Il cloud computing è sicuro?
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Il cloud computing è sicuro? Avvertenza: molti dei dati qui presentati fanno riferimento a documenti pubblici reperibili online. Tali informazioni sono qui rappresentate in modo sintetico ed estrapolate per un contesto di comunicazione specifico e come tali vanno compresi. Inoltre i dati nel tempo potrebbero essere cambiati e non essere più allineati rispetto al contenuto originariamente citato online.
EuroCloud
È un’associazione no-profit membro del network EuroCloud
Europe, che è la più importante organizzazione Europea in tema di
Cloud Computing che riunisce le corrispondenti associazioni in 21
Paesi sotto un’unica missione. Obiettivi di EuroCloud:
• Creare un network pan-europeo a due livelli, livello europeo centralizzato e
livello nazionale; EuroCloud Italia appartiene a quest’ultimo livello e focalizza
i propri sforzi su temi d’importanza nazionale nello «Stivale».
• Costruire rapporti con le autorità europee (Commissione e Parlamento) per
riconoscere il Cloud Computing come il futuro dell’IT in Europa e
promuoverlo stimolando l’ambiente nel quale questo settore crescerà e si
svilupperà.
• Promuovere rapporti tecnologici e di business tra i membri in tutta Europa e
a livello internazionale con controparti come la SIIA (Software & Information
Industry Association)
Cos’è Cloud e cosa non è cloud
Oggi è cloud: Non è cloud se non ha 5
• Amazon Web Services caratteristiche chiave:
(AWS) 1. On-demand
• Google Docs 2. Self-service
• Salesforce 3. Accesso alla «Banda
• Microsoft Office 365 larga»
• Facebook 4. Condivisione delle risorse
• Twitter (pooling)
• Wikipedia etc. 5. Rilascio o acquisizione
(automatica) rapida delle
risorse
… e chi guida oggi:
La definizione ufficiale universalmente accettata di “cloud computing”
la da infatti il NIST (National Institute for Standard and Technology),
un istituzione Statunitense.Sicurezza #1 - quella del dato
La sicurezza aziendale e la sicurezza dei dati sono due faccie della stessa
medaglia
• Il cloud per se, non è meno sicuro di una soluzione “in-house”, impone
però di adeguare la propria politica di gestione del rischio, questo anche
perchè il “cloud” è un servizio e non un prodotto, e la Legge(*) tratta in
modo differente l’uno e l’altro (basti pensare all’uso delle licenze e i c.d.
copyright e al fatto che un software se usato nel cloud, debba
esplicitamente permettere un uso “virtualizzato”)
• La “natura del dato” è il cuore di un’eventuale disputa. Dati personali e/o
dati sensibili per esempio, se non definiti preventivamente aprono il fianco
a potenziali problemi. Ma natura del dato senza la “proprietà del dato”
lungo la filiera di gestione del servizio è altrettanto problematica, questo
perchè un conto è difendere gli interessi della propria azienda in un Foro
Italiano, diverso è doverlo fare a San Francisco.
• Il cloud è “mobile” ed in evoluzione. Basti pensare al fenomeno del “Bring
Your Own Device” (BYOD), dove le aziende si trovano a dover gestire
l’accesso ai sistemi aziendali ed ai dati aziendali da parte della propria
forza lavoro da apparati con logiche di funzionamento e sicurezza molto
diverse da quelle per cui ì sistemi erano stati originariamente pensati.
(*) A titolo di esempio, il “Contratto Onlie Google Apps for Business” prevede che il contratto cartaceo prevalga su quello on-line,
oppure la responsabilità è limitata a 500$ in caso di perdita di dati o danni arrecati a terzi etc.Gli attacchi sono mirati…
Fonte: Rapporto CLUSIT 2013…le fonti di rischio distribuite
Fonte: Rapporto CLUSIT 2013Identity Management e Cloud
• Una delle opportunità per le imprese che vogliono adottare il paradigma cloud
computing diviene la costruzione del private cloud security:
• Gestione Dati sensibili secondo il Regolatorio
• Meccanismi di gestione identità/accesso
• La sicurezza deve essere pervasiva in tutta l’architettura invece di essere un
silos a parte
• L’area di Identity & Access Management è un candidato per diventare
Cloud PAAS
Identity store
Amministrazione Provisioning
Self Service Workflow
Reconciliation Reporting
Monitoraggio TracciabilitàSecurity cloud: IAM Services
• Ogni partecipante può essere Service Provider e Service Consumer
• Cloud Provider e Cloud Consumer possono offrire Identity Services
Partner 1 Partner 2
Identity Services Platform
Identity Services Platform
ID ID
ID WEB Assurance Credentialing
Federation SSO Service Service
Service Service
IAM Service Provider
Business Service Provider
Identity Services Platform
User User
Entitlement Provisioning
Service Service
Consumer
Componenti
• Identity Hub: Repository, creazione, crittografia
• Identity Assurance: Account authentication, Interoperability, Web Services
• Identity Authorization: Policy definition, data security
• Indentity Administration: Role life cycle
• Identity Audit: Auditing, compliance, reportingLa sicurezza passa per una checklist
Area Topics
Security and privacy Data segregation and protection √
Vulnerability management √
Identity management √
Physical and personnel security √
Data leak prevention √
Availability √
Application security √
Incident response √
Privacy √
Compliance Business continuity and disaster recovery √
Logs and audit trail √
Specic requirements (e.g., PCI, HIPAA, EU privacy, Basel II, FFIEC) √
Other legal and contractual issues Liability √
Intellectual property √
End of service support √
Auditing agreement √
Source: Forrester Research, Inc.Grazie dell’attenzione http://www.eurocloud.it/
Alcune fonti da monitorare (1/2) Rapporto CLUSIT, 2013 http://www.clusit.it/index.htm Portale Unione Europea, sulla protezione dei dati: http://ec.europa.eu/justice/data-protection/index_it.htm Kaspersky Labs – Secure List: http://www.securelist.com/en/analysis/204792244/The_geography_of_cybercrime_Western_Europe_and_ Cisco 2013 Annual Security Report - Cisco http://www.cisco.com/en/US/prod/vpndevc/annual_security_report.html Verifica di Sicurezza del 2°T 2012 – Trend Micro http://www.trendmicro.it/media/misc/big-business-is-getting-personal-report-it.pdf ENISA Cyber Security Month http://www.enisa.europa.eu/activities/cert/security-month IL SOLE 24 ORE, «E-commerce: acquisti per 11 miliardi di euro nel 2012» http://opendatablog.ilsole24ore.com/2012/10/e-commerce-acquisti-per-11-miliardi-di-euro-nel-2012/#axzz2JG3bp4oM Cloud Computing: A Practical Approach; (libro) (2010) Anthony T. Velte, Toby J. Velte, Ph.D., Robert Elsenpeter, ed.The McGraw-Hill Companies
Alcune fonti da monitorare (2/2) Queen Mary University of London, School of Law “Data Protection Jurisdiction and Cloud Computing – When are Cloud Users and Providers Subject to EU Data Protection Law?” Legal Studies Research Paper No 84/2011 Forrester Research “How Secure Is Your Cloud?” Chenxi Wang, Ph.D.; May 8, 2009 | Updated: August 4, 2009 Software & Information Industry Association http://www.siia.net/
Puoi anche leggere
