Che cos'è la sicurezza del cloud?

Definizione di sicurezza del cloud

Sicurezza del cloud fa riferimento a una serie di policy, controlli e tecnologie per proteggere dati, applicazioni e servizi di infrastruttura. Tutti questi componenti lavorano insieme per proteggere i dati, l'infrastruttura e le applicazioni. Queste misure di sicurezza proteggono un ambiente di cloud computing da minacce e vulnerabilità alla sicurezza informatica interne ed esterne.

Perché la sicurezza del cloud è importante?

Mentre le aziende accelerano le iniziative di trasformazione digitale (DX), riorganizzano in modo aggressivo le operations e ripensano interi modelli di business con servizi cloud, questa ampia adozione sta anche creando nuove opportunità per i criminali informatici di condurre frodi informatiche. Poiché queste organizzazioni si muovono rapidamente per trasformare digitalmente le proprie operations, pensano a controlli di sicurezza efficaci solo in un secondo momento. Spesso le aziende non si affidano a best practice comprovate e rendono difficile, se non impossibile, valutare e gestire accuratamente il rischio. Man mano che le aziende si adattano ai cambiamenti in corso e passano al cloud, è necessario unificare prospettive e programmi disparati in una strategia coerente. Le organizzazioni che ritengono la migrazione verso il cloud un'opportunità per stabilire in modo proattivo una cultura "incentrata sulla sicurezza" dovranno trovare un equilibrio tra le possibilità di utilizzo dei servizi cloud e la protezione di transazioni e dati sensibili.

Oracle Cloud Guard and Security Zones proteggono Oracle Cloud Infrastructure (1:44)

Vantaggi della sicurezza del cloud

  • Utilizza l'intelligenza artificiale (AI) e il machine learning (ML) per adattarti e affrontare automaticamente le minacce alla sicurezza
  • Utilizza funzionalità autonome per ridimensionare le risposte di sicurezza, correggere i rischi ed eliminare gli errori
  • Proteggi i dati in modo proattivo con controlli di accesso, gestisci il rischio e la visibilità degli utenti e fornisci strumenti per la discovery e la classificazione
  • Segui il modello di responsabilità condivisa per la sicurezza del cloud per trattare consapevolmente le attività di sicurezza tra il cliente e il provider di servizi cloud
  • Integra la sicurezza nella progettazione dell'architettura per un approccio "security first"

Cloud security: quali sono le tecnologie chiave?

La sicurezza del cloud fornisce alle organizzazioni un approccio per soddisfare i requisiti di sicurezza e garantire che le organizzazioni aderiscano ai requisiti di compliance normativa. Una sicurezza del cloud efficace richiede più livelli di difesa in tutto lo stack di tecnologia cloud composto da:

  • Controlli preventivi progettati per bloccare l'accesso autorizzato a sistemi e dati sensibili
  • Controlli investigativi progettati per rivelare sistemi e accessi ai dati non autorizzati e modifiche tramite auditing, monitoraggio e reporting
  • Controlli automatizzati progettati per prevenire, rilevare e rispondere agli aggiornamenti della sicurezza, sia regolari sia critici
  • Controlli amministrativi progettati per affrontare policy, standard, pratiche e procedure di sicurezza

Il machine learning e l'intelligenza artificiale estendono le tecnologie di consapevolezza contestuale a un portfolio di sicurezza del cloud. Con la sicurezza del cloud, le aziende dispongono di protezione su IaaS, PaaS e SaaS, estendendo la sicurezza ai livelli di rete, hardware, chip, sistema operativo, storage e applicazioni.

Qual è il modello di responsabilità condivisa per la sicurezza del cloud?

La sicurezza del cloud è una responsabilità condivisa per la sicurezza tra il provider cloud e il cliente. Il modello di responsabilità condivisa per la sicurezza del cloud è un costrutto fondamentale per la gestione del rischio e della sicurezza del cloud e serve per la trasmissione della divisione del lavoro tra il provider di servizi cloud e l'abbonato al servizio. Una chiara comprensione del modello di responsabilità condivisa per la sicurezza per tutti i tipi di servizi cloud è fondamentale per i programmi di sicurezza del cloud. Purtroppo, possiamo però affermare che il modello di responsabilità condivisa per la sicurezza è uno dei concetti di sicurezza meno compresi nel cloud. In effetti, solo l'8% dei CISO comprende appieno il proprio ruolo nella protezione del SaaS rispetto al provider di servizi cloud. In poche parole, il modello di responsabilità condivisa per la sicurezza delinea l'area di responsabilità del provider di servizi cloud per quanto riguarda il mantenimento della sicurezza e della disponibilità del servizio, la responsabilità del cliente di garantire un uso sicuro del servizio e il punto in cui entrambi condividono un compito specifico.

È necessario che le aziende comprendano le proprie responsabilità. La mancata protezione adeguata dei dati può portare a conseguenze gravi e costose. Molte organizzazioni che subiscono una violazione potrebbero non essere in grado di assorbire i costi, anche le grandi aziende potrebbero vedere l'impatto sui propri dati finanziari. Lo scopo di un modello di responsabilità condivisa per la sicurezza è fornire flessibilità con la sicurezza integrata che consenta una rapida implementazione. Pertanto, le organizzazioni devono comprendere le loro responsabilità in materia di sicurezza del cloud, generalmente denominate sicurezza "del" cloud rispetto a sicurezza "nel" cloud.

Quali altri requisiti sono importanti per mantenere al sicuro i dati del cloud?

Oggi, alle aziende viene offerta un'ampia gamma di strumenti di sicurezza del cloud per proteggere i propri ambienti per la migrazione di carichi di lavoro e dati verso il cloud. Tuttavia, alcuni di questi strumenti vengono forniti con istruzioni su misura e come servizi individuali. Gli utenti e gli amministratori cloud dovrebbero sapere come funzionano i servizi di sicurezza del cloud, come configurarli correttamente e come mantenere le loro implementazioni del cloud. Sebbene non manchino le opzioni di sicurezza, possono essere complicate da configurare e può essere facile commettere un errore in un'area. Inoltre, il ciclo incessante di phishing, malware, frodi informatiche in aumento e una gamma di servizi cloud configurati in modo errato mette ulteriormente alla prova i programmi di sicurezza informatica già in uso. Ciò ha portato le organizzazioni a subire violazioni dei dati e conseguenti danni al brand, costi di ripristino e multe. Di seguito sono riportati diversi requisiti importanti per mantenere protetti i dati del cloud:

  • Fiducia e responsabilità per la sicurezza condivise: la fiducia è fondamentale nella scelta di un partner cloud con cui condividere il modello di sicurezza. Le organizzazioni devono avere una chiara comprensione dei ruoli e delle responsabilità e l'accesso a verifiche e attestazioni di sicurezza di terze parti indipendenti.
  • Automazione e Machine Learning: le minacce al cloud si muovono a velocità di macchina, mentre la sicurezza aziendale tradizionale analizza e reagisce a velocità umana. La sicurezza moderna negli ambienti cloud deve automatizzare il rilevamento e la risposta alle minacce. Le minacce avanzate richiedono soluzioni di sicurezza che portino un nuovo livello di sofisticazione a previsione, prevenzione, rilevamento e risposta delle minacce con il machine learning.
  • Massima protezione: più livelli di sicurezza nell'intero stack di tecnologia devono includere controlli preventivi, investigativi e amministrativi per le persone, i processi e la tecnologia giusti per proteggere i data center fisici dei provider cloud.
  • Gestione dell'identità: con l'aumento della presenza di dispositivi mobili, app e utenti, l'identità è diventata il nuovo perimetro. Il controllo dell'accesso e dei privilegi nel cloud e on-premise sulla base di credenziali sicure è fondamentale.
  • Visibilità: un broker per la sicurezza dell'accesso al cloud e una soluzione per la gestione della postura di sicurezza del cloud estendono la visibilità e il controllo all'intero ambiente cloud di un'organizzazione.
  • Compliance continua: la compliance alle normative non è facoltativa. Inoltre, compliance e sicurezza non sono la stessa cosa. Le organizzazioni possono subire violazioni della compliance senza una violazione della sicurezza, ad esempio, a causa di errori e deviazioni dalla configurazione. È essenziale per le aziende disporre di una soluzione di gestione del cloud che fornisca dati relativi alla compliance completi, tempestivi e utilizzabili in tutti i suoi ambienti cloud.
  • Sicurezza per impostazione predefinita: i controlli di sicurezza dovrebbero essere abilitati dal provider cloud per impostazione predefinita, anziché dover richiedere all'azienda di ricordarsi di attivarli. Non tutti hanno una conoscenza approfondita dei diversi controlli di sicurezza e di come lavorano insieme per mitigare il rischio e implementare una postura di sicurezza completa. Ad esempio, la crittografia dei dati dovrebbe essere attivata per impostazione predefinita. È necessario applicare controlli e policy coerenti per la protezione dei dati nei cloud.
  • Monitoraggio e migrazione: le policy di sicurezza per tenance e compartimenti cloud dovrebbero essere configurate e applicate affinché gli amministratori possano proteggere i carichi di lavoro. Una visione unificata della postura di sicurezza del cloud tra i tenant del cloud è essenziale anche per rilevare risorse configurate in modo errato e attività non sicure tra i tenant e fornisce agli amministratori della sicurezza la visibilità necessaria per valutare e risolvere i problemi di sicurezza del cloud.
  • Separazione dei compiti e accesso con privilegi minimi: i principi di separazione dei compiti e accesso con privilegi minimi rappresentano le best practice di sicurezza da implementare negli ambienti cloud. In questo modo si garantisce che le persone non dispongano di diritti amministrativi eccessivi e non accedano a dati sensibili senza autorizzazioni aggiuntive.
Webcast: Cloud Guard e Security Zones (21:37)

Qual è il futuro della sicurezza del cloud?

Poiché l'adozione del cloud continua ad accelerare, come conseguenza delle priorità della trasformazione digitale, le aziende devono anticipare e affrontare le complessità della protezione dei propri ambienti cloud. È essenziale scegliere un provider cloud che integri automaticamente la sicurezza sull'intero stack cloud (IaaS, PaaS, SaaS). Ulteriori considerazioni sul futuro della sicurezza del cloud includono:

  • Sicurezza dell'infrastruttura cloud: proteggi i carichi di lavoro con un approccio incentrato sulla sicurezza su elaborazione, rete e storage dell'infrastruttura cloud, a partire dall'architettura. Sfrutta servizi di sicurezza essenziali per fornire i livelli di sicurezza richiesti per i carichi di lavoro business-critical.
  • Sicurezza del database cloud: riduci il rischio di violazione dei dati e semplifica e accelera la compliance nel cloud. Adotta soluzioni per la sicurezza del database che includono crittografia, gestione delle chiavi, mascheramento dei dati, controlli degli accessi degli utenti privilegiati, monitoraggio delle attività e auditing.
  • Sicurezza delle applicazioni cloud: la protezione delle applicazioni critiche da frodi e usi impropri è essenziale per proteggere i dati business-critical delle organizzazioni. Controlli di accesso, visibilità e monitoraggio dettagliati sono componenti critici delle difese stratificate odierne.
  • Sicurezza e privacy aziendale: proteggi la riservatezza, l'integrità e la disponibilità dei dati e dei relativi sistemi ospitati nel cloud, indipendentemente dal prodotto cloud scelto.
  • Customer service avanzato: durante la transizione verso ambienti cloud o multicloud, i team di sicurezza devono gestire una superficie di attacco in espansione, sovraccarichi di allarmi e una carenza di competenze in materia di sicurezza informatica. Adotta servizi avanzati dal provider di servizi cloud per affrontare queste sfide.
  • Identity and access management (IAM): controlla chi ha accesso ai dati, che tipo di accesso ha e a quali risorse specifiche accede tramite credenziali sicure, indipendentemente dal fatto che i dati siano ospitati nel cloud o on-premise.

  1. Report sulle minacce al Cloud di Oracle e KPMG (PDF)
  2. Guida tecnica: Proteggere l'Oracle Database (PDF)