NEWSLETTER - IL CAFFE' DIGITALE
Mettere in sicurezza la migrazione verso il cloud

N.  Settembre 2018
        

a cura di Elena Vaciago 
Associate Research Manager, The Innovation Group

 

Le aziende hanno ripreso negli ultimi anni ad investire nell’upgrade dei propri datacenter, per ottenere un più elevato livello di efficienza, prestazioni e incrementandone in generale la Cloud-Readiness.

Non mancano del resto le dichiarazioni di grandi organizzazioni che puntano in breve tempo a diventare Full-Cloud. Un esempio su tutti Enel, che nel giro di pochi anni è passata da 10 datacenter in gestione a solo 1, con un percorso di trasformazione che ha portato al passaggio al cloud di circa l’80% dell’infrastruttura. In nove mesi, tra settembre 2015 e maggio 2016 sono stati migrati 9.500 server, dei quali 5.500 spostati su AWS[1]. Con risparmi notevoli: il 60% dei costi di storage e il 20% in termini di potenza di calcolo, riducendo i tempi di provisioning da 3-4 settimane a soli 2 giorni. Infine, nel novembre 2017 Enel ha dichiarato che entro il 2018 diventerà “cloud only”, completando la migrazione anche di alcune applicazioni che richiedevano di essere riviste e adattate al cloud [2].

Non si tratta però di un caso isolato, anzi, presumibilmente saranno sempre di più le aziende che per migliorare il proprio livello di competitività, ne seguiranno l’esempio. Come ha fatto ad esempio la banca inglese Barclays, dichiarando di recente di essere nel bel mezzo di un processo di trasformazione che la traghetterà a breve 100% nel cloud[3]. In questo caso, il motivo principale che ha determinato la scelta della banca è stato che gli attuali 18 datacenter gestiti on premises in giro per il mondo, non garantivano agli sviluppatori software di Barclays le risorse che servivano nei tempi giusti. E quindi l’infrastruttura era un freno all’innovazione e al go-to-market dell’operatore finanziario. Finché non è stato deciso che, per supportare DevOps e garantire servizi più scalabili e flessibili, l’unica risposta era il cloud.

Quindi in generale quello a cui si assiste in questo momento è un generale incremento di attenzione alle performance e al consolidamento del datacenter, nell’attesa e in preparazione di un maggiore utilizzo del cloud. Il consolidamento è di per sé già un modo per ottenere risparmi anche considerando le infrastrutture on premises: minore utilizzo di spazio, di energia, maggiore efficienza e migliore gestione. Poi il salto successivo al cloud (magari fatto in vari step, passando da un private cloud, a un hybrid cloud, a un sempre maggiore utilizzo di risorse in cloud pubblico) porta tutta una serie di ulteriori risparmi, oltre che vantaggi competitivi di maggiore time-to-market, scalabilità, accesso a nuove funzionalità on demand.

L’importante è che lungo tutto il percorso, non venga sottovalutata la sicurezza, perché sicuramente alcuni dati centrali per il business, alcune applicazioni più critiche, alcuni servizi rivolti alla clientela, non dovranno essere esposti o messi a rischio di disponibilità.

Il tema della sicurezza del cloud è molto ampio e discusso da anni. Possiamo sinteticamente riproporlo attraverso le domande classiche che tutti i CIO e i Security Manager prima o poi si pongono:

  • Se porto le mie applicazioni, i dati e le altre risorse dell’infrastruttura nel cloud di un provider come Amazon o Google, chi sarà responsabile della loro sicurezza?
  • Ma qual è oggi lo stato della sicurezza del cloud? Sono sicuro che gli attaccanti non lo prenderanno di mira come fanno oggi con il mio datacenter?
  • Qual è il modo migliore per provvedere alla sicurezza anche per il cloud, dove a questa non arriva il mio provider?

Proviamo quindi a rispondere a ciascuna di queste.

Con il Cloud, chi è responsabile della sicurezza?

Molte aziende pensano che portando i dati e i workload nel cloud, non dovranno più occuparsi della loro sicurezza. Questo atteggiamento è sbagliato, in quanto il cloud provider non si assumerà impegni oltre quelli scritti nel suo SLA: aspetti come la data retention, l’encryption, la resilience, le autorizzazioni date agli utenti, dovranno tutti essere gestiti innanzi tutto dall’azienda che acquista il servizio cloud. Comprendere il shared-responsibility model[4], il modello di suddivisione delle responsabilità scelto dal proprio provider, è fondamentale per gli aspetti di sicurezza. La domanda corretta che deve porsi un’azienda non è tanto “Il cloud è sicuro?” ma piuttosto “Stiamo usando il cloud in modo sicuro?”.

In poche parole, il cloud provider si occuperà sicuramente della sicurezza delle infrastrutture che gestisce (se vuole rimanere sul mercato), ma su una serie di aspetti, dalla corretta configurazione dei servizi cloud, alla gestione dei dati dei clienti portati in cloud, alla sicurezza delle App, alla corretta gestione delle identità e degli accessi, alle patches sulle applicazioni che rimangono di proprietà del cliente, all’encryption dei dati e del traffico, molti aspetti sono tuttora responsabilità dell’azienda che usa il cloud.

Qual è il rischio che gli attaccanti prendano di mira i dati e le applicazioni aziendali poste sempre di più in cloud?

Le tecniche utilizzate per portare a termine gli attacchi cyber evolvono continuamente, di questo siamo tutti ben coscienti. E’ quindi probabile che più le aziende porteranno sul cloud i propri dati e i propri processi del business, più gli attaccanti cercheranno di accedere proprio lì alle informazioni e ai dati rilevanti.

In realtà già oggi alcuni attacchi hanno dimostrato che il cloud, proprio per la sua natura e per le sue più elevate capacità di elaborazione, può rispondere in modo congeniale agli obiettivi degli hacker. Prendiamo infatti il caso degli attacchi Cryptomining, ossia del malware che una volta infiltrato in un sistema o in un browser, permette il mining di criptovaluta a favore dell’attaccante. Posizionare questo malware nel cloud può diventare un’importante fonte di guadagno per un hacker: è esattamente quello che è successo a inizio 2018 quando si è scoperto che i cloud storage server di Tesla erano utilizzati in modo illecito per il mining di Monero. Gli hacker erano entrati a causa di una cattiva gestione degli accessi a questi server (il team di sicurezza che ha scoperto l’hack ha dichiarato che “… we found hundreds of Kubernetes administration consoles accessible over the internet without any password protection[5]) e avevano anche visionato i file contenuti, relativi a telemetria e altri dati di test sulle auto Tesla. Il vero obiettivo è stato però quello di monetizzare la potenza di calcolo residua dei server, ed è stato fatto in modo piuttosto sofisticato, per evitare di essere scoperti.

In altri casi invece, sul cloud sono stati rubati grandi quantitativi di dati, come nel caso del data breach di FedEx[6] (relativo a 100mila documenti scannerizzati con riferimenti a numeri di passaporto, patenti di guida e ID di sicurezza) che ha sfruttato la scarsa sicurezza di un server Amazon S3.

Un terzo caso noto di attacco che ha coinvolto il cloud è il data breach molto grave subito da Uber nel 2016: sono stati rubate le informazioni personali di 57 milioni di utenti dei suoi servizi e 600mila guidatori. I dati in questo caso erano mantenuti su server Amazon, ma le userid/password utilizzate dagli hacker per avervi accesso erano state scritte nel codice dagli sviluppatori e posizionate in un repository privato su GitHub, noto sito di hosting per sviluppatori[7].

Qual è lo stato di sicurezza del cloud?

Da questi esempi sembrerebbe che gli attacchi al cloud si basino principalmente, per portare a termine le attività di esfiltrazione di dati, di errori e cattive pratiche di sicurezza, in primo luogo una gestione molto leggera delle credenziali degli utenti, spesso lasciate visibili in repository di codice in siti pubblici, o basate su password troppo deboli. Quindi, in sostanza, principalmente da errori di chi “utilizza male” il cloud, e non ha compreso bene, come dicevamo prima, che molte responsabilità rimangono in capo all’azienda utente.

Ma il cloud non dovrebbe essere più sicuro? In parte sì, come è stato dichiarato da Mary Ann Davidson, chief security officer di Oracle: “Mentre molte aziende non riescono a tenere il passo con la velocità richiesta per il patching delle proprie infrastrutture, un Cloud Provider invece, potendo fruire di un livello più alto di automazione e di una maggiore capacità DevOps per integrare nuovi/migliori componenti in modo rapido, è in grado di chiudere il gap tra la scoperta di una vulnerabilità, la produzione e l’applicazione della patch, molto velocemente”. In sostanza, un’infrastruttura cloud è più responsive e quindi più facile da mettere in sicurezza rispetto ad una tradizionale.

Qual è il modo migliore per provvedere alla sicurezza anche per il cloud, dove a questa non arriva il mio provider?

Fino ad oggi, gran parte dell’attenzione, da parte di enti di standardizzazioni e organizzazioni come CSA (Cloud Security Allinace) è andata a fornire indicazioni ai service provider su come predisporsi al meglio per far fronte alle nuove minacce cyber. Come riporta il Report CSA “The Notorious Nine Cloud Computing Top Threats in 2013”, “A defensive in-depth strategy is recommended and should include compute, storage, network, application and user security enforcement, and monitoring, whether the service model is IaaS, PaaS, or SaaS”.

La questione da affrontare oggi è però un’altra, ossia, su quali attività, processi, policy, tecnologie di sicurezza deve concentrarsi un’azienda che posiziona i propri dati in cloud, e si aspetta quindi che parte del lavoro sarà svolto dal proprio provider.

Il discorso non è facile: quello che innanzi tutto succede, migrando al cloud, è una trasformazione del profilo di rischio per la singola azienda: ad esempio, l’adozione del cloud comporta un aumento nell’uso di device mobile che accedono alle risorse online dell’azienda: smartphone, tablet, una forza lavoro molto più in movimento, BYOD. Se tutto questo non è gestito dal punto di vista della sicurezza, si avrà un incremento esponenziale dei rischi di perdita di dati, di accessi indesiderati, nuove porte aperte agli attaccanti che sempre di più sfruttano la debolezza del fattore umano e usano gli endpoint come veicolo per i propri attacchi.

La raccomandazione fondamentale per chi evolve al cloud deve quindi essere quella di comprendere come cambia il rischio per la propria organizzazione, e come farvi quindi fronte, tenendo conto che la sicurezza dovrà essere assicurata a tutti i livelli, così come in un modello tradizionale on premises.

 


[1] IoT e Utility 4.0: Enel sceglie il Cloud di AWS, 14 gennaio 2017, https://www.internet4things.it/industry-4-0/iot-e-utility-4-0-enel-sceglie-il-cloud-di-aws/[2] Enel: “Ecco perché siamo migrati sul cloud”, 24 Ott 2017, https://www.zerounoweb.it/cloud-computing/enel-ecco-perche-siamo-migrati-sul-cloud/

[3] Barclays banks on DevOps to support ‘all-in’ move to AWS public cloud, 25 Jun 2018, https://www.computerweekly.com/news/252443653/Barclays-banks-on-DevOps-to-support-all-in-move-to-AWS-public-cloud

[4] Awareness of shared-responsibility model is critical to cloud success, 20 March 2017, https://searchcloudcomputing.techtarget.com/blog/The-Troposphere/Understanding-shared-responsibility-model-is-critical-to-cloud-success

[5] Hackers Cryptojack Tesla’s Cloud to Mine Monero, 21 February 2018, https://www.ccn.com/tesla-becomes-the-latest-big-name-crypto-jacking-victim/

[6] FedEx customer information exposed in data breach, 15 February 2018, https://mashable.com/2018/02/15/fedex-unsecured-server-data-exposed/?europe=true#0rA8i1dLgOqr

[7] Hack Brief: Uber paid off hackers to hide a 57-million user data breach, 21 November 2017, https://www.wired.com/story/uber-paid-off-hackers-to-hide-a-57-million-user-data-breach/

Categorie
FOCUS CYBER
IL CAFFÈ DIGITALE - ARCHIVIO
@TIG_italia