Shared Responsibility
Ecco come provider e aziende utenti proteggono il cloud
Il provider e l’azienda che utilizza il cloud condividono la responsabilità per la protezione del Public Cloud. Come, esattamente, è indicato nel modello Shared Responsibility.
Testo: Christoph Widmer, Immagini: tnt-graphics, 28 maggio 2019
Potenza di calcolo premendo un solo pulsante, applicazioni rilevanti per l’azienda accessibili in qualsiasi momento, ambienti di sviluppo predefiniti a disposizione dei reparti IT: il cloud ha trasformato completamente il modo in cui si può usufruire dell’IT. Allo stesso tempo, però, il tema della sicurezza delle informazioni (sicurezza IT, protezione delle informazioni e dei dati) è diventato più complesso. La sicurezza del Public Cloud, in particolare, causa ripetutamente equivoci e idee errate tra i Cloud Consumer. Per quanto essi vogliano orientarsi ai classici modelli di outsourcing ed essere sempre più sollevati dalle faccende riguardanti la sicurezza, la questione della Cloud Security non può ricadere interamente sui Cloud Provider. Se desiderano ottenere in modo davvero sicuro applicazioni, ambienti di sviluppo o istanze sever virtualizzate dal Public Cloud, i Cloud Consumer devono essere corresponsabili della relativa sicurezza.
«In linea di principio, il Cloud Provider è responsabile della sicurezza dell’infrastruttura del cloud, mentre il Cloud Consumer si occupa della sicurezza all’interno del cloud.»
Klaus Gribi, Senior Security Consultant di Swisscom
Il modello Shared Responsibility definisce gli ambiti di competenza di Cloud Consumer e Cloud Provider. Originariamente concepito per la sicurezza e la compliance di Amazon Web Services e Microsoft Azure, questo modello di suddivisione delle responsabilità viene oggi utilizzato anche da altri Cloud Provider. «Sostanzialmente il modello Shared Responsibility opera una distinzione tra la sicurezza del Public Cloud stesso (Security of the Cloud) e la sicurezza nel Public Cloud (Security in the Cloud)», spiega Klaus Gribi, Senior Security Consultant di Swisscom. E aggiunge: «In linea di principio, il Cloud Provider è responsabile della sicurezza dell’infrastruttura del cloud, mentre il Cloud Consumer si occupa della sicurezza all’interno del cloud».
Il modello Shared Responsibility di Microsoft Azure.
Le responsabilità variano a seconda del modello di servizio cloud acquistato dal Cloud Consumer.
- Infrastructure as a Service: il Cloud Provider si assume solo una piccola parte della responsabilità.
Della sicurezza delle soluzioni IaaS si occupa perlopiù il solo Cloud Consumer, il quale risponde della sicurezza del sistema operativo, dei dati e delle applicazioni. Al Cloud Provider spetta unicamente la protezione della piattaforma di virtualizzazione.
- Platform as a Service: il Cloud Provider ha una responsabilità maggiore.
Nel caso di PaaS, il Cloud Provider si occupa della sicurezza dell’intero ambiente di sviluppo nonché dei sistemi operativi e della banche dati. L’utente è invece responsabile della sicurezza e della gestione delle applicazioni e dei dati sviluppati e amministrati sulla piattaforma.
- Software as a Service: l’utente viene alleggerito dalle responsabilità.
Il service provider si occupa di gran parte di tutti gli aspetti legati alla sicurezza delle offerte SaaS: a prescindere dalla gestione degli utenti e dai dati che vengono salvati nel cloud, egli si interessa dell’intera sicurezza del cloud. Di conseguenza, agli utenti SaaS spetta la protezione dei dati e delle informazioni. «Gli utenti delle soluzioni SaaS devono essenzialmente garantire l’attuazione corretta di Identity e Access Management nonché il trasferimento nel cloud solo dei dati che desiderano davvero salvare lì», afferma Gribi. E continua: «I Cloud Consumer possono proteggere ulteriormente i dati esternalizzati, codificandoli».
Gli ambiti di responsabilità possono divergere
Sebbene il modello Shared Responsibility segua spesso una regola generale, gli ambiti tecnici per i quali Cloud Consumer e Cloud Provider sono responsabili possono differire di caso in caso. «Certamente un cliente Iaas è responsabile della sicurezza del cloud a partire dal sistema operativo; tuttavia alcuni provider installano anche delle componenti nel sistema operativo, ad es. per sorvegliare la performance delle istanze virtualizzate», sottolinea Gribi. E continua: «Per quanto riguarda il modello Shared Responsibility esistono sicuramente limiti specifici per provider che possono essere superati in modo dinamico».
A ciò va aggiunto che il Cloud Consumer può esternalizzare singoli ambiti di attività: se opta, ad esempio, per un Managed OS di un’istanza IaaaS, non risponde più per il sistema operativo, di cui diventa responsabile il Cloud Provider o un provider terzo. In alcune circostanze, però, la gestione del firewall resta di competenza del Cloud Consumer: la Shared Responsibility diventa così più complessa. I Service Level Agreement (SLA) del Cloud Provider disciplinano dettagliatamente, per ciascun caso, il modo in cui vengono suddivise le responsabilità di provider e utente. Ecco perché i Cloud Consumer devono leggere attentamente gli SLA. Solo così saranno in grado di adottare autonomamente le misure di sicurezza appropriate – e di proteggere al meglio i servizi cloud che utilizzano.
Anche i fattori tecnici e organizzativi sono decisivi
Oltre a questi aspetti tecnici, la Shared Responsibility comprende anche altri fattori. Ad esempio, i Cloud Consumer devono sapere come il loro Chief Information Security Officer può collaborare con l’organizzazione di sicurezza del Cloud Provider.
- Come vengono gestiti esattamente i processi di Vulnerability Management?
- In che modo il provider gestisce il Security Incident Management?
- Come vengono integrate le informazioni messe a disposizione dal portale Cloud Security del Cloud Provider nei propri processi di sicurezza?
«Il tema della Cloud Security non si limita dunque al piano tecnico della sicurezza, ma riguarda il Cloud Consumer anche dal punto di vista amministrativo e organizzativo», sottolinea Gribi. E aggiunge: «Questi fattori sono pertanto già fondamentali anche nella valutazione e nella scelta di un Cloud Provider appropriato».
Maggiori informazioni
