Ricerche

La cifratura dei dati nel Cloud

I consigli di Gartner su come affrontare la corretta gestione della crittografia dei dati, sensibili o meno, immagazzinati o gestiti nella “nuvola”

Pubblicato il 24 Mar 2013

cifratura-nel-cloud-150225125303

La preoccupazione per la sicurezza e la riservatezza dei dati sta spingendo verso l’adozione dei sistemi di cifratura nel Cloud, ma Gartner mette in guardia: chi si volesse imbarcare in un progetto di questo tipo deve affrontare, da subito, sei questioni fondamentali.

Il tasso previsto di crescita annua del software as a Service (SAAS) nel periodo 2011-2016 è del 19,5%, quello delle piattaforme as a Service (PAAS) il 27,7%, dell’Infrastructure-as-a-Service (IAAS), il 41,3%, mentre la spesa per i servizi di sicurezza si attesta al 22%.

Tuttavia, la sicurezza e la tutela della privacy sono ancora citati da molte organizzazioni come gli inibitori maggiori all’adozione più ampia dei servizi cloud. Ecco perché negli ultimi 18 mesi c’è stato parecchio fermento intorno ai sistemi di cifratura nella nuvola.

Gli esperti suggeriscono che le imprese, prima di tuffarsi a capofitto nel mondo dei servizi Cloud, sviluppino un piano di sicurezza dei dati che affronti in modo serio e coerente sei questioni molto importanti. In caso contrario, sostengono gli analisti di Gartner, il risultato sarebbe di aggiungere ulteriori costi e complessità alla già complicata strategia di adozione del Cloud Computing.

Gli esperti avvertono che i sistemi di cifratura implementati male possono anche interferire con il normale funzionamento di alcuni servizi basati sul Cloud.

Le sei questioni che devono essere affrontate, secondo gli analisti di Gartner, sono:

  • Notifica tempestiva delle violazioni e paternità dei dati
  • Gestione dei dati “a riposo”
  • Protezione dei dati “in movimento”
  • Gestione delle chiavi di cifratura
  • Controllo degli accessi
  • Resilienza a lungo termine dei sistemi di cifratura

Notifica delle violazioni e paternità dei dati

Non tutti i dati richiedono uguale tutela, quindi le imprese devono classificare i dati destinati a essere immagazzinati all’interno di ambienti di Cloud storage e identificare eventuali obblighi di conformità in materia di notifica delle violazioni.

Gartner raccomanda, inoltre, che le imprese mettano in atto un piano di sicurezza aziendale dei dati che definisca i processi di business utili a gestire le richieste di accesso da parte delle autorità incaricate dell’applicazione delle leggi in materia di privacy e tutela dei dati. Il piano dovrebbe tener conto dei soggetti interessati, come ad esempio il legale o i responsabili delle diverse business unit.

La gestione dei dati “a riposo”

Le imprese dovrebbero porre domande specifiche al provider di servizi Cloud, per determinare le modalità attraverso le quali vengono espletate tutte le formalità di tutela dei dati lungo il ciclo di vita dello storage.

Le imprese dovrebbero sapere, in particolare, se:

  • Vengono utilizzate tecnologie di archiviazione multi-tenant e, nel caso, scoprire qual è il meccanismo di separazione in uso tra i diversi “inquilini” del condominio.
  • Vengono utilizzati meccanismi di etichettatura (tag), per impedire che i dati vengano replicati in determinati paesi o regioni.
  • Lo storage utilizzato per l’archiviazione e il backup sia dotato nativamente di tecnologie di crittografia e se la strategia di gestione delle chiavi include opzioni di strong authentication o di gestione delle policy di accesso, per limitarne l’accesso in determinate giurisdizioni.


Gartner raccomanda alle imprese di utilizzare la cifratura per implementare un sistema di gestione end-to-end del ciclo di vita dei dati, che contempli anche delle chiavi utili per distruggere digitalmente i dati giunti a fine vita, garantendo nel contempo che le chiavi non possano essere in alcun modo compromesse o replicate.

Protezione dei dati “in movimento”

Come requisito minimo, Gartner raccomanda alle imprese di assicurarsi di verificare che il CSP (fornitore di servizi Cloud) sostenga protocolli di comunicazione sicuri come SSL/TLS (Secure Socket Layer/Transport Layer Security) per l’accesso del browser o connessioni basate su VPN per l’accesso protetto ai suoi servizi.
I ricercatori sostengono che le aziende si dovrebbero sempre premurare di crittografare i dati sensibili in movimento verso il Cloud, ma se i dati risultano in chiaro durante l’uso o la conservazione, allora spetterà all’impresa ridurre le conseguenze di eventuali violazioni dei dati.

Nei contratti IAAS, Gartner raccomanda che i service provider favoriscano la garanzia della separazione delle reti tra gli inquilini, in modo che un inquilino non possa mai vedere il traffico di rete di un altro.

Gestione delle chiavi di cifratura

Le imprese dovrebbero sempre mantenere al proprio interno la gestione delle chiavi di cifratura, ma qualora queste fossero gestite da un Cloud provider, Gartner invita a controllare sempre che vengano assicurati controlli di gestione degli accessi in grado di soddisfare gli obblighi di notifica relativi alla paternità dei dati e alla violazione degli stessi.

Qualora le chiavi fossero gestite o disponibili nel Cloud, Gartner avverte che è assolutamente necessario che il fornitore sia in grado di assicurare uno stretto controllo sugli snapshot potenziali dei carichi di lavoro, per evitare il rischio che i malintenzionati riescano ad analizzare il contenuto della memoria per ottenere le chiavi.

Controllo degli accessi

Gartner raccomanda alle aziende di obbligare il proprio fornitore di servizi Cloud a supportare sistemi di restrizione degli accessi alle sottoreti IP, in modo che le imprese siano in grado di limitare l’accesso degli utenti finali solo ad alcuni dispositivi o intervalli di indirizzi IP noti.

L’impresa dovrà, inoltre, pretendere che il provider delle tecnologie di cifratura sia in grado di garantire controlli amministrativi adeguati, tecnologie di strong autentication (come l’autenticazione a due fattori), gestione dei permessi di accesso e separazione delle funzioni amministrative quali la sicurezza e la manutenzione delle reti.

Le imprese dovrebbero anche pretendere:

  • La registrazione di tutti gli utenti e l’accesso degli amministratori a tutte le risorse immagazzinate nel Cloud fornendo questi registri all’impresa in un formato immediatamente recepibile dai sistemi di gestione della sicurezza delle informazioni o degli eventi.
  • Che il CSP limiti a pochi soggetti altamente qualificati l’accesso agli strumenti di gestione dei sistemi particolarmente evoluti, tipo quelli che potrebbero creare un’istantanea (snapshot) dei carichi di lavoro in tempo reale, gestire la migrazione dei dati, eseguire il backup o ripristinare i dati.
  • Che le immagini acquisite con gli strumenti di migrazione o snapshot siano trattate con la stessa sicurezza degli altri dati aziendali sensibili.

Resilienza a lungo termine del sistema di codifica

Gartner consiglia alle aziende di comprendere sempre l’impatto dei sistemi di indicizzazione e codifica sulle applicazioni, i motori di ricerca e l’ordinamento dei database. Si dovrebbe prestare particolare attenzione a funzionalità avanzate di ricerca, come ad esempio il substring matching e il wildcarding, del tipo “contiene” oppure “termina con”.

Se il fornitore di tecnologie di cifratura offre opzioni per preservare la funzione di crittografia – per esempio, per conservare il sort – i regolamenti nazionali potranno richiedere l’uso di algoritmi standardizzati e approvati o il parere di un ente di certificazione indipendente in merito all’eventuale adozione di sistemi di cifratura potenzialmente più deboli.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati