Il provider e l’azienda che utilizza il cloud condividono la responsabilità per la protezione del Public Cloud. Come, esattamente, è indicato nel modello Shared Responsibility.
Testo: Christoph Widmer, Immagini: tnt-graphics, 28 maggio 2019
Potenza di calcolo premendo un solo pulsante, applicazioni rilevanti per l’azienda accessibili in qualsiasi momento, ambienti di sviluppo predefiniti a disposizione dei reparti IT: il cloud ha trasformato completamente il modo in cui si può usufruire dell’IT. Allo stesso tempo, però, il tema della sicurezza delle informazioni (sicurezza IT, protezione delle informazioni e dei dati) è diventato più complesso. La sicurezza del Public Cloud, in particolare, causa ripetutamente equivoci e idee errate tra i Cloud Consumer. Per quanto essi vogliano orientarsi ai classici modelli di outsourcing ed essere sempre più sollevati dalle faccende riguardanti la sicurezza, la questione della Cloud Security non può ricadere interamente sui Cloud Provider. Se desiderano ottenere in modo davvero sicuro applicazioni, ambienti di sviluppo o istanze sever virtualizzate dal Public Cloud, i Cloud Consumer devono essere corresponsabili della relativa sicurezza.
«In linea di principio, il Cloud Provider è responsabile della sicurezza dell’infrastruttura del cloud, mentre il Cloud Consumer si occupa della sicurezza all’interno del cloud.»
Klaus Gribi, Senior Security Consultant di Swisscom
Il modello Shared Responsibility definisce gli ambiti di competenza di Cloud Consumer e Cloud Provider. Originariamente concepito per la sicurezza e la compliance di Amazon Web Services e Microsoft Azure, questo modello di suddivisione delle responsabilità viene oggi utilizzato anche da altri Cloud Provider. «Sostanzialmente il modello Shared Responsibility opera una distinzione tra la sicurezza del Public Cloud stesso (Security of the Cloud) e la sicurezza nel Public Cloud (Security in the Cloud)», spiega Klaus Gribi, Senior Security Consultant di Swisscom. E aggiunge: «In linea di principio, il Cloud Provider è responsabile della sicurezza dell’infrastruttura del cloud, mentre il Cloud Consumer si occupa della sicurezza all’interno del cloud».
Il modello Shared Responsibility di Microsoft Azure.
Le responsabilità variano a seconda del modello di servizio cloud acquistato dal Cloud Consumer.
Sebbene il modello Shared Responsibility segua spesso una regola generale, gli ambiti tecnici per i quali Cloud Consumer e Cloud Provider sono responsabili possono differire di caso in caso. «Certamente un cliente Iaas è responsabile della sicurezza del cloud a partire dal sistema operativo; tuttavia alcuni provider installano anche delle componenti nel sistema operativo, ad es. per sorvegliare la performance delle istanze virtualizzate», sottolinea Gribi. E continua: «Per quanto riguarda il modello Shared Responsibility esistono sicuramente limiti specifici per provider che possono essere superati in modo dinamico».
A ciò va aggiunto che il Cloud Consumer può esternalizzare singoli ambiti di attività: se opta, ad esempio, per un Managed OS di un’istanza IaaaS, non risponde più per il sistema operativo, di cui diventa responsabile il Cloud Provider o un provider terzo. In alcune circostanze, però, la gestione del firewall resta di competenza del Cloud Consumer: la Shared Responsibility diventa così più complessa. I Service Level Agreement (SLA) del Cloud Provider disciplinano dettagliatamente, per ciascun caso, il modo in cui vengono suddivise le responsabilità di provider e utente. Ecco perché i Cloud Consumer devono leggere attentamente gli SLA. Solo così saranno in grado di adottare autonomamente le misure di sicurezza appropriate – e di proteggere al meglio i servizi cloud che utilizzano.
Oltre a questi aspetti tecnici, la Shared Responsibility comprende anche altri fattori. Ad esempio, i Cloud Consumer devono sapere come il loro Chief Information Security Officer può collaborare con l’organizzazione di sicurezza del Cloud Provider.
«Il tema della Cloud Security non si limita dunque al piano tecnico della sicurezza, ma riguarda il Cloud Consumer anche dal punto di vista amministrativo e organizzativo», sottolinea Gribi. E aggiunge: «Questi fattori sono pertanto già fondamentali anche nella valutazione e nella scelta di un Cloud Provider appropriato».
Maggiori informazioni