In questo documento di Symantec (che risale a quasi due anni fa) si parla dei problemi di IT Security legati all'uso, da parte delle Aziende, di infrastrutture IT in "cloud" (IaaS). In altre parole, IaaS permette alle Aziende di evitare i costosi processi di selezione e acquisto delle apparecchiature hardware a supporto dei sistemi di business e relative spese di gestione (energia elettrica, spazi). Peccato che IaaS richieda ancora l'utilizzo di personale specializzato e bene addestrato per la sua gestione logica. Vediamo quali sono i punti di attenzione relativi agli aspetti di sicurezza comuni a tutte le soluzioni IaaS.
Innanzi tutto è bene chiarire la suddivisione dei compiti fra Provider IaaS e Azienda Cliente:
- a carico del Provider:
- spazio fisico attrezzato, rack, condizionamento e alimentazione elettrica
- hardware (CPU, RAM)
- networking interno e connettività da e verso internet
- storage (dischi, SSD)
- virtualizzazione dell'hardware
- a carico dell'Azienda Cliente:
- sistema operativo (installazione, configurazione e aggiornamenti)
- database
- applicazioni
- infrastruttura di sicurezza (applicativa e sistemistica)
Normalmente possono essere contrattati alcuni allarmi di base, relativi per esempio allo spegnimento dell'hardware, termini di servizio come MTBF/MTTR, e altri parametri di scalabilità / fatturabilità (limitazioni sulle risorse hardware disponibili).
Per quanto riguarda più in particolare la Sicurezza IT, bisogna sottolineare che l'uso di IaaS non solleva il Cliente da nessuna delle incombenze che avrebbe avuto mantenendo il CED tradizionale gestito in proprio.
In particolare:
- la sicurezza delle applicazioni non aumenta (né diminuisce) per il semplice fatto che esse sono ospitate in una infrastruttura esterna, salvo il particolare che esse sono esposte ad accessi esterni
- la sicurezza dei dati (database, backup) deve essere garantita tenendo presente che sono manipolati da applicazioni raggiunte tramite reti "non sicure" (tipicamente internet)
- il rilevamento di eventuali attacchi (o tentativi di intrusione) non viene normalmente eseguito dai Provider, e va quindi previsto contrattualmente qualche metodo di accesso ai log delle attività, sia applicative che sistemistiche
Il citato studio di Symantec fa rilevare che una moderata attività di discovery, attuata a spese di un servizio IaaS, ha permesso di scoprire 16.000 prefissi di dominio, 51 directory accessibili (che sembrano poche) e 11.000 files contenenti anche dati sensibili o comunque utilizzabili per scopi malevoli.
Significato: la sicurezza nell'accesso ai dati deve essere progettata e predisposta dal Cliente, anche attraverso gli strumenti di IAM (Identity and Access Management) disponibili presso i Provider.
Altri punti deboli riguardano l'uso di chiavi di encryption applicative, che se codificate in maniera statica nelle applicazioni rendono difficoltosa e lenta la reazione ad un eventuale attacco. Anche la gestione di tali chiavi è da tenere attentamente sotto controllo da parte del Cliente.
Inoltre non è da sottovalutare la circostanza che dati e applicazioni, sia pure confinati in ambiti logici separati e distinti, condividono l'hardware con altri ambienti, potenzialmente sconosciuti: sono stati già rilevati casi in cui alcuni malintenzionati hanno acquisito ambienti IaaS al solo scopo di interferire con altri ambienti ospitati sulla stessa piattaforma (un degrado delle prestazioni è l'attacco più banale che possa essere condotto, e su questo pare che i Provider possano intervenire).
Bisogna inoltre prevedere le conseguenze legali dell'affidamento dei dati in locazioni diverse, con legislazioni potenzialmente diverse e talvolta discordanti. Altre precauzioni legali vanno impostate nel caso in cui il Provider stesso perda il controllo della propria infrastruttura, per esempio a seguito di una messa in liquidazione o di una acquisizione da parte di altre società.
Conclusioni.
I servizi IaaS sono sempre più diffusi e possono costituire una valida alternativa alle infrastrutture IT tradizionali, ma non devono essere sottovalutati dal punto di vista dell'IT Security, secondo le specificità del Business di ciascuna Azienda.
