Percezione vs. Realtà
I professionisti IT spesso percepiscono il cloud come insicuro o meno sicuro rispetto al fatto che le proprie applicazioni e i propri dati risiedano all’interno dei propri data center. Ma le percezioni non corrispondono necessariamente alla realtà.
Quando nel maggio 2010 CA e Ponemon Institute hanno commissionato uno studio su oltre 900 professionisti IT, hanno scoperto che i professionisti IT ritenevano che i rischi per la sicurezza fossero più difficili da ridurre nel cloud, inclusa la protezione della posizione fisica delle risorse di dati e la limitazione dell’accesso degli utenti privilegiati a dati sensibili. Il sondaggio ha rilevato che il personale IT ha ammesso di avere una conoscenza incompleta su quali delle proprie risorse informatiche sono distribuite nel cloud, principalmente perché queste decisioni vengono prese dagli utenti finali al di fuori di qualsiasi revisione IT. Circa la metà di tutti gli intervistati riconosce che molte risorse cloud non vengono valutate per la sicurezza prima dell’implementazione all’interno delle proprie organizzazioni.
Forse tutto il trambusto riguarda più le applicazioni Web non sicure che il cloud stesso. Molti dei principali exploit di sicurezza Web come il cross-site scripting e l’iniezione di SQL sono cose che esistono quasi da quando sono stati inventati i server Web e per qualche motivo continuano a irritare molte installazioni aziendali. Ironia della sorte, un rapporto del maggio 2010 di Derek Brink dell’Aberdeen Group mostra che gli utenti di strumenti di sicurezza Web basati su cloud se la sono cavata meglio dei loro equivalenti locali con un minor numero di incidenti di malware.
Certamente esistono ambienti cloud più o meno sicuri, così come esistono data center locali più o meno sicuri. La Cloud Security Alliance è un’organizzazione senza scopo di lucro costituita per promuovere la garanzia della sicurezza tra i fornitori di cloud computing. L’Alleanza promuove le migliori pratiche di sicurezza e crea consenso su particolari questioni di sicurezza. Fondato due anni fa da un consorzio di fornitori e gestori IT di utenti finali, ha creato diversi gruppi di lavoro, come quelli incentrati sulle operazioni dei data center, sull’eDiscovery e sulla gestione del ciclo di vita.
Chiunque acquisti servizi cloud dovrebbe cercare risposte chiare e convincenti a quattro domande:
Come vengono crittografati i dati, sia in uso che inattivi, quando archiviati nell’infrastruttura cloud?
Sono in atto controlli di accesso dettagliati?
Quanta infrastruttura cloud è ridondante?
Quanto sono protette le applicazioni Web?
Esaminiamo ciascuno di questi in modo più dettagliato attraverso le pagine seguenti.