Spesso si attribuiscono allo scetticismo e ai problemi della sicurezza le ragioni sottese al ritardo dell’uso diffuso dei servizi Cloud nel nostro paese. Negli ultimi anni si è discusso molto sulle reali opportunità e problematiche del Cloud Computing sia dal punto di vista di chi ne usufruisce, sia di chi ne fornisce i servizi. A tal proposito, una recente analisi del CSA (Cloud Security Alliance) ha messo d’accordo gli esperti del settore intervistati, concentrando il problema nella “natura intrinseca” del Cloud Computing che risiede in un approccio on demand e di condivisione degli strumenti. I risultati della ricerca portano alla luce le nove minacce primarie della nuvola.
La prima in ordine riguarda la violazione dei dati. Infatti, se un database cloud-service non è progettato correttamente, un solo difetto di un client potrebbe consentire ad un utente malintenzionato di accedere alle informazioni. Per porre rimedio i dati potrebbero essere crittografati per ridurre l’impatto della violazione, ma se poi si perde della chiave di crittografia? Addio dati. Inoltre, se si sceglie di mantenere i back up non in linea, l’esposizione alla violazione aumenta. La seconda grande minaccia è relativa invece alla perdita delle informazioni, un hacker infatti può far sparire nel nulla i dati, cancellarli per dispetto, per creare un danno all’utente o all’azienda o a scopi fraudolenti. Nella lista segue il dirottamento dell’account o del servizio di traffico. Se un malintenzionato entra in possesso delle credenziali può intercettare le attività e le transazioni, manipolare le informazioni falsificandole e via dicendo. Il rimedio può essere quello di ricorrere a forti tecniche di autenticazione a due fattori ed proibire la condivisione delle credenziali tra utenti e servizi. La quarta minaccia è legata alle interfacce e alle API insicure. Queste sono parte integrante della sicurezza e della disponibilità dei servizi cloud generali. La loro debolezza può esporre l’azienda o un’organizzazione a rischi sulla riservatezza e responsabilità della tutela dei dati. Quinto nell’elenco è la possibilità che si verifichi un DoS (Denial of Service) vale a dire interruzione di un servizio. Questa è una minaccia ben nota in ambito Internet, ma diventa più problematica nell’era del Cloud nella quale le aziende dipendono da servizi forniti 24/7. Il blocco del servizio può creare ingenti danni all’andamento delle attività. Al sesto posto si trova invece l’azione malevola di una persona interna all’organizzazione che ha accesso alla rete. In una nuvola non ben progettata, la violazione, la manipolazione o sottrazione dei dati può causare seri problemi all’azienda. In situazioni nelle quali un fornitore di servizi cloud è l’unico responsabile per la sicurezza, il rischio è grande. Lo sfruttamento della nuvola è la settima minaccia. Un hacker può utilizzare un server Cloud per lanciare un attacco DDoS per diffondere codici maligni. La scarsa conoscenza dell’ambiente Cloud e dei rischi associati da parte delle aziende è l’ottavo tipo di minaccia. Prima di “saltare” sulla nuvola le organizzazioni devono ben informarsi. L’ultimo punto ma non meno importante riguarda le vulnerabilità delle tecnologie di condivisione, identificate come forse la più grande minaccia per sicurezza del Cloud Computing. I Cloud Service Provider condividono piattaforme, infrastrutture e applicazioni per fornire i propri servizi in modo scalabile. Se una delle componenti integrali viene compromessa, l’intero ambiente Cloud è a rischio.
Canale Sicurezza è il blog di approfondimento sulle tematiche di sicurezza informatica di Bludis S.r.l.
Pensato e strutturato come servizio e strumento per mantenere sempre aggiornati gli utenti sia professionali che domestici sulle ultime novità.