Cloud computing, ecco le aree di sicurezza più problematiche Print

Un documento della Cloud Security Alliance illustra i punti da valutare per migliorare la security degli ambienti di cloud computing.

Il cloud computing sta solleticando l'attenzione di molti responsabili IT. Ma quali sono le problematiche di sicurezza da considerare? Per avere un'idea generale può essere d'aiuto la Cloud Security Alliance che ha rilasciato un documento in cui vengono evidenziate alcune aree che dovrebbero essere valutate per migliorare la sicurezza degli ambienti di cloud computing.

Nelle sue 83 pagine, il report, che si intitola Security Guidance for Critical Areas of Focus in Cloud Computing, delinea 15 ambiti o settori particolarmente rilevanti per la sicurezza all'interno del cloud, mettendo soprattutto l'accento su governance e operation.

Il report descrive la struttura di molte architetture di cloud computing e identifica tre modelli di delivery:
• Infrastructure as a Service (IaaS);
• Platform as a Service (PaaS);
• Software as a Service (SaaS).

Affronta inoltre i problemi inerenti la governance e il risk management incontrati dalle imprese e dai service provider. Il report raccomanda poi ai service provider di condurre con regolarità il risk assessment delle terze parti e di rendere disponibili i risultati ai clienti.

Tra gli altri settori citati nel report, troviamo la compliance e l'audit. In questo senso, viene suggerito ai service provider di aderire all'audit SAS 70 Type II e alle certificazioni ISO 27001, ma anche di mostrare maggiore uniformità nella definizione delle loro certificazioni globali. Sono poi affrontati in dettaglio temi come la crittografia e il key management, lo storage, le applicazioni di sicurezza e gli aspetti di sicurezza inerenti la virtualizzazione.

Clod Security Alliance

La Cloud Security Alliance si è mostrata per la prima volta in pubblico alla RSA Conference 2009 con l'obiettivo di aumentare la consapevolezza sulla sicurezza del cloud computing.

Nella sua presentazione, Jim Reavis, presidente di Reavis Consulting Group LLC e co-fondatore dell'alleanza no profit, ha affermato che il report vuole rappresentare una guida per le organizzazioni che implementano la virtualizzazione o che sono alla ricerca di un fornitore di cloud computing.

"Abbiamo selezionato le aree trattate considerando quei punti strategici e tattici per i quali la virtualizzazione rappresenta una componente fondamentale per il cloud compting. E tra queste aree, quelle legate alla governance sono le più ampie ma anche le più importanti", ha detto Reavis.

Nel corso degli ultimi anni, le imprese hanno lavorato molto per riuscire a implementare la virtualizzazione o spostare i dati ai provider di cloud computing, con la speranza di ridurre i costi di gestione del server. A fronte di ciò, Reavis ha annunciato che la Cloud Security Alliance terrà diversi eventi durante l'anno per offrire i consigli di esperti su temi legati alla sicurezza del cloud, ma proporrà anche ulteriori report in cui saranno illustrate le best practice per le implementazioni di cloud computing.

Dave Cullinane, CISO e Vice President di information security di eBay e consulente all'interno dell'organizzazione no profit, alla presentazione di RSA ha dichiarato che la sua l'azienda è stata una delle prime ad adottare il cloud computing e ha constatato la mancanza di informazioni o di best practices in relazione alla sicurezza dei dati nel cloud.

"Ho pensato che fosse ora di iniziare ad affrontare questo problema, almeno secondo la prospettiva della sicurezza - ha sostenuto Cullinane -. Quello che abbiamo cercato di fare è prendere tutte le più brillanti menti disponibili e mettere insieme le loro idee".

Jerry Archer, Vice President e CISO di Intuit, e anch'esso consulente dell'organizzazione, ha affermato che il cloud computing era un passo inevitabile e attualmente lo utilizza nella sua attività di ricerca e sviluppo.

"Oggi si può ancora considerare una sorta di sperimentazione, ma data la quantità di informazioni identificative della persona e di dati transazionali, è incredibilmente importante essere certi del suo livello di sicurezza - ha sottolineato Archer -. È fondamentale che si possa sempre capire cosa sta succedendo nel cloud e si sia in grado di gestire gli incidenti e tutti gli altri tipi di problemi".

Reavis ha detto che l'organizzazione vorrebbe essere "all inclusive" e attualmente annovera un ampio spettro di membri, da privati appassionati di problemi di cloud sicurity a fornitori, quali Microsoft, PGP, Qualys, Zscaler e altri.