert Systems with Applications, vol. 42, n. 21, 2015, pp. 7905–7916, DOI:10.1016/j.eswa.2015.06.025.
^ ^a ^b Madhan Srinavasin, 'State-of-the-art cloud computing security taxonomies: a classification of security challenges in the present cloud computing environment, su doi.acm.org, ACM ICACCI', 2012.
^ Swamp Computing a.k.a. Cloud Computing, Web Security Journal, 28 dicembre 2009. URL consultato il 25 gennaio 2010.
^ Top Threats to Cloud Computing v1.0 (PDF), su cloudsecurityalliance.org, Cloud Security Alliance. URL consultato il 20 ottobre 2014.
^ Vic Winkler, Cloud Computing: Virtual Cloud Security Concerns, su technet.microsoft.com, Technet Magazine, Microsoft. URL consultato il 12 February 2012.
^ Kathleen Hickey, Dark Cloud: Study finds security risks in virtualization, su gcn.com, Government Security News. URL consultato il 12 February 2012.
^ Vic Winkler, Securing the Cloud: Cloud Computer Security Techniques and Tactics, Waltham, MA USA, Elsevier, 2011, p. 59, ISBN 978-1-59749-592-9.
^ ^a ^b ^c Krutz, Ronald L., and Russell Dean Vines. "Cloud Computing Security Architecture." Cloud Security: A Comprehensive Guide to Secure Cloud Computing. Indianapolis, IN: Wiley, 2010. 179-80. Print.
^ Gartner: Seven cloud-computing security risks, InfoWorld, 2 luglio 2008. URL consultato il 25 gennaio 2010.
^ Security Guidance for Critical Areas of Focus in Cloud Computing, su cloudsecurityalliance.org, Cloud Security Alliance, 2011. URL consultato il 4 maggio 2011.
^ Cloud Security Front and Center, Forrester Research, 18 novembre 2009. URL consultato il 25 gennaio 2010.
^ What is a CASB (Cloud Access Security Broker)?, su skyhighnetworks.com, Skyhigh Networks. URL consultato l'11 agosto 2017.
^ Identity Management in the Cloud, su darkreading.com, Information Week, 25 ottobre 2013. URL consultato il 5 giugno 2013.
^ Yong Cui Jun Tang, Ensuring Security and Privacy Preservation for Cloud Data Services (PDF), in ACM Computing Surveys, 2016.
^ Jin-Shu SU, Attribute-Based Encryption Schemes, in Journal of Software, vol. 22, n. 6, pp. 1299–1315, DOI:10.3724/sp.j.1001.2011.03993.
^ Nuttapong Attrapadung, Attribute-based encryption schemes with constant-size ciphertexts, in Theoretical Computer Science, vol. 422, 9 marzo 2012, pp. 15–38, DOI:10.1016/j.tcs.2011.12.004.
^ Raguram S.Hemalatha, Performance of Ring Based Fully Homomorphic Encryption for securing data in Cloud Computing (PDF), in International Journal of Advanced Research in Computer and Communication Engineering, 2014.

[cloudid-1] CloudID: Trustworthy Cloud-based and Cross-Enterprise Biometric Identification, in Expert Systems with Applications, vol. 42, n. 21, 2015, pp. 7905–7916, DOI:10.1016/j.eswa.2015.06.025.

[Srinavasin-2] Madhan Srinavasin, 'State-of-the-art cloud computing security taxonomies: a classification of security challenges in the present cloud computing environment, su doi.acm.org, ACM ICACCI', 2012.

[3] Swamp Computing a.k.a. Cloud Computing, Web Security Journal, 28 dicembre 2009. URL consultato il 25 gennaio 2010.

[Top_Threats_to_Cloud_Computing_v1.0-4] Top Threats to Cloud Computing v1.0 (PDF), su cloudsecurityalliance.org, Cloud Security Alliance. URL consultato il 20 ottobre 2014.

[Cloud_Virtual_Security_Winkler-5] Vic Winkler, Cloud Computing: Virtual Cloud Security Concerns, su technet.microsoft.com, Technet Magazine, Microsoft. URL consultato il 12 February 2012.

[virtualization_risks_hickey-6] Kathleen Hickey, Dark Cloud: Study finds security risks in virtualization, su gcn.com, Government Security News. URL consultato il 12 February 2012.

[Securing_the_Cloud_Winkler_virt-7] Vic Winkler, Securing the Cloud: Cloud Computer Security Techniques and Tactics, Waltham, MA USA, Elsevier, 2011, p. 59, ISBN 978-1-59749-592-9.

[Krutz,_Ronald_L._2010-8] Krutz, Ronald L., and Russell Dean Vines. "Cloud Computing Security Architecture." Cloud Security: A Comprehensive Guide to Secure Cloud Computing. Indianapolis, IN: Wiley, 2010. 179-80. Print.

[9] Gartner: Seven cloud-computing security risks, InfoWorld, 2 luglio 2008. URL consultato il 25 gennaio 2010.

[10] Security Guidance for Critical Areas of Focus in Cloud Computing, su cloudsecurityalliance.org, Cloud Security Alliance, 2011. URL consultato il 4 maggio 2011.

[forrester-11] Cloud Security Front and Center, Forrester Research, 18 novembre 2009. URL consultato il 25 gennaio 2010.

[12] What is a CASB (Cloud Access Security Broker)?, su skyhighnetworks.com, Skyhigh Networks. URL consultato l'11 agosto 2017.

[13] Identity Management in the Cloud, su darkreading.com, Information Week, 25 ottobre 2013. URL consultato il 5 giugno 2013.

[14] Yong Cui Jun Tang, Ensuring Security and Privacy Preservation for Cloud Data Services (PDF), in ACM Computing Surveys, 2016.

[15] Jin-Shu SU, Attribute-Based Encryption Schemes, in Journal of Software, vol. 22, n. 6, pp. 1299–1315, DOI:10.3724/sp.j.1001.2011.03993.

[16] Nuttapong Attrapadung, Attribute-based encryption schemes with constant-size ciphertexts, in Theoretical Computer Science, vol. 422, 9 marzo 2012, pp. 15–38, DOI:10.1016/j.tcs.2011.12.004.

[17] Raguram S.Hemalatha, Performance of Ring Based Fully Homomorphic Encryption for securing data in Cloud Computing (PDF), in International Journal of Advanced Research in Computer and Communication Engineering, 2014.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]