Quando si pensa al cloud due tra le parole più comuni che vengono in mente sono: sicurezza e risparmio. Soprattutto la prima è una delle caratteristiche più sbandierate dai provider di soluzioni SaaS. Ma è sempre così? Non è detto. I casi di data breach o di bug che hanno colpito colossi tecnologici non sono pochi: basta poco per esporre informazioni aziendali sensibili e vanificare in questo modo la protezione dei dati. Si stanno però facendo strada altre tipologie di soluzioni, che permettono di allocare i dati dove si preferisce garantendo a imprese e utenti di non perderne mai il controllo. Di cosa si tratta? Di seguito trovate l’opinione di Maxwell Cooter, direttore di Cloud Pro.
Maxwell Cooter, direttore di Cloud Pro
Condividere i dati non è mai stato così facile come oggi. Servizi del calibro di Google Drive, Onedrive e Dropbox offrono agli utenti un modo semplice per memorizzare file e condividerli con gli altri. Anche se queste soluzioni sono state pensati in origine per un utilizzo di tipo consumer, le aziende le hanno considerate sempre più utili, dal momento che sono sganciate dai vincoli dei rispettivi dipartimenti It. Tutto è stato semplificato: niente più necessità di apparecchiature costose, stop a comandi complessi da imparare. Basta un click per rendere immediatamente disponibili i file desiderati. Ma, come abbiamo visto alla fine del 2015, mettersi nelle mani dei provider può essere una questione assai rischiosa. L’hacking su vasta scala subìto dai clienti Yahoo ha dimostrato come, una volta che i dati vengono condivisi oltre il firewall, questi siano immediatamente a rischio.
L’incidente di Yahoo è stato solo l’ultimo di una serie di casi relativi ad attacchi, lanciati contro Dropbox e altri servizi Software-as-a-Service (SaaS), basati su cloud pubblici. Tutto questo ha provocato alcune preoccupazioni circa il passaggio verso la nuvola. Per quanto vi sia un crescente interesse verso l’uso della tecnologia, rimangono dubbi sulla relativa sicurezza, che rappresenta tuttora il principale ostacolo da superare quando si tratta di portare le aziende sul cloud.
Esistono, in particolare, preoccupazioni riguardanti le piattaforme pubbliche, che frenano la diffusione dei servizi. “Una sola vulnerabilità o configurazione errata può portare a compromettere l’intero cloud di un provider”, avvertiva un report del 2016 pubblicato dalla Cloud Security Alliance. Si tratta di perplessità che supportano quelle imprese non favorevoli a questo passaggio.
Questa convinzione è stata sostenuta da un sondaggio effettuato da Ponemon Institute, nel quale oltre metà degli intervistati ritiene che, avvalendosi di servizi pubblici, aumenti la probabilità di essere colpiti da una violazione dei dati. In ultima analisi, si può dire che con un SaaS pubblico i dati risiedono da qualche parte al di là del firewall aziendale.
Servizi diffusi
Siamo di fronte a un paradosso: tutti questi dubbi mal si conciliano con la crescente diffusione dei provider come Box e Dropbox. Come è possibile che queste realtà riescano ad attirare clienti quando esistono preoccupazioni così significative? Innanzitutto si tratta di servizi nati come proposte consumer, ambito in cui la sicurezza non è sempre la prima priorità perché non c’è il controllo incalzante dei dipartimenti It. I professionisti It conoscono, infatti, i pericoli dello spostarsi al di là del firewall, mentre gli utenti finali non sempre hanno questa consapevolezza.
Le società che si occupano di cloud lo sanno e, per provare ad alleviare le preoccupazioni dei clienti, si soffermano a parlare di misure di sicurezza. Tutti i cloud provider chiariscono quanto investono in controlli, quanto sono tecnicamente avanzati i propri esperti e in che misura sono aggiornate le proprie apparecchiature. E spiegano anche come utilizzare la migliore crittografia possibile, quella di livello militare: tutto per tranquillizzare i propri clienti.
Ma questo quadro non è completo: quello che i service provider non dicono è che controllano anche le chiavi crittografiche su cui si basa tale sicurezza. E questo è l’aspetto cruciale. I dati residenti su Box o Dropbox sono ovviamente cifrati, ma in questi casi la chiave viene generata e conservata dal provider. È chiaro che le informazioni, così facendo, vengono sottoposte a un certo tipo di rischio: un dipendente insoddisfatto del provider potrebbe accedere a una copia della chiave e, con quella, ottenere la decodifica delle informazioni
I fornitori di soluzioni SaaS sono consapevoli di questo rischio e hanno intrapreso delle azioni per limitarlo. Box, per esempio, ha sviluppato un prodotto chiamato Keysafe proprio allo scopo di eliminare questa preoccupazione. Con questa tecnologia le chiavi crittografiche sono in mano sia a Box sia al cliente, il quale mantiene il pieno controllo sulle chiavi, mentre il provider ha bisogno del suo permesso per potervi accedere.
Ci si può fidare dei provider?
Ma nemmeno sistemi come Keysafe possono fornire tutte le risposte. Questi servizi, in verità, generano le chiavi crittografiche dell’utente, il che implica il dover continuare a fidarsi del fatto che il provider non ne faccia una copia, o che non possieda dispositivi di auditing che registrino tutte le chiavi e i dati. Si tratta, dunque, di una situazione che non soddisfa l’esigenza di sicurezza dei clienti più attenti. Potrebbero, inoltre, sorgere anche domande sulla robustezza del metodo crittografico adottato, tema sul quale l’utente non ha alcun controllo.
Ma la proprietà delle chiavi non è l’unico elemento di cui le aziende devono considerare per il controllo crittografico. La maggioranza dei servizi SaaS pubblici decifra i dati una volta trasportati su cloud, in modo che il service provider possa attivare funzionalità come deduplica, indicizzazione per le ricerche, scansione antivirus e altro ancora. Una volta che i processi sono completi, i file vengono nuovamente cifrati per essere memorizzati sulla nuvola. Ma per molte aziende attente alla sicurezza e contrarie al rischio, l’esposizione – non importa quanto piccola sia la finestra temporale – non è accettabile.
E non si tratta solo della crittografia: bisognerebbe avere anche la possibilità di scegliere il luogo dove vengono custoditi i dati. Si può essere soddisfatti del fatto che risiedano in un data center a chilometri di distanza dal proprio ufficio o persino in un altro Paese, ma in caso contrario si può fare ben poco al riguardo.
Ciò che occorre è un sistema che consenta di conservare le in totale privacy. Un’alternativa che permetta totale libertà di allocare i dati dove si preferisce e che garantisca all’utente di non perderne mai il controllo, senza ovviamente tralasciare la possibilità di condividere i documenti mantenendoli al sicuro.
Questi prodotti sono noti come Enterprise File Sharing and Synchronization (Efss) privato e consentono al personale aziendale di condividere file su una gamma completa di dispositivi. Assicurandosi però che dati, metadati, chiavi crittografiche e autenticazione utente passino attraverso i firewall e le Vpn (sia quelle in cloud oppure on-premise) del cliente e non di un provider esterno.
I vantaggi per i settori regolamentati
I sistemi Efss privati offrono concreti vantaggi a tutte quelle aziende che operano all’interno di settori sottoposti a severe regolamentazioni, come per esempio enti pubblici o società Fortune 2000, le quali prevedono rigidi controlli su chi è in grado di consultare le informazioni e la conservazione di una traccia di verifica (audit trail) correttamente implementata. Queste organizzazioni possono avvalersi dell’infrastruttura cloud privata che preferiscono, sia mediante un sistema storage a oggetti on-premise sia attraverso un virtual private cloud (Vpc) gestito da provider come Amazon Web Services, Microsoft o altri.
Gli amministratori It gestiscono l’accesso ai file per mezzo di policy, definendo chi li può condividere e con chi. Un sistema Efss privato può funzionare particolarmente bene anche con gli utenti remoti, come quelli che lavorano nelle sedi distaccate, che vorrebbero utilizzare servizi cloud ma si sentono vincolati dalla carenza di connessioni di rete affidabili. Per definizione, le sedi distaccate possono essere situate in zone dove le connessioni Wan veloci sono rare e, di conseguenza, hanno bisogno di implementare i propri file server localmente.
Quando si mantiene un ambiente dove gli utenti installano applicazioni su cloud, pur facendo riferimento a server locali, si crea qualche problema agli amministratori di sistema. La domanda è: come è possibile gestire la situazione? Il modo migliore è un apparato che permetta al cliente di garantire l’accesso unificato ai file attraverso tutti i file server, endpoint e il cloud, il che significa che non c’è più bisogno di creare silos separati per la gestione dei file, su piattaforme differenti, come Sharepoint o Dropbox.
Nel contempo, vengono conservate le modalità con cui gli utenti sono già abituati a lavorare, con i file che risultano ugualmente accessibili localmente e off-premise. Ma il vero risultato si ottiene quando la sicurezza viene considerata come elemento fondamentale. Viene dato per scontato che tutte le imprese assegnino una priorità elevata alla sicurezza, ma ci sono alcuni settori dove quest’ultima è assolutamente vitale. Due di questi segmenti sono quello finanziario e quello della difesa: qui, dove la sicurezza è la linfa vitale, finora c’è stata una particolare riluttanza a implementare soluzioni cloud.
Più flessibilità
Tuttavia molte realtà in questi settori desiderano passare alla nuvola per migliorare la propria flessibilità. Per fare un esempio, la banca spagnola Santander è una di quelle aziende che ha voluto implementare il cloud per promuovere la produttività e, nel contempo, garantire i più alti livelli di sicurezza. L’istituto aveva bisogno di una proposta Efss altamente scalabile, capace di assicurare questo genere di protezione. Pur desiderando la flessibilità del cloud, Santander voleva ottenere anche la massima sicurezza; per questo ha implementato una soluzione residente dietro al proprio firewall.
Ma non si tratta solo di istituti finanziari. Vi sono probabilmente pochi clienti più esigenti in tema di sicurezza rispetto a quelli che operano nel comparto della difesa. La statunitense Disa, Defense Information Systems Agency, è passata al cloud per aumentare la propria flessibilità e ridurre i costi ma, soprattutto, ha implementato una soluzione Efss privata per mantenere il controllo completo dei dati dietro al proprio firewall.
Santander e Dis sono solo due esempi di organizzazioni che hanno optato per i numerosi vantaggi di una impostazione basata su cloud, tanto che questo approccio è diventato un loro modo essenziale di lavorare. Entrambe sono in grado di dimostrare come il deployment della nuvola non significa sacrificare la sicurezza.