Il problema della sicurezza informatica nel cloud computing

Il cloud computing, come visto in un altro articolo, offre molti pregi e vantaggi. Più nel dettaglio, esso offre flessibilità, deploy di servizi veloce e permette alle aziende di risparmiare trasferendo dati, informazioni e infrastrutture ad un provider di terze parti. In questo modo l’azienda non si deve preoccupare più di gestire le infrastrutture ma pùo concentrarsi sullo svolgere attività di sua competenza.

Cosa succede però ai dati quando sono trasferiti offsite, fuori dal controllo fisico o logico? Visto che i cloud provider non rivelano la posizione dei dati è quasi impossibile dire dove sono immagazzinati, perciò l’azienda perde il controllo sulla sicurezza fisica dei dati. Inoltre in un cloud pubblico tutti condividono le risorse in uno spazio comune, ad esempio un pool condiviso, fuori dalla portata dell’organizzazione; è al caso limite possibile che i dati di una certa organizzazione siano immagazzinati assieme ai dati di un’organizzazione concorrente. Se le informazioni sono criptate, chi è in controllo delle chiavi di criptazione/decrittazione, il provider del cloud o il cliente? Questo e molti altri problemi necessitano di risposte, e questo è uno dei motivi più importanti per cui il cloud computing non si è ancora diffuso in maniera estesa. Le aziende sono riluttanti ad adoperare una soluzione che si basa sul cloud computing perchè non esiste uno standard a cui i provider aderiscono che assicura un certo livello di sicurezza, e lo standard non esiste perchè i problemi che affliggono il cloud computing sono molteplici e non di semplice soluzione. A questo riguardo è nato nell’anno 2009 un gruppo chiamato Cloud Security Alliance, che si occupa di effettuare rilevazioni, educare i provider cloud e provvedere certificazioni per quanto riguarda la cloud security (sicurezza informatica nel cloud computing).

L’adozione del cloud computing non ci permette di trattare i soliti problemi di sicurezza allo stesso modo in cui si faceva con altre tecnologie. Per capire quale sia il delta che il cloud computing apporta rispetto ai problemi di sicurezza dobbiamo analizzare come il cloud computing influenza i problemi di sicurezza conosciuti. Come vengono influenzati i fattori di rischio (probabilità, impatto) dal cloud computing? Dal punto di vista di un utente le conseguenze non sono influenzate dall’utilizzo del cloud: il costo ultimo di, ad esempio, una breccia nella riservatezza delle informazioni, è esattamente lo stesso indipendentemente se la breccia è avvenuta in un ambiente cloud o in una infrastruttura IT convenzionale. Per un provider cloud le cose sono differenti in quanto se prima i sistemi di computazione erano separati, ora un evento di perdita potrebbe avere un impatto molto più largo.
Ciò che l’adozione del cloud computing influenza maggiormente è la probabilità di un evento dannoso. Il cloud computing cambia fortemente il fattore di vulnerabilità, variando il livello di accesso e le modalità di attacco disponibili per un malintenzionato. Esistono infatti vulnerabilità specifiche al cloud perciò devono esistere fattori insiti alla natura del cloud computing che rendono una vulnerabilità specifica al cloud.

A tal proposito verrano elencate e chiarite, qui di seguito, le tecnologie e gli aspetti che interessano il cloud computing dal punto di vista della sicurezza. Il cloud computing si basa di fatto su funzionalità provvedute da diverse tecnologie base, descriviamole.

Servizi e applicazioni web

Il SaaS e il PaaS sono impensabili senza applicazioni web e servizi web, in quanto le offerte SaaS sono tipicamente implementate come applicazioni web mentre le offerte PaaS provvedono ambienti di esecuzione e sviluppo per applicazioni web. Per quanto riguarda le offerte IaaS, le API e i servizi utilizzati per accedervi sono tipicamente implementati come applicazioni/servizi web.

Virtualizzazione

Queste tecnologie si basano pesantemente sulla virtualizzazione e visto che PaaS e SaaS si basano su una struttura IaaS di supporto, l’importanza della virtualizzazione si estende anche a questi modelli di servizio.

Crittografia

Molti requisiti per la sicurezza nel cloud computing possono essere risolti soltanto usanto tecniche crittografiche. Nella descrizione delle carattersitiche cloud, il NIST delinea gli attributi che permettono al cloud computing di offrire servizi from the conveyor belt utilizzando economia di scala:

Self-service on-demand

Gli utenti possono ordinare e gestire servizi senza interazioni umane direttamente dal portale del provider, sfruttando interfacce di gestione. Il commissionamento e il decommissionamento avviene automaticamente da parte del provider.

Accesso semplice

I servizi cloud sono acceduti tramite la rete utlizzando protocolli standard.

Pooling delle risorse

Le risorse di computazione utilizzate per erogare i servizi sono realizzate utilizzando un’infrastruttura omogenea condivisa tra tutti gli utenti.

Elasticità rapida

Le risorse provvedute ad un servizio possono essere ridimensionate rapidamente.

Servizio misurato

L’utilizzo delle risorse è costantemente monitorato e riportato per soddisfare il modello di business pay-as-you-go. Le tecnologie che enucleano il cloud computing applicazioni web e servizi, virtualizzazione e criptografia e le caratteristiche descritte da NIST: Self-service on-demand, accesso semplice, pooling delle risorse, elasticità rapida, servizio misurato portano con sè vulnerabilità insite alla caratteristica o alla tecnologia, che verranno quindi inevitabilmente trasferite al cloud. Oltre a queste vulnerabilità ne esistono di nuove, nate proprio con il cloud computing (esempio EDoS), di cui si dovrà tenere conto.