Cloud Security: come garantire la sicurezza dei propri sistemi

Data di pubblicazione: 12 Maggio 2021Autore: Alessandro Achilli

La Cloud Security è un concetto che sta acquistando sempre più importanza all’interno della Digital Transformation.

Il Cloud è infatti una risorsa a cui oggi si affida la maggioranza delle aziende, contando su una sicurezza e una comodità che i servizi sull’hardware non possono dare.
I rischi però aumentano e senza un buon piano di sicurezza diventa difficile lavorare con serenità.

Vediamo tutti i dettagli in questo articolo.

Indice dei contenuti

Cloud Security: una definizione

La Cloud Security è una componente importante della Cyber Security, necessaria per proteggere e conservare i dati, difendere le applicazioni e tutelare le infrastrutture.

L’obiettivo è creare un ecosistema informatico che permetta ai dipendenti di lavorare con serenità accedendo alla rete in sicurezza da ogni parte del mondo e da qualsiasi dispositivo.

Il concetto di Cloud Security, infatti, nasce dalla diffusione che ha oggi il Cloud Computing, un sistema che eroga dei servizi attraverso la rete da un fornitore a un cliente finale.

Si parte da risorse preesistenti, configurabili e disponibili in remoto e si forniscono sotto forma di architettura distribuita.

Ed è qui che entra in gioco la Cloud Security, con lo scopo di proteggere questi servizi sul Cloud, mettendo in sicurezza i provider e indirizzando gli utenti verso un corretto utilizzo della rete.

Perché le aziende scelgono il Cloud Computing?

Il Cloud Computing sta sostituendo l’architettura IT tradizionale per i grossi vantaggi che può portare a un’azienda.

Analizziamo i principali:

Accesso e autenticazione: il Cloud Computing non si limita un determinato perimetro di accesso, ma garantisce un ambiente dinamico e connesso.
Infrastrutture: con il Cloud le infrastrutture sono scalabili e trattano i dati tramite software che rispondono alle variabili d’ambiente e processano le informazioni anche quando sono in transito o a riposo.
Tutela dei dati: rispetto a un hardware proprietario, i dati e le informazioni sono molto più protetti. In caso di danni al server, incendio o altri imprevisti, infatti, nulla andrebbe perduto e non c’è il rischio di compromettere la Business Continuity dell’azienda.

L’importanza della Cloud Security

La Cloud Security ha oggi un ruolo molto importante nella maggior parte delle aziende, consapevoli dei rischi a cui è esposta oggi la rete.

Gli attacchi informatici, infatti, sono in continua crescita e per numerosissime attività rappresentano una minaccia reale che più volte hanno dovuto affrontare.
A ciò si aggiunge che sfruttando il Cloud la potenziale superficie di attacco aumenta, rendendo un’azienda più esposta e vulnerabile.

Ecco perché bisogna correre ai ripari e capire che una risorsa tanto valida e utile come il Cloud, ha bisogno di essere protetta e difesa con i giusti accorgimenti.

Le aziende oggi scelgono il Cloud Computing, che sostituisce l’architettura IT tradizionale creando un ecosistema dinamico e flessibile.

Cosa differenzia la Cloud Security?

La Cloud Security ha l’obiettivo di proteggere i servizi sulla rete, adottando varie tecniche e abitudini che la differenziano dai classici modelli IT.

Ecco quali sono:

Archiviazione dei dati: i vecchi modelli IT archiviano i dati sull’hardware fisico, con sistemi costosi e poco flessibili. Le infrastrutture cloud-based, invece, permettono di ridurre di costi di sviluppo e mantenimento del sistema, limitando anche le mansioni degli utenti.
Velocità di adeguamento: le infrastrutture cloud-based sono altamente scalabili e modulari, adattando i sistemi in modo uniforme alle modifiche organizzative.
Interfaccia di sistema per gli utenti finali: i permessi di accesso devono essere monitorati a partire dalla rete fino agli utenti finali. I sistemi Cloud, infatti, si interfacciano anche con altri sistemi e servizi e sono esposti a diverse vulnerabilità, per questo va tenuto sotto controllo ogni comportamento di accesso.
Prossimità di altri sistemi e dati in rete: con il Cloud si crea un ecosistema che mette in comunicazione i provider e gli utenti. In questo modo un’unica falla o punto debole può compromettere tutta la rete, esponendosi anche alle minacce provenienti dagli utenti finali.

Per costruire un piano di Cloud Security bisogna quindi mettere in sicurezza l’intero sistema e assicurarsi che gli utenti mantengano un comportamento sicuro e adeguato dal punto di vista tecnico ed etico.

Come proteggere il Cloud: sistemi e tecnologie

Con un corretto piano di Cloud Security si possono recuperare i dati in caso di perdita, proteggere le reti dal furto di dati, ridurre la possibilità di errore umano e limitare l’impatto di qualsiasi compromissione di dati o sistemi.

Bisogna ricorrere a strumenti e tecnologie che implementino delle barriere fra l’accesso e la visibilità dei dati sensibili.
Un esempio è la crittografia, che protegge i dati rendendoli leggibili solo a chi ha la chiave crittografica corrispondente. Anche le reti private virtuali – o VPN – sono un ottimo espediente per tutelare le reti Cloud.

Gestendo l’identità e gli accessi, invece, si monitorano i permessi concessi agli account degli utenti, limitando la compromissione di dati e sistemi sensibili da parte di esterni, sia legittimi che malintenzionati. Per farlo si può ricorrere all’autenticazione multi fattore e al password management.

Per prevenire, rilevare e mitigare le minacce, c’è la governance, fondamentale per tracciare ogni pericolo e classificarlo in base al livello di rischio.
In caso di perdita dei dati si ricorre a delle tecniche di disaster recovery, seguendo dei piani di Business Continuity e Data Retention che garantiscano il regolare svolgimento delle operazioni e dell’attività lavorativa, sfruttando per esempio metodi di backup e formando i dipendenti.

Inoltre è importante adeguarsi alle norme legislative vigenti, garantendo la massima privacy e impegnandosi a proteggere i dati in rispetto del GDPR.
Un approccio comune è l’uso di data masking, che oscura l’identità dei dati con metodi crittografici.

Infine giocano un ruolo chiave i dipendenti, che devono attenersi alle policy aziendali e seguire dei corsi di formazione che li educhi a tenere un comportamento sicuro online.
Per prevenire ogni involontario pericolo e limitare il più possibile l’errore umano.

Gli strumenti della Cloud Security

Per proteggere i servizi in Cloud e i provider, si usano tool specifici chiamati Cloud access security broker, o CASB.

Questi strumenti valutano le app Cloud in uso e le gestiscono seguendo delle policy di sicurezza che tutelino le informazioni sensibili e rilevino anomalie e comportamenti insoliti.

Nello specifico con un CASB si possono impostare funzionalità di:

autenticazione e Single Sign-On
mappatura delle credenziali
crittografia
rilevamento dei malware
profilazione dei dispositivi

Per gli sviluppatori c’è inoltre Google Cloud security scanner, uno strumento utile per scannerizzare applicazioni web e individuare le vulnerabilità all’interno del codice, riducendo così i falsi positivi.

Le sfide della Cloud Security

Il problema principale del Cloud è che non ci sono perimetri ben definiti e mantenere la sicurezza è impegnativo se si pensa che i Cloud moderni prevedono metodi come l’Integrazione Continua e la Distribuzione Continua.

Per la Cloud Security, quindi, le sfide sono:

Maggiore superficie di attacco: il Cloud ha un’area potenzialmente infinita ed è facile per un hacker introdursi sfruttando porte di ingresso Cloud poco protette. Attacchi e minacce come malware e account takeover sono pericoli concreti che possono ostacolare la Business Continuity e violare dati e informazioni sensibili.
Mancanza di visibilità e monitoraggio: nel modello IaaS, così come nei modelli Cloud PaaS e SaaS, i fornitori di servizi Cloud hanno il pieno controllo del livello dell’infrastruttura, escludendo del tutto i clienti. I clienti, quindi, non sono in grado di identificare e quantificare efficacemente le loro risorse Cloud o visualizzare i loro ambienti Cloud.
Carichi di lavoro in continua evoluzione: le risorse Cloud vengono implementate e disattivate in modo dinamico, su larga scala e rapidamente. Di conseguenza gli strumenti di sicurezza tradizionali non riescono ad applicare le politiche di protezione in un ambiente così flessibile e in continua evoluzione.
DevOps, DevSecOps e automazione: le organizzazioni che hanno adottato la cultura CI/CD DevOps altamente automatizzata devono garantire controlli di sicurezza identificati e incorporati nel codice nelle prime fasi del ciclo di sviluppo. Per questo eventuali modifiche relative alla sicurezza implementate dopo che un carico di lavoro è stato distribuito, possono minare la posizione di sicurezza dell’organizzazione e allungare i tempi di distribuzione finale.
Gestione e controllo dei privilegi: spesso i ruoli degli utenti Cloud sono configurati in modo molto approssimativo, garantendo privilegi che esulano da quanto previsto o richiesto. Un esempio è l’autorizzazione a sovrascrivere o eliminare un database data a utenti non addestrati o a utenti che non hanno tali necessità aziendali. A livello di applicazione i privilegi configurati in modo errato espongono le sessioni a rischi per la sicurezza.
Ambienti complessi: gestire la sicurezza in modo coerente negli ambienti ibridi e multicloud dalle aziende, richiede metodi e strumenti che funzionino per provider di Cloud pubblico, provider di Cloud privato e implementazioni in sede. In più bisogna garantire protezione anche ai perimetri delle filiali.
Conformità e governance del Cloud: è responsabilità dei clienti garantire che il carico di lavoro e i processi di dati siano conformi. Data la scarsa visibilità e le dinamiche dell’ambiente Cloud, il processo di audit di conformità diventa quasi impossibile a meno che non vengano utilizzati strumenti per ottenere controlli di conformità continui e emettere avvisi in tempo reale su errori di configurazione.

Strategie e sicurezza cloud

Cookie	Durata	Descrizione
_GRECAPTCHA	5 months 27 days	This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
_GRECAPTCHA	5 months 27 days	This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Durata	Descrizione
bcookie	2 years	LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser ID.
bscookie	2 years	LinkedIn sets this cookie to store performed actions on the website.
lang	session	LinkedIn sets this cookie to remember a user's language setting.
lidc	1 day	LinkedIn sets the lidc cookie to facilitate data center selection.
UserMatchHistory	1 month	LinkedIn sets this cookie for LinkedIn Ads ID syncing.

Cookie	Durata	Descrizione
__kla_id	2 years	Cookie set to track when someone clicks through a Klaviyo email to a website.
SRM_B	1 year 24 days	Used by Microsoft Advertising as a unique ID for visitors.

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_UA-137720848-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gat_UA-35242002-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
_hjAbsoluteSessionInProgress	30 minutes	Hotjar sets this cookie to detect the first pageview session of a user. This is a True/False flag set by the cookie.
_hjFirstSeen	30 minutes	Hotjar sets this cookie to identify a new user’s first session. It stores a true/false value, indicating whether it was the first time Hotjar saw this user.
_hjIncludedInPageviewSample	2 minutes	Hotjar sets this cookie to know whether a user is included in the data sampling defined by the site's pageview limit.
_hjIncludedInSessionSample	2 minutes	Hotjar sets this cookie to know whether a user is included in the data sampling defined by the site's daily session limit.
_hjTLDTest	session	To determine the most generic cookie path that has to be used instead of the page hostname, Hotjar sets the _hjTLDTest cookie to store different URL substring alternatives until it fails.
ajs_anonymous_id	1 year	This cookie is set by Segment to count the number of people who visit a certain site by tracking if they have visited before.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.

Cookie	Durata	Descrizione
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
ANONCHK	10 minutes	The ANONCHK cookie, set by Bing, is used to store a user's session ID and also verify the clicks from ads on the Bing search engine. The cookie helps in reporting and personalization as well.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
MUID	1 year 24 days	Bing sets this cookie to recognize unique web browsers visiting Microsoft sites. This cookie is used for advertising, site analytics, and other operations.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

Cloud Security: una definizione

Perché le aziende scelgono il Cloud Computing?

L’importanza della Cloud Security

Cosa differenzia la Cloud Security?

Come proteggere il Cloud: sistemi e tecnologie

Gli strumenti della Cloud Security

Le sfide della Cloud Security

Desideri parlare con un nostro esperto? Contattaci

Ultime News Cybersecurity

NIS2, cosa significa e come inserire la direttiva in azienda

Cos’è l’SSO, il Single Sign-On per accedere alle risorse aziendali

Cos’è un Ransomware? Ecco come attacca e come puoi proteggerti

Chief information security officer: chi è e cosa fa in azienda il CISO

Cos’è TISAX® e qual è il suo ruolo nella sicurezza dell’automotive

Come prevenire gli attacchi ransomware

Ransomware: gestione avanzata, tendenze e futuro

Come implementare il penetration test?

Autenticazione a due fattori (2FA): cos’è, come funziona, normativa

Black Hat Hacker: Storia, Strategie, Esempi e Confronti

Strategie e sicurezza cloud

Cloud Migration: cos’è e come eseguirla

Cloud Computing: tutto quello che c’è da sapere

NIS2, cosa significa e come inserire la direttiva in azienda

Guida SQL Server, tutto quello che devi sapere

Cos’è l’Iperconvergenza, come funziona e differenze

Che cos’è un malware e come affrontarlo?

Cos’è un Ransomware? Ecco come attacca e come puoi proteggerti

Cos’è un server, come funziona, tipologie

Penetration Test: Cos’è, Tipologie e perchè è così importante

Firewall: Cos’è, come funziona e perché è indispensabile per l’azienda

Cyber Security: cos’è, come funziona, minacce

SIEM: ecco cos’è il Security Information and Event Management

Intelligenza Artificiale (AI): Cos’è, Come funziona, Esempi e Futuro

Phishing: cos’è e come prevenirlo

Security Operation Center (SOC): come gestire con efficacia la sicurezza IT

Disaster Recovery: Cos’è, Come funziona, Tipologie, Vantaggi

Cos’è il Vulnerability Assessment

Cookie	Durata	Descrizione
__awc_tld_test__	session	No description
_clck	1 year	No description
_clsk	1 day	No description
_hjSession_1956240	30 minutes	No description
_hjSessionUser_1956240	1 year	No description
AnalyticsSyncHistory	1 month	No description
CLID	1 year	No description
last_pys_landing_page	7 days	No description
last_pysTrafficSource	7 days	No description
li_gc	2 years	No description
pys_first_visit	7 days	No description
pys_landing_page	7 days	No description
pys_session_limit	1 hour	No description
pys_start_session	session	No description
pysTrafficSource	7 days	No description
SM	session	No description available.