Questo sito utilizza cookie per raccogliere informazioni sull'utilizzo. Cliccando su questo banner o navigando il sito, acconsenti all'uso dei cookie. Leggi la nostra cookie policy.OK

Incrementare la sicurezza CDN per proteggere i dati aziendali

pittogramma Zerouno

TechTarget Technology HowTo

Incrementare la sicurezza CDN per proteggere i dati aziendali

26 Set 2017

di Valentina Bucci - fonte TechTarget

I cloud service provider che forniscono servizi CDN (Content Delivery Network), assumendo un ruolo “intermediario” tra visitatori e hosting provider per migliorare le performance e la sicurezza dei siti possono, anche se in modo non intenzionale, divenire causa della dispersione dei dati riservati dei loro clienti. Ecco alcuni consigli, a partire dal caso che ha visto protagonista Cloudflare, su come proteggere e rendere inutilizzabili agli hacker questi dati

Cloudflare è un cloud service provider statunitense che fornisce servizi CDN (Content Delivery Network), DNS (Domain Name System) e di reverse proxy; ponendosi con le proprie soluzioni tra i visitatori di un sito e gli hosting provider degli utenti Cloudflare, il provider mira a proteggere, velocizzare e migliorare la disponibilità di siti internet e applicazioni mobili 

Lo scorso febbraio è stato scoperto un bug nei sistemi Cloudflare che ha messo a rischio i dati riservati dei suoi clienti. In particolare, a causa di un buffer overflow [il buffer-overflow si presenta quando una stringa in input per errore è più grande del buffer ove dovrà essere immagazzinata e ciò comporta una sovrascrittura di parti di memoria circostanti al buffer stesso che può in certi casi provocare delle vulnerabilità di sicurezza – ndr] i siti gestiti dal service provider risultavano incapaci di contenere tutte le informazioni ricevute, che sono state quindi inavvertitamente riversate nella rete fino al momento in cui i ricercatori di Google per primi hanno rilevato questi dati nel network e hanno quindi segnalato il bug a Cloudflare. 

Come proteggersi in caso di buffer overflow? 

L’incidente suggerisce inevitabilmente una riflessione su come le aziende possano dunque proteggere i dati sensibili che passano attraverso i CDN o altri ambienti SaaS con un ruolo “intermediario” tra visitatori e hosting provider come quello descritto, ambienti peraltro pensati per offrire un miglioramento delle performance dei siti e, paradossalmente, vantaggi proprio in termini di sicurezza. Dave Shackleford, owner and principal consultant, Voodoo Security, dà alcuni utili suggerimenti; per prima cosa, spiega, è fondamentale fare al provider le domande giuste, e formalizzare in fase contrattuale le risposte, per conoscerne il grado di affidabilità. Per esempio: che tipo di monitoraggio di sicurezza hanno in atto per evitare casi di dispersione di dati sensibili sul modello Cloudflare? Quali processi di risposta vengono applicati nel momento in cui si verifica un incidente? Secondo Shackleford il documento di Cloud Security Alliance “Consensus Assessments Initiative Questionnaire”, reperibile on line, può rappresentare una buona guida per individuare le domande giuste da fare. 

Occorre poi dotarsi direttamente di alcuni strumenti di sicurezza 

  1. innanzitutto, i clienti possono utilizzare un servizio come AT&T NetBond per controllare e rendere più sicuro il traffico dei dati verso i servizi cloud sfruttando la protezione offerta da una VPN MPLS, rete semi-privata realizzata mediante l’utilizzo di una infrastruttura multiservizio di rete IP e del protocollo MPLS – Multiprotocol Label Switching. 
  2. è poi utile crittografare i dati prima che questi attraversino qualsiasi ambiente cloud; è vero che la crittografia può generare dei rallentamenti del traffico sul network che vanno certamente valutati sul piano delle performance, ma resta il metodo più efficiente per evitare attacchi man-in-the-middle (attacco informatico in cui un hacker o un tool malevolo si introduce nello scambio tra due parti che credono di comunicare direttamente tra loro ritrasmettendo o alterando i dati della comunicazione stessa) dal momento che i dati, anche se sottratti, risulterebbero comunque illeggibili all’hacker.  
  3. Infine, sfruttando alcune tipologie di network gateway on premise è possibile trarre vantaggio dalla “Tokenizzazione“, un processo di sostituzione di un elemento dei dati sensibili con un equivalente non sensibile, il token, che di per sé non ha alcun valore (es. serie di numeri casuali) e che rende anche le informazioni nel loro complesso non sfruttabili né dai cybercriminali né da chiunque sia privo del “sistema di tokenizzazione” adeguato a ricondurre i dati modificati ai dati sensibili originali.  
Valentina Bucci - fonte TechTarget

Giornalista pubblicista, per ZeroUno scrive dei cambiamenti che la digitalizzazione sta imponendo alle imprese sul piano tecnologico, organizzativo, culturale e segue in particolare i temi: Sicurezza Informatica, Smart Working, Collaboration, Big data, Iot. Master in Giornalismo e comunicazione istituzionale della scienza (Università di Ferrara), laurea specialistica in Culture Moderne Comparate (Università di Bergamo).

Argomenti trattati

Approfondimenti

C
Cloud Security
C
Crittografia
D
Data Protection

Articolo 1 di 4