Verizon suggerisce alle aziende come affrontare la sicurezza in ambiente cloud per proteggere i dati e mantenere le certificazioni di compliance
Con l’adozione del cloud computing in continua crescita, il bisogno di seguire e mantenere delle procedure efficaci per la sicurezza e la compliance diventa sempre più importante.
“Mettere in sicurezza un ambiente basato su soluzioni di cloud computing è la chiave per creare un valido programma di compliance”, ha affermato Bart Vansevenant, Executive Director, Global Security Solutions di Verizon. “Gli elementi essenziali, quali la pianificazione, la progettazione e il funzionamento, sono gli stessi sia per le piattaforme tradizionali sia per quelle dedicate al cloud. Applicando best practice di sicurezza comprovate e prestando particolare attenzione a caratteristiche e funzionalità uniche del cloud, le aziende possono sviluppare e mantenere programmi di conformità sfruttando l’agilità, la flessibilità e l’economicità che il cloud può offrire”.
Per aiutare le aziende che utilizzano soluzioni cloud a mantenere le certificazioni di compliance e garantire la sicurezza di reti, applicazioni e dati, Verizon suggerisce le seguenti best practice:
La sicurezza dell’infrastruttura cloud è il nocciolo della questione
• Sicurezza fisica. Le strutture dovrebbero essere protette con sistemi di climatizzazione, sistemi antincendio, gruppi di continuità e controllate da addetti alla sicurezza presenti 24 ore su 24. Individuare un fornitore che offre soluzioni biometriche per il controllo dell’accesso fisico, quali il riconoscimento tramite impronte digitali o facciale, e videocamere per il monitoraggio della struttura.
• Sicurezza di rete e separazione logica. Dovrebbero essere usate versioni virtuali di firewall e di sistemi di intrusion prevention. Le zone dell’ambiente cloud contenenti sistemi e dati sensibili dovrebbero essere isolate. Programmare regolarmente degli audit utilizzando standard e metodologie riconosciute quali SAS 70 Type II, Payment Card Industry Data Security Standard, ISO 27001/27002 ed effettuare il Cloud Security Alliance Cloud Controls Matrix.
• Verifica. Applicazioni antivirus e anti-malware, così come il content filtering andrebbero implementati a livello di gateway. Bisognerebbe inoltre considerare funzionalità di data loss prevention quando si trattano dati sensibili, quali dati personali e finanziari, e dati tutelati da proprietà intellettuale.
• Amministrazione. Si dovrebbe prestare un’attenzione particolare ai cloud hypervisor, server che ospitano sistemi operativi multipli, che consentono di gestire l’intero ambiente cloud. Molti requisiti di sicurezza e compliance definiscono attività specifiche per amministratore di rete e amministratore del cloud per garantire una separazione dei compiti e aggiungere un livello di protezione. L’accesso alle interfacce virtuali di gestione dovrebbe essere altamente limitato e le interfacce di programmazione delle applicazioni (API) dovrebbero essere disabilitate o bloccate.
• Attività complete di monitoraggio e controllo dei log. Quasi tutti gli standard di sicurezza richiedono capacità di monitoraggio e controllo degli accessi alla rete, ai sistemi, alle applicazioni e ai dati. Un ambiente cloud, in-house o in outsourcing, deve offrire le stesse funzionalità.
La sicurezza delle applicazioni cloud è un must
• Sistema di sicurezza. Le Macchine Virtuali, o VM, dovrebbero essere protette da specifici firewall cloud, sistemi di intrusion prevention e applicazioni anti-virus, oltre a processi di gestione delle patch completi e programmati.
• Sicurezza delle applicazioni e dei dati. Le applicazioni dovrebbero, quando possibile, utilizzare database dedicati e l’accesso a questi ultimi dovrebbe essere limitato. Molti standard di conformità per la sicurezza richiedono monitoraggio e controllo dei log di applicazioni e relativi database.
• Autenticazione e autorizzazione. L’autenticazione a due fattori, come quella digitale, dovrebbe essere utilizzata per i nomi utente e le password e rappresenta una necessità per l’accesso da remoto e qualsiasi tipo di accesso privilegiato. I ruoli degli utenti autorizzati dovrebbero essere definiti chiaramente e limitati al completamento dei task assegnati. Si consiglia anche di criptare le password. Inoltre, i pacchetti relativi ad autenticazione, autorizzazione e accounting non dovrebbero essere eccessivamente personalizzati, poiché questa prassi porterebbe a un indebolimento della sicurezza.
• Gestione delle vulnerabilità. Le applicazioni dovrebbero essere progettate per risultare invulnerabili agli attacchi comuni, come quelli elencati nella Open Web Application Security Project (QWASP) Top 10. Le applicazioni sviluppate in un ambiente cloud richiedono controlli regolari delle patch, scansioni delle vulnerabilità, test di sicurezza indipendenti e monitoraggio continuo.
• Data Storage. Le aziende dovrebbero conoscere le tipologie di dati archiviati nel cloud ed essere in grado di segregarli nel modo più opportuno. Inoltre, le posizioni fisiche e logiche dei dati dovrebbero essere note per le possibili implicazioni relative alla sicurezza e alla privacy.
• Change Management. Si consiglia di documentare in modo chiaro e comprensibile le policy di change-management per gli amministratori di rete, sistemi, applicazioni e dati, così da evitare problemi accidentali e potenziali perdite di dati.
• Crittografia. La crittografia dei dati in un ambiente cloud può essere molto complessa e richiede attenzioni particolari. Molti standard contengono dei requisiti per dati in transito e a riposo. Per esempio, dati finanziari e informazioni sanitarie personali dovrebbero essere sempre criptati.
Cloud pubblico, privato e ibrido: cosa c’è da sapere
• Ambiente condiviso virtuale. I cloud pubblici, molti dei quali utilizzano un ambiente condiviso virtuale, offrono caratteristiche di sicurezza di base. Questo significa che ci si deve focalizzare su una corretta segmentazione e sull’isolamento delle risorse di elaborazione. Per soddisfare i requisiti aziendali di sicurezza e compliance, è dunque necessario essere prudenti nella scelta dell’ambiente cloud più adatto.
• Provider di cloud pubblico. Se da una parte l’aspetto economico può essere attraente, dall’altra bisogna considerare che alcuni provider di cloud pubblico potrebbero non supportare in misura efficiente i controlli richiesti dalle aziende per soddisfare i requisiti di sicurezza e compliance. Fare domande è un atteggiamento auspicabile.
• Misure prudenti di sicurezza. Indipendentemente dal modello di cloud utilizzato, le aziende dovrebbero adottare misure di segmentazione, firewall, sistemi di intrusion protection, monitoraggio e controllo dei log, controllo degli accessi, crittografia dei dati.
• I cloud privati sono un’arma a doppio taglio. I cloud privati possono essere in hosted on-premise o presso la sede del provider. Come accade per gli ambienti tradizionali, i controlli e la sicurezza sono critici. Quando si utilizza l’offerta di un provider, è importante selezionare il servizio cloud che soddisfi al meglio i propri requisiti. Il fatto che sia un cloud privato non significa che sia intrinsecamente sicuro.
• Cloud ibridi. I cloud ibridi sono in grado di offrire alle aziende il meglio dei due mondi, permettendo loro di soddisfare un’ampia gamma di obiettivi IT e business. I cloud ibridi offrono alle aziende la possibilità di ospitare le applicazioni all’interno dell’ambiente più adatto, sfruttando, al contempo, i vantaggi e le caratteristiche di ambienti cloud condivisi e on-premise, con la possibilità di spostare agevolmente applicazioni e dati tra i due.
Verizon Business tramite la consociata Terremark offre sevizi IT, cloud e di sicurezza di classe enterprise a livello globale. Terremark permette ai clienti di migliorare l’infrastruttura IT e ottimizzare le prestazioni delle applicazioni negli ambienti business complessi e dinamici di oggi. Per maggiori informazioni visita il sito Verizon IT Solutions & Hosting.
Verizon è leader globale nel garantire migliori risultati di business per le aziende e le agenzie governative. Verizon offre soluzioni IT integrate e di comunicazione attraverso le proprie reti globali IP high-IQ e mobili consentendo così alle aziende di accedere alle informazioni, di condividere contenuti e di comunicare in totale sicurezza. Verizon sta passando rapidamente a un modello di delivery ‘everything-as-a-service’ basato su cloud che offrirà la potenza di soluzioni di livello enterprise a tutte le aziende.