Alla fine del 2022, Gartner ha previsto un incremento del 20% nell'investimento globale per il cloud pubblico entro il 2023. Questo aumento solleva una serie di interrogativi, in quanto sempre più persone mettono pubblicamente in discussione la filosofia del "cloud a tutti i costi". È vero, infatti, che le questioni relative alla governance dei dati, alla conformità e, più in generale, alla loro sicurezza sollevano ancora molti dubbi di fronte ai crescenti rischi informatici. Ma si tratta di rischi reali o falsi miti?
Uno studio condotto da 451 Research, risalente alla fine del 2022, ha addirittura indicato che il 54% degli intervistati ha ritirato i propri dati dal cloud pubblico nel corso dell'ultimo anno. Tuttavia, questi rischi sono fondati? Dobbiamo considerare il ritorno al modello tradizionale on-premise? Una sicurezza del cloud più efficace potrebbe essere la soluzione? Chiarimenti e risposte.
I pericoli del cloud
Che si tratti di infrastrutture, software o piattaforme, il mondo dell'as-a-service è diventato essenziale per molte aziende e istituzioni. I suoi vantaggi sono innegabili, e comprendono la flessibilità, la scalabilità, l'alta disponibilità, l'accessibilità dei dati e il pay-as-you-go. Ma quando parliamo di cloud, intendiamo cloud pubblici e privati, nonché SaaS (Software-as-a-Service), IaaS (Infrastructure-as-a-Service) e PaaS (Platform-as-a-Service). Tanti cloud diversi, sia in termini economici che di rischi.
Nonostante la loro inevitabilità, le preoccupazioni per la sicurezza dei dati nel cloud si fanno sempre più impellenti. In particolare, ad essi si associa una percezione di perdita di controllo e di fragilità dei dati. Da un lato, si teme per la riservatezza dei dati archiviati attraverso le piattaforme statunitensi, in seguito all'adozione del Cloud Act da parte degli Stati Uniti nel 2018. D'altro canto, il rischio di errore umano è allarmante, in quanto le impostazioni di sicurezza non correttamente configurate possono portare a una massiccia fuga di dati.
Secondo timore diffuso: i costi nascosti del cloud. Spesso presentato come una soluzione più economica rispetto alle infrastrutture IT on-premise, il cloud in realtà presenta molte sfumature. In occasione di un evento, il CEO di Computacenter Mike Norris ha espresso una posizione chiara: "Il controllo dei costi rappresenta la sfida più grande (con il modello) del cloud computing, perché non si tratta di un software as a service, ma di un software "ostaggio". " Le ragioni del superamento dei budget sono molteplici: aumento dei costi di archiviazione, dei costi operativi e di cancellazione dei dati, costi di transito calcolati male, ecc. Allo stesso tempo, la crisi dei prezzi nel settore energetico ha (ri)aperto gli occhi sul consumo di energia di un datacenter.
Ultimo timore nascosto dietro l'utilizzo del cloud: la vulnerabilità dei dati memorizzati, che costituiscono un obiettivo primario per i criminali informatici. Per accedere a questi dati, i criminali informatici possono attaccare vari elementi del cloud, tra cui i servizi IT, i servizi di archiviazione e le applicazioni. Nel 2021, ad esempio, uno studio ha annunciato che il 90% dei bucket S3 sulla piattaforma Amazon Web Services era vulnerabile al ransomware. Nello stesso anno, Cognite, Facebook e Kaseya hanno subito attacchi informatici ai database cloud. Nel dicembre 2022, anche Rackspace Technology, uno dei maggiori fornitori di cloud hosting degli Stati Uniti, ha subito un attacco informatico con conseguente interruzione del servizio di Microsoft Exchange in hosting. Questi esempi di attacchi (oltre a molti altri) contribuiscono ad alimentare la sensazione di insicurezza che le aziende nutrono nei confronti del cloud. Anche le soluzioni di sicurezza informatica vengono attaccate nel cloud: ad esempio, i motori di ricerca sono pieni di articoli che parlano di attacchi a LastPass e ai suoi servizi di archiviazione sicura delle password. Perché anche se la sicurezza informatica non rappresenta un ostacolo all'adozione del cloud, rimane una delle principali criticità per il 95% delle aziende, secondo uno studio di un altro vendor.
E la situazione è ancora più complessa, perché oltre ad attaccare, i criminali informatici utilizzano gli ambienti cloud per alcuni dei loro attacchi. In effetti, le minacce informatiche sono sempre più distribuite attraverso i servizi cloud: nel suo ultimo studio Cloud and Threat Report, il vendor Netskope ha dichiarato che il numero di applicazioni cloud che distribuiscono minacce informatiche sarà triplicato entro il 2022.
Dovremmo abbandonare il cloud?
Da diversi anni ormai il cloud viene messo in discussione. Un intervento pubblico per alcune aziende: tra queste, la divisione responsabile della pubblicità di France Télévisions ha sostituito i backup su cloud con infrastrutture on-premise a partire dal 2020. Più recentemente, all'inizio del 2023, 37signals, fornitore delle piattaforme collaborative Hey e Basecamp, ha ottenuto un risparmio di 7 milioni di dollari abbandonando il cloud di Amazon.
Ma l'abbandono del cloud non è una decisione da prendere alla leggera e richiede una valutazione d'impatto preventiva. È necessario prevedere sia le domande da porsi che le risorse necessarie. Migrazione dell'infrastruttura, migrazione dei dati e degli utenti, adattamento delle regole di sicurezza, supporto al cambiamento... questi sono solo alcuni dei problemi che possono impedire alle aziende di lasciare il cloud. Con l'esternalizzazione delle risorse attraverso il cloud computing, le aziende hanno rinunciato alle competenze umane e materiali richieste on-premise. Si renderebbe quindi necessario un investimento in risorse materiali e umane. Tuttavia, abbandonare il cloud non significa necessariamente tornare esclusivamente alle infrastrutture on-premise. Esistono soluzioni intermedie, come l'affitto di spazi (un array di storage o un'intera struttura) in centri dati privati o la stipula di un contratto di outsourcing con un fornitore di servizi. Queste due soluzioni consentono alle aziende di affidarsi alle infrastrutture esistenti (peering, sicurezza dei locali, infrastruttura elettrica, climatizzazione) e alle certificazioni di ridondanza (Tier I - II - III - IV) per evitare investimenti colossali.
Combinare cloud e sicurezza informatica
Esiste un altro approccio: combinare cloud e sicurezza informatica. Questo metodo è ancora più importante se si considera che la sicurezza del cloud consiste spesso in una vera e propria protezione dei cloud. I sistemi di sicurezza specifici dei vari marketplace devono essere rafforzati o sostituiti dalle capacità dei pure-player della sicurezza informatica (segmentazione interna, filtraggio tra le diverse risorse, sistemi di rilevamento delle intrusioni, strumenti di gestione delle identità e degli accessi, collegamenti VPN affidabili, ecc.) Da questa prospettiva multi-cloud, la scelta di un marchio di firewall pure-player da implementare in ogni cloud si rivela sensata in termini di competenza, visibilità e gestione, rispetto alla gestione delle diverse configurazioni dei firewall nativi di ciascun cloud.
E come scegliere tra le diverse piattaforme cloud? In altre parole: come avvalersi di un cloud sicuro? La Francia sta cercando di rispondere a questa domanda con la certificazione SecNumCloud, che qualifica i fornitori di servizi cloud. Guillaume Poupard, ex direttore generale dell'ANSSI, ha dichiarato all'epoca: "Per promuovere un ambiente digitale tutelato e al passo con gli sviluppi tecnologici, anche per quanto riguarda i dati e le applicazioni più critiche, è essenziale individuare servizi cloud affidabili". Una certificazione che conferma la fiducia del governo francese, in quanto soddisfa i severi requisiti informatici stabiliti dall'ANSSI. Conformità ai massimi livelli di sicurezza per la protezione dei dati, un preciso accordo sul livello dei servizi e garanzia di localizzazione dei dati: i cloud qualificati offrono una maggiore protezione rispetto alle leggi extraeuropee.
Ma tutto ciò non deve sminuire l'importanza di proteggere gli scambi nel cloud. Questo perché i criminali informatici cercheranno principalmente di sfruttare una falla in un'istanza client per poi tentare di penetrare nell'intero sistema, piuttosto che attaccarlo frontalmente. In un’epoca in cui gli strumenti di collaborazione nel cloud (come Google Workspace e Microsoft 365) stanno diventando sempre più importanti per le organizzazioni, le informazioni sono esposte al rischio di intercettazione, fuga e furto di dati. La crittografia dei file consente di scambiare dati sensibili in modo sicuro: questi vengono crittografati e decifrati automaticamente per gli utenti autorizzati. Ma per essere efficace, l'azione di protezione dei dati sensibili deve essere combinata con la facilità d'uso offerta dalle piattaforme. Tuttavia, c'è un altro aspetto...
I timori sulla fragilità dei dati nel cloud ci impongono di interrogarci a fondo su questo ambiente così particolare. Evidenziano le vulnerabilità del cloud e i relativi requisiti in materia di sicurezza. Una sicurezza che non può essere pensata in modo isolato: le aziende devono sensibilizzare i propri dipendenti sulla portata più ampia delle minacce informatiche. Questo è l'unico modo per aumentare il livello di protezione non solo delle risorse nel cloud, ma anche dell'intero perimetro. Perché nel cloud, la sicurezza riguarda tutti i livelli.
