TECHTARGET

Come garantire la sicurezza in un ambiente hybrid cloud

I piani di adozione dell’hybrid cloud sono in crescita e aumenta l’interesse verso le possibili strategie per mettere in sicurezza gli ambienti che integrano le proprie risorse e i propri servizi IT in private cloud con quelli disponibili sui public cloud

Pubblicato il 13 Nov 2017

Come garantire la sicurezza in un ambiente hybrid cloud

Uno dei degli studi internazionali in questo momento più citati da chi segue l’evoluzione del modello hybrid è il report Building Trust in a Cloudy Sky realizzato dal vendor di security McAfee agli inizi di quest’anno. Secondo questa ricerca, nel 2016 la percentuale di aziende che hanno adottato l’hybrid cloud è triplicato rispetto al 2015, passando dal 19 al 57%. Nello stesso lasso di tempo, le realtà che sono rimaste a una strategia private-only cloud sono scese dal 51 al 19%. Dallo studio emerge però chiaramente come una delle criticità più rilevanti nell’implementazione di un hybrid cloud consista nell’adozione di metodi di controllo della sicurezza di questi ambienti che permettano di adempiere a requisiti di compliance a normative e a policy aziendali.

Il problema delle compliance

Una volta che due ambienti cloud hanno stabilito un modo sicuro per scambiarsi i dati, è indispensabile individuare e implementare i corretti controlli di sicurezza che permettono di dimostrare che un tale ambiente ibrido sia compliant con normative settoriali e/o nazionali/internazionali o a requisiti di sicurezza specificati all’interno dei contratti siglati fra aziende utenti e provider.

L’obiettivo di creare e mettere in atto questi controlli di sicurezza è considerato particolarmente complicato, anche perché i set di soluzioni necessarie sia on premises sia in cloud può variare molto da una situazione all’altra, anche solo per soddisfare le esigenze di compliance agli standard e alle certificazioni di sicurezza richieste da ciascuna singola industry. A tutto ciò si aggiunge la difficoltà a trovare (fra le aziende che gestiscono i propri private cloud e i provider che mettono a disposizione le loro infrastrutture in public cloud) identità di vedute circa l’efficacia di soluzioni di sicurezza di diversa tipologia, e per di più acquisite da vendor diversi. Può darsi il caso di un’azienda che, nel proprio private cloud, abbia ritenuto necessario implementare una tecnologia che protegga contro gli Advanced Persistent Threat (APT), unitamente a sistemi di intrusion detection (IDS) e intrusion prevention (IPS), ma che si trovi a negoziare con un provider il quale, invece, ritiene sufficienti solo gli ultimi due.

Un altro punto di possibile divergenza fra azienda utente attuale o potenziale e service provider è quello delle metodologie di audit e certificazione. Può, ad esempio verificarsi il caso che il cloud provider possieda certificazioni quali ISO 27001:2013 e 27017:2015, mentre l’azienda necessiti di dover rispettare compliance più stringenti di tipo internazionale, nazionale e contrattuale (verso i propri clienti).

La soluzione della control inheritance

Una risposta a queste complesse questioni consiste nell’adottare una metodologia che permette di applicare in modo coerente specifici controlli di sicurezza in un ambiente hybrid cloud, per sua natura eterogeneo e in costante evoluzione. Si tratta della control inheritance (eredità); una serie di consigli su come implementare la control inheritance arriva dal National Institute of Standards and Technology (Nist), un’agenzia del governo americano. In particolare sono da tenere presenti due documenti: il Nist 800-37 rev 1, ossia la Guide for Applying the Risk Management Framework to Federal Information Systems, e il Nist 800:53 rev., Security and Privacy Controls for Federal Information. Entrambi identificano tre categorie di controlli: common, hybrid e system-specific. Per quanto concerne la sicurezza nell’hybrid cloud, le prime due prendono in considerazione tecnologie in grado di fornire controlli per più sistemi informativi attraverso molteplici zone di sicurezza e livelli di servizio; la copertura di queste tecnologie è ciò che rende i controlli ereditabili (inheritable). Per esempio, se la compliance o gli standard richiedono l’autenticazione e l’autorizzazione degli utenti attraverso un unico tool o un’unica piattaforma per la totalità dei servizi, l’approccio più cost-effective consiste nell’autenticare gli utenti a fronte di una directory enterprise come Ldap o Microsoft Windows Active Directory.

La control inheritance si applica sia a controlli di tipo amministrativo (rispetto di policy o verifica della formazione di un utente) sia di tipo fisico. Il Nist 800-53 individua tre tipi di contestualizzazione dei sistemi informativi: fisico, logico e virtuale. Spiega quindi come le aziende con molte infrastrutture virtuali possono sfruttare poche singole soluzioni di sicurezza fisiche per creare meccanismi di controllo virtuali che scalano attraverso molteplici sistemi informativi e servizi. Fra altri aspetti, invece, il Nist 800-37 analizza come due o più organizzazioni possano accettare mutualmente i rispettivi assessment di security, permettendo così di estendere in sicurezza i confini di un sistema informativo (information system boundary) attraverso un hybrid cloud.

Fra le tecnologie più importanti in questo quadro emergono quelle di autenticazione e autorizzazione, comuni e implementate solitamente dietro il portale aziendale, i cui controlli vengono fatti propri anche dai server di back-end dell’hybrid cloud gestiti dai cloud provider.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 4