Il tuo indirizzo IP: Sconosciuto · Il tuo stato: ProtettoNon protettoSconosciuto

Cloud computing e sicurezza: cosa sapere

Negli ultimi tempi si parla sempre di più di cloud computing: si tratta di uno strumento che permette di accedere da remoto a determinate funzionalità, sia hardware che software, ed è molto utile soprattutto in ambito aziendale. Quello di cui non si parla abbastanza, invece, è il rischio per la sicurezza che il cloud computing rappresenta, in particolare quando non associato a soluzioni apposite come firewall, VPN, ecc.

Ugnė Zieniūtė Ugnė Zieniūtė

Ugnė Zieniūtė

Cloud computing e sicurezza: cosa sapere

Cos’è il cloud computing

La definizione di cloud computing è molto semplice: si tratta di servizi hardware o software usufruibili tramite Internet. Se comprendere il significato di cloud computing è quindi abbastanza immediato, quello che è un po' più difficile da capire è il suo funzionamento effettivo.

Quindi, cos'è il cloud computing? In italiano significa “nuvola informatica” ed è la tecnologia che permette a un fornitore di offrire servizi informatici tramite Internet. Gli spazi di archiviazione come Dropbox e Google Drive sono esempi di cloud computing, così come lo sono servizi di streaming come Netflix.

Tre tipi di cloud computing

Il cloud computing non è tutto uguale: a seconda del tipo di cloud utilizzato, si può infatti suddividere in tre modelli dalle caratteristiche diverse.

Cloud pubblico

Questa soluzione prevede che le risorse cloud siano di proprietà di un fornitore, il quale si occupa poi di gestire l'intero sistema e di distribuire i servizi alle varie aziende. Quando si utilizza un cloud pubblico, l'hardware viene condiviso tra i vari utenti e i servizi offerti possono essere acquistati singolarmente a seconda delle esigenze. I vantaggi principali di questa soluzione sono la possibilità di personalizzazione, i costi contenuti e l'elevata affidabilità. Microsoft Azure è un esempio di fornitore di soluzioni cloud pubbliche.

Cloud privato

A livello tecnico, il cloud privato non è diverso da quello pubblico: ciò che cambia è la sua gestione. In questo caso, infatti, è una singola azienda a gestire la soluzione cloud. L'effettiva infrastruttura può essere di proprietà dell'azienda stessa o fornita da un'altra azienda: in ogni caso, l'hardware è dedicato e non condiviso e la sua gestione rimane privata. I vantaggi di questa soluzione sono il maggiore controllo e la migliore scalabilità.

Cloud ibrido

Il cloud ibrido è una combinazione delle due soluzioni precedenti. Permette di condividere dati e applicazioni tra i due tipi di cloud ed è quindi un sistema molto flessibile. È infatti decisamente più semplice scalare l'infrastruttura in base alle esigenze e allo stesso tempo mantenere i dati sensibili in sicurezza su hardware privato.

Rischi per la sicurezza

Uno dei più grandi svantaggi del cloud computing è la minor sicurezza. Quando dati e servizi sono ospitati su un’infrastruttura locale e non raggiungibile tramite Internet, è praticamente impossibile che un hacker possa intromettersi ed effettuare furti di dati o attacchi informatici. Quando però dati e servizi sono ospitati sul cloud, sono estremamente vulnerabili a vari tipi di attacchi informatici.

Uno degli attacchi più diffusi e che può creare enormi disservizi è l'attacco DDoS, questo prevede il sovraccarico delle risorse hardware che forniscono i servizi, i quali diventano così irraggiungibili. Questo tipo di attacco generalmente non crea danni permanenti al sistema, ma non poter raggiungere determinati servizi può essere un danno economico importante per un'azienda.

Un altro attacco molto diffuso è quello del Cryptojacking, che consiste nell'uso di risorse hardware per effettuare il mining di criptovalute all'insaputa dei fornitori di servizi. Anche con questo tipo di attacco non ci sono danni permanenti al sistema, ma i servizi possono essere rallentati notevolmente o addirittura interrotti del tutto.

Gli attacchi potenzialmente più pericolosi sono però quelli che portano al furto di dati: nel caso un'azienda fosse vittima di attacchi di questo tipo, infatti, potrebbe incorrere in sanzioni, denunce, ecc.

Soluzioni di sicurezza del cloud computing

È quindi evidente come utilizzare il cloud computing richieda un occhio di riguardo per la sicurezza. Pertanto, prima di scegliere il fornitore di cloud computing è fondamentale verificare le soluzioni di sicurezza implementate.

Firewall

I firewall sono delle soluzioni di sicurezza che impediscono la creazione di connessioni non autorizzate. Sono regolarmente implementati su reti domestiche e aziendali, ma dovrebbero essere utilizzati anche sul cloud. In questo modo, infatti, permettono di creare una barriera di sicurezza virtuale in grado di proteggere dati e servizi dagli attacchi esterni.

Crittografia

Quando sul cloud vengono salvati dati sensibili, è molto importante che questi vengano crittografati, in modo che se anche dovessero essere rubati, gli hacker non sarebbero in grado di decifrarli. Non solo: quando i dati sono in transito da o verso i server remoti, dovrebbe essere presente un ulteriore livello di crittografia. Un buon fornitore di cloud computing dovrebbe quindi assicurarsi che vengano utilizzati protocolli di crittografia avanzati e certificati SSL/TLS (Cos'è SSL).

Gestione accessi

Per poter utilizzare i servizi ospitati su cloud è necessario ottenere le relative autorizzazioni di accesso. È però fondamentale che gli accessi vengano gestiti in maniera accurata dagli amministratori, così da avere sempre il pieno controllo di chi accede alle risorse online. Inoltre, è importante che gli amministratori siano in grado di concedere o revocare permessi specifici, in modo che gli utenti possano, ad esempio, accedere a certi dati ma non ad altri.

Audit di sicurezza

È inevitabile: tutti i sistemi sono affetti da vulnerabilità più o meno grandi. È impensabile, quindi, aspettarsi di utilizzare un servizio di cloud computing completamente privo di falle. Quello che ci si deve aspettare, invece, è la regolarità degli audit di sicurezza. Questi controlli periodici sono pensati proprio per individuare le vulnerabilità presenti e porvi rimedio prima che diventino pubbliche e possano quindi essere sfruttate dagli hacker.

Backup

Per far fronte ai disservizi causati dagli attacchi informatici, una delle possibili soluzioni è quella di avere dei backup in luoghi diversi. In questo modo, se un servizio dovesse essere portato offline, sarebbe possibile ripristinarne un backup non colpito dall'attacco. La presenza di backup può difendere anche dalle calamità naturali: può capitare, infatti, che un data center venga colpito da un incendio o un allagamento, con conseguente distruzione dei server. I backup dovrebbero essere eseguiti in automatico e frequentemente.

Cloud computing: sicurezza e privacy

La sicurezza non è appannaggio soltanto del fornitore del cloud computing. È infatti necessario che anche i clienti si preoccupino di mettere in sicurezza le proprie risorse e i propri dati, in modo da ridurre al minimo il rischio di attacchi informatici.

Gestione dei dipendenti

Quando un'azienda utilizza servizi di cloud computing, tutti i dipendenti devono avere accesso alle risorse online. I dipendenti possono però rappresentare una vulnerabilità, magari perché utilizzano dispositivi personali poco sicuri per accedere ai servizi cloud, o perché non sono a conoscenza delle migliori pratiche per difendersi dagli attacchi informatici. È quindi importante limitare le autorizzazioni al minimo indispensabile per poter svolgere il proprio lavoro, ma anche fornire tutte le informazioni necessarie per proteggersi da un attacco man in the middle, dal phishing, da un attacco brute force, ecc.

Password forti

Se i dipendenti accedono ai servizi cloud tramite account personali, è importante che utilizzino password forti e sicure. Bisogna quindi prima di tutto indurre i dipendenti a creare una password personale e non usare quella predefinita creata dall'amministratore. Inoltre, bisogna incoraggiarli a creare password uniche, lunghe almeno 12 caratteri e che contengano maiuscole, cifre e caratteri speciali. Infine, è una buona idea fornire loro anche un password manager, in modo che possano gestire in modo sicuro le proprie password.

Crittografia

Se vengono usati servizi cloud come archivio di dati aziendali, è fondamentale che questi dati vengano crittografati. È possibile utilizzare soluzioni di crittografia personali o affidarsi a quelle offerte dai fornitori di cloud computing.

VPN

I lavoratori in remoto sono una grossa vulnerabilità: si trovano infatti a utilizzare una connessione a Internet privata e spesso anche dispositivi personali, quindi non sotto il controllo dell'azienda. Molti hacker sfruttano questo dettaglio per riuscire a sferrare i loro attacchi informatici. È quindi importante incoraggiare i dipendenti a utilizzare una VPN, che permette di crittografare tutto il traffico: in questo modo potranno collegarsi ai servizi cloud senza doversi preoccupare di eventuali hacker.

Migliora la sicurezza e sfrutta al massimo i protocolli VPN.

Disponibile anche in: Deutsch, English, e altre lingue.

Ugnė Zieniūtė
Ugnė Zieniūtė Ugnė Zieniūtė
success Autore verificato
Ugnė Zieniūtė è una content manager di NordVPN a cui piace ricercare le ultime tendenze in fatto di sicurezza informatica. È convinta che ogni utente dovrebbe prestare particolare attenzione alla propria sicurezza online, e per questo vorrebbe condividere preziose informazioni con i lettori.