La diffusione del cloud computing pubblico e la sua adozione da parte di imprese di tutte le dimensioni rappresenta una nuova sfida per i professionisti della sicurezza. Il problema del cloud pubblico è che si insinua nelle grandi organizzazioni a volte senza che il reparto IT ne sia a conoscenza. Singoli reparti o semplici dipendenti possono infatti acquistare servizi di cloud pubblico, magari utilizzando una carta di credito aziendale, senza l’assenso o il controllo del reparto IT. Questo comportamento può introdurre rischi sconosciuti e addirittura impedire all’organizzazione di rispettare gli obblighi di conformità a leggi e normative.
Tuttavia, i cloud privati non sono necessariamente più sicuri di quelli pubblici, anzi.
Errori e rischi nei cloud privati
Secondo la Cloud Security Alliance (CSA), tra i pericoli a cui si può andare incontro realizzando un private cloud c’è l’abuso dei servizi erogati, l’uso di Api non sicure, la vulnerabilità delle tecnologie condivise, la perdita dei dati e il dirottamento del traffico, del servizio e dell’account.
Il CSA ha pubblicato sul suo sito le linee guida e gli strumenti che i consumatori e i fornitori di cloud possono utilizzare per affrontare insieme queste minacce.
I cloud privati hanno portato a un aumento esponenziale del numero di macchine virtuali esistenti. Le organizzazioni sviluppano spesso intere library di macchine virtuali che possono essere utilizzate in un dato momento per gestire carichi di lavoro aggiuntivi o per ospitare test specifici. Ma i rischi per le imprese sono alti. Ad esempio, le macchine virtuali che sono state semplicemente spente, in genere, non vengono riattivate per fare gli aggiornamenti di routine del software. Quando queste vengono attivate solo durante i periodi di picco della domanda, potrebbero passare settimane o addirittura mesi tra un utilizzo e l’altro e essere quindi vulnerabili agli attacchi non appena sono online.
Un altro problema è la quantità di dati altamente sensibili che vengono memorizzati in un cloud privato. I cloud privati e la virtualizzazione rendono facile anche per gli sviluppatori l’accesso a server di produzione che sono, in realtà, server virtualizzati, per effettuare test e il debug. Per questi motivi, l’accesso ai file di configurazione e VHD che compongono le VM dovrebbe essere limitato e monitorato, crittografando i dati memorizzati sulle VM e conservandone le chiavi di accesso altrove.
Un terzo problema che si riscontra comunemente nei cloud privati è che le reti in cui le macchine sono gestite sono relativamente flat. Questi network rendono le reti fisiche che collegano le macchine virtuali più semplici da costruire e più facili da gestire. Purtroppo, però, queste reti sono molto raramente, se non mai, tutelate dalla sicurezza aziendale. Alcuni software di virtualizzazione poi non consentono di configurare l’accesso al network delle macchine virtuali e non sono dotati di strumenti di gestione per supportare la configurazione e la manutenzione.
Un altro problema di sicurezza che viene abitualmente rilevato è la mancanza di difese anti-malware. La verità è che gli anti-malware sono necessari e devono essere attentamente implementati per garantire il buon funzionamento e la protezione dei computer host e delle macchine virtuali ospiti.
L’ultima preoccupazione relativa alla sicurezza su cui conviene soffermarsi è la mancanza di comprensione di come i reparti e i singoli individui possano utilizzare le risorse del private cloud. Quando un’organizzazione realizza un cloud privato, vi è spesso la tendenza a decentrare il reparto IT, assegnandone le funzioni alle diverse unità di business e ai reparti che possono assumere proprio personale IT e sviluppatori di applicazioni. Il ruolo del reparto IT quindi decresce e il suo scopo primario diventa semplicemente quello di mantenere l’infrastruttura del cloud privato in esecuzione e di consentire alle unità di business e ai reparti di gestire le proprie VM. In questo modo le business unit, non sono a conoscenza dell’uso del cloud privato da parte di altri reparti. Ciò che ne potrebbe conseguire è un livello di rischio inaccettabile per l’organizzazione.