▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

Cloud security: non dare niente per scontato

Gestire la cloud security significa proteggere un'architettura molto articolata, distribuita tra la propria IT e quella dei cloud provider

Business Tecnologie/Scenari
Per molte imprese che hanno fatto il grande salto al cloud, la cloud security è solo legata alla tutela dei loro dati quando sono gestiti dai cloud provider che si sono scelti. Il cloud è genericamente inteso come sicuro. D'altronde, si spera che un cloud provider investa in sicurezza ben più di una singola azienda utente. E molti cloud provider sono grandi nomi dell'IT. Ipotizzare la loro affidabilità non è poi così strano.

E in effetti non lo è. Ma la sicurezza in cloud è una questione più complessa di così. In un ambiente multicloud ibrido, sistemi e dati sono distribuiti tra l'on-premise della singola azienda e i data center dei suoi cloud provider. Una IT grandemente distribuita in cui la sicurezza complessiva non è la somma implicita della sicurezza dei vari ambienti coinvolti. Passare in cloud introduce nuovi punti critici e pone in una nuova luce quelli esistenti.

Il primo rischio quindi non è tecnico. È dare la cloud security per scontata, affidandosi al fatto che ciascuno, in fondo, gestisce al meglio casa propria. Il primo passo è verificare proprio questo aspetto, poi però bisogna andare oltre. Il primo passo è cioè eseguire un assessment approfondito delle proprie misure di sicurezza e di quelle - standard e opzionali - del cloud provider. Poi bisogna verificare che tutti i processi di protezione delle informazioni si integrino al meglio. Ed intervenire là dove serve, per garantire che questo accada.

codice 2
I problemi, infatti, di solito nascono per disallineamenti su alcune misure di cloud security e per incomprensioni su chi (l'utente, il provider, entrambi) abbia la responsabilità di gestirne altre. Serve cioè definire un nuovo modello di sicurezza condivisa tra più parti. E che molte aziende - ma anche provider - non hanno mai considerato prima.

Cloud security: ce n'è un po' per tutti

La sicurezza delle informazioni e delle risorse in cloud è solo in parte delegabile al cloud provider. Questi ha l'obbligo di garantire la sicurezza della propria infrastruttura, quindi è ad esempio responsabile del recupero dei dati in caso di guasto. Ma garantire che i dati siano sempre gestiti al meglio - lato sicurezza - è un compito quantomeno condiviso. E non è raro che ad aprire le falle che mettono in pericolo la cloud security siano proprio le aziende utenti. Ovviamente senza esserne consapevoli, ma questo non cambia la sostanza delle cose.

Una dei punti deboli più frequenti per la cloud security è il controllo inadeguato su chi può accedere ai dati e ai sistemi in cloud, e con quali livelli di privilegio. Per questo le funzioni di identity/access management dell'azienda devono allinearsi con l'ambiente cloud e comprenderlo (o federarsi con esso, con nuove complessità).

E sta all'azienda verificare che non si generino pericolose condizioni errate o indefinite. Come banalmente eliminare un utente on-premise senza che questo "scompaia" anche in cloud. O non applicare il buon vecchio principio dei privilegi minimi. Che in cloud è ancora più importante perché le conseguenze di accessi impropri possono essere anche gravi.

Infine, cloud security per lo staff IT significa anche seguire con precisione il ciclo di vita delle informazioni aziendali. Perché l'IT ne mantiene la responsabilità ma non ne ha più il completo controllo. Visto che parte di tale ciclo di vita non si svolge più "dentro" l'azienda ma fuori, in cloud. A questo servono soluzioni di data discovery e data management che indichino sempre quali dati si posseggono, dove si trovano, quali servizi li gestiscono, e come.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.
Rimani sempre aggiornato, seguici su Google News! Seguici

Notizie correlate

Speciali Tutti gli speciali

Speciale

Previsioni per la cybersecurity del 2025

Speciale

Digitalizzazione e cybersecurity

Reportage

Cybertech Europe 2024

Speciale

Identity security

Speciale

Infosecurity Europe 2024

Calendario Tutto

Gen 21
Palo Alto Networks Partner Xchange Milano
Gen 23
Nutanix Cloud Day Roadshow - Bari
Giu 05
MSP Day 2025

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter