L’ascesa del cloud computing
L’enorme crescita del cloud computing è stato uno dei fenomeni più impressionante negli ultimi cinque anni, anche se ciò probabilmente non è stato praticamente notato dalla maggior parte dei normali utenti web.
Dando uno sguardo al mercato globale del cloud computing osserviamo come si sia passati dalle cifre quasi trascurabili del 2015 ai 250 miliardi di dollari previsti per la fine del 2019, con una prospettiva di raggiungere i 620 miliardi di dollari per il 2023 [1].
Si stima che il 90% delle aziende [2] faccia affidamento sul cloud per quanto riguarda i loro servizi IT, finendo per allocare circa un terzo del budge per risorse basate sul cloud. Quando parliamo di servizi basati su cloud dobbiamo pensare a varie tipologie che spaziano dall’accesso ad applicazioni di terze parti via SaaS (Software as a Service) alle infrastrutture informatiche per intere aziende messe a disposizione come IaaS (Infrastructure as a Service). E non dimentichiamo che anche il data storage viene spesso garantito da servizi cloud, con Amazon a rivestire un ruolo di primo piano in quest’ambito.
Gli enormi vantaggi di queste tecnologie sono evidenti: si riducono le necessità di un’azienda nell’investire sull’infrastruttura “in casa” propria, lasciando il compito di soddisfare queste esigenze a specialisti cui viene demandata l’elaborazione dei dati; ciò consente oltretutto al business di mantenere maggiore flessibilità rispetto alle modalità di espansione.
La sicurezza, però
Ma in questo articolo non vogliamo parlare di questo aspetto positivo, quanto piuttosto concentrarci sul modo in cui tali benefici vengano conseguiti in tutta sicurezza.
La rapida ascesa del cloud computing ha attirato l’attenzione di “semplici” criminali, di agenzie statali di intelligence e anche di attività di spionaggio industriale; e va detto che non tutte le piattaforme cloud offrono una sicurezza ferrea. Pertanto, in queste righe, illustreremo alcune basi per l’utilizzo sicuro del cloud computing, spaziando da messa in funzione e gestione attente, fino all’uso di VPN (Virtual Private Networks, “reti virtuali private”) [3].
Ma, prima ancora di illustrare le soluzioni, vediamo di comprendere alcune delle principali minacce a cui sono sottoposte le nostre infrastrutture cloud.
Le principali minacce alla sicurezza del cloud
Ogni qualvolta una nuova tecnologia emerge catturando fette di mercato, la sua adozione si porta dietro dei problemi di sicurezza. È quello che è successo con il web o gli smartphone e che sta succedendo con la IoT (Internet of Things) e, certamente, con il cloud computing.
Dal punto di vista del cliente, il rischio maggiormente associato con i servizi cloud è quello della sicurezza dei dati, e a buona ragione, visto il gran numero di dati riservati che sono invece stati esposti da infrastrutture cloud.
Solo per citare un paio di esempi, nel 2017 i clienti della WWE, la più grande azienda americana che gestisce gli eventi sportivi e televisivi del wrestling professionistico, scoprirono che alcuni loro dati erano stati esposti [4] a causa di problemi di sicurezza dell’infrastruttura Amazon. E a inizi 2019 il servizio di data storage Elasticsearch ha annunciato di aver subito un attacco informatico e di aver perso dati relativi a circa 108 milioni di scommesse su vari siti di Casinò online [5].
I rischi: ragioni diversificate
Questo tipo di esposizione di dati può essere sicuramente causato da una cattiva gestione della sicurezza da parte dell’infrastruttura che immagazzina i dati, ma non sempre è così. Può infatti compromettere la sicurezza dei sistemi di immagazzinamento dati su cloud anche l’errore umano, “lato client”, attraverso pratiche quali un’inopportuna condivisione delle credenziali di accesso. Alcuni analisti, guardando in proiezione alla fine del 2020, credono addirittura che questo tipo di comportamenti sarà alla base del 95% dei “buchi” nella sicurezza dei dati [6], visto che i sistemi di sicurezza interni ai data storage vanno costantemente migliorando.
Ma che succede quando si abbassa la guardia sulla sicurezza informatica, indipendentemente dal fatto che ciò dipenda dal fornitore del servizio cloud o dall’utente finale? Le conseguenze sono molte e diversificate: dalla raccolta illegale di dati sensibili con tutti i possibili usi che se ne possono fare, agli attacchi DDoS (Distributed Denial of Service) per impedire l’uso di una risorsa di rete, dal furto di credenziali di accesso alla perdita completa di intere serie di dati. Vulnerabilità di sicurezza hardware tipo il Meltdown — in grado di colpire microprocessori Intel e ARM consentendo a programmi malevoli di accedere ad aree protette della memoria di un computer — possono avere effetti catastrofici, aprendo server virtuali ad attacchi esterni ransomware (con blocco del sistema e richiesta di riscatto) relativamente semplici.
E quindi, data la natura delle minacce insite nel cloud computing, quali azioni possiamo intraprendere?
Le basi per una solida sicurezza nel cloud
Di fatto, ci sono molti metodi per migliorare la sicurezza quando si tratta di cloud, e apprendere quelli fondamentali è assolutamente essenziale; e questo vale ai diversi livelli sia per gli stakeholder dell’infrastruttura informatica, sia per l’utente comune delle tecnologie cloud. Di seguito, vediamo quattro principi di buon senso e come sia possibile implementarli nel concreto.
1. (Far) rispettare protocolli rigorosi per la sicurezza delle password
Come detto sopra parlando delle minacce, gli errori umani giocano un ruolo importante nelle catastrofi che riguadano il cloud, come peraltro è vero in quasi tutte le aree della cybersecurity. Si tratta di un ambito in cui tutte le aziende possono compiere errori involontari, consentendo ai loro impiegati di mettere in atto pratiche pericolose in perfetta buona fede o, come potrebbe accadere in certi casi peggiori, addirittura di svolgere deliberatamente attacchi dall’interno.
Diventa vitale, pertanto, un addestramento regolare per quanto riguarda la sicurezza delle password. Per quanto possa sembrare banale, non ci stancheremo di ribadire l’importanza della scelta di password “robuste”, del loro periodico cambiamento e della necessità di mantenere riservate le credenziali di accesso. Se è necessario che le credenziali siano condivise, il gruppo di lavoro dovrebbe utilizzare strumenti dedicati per la gestione delle password — tipo LastPass — i quali utilizzano una cifratura per schermare i dati all’esterno.
Servono protocolli chiari che impongano l’adozione di comportamenti sicuri, fino al punto di ipotizzare anche qualche forma di “ammenda” per chi continui ad adottare una politica di password lassista. E questo deve riguadare tutti: dall’impiegato di base fino ai “piani alti” in cui si prendono le decisioni.
Non è un caso infatti che uno dei metodi più popolari per procurarsi in modo fraudolento credenziali di accesso [7] sia il whaling (“caccia alla balena”), ossia scegliere come bersaglio della frode informatica i dirigenti di alto livello, visto che sono proprio i C-level coloro che più probabilmente commetteranno errori per quanto riguarda la sicurezza delle password…
2. Adottare l’autenticazione a più fattori nelle impostazioni del cloud
Anche con le migliori intenzioni, l’errore umano comunque potrà verificarsi; e questa è la ragione per cui le aziende più diligenti adottano ulteriori forme di protezione, come politica di assicurazione. La regola generale è tanto semplice quanto evidente: fare di tutto per prevenire gli errori, ma tenere in considerazioni che essi prima o poi si verificheranno.
In tale contesto, entra in gioco l’autenticazione a più fattori (MFA, Multi-Factor Authentication). Come i lettori sapranno, nei sistemi MFA, chiunque desideri accedere a qualche risorsa cloud dovrà fornire almeno due successivi livelli di autenticazione: oltre alle “normali” credenziali di nome utente e password, potrebbero essere richiesti dati biometrici oppure ulteriori password o codici di autorizzazione generati da dispositivi hardware di autenticazione — le sempre meno diffuse “chiavette” — o inviati via SMS. Ma i sistemi sono anche altri.
I fornitori di servizi cloud a livello enterprise, come Cisco, OneDrive e Zendesk, mettono a disposizione la MFA con diverse modalità: per le aziende che usufruiscono di tali servizi, adottare l’autenticazione a più fattori è una mossa saggia per cominciare a ridurre le preoccupazioni per la sicurezza.
3. Usare le VPN per mettere in sicurezza reti e lavoratori in remoto
Le VPN (Virtual Private Networks, “reti virtuali private”) rappresentano il completamento ideale dell’autenticazione a più fattori. Pur sfruttando Internet per il loro traffico, le VPN promuovono la sicurezza dei dati scambiati attraverso vari accorgimenti. Detta molto in breve, una rete virtuale privata svolge le seguenti funzioni:
- i dati che vengono spediti e ricevuti tra i vari utenti della VPN sono cifrati;
- gli indirizzi IP di chi usa la VPN sono resi anonimi;
- i dati vengono instradati su tunnel sicuri, tramite i server della VPN e successivamente trasferiti alla destinazione finale.
Le reti virtuali private possono essere usate [8] costantemente con i tool SaaS e IaaS always-on, il che rappresenta un enorme vantaggio per la maggior parte delle attività di business che fanno affidamento sui servizi cloud. Le VPN, poi, possono creare un ponte sicuro tra reti locali WLAN e piattaforme cloud distanti.
Tutto questo rende più sicure le reti aziendali e i dati che vengono inviati, limitando lo spazio utile agli attacchi informatici sulle loro connessioni cloud. Ma le reti virtuali private svolgono anche un altro ruolo nel rendere il cloud computing più sicuro: quando questi strumenti vengono installati sui computer usati da chi lavora in remoto, le VPN rendono tali dispositivi più difficili da attaccare, eliminando uno dei vettori per il furto di credenziali cloud più comunemente utilizzato dai malintenzionati.
Grandi produttori come Cisco forniscono dei prodotti VPN specificamente pensati per funzionare con le piattaforme cloud [9], mentre alcuni fornitori piuttosto conosciuti come NordVPN ed ExpressVPN possono essere utilizzati con successo per schermare le reti locali e i dispositivi in remoto.
4. Mantenere un “piano di sicurezza” attento ed adeguato
A volte certi attacchi al cloud sono causati dalla trascuratezza da parte delle aziende riguardo alle tendenze sul tema sicurezza. Qualunque sia l’applicazione usata localmente per connettersi con i servizi cloud, sarà necessario aggiornarla e applicare delle patch su base regolare, per garantire che tutte le vulnerabilità conosciute al momento vengano riparate. Un periodico e regolare controllo su tutte le applicazioni che interagiscono con la rete consente di intervenire su problemi specifici con soluzioni “locali”.
Un altro elemento che deve essere preso in considerazione è quello dei permessi. Come regola, le aziende dovrebbero limitare al minimo l’accesso ai loro servizi coud: se necessario, dovrebbe risultare facile accertarsi di quali siano i permessi disponibili a ogni utente della rete. In tal modo si limita lo spazio per attacchi da parte di interni e diventa più facile effettuare dei controlli di sicurezza nel caso sorga qualche problema.
Padroneggiare le basi aiuta la sicurezza del cloud
Il cloud computing non è destinato a una rapida scomparsa, anzi. L’outsourcing verso terze parti di applicazioni, database, elaborazione dati e così via è un aspetto essenziale nelle pratiche delle aziende moderne, e ha dei vantaggi in termini di efficienza, soddisfazione per il cliente e costi.
Tuttavia, come abbiamo visto, la sicurezza per il cloud è una preoccupazione reale. Seguendo le basilari indicazioni illustrate in questo articolo e valutando sensatamente le possibili “falle” nei propri sistemi, le aziende che intendono basarsi sul cloud potranno affidarsi con tranquillità a piattaforme di terze parti. In caso contrario, intrusioni e perdite di dati potranno diventare ricorrenti, con le serie conseguenze che tutti possiamo immaginare.