Siete mai stati avvolti dalla nebbia ? Di quelle che non riesci neanche a vederti i piedi. Di quelle che non fanno sparire solo le cose, ma anche tutti i rumori. Di quelle che ti sembra di non essere più al mondo ?
Nella Bassa Padana succedeva spesso, come ha ben raccontato Federico Fellini in questa bellissima scena di "Amarcord":
Beh, qui dentro al CLOUD, la situazione è piuttosto simile...
«Qualcuno ha visto dove sono i nostri sistemi ? »
«Dove siamo ? » «Mi è parso di aver visto un SAP qui vicino, ma non era il nostro... »
«Dove sono i nostri dati ? »
«Tranquilli ! E' tutto nel CLOUD...! »
«Sì, è nel CLOUD, ma DOVE ? » «Non si vede niente...!!! »
La nuvola ci avvolge e ci sentiamo sempre più disorientati...
Sappiamo bene che tutto sta funzionando alla perfezione.
Ce lo dicono i nostri Monitor che indicano:
"disponibilità 100%, problemi ZERO, errori ZERO".
Nonostante questo siamo un po' inquieti perchè sentiamo di non avere il pieno controllo della situazione.
Nel nostro Data Center era più semplice orientarsi.
Qui invece non sappiamo nemmeno come siamo girati.
Viene da chiedersi: «Ma è SICURO questo CLOUD ? »
Per esorcizzare queste paure ci mettiamo a valutare le criticità che si possono presentare, per capire se siamo preparati ad affrontarle:
Criticità relative alla SICUREZZA nei Servizi Cloud
- Compromissione della riservatezza e dell'integrità dei dati, sia quando essi sono in transito da e verso un Cloud Provider che quando sono memorizzati nello storage del Cloud Provider;
- Attacchi che sfruttano l'omogeneità e la potenza dei Sistemi in Cloud per aumentare rapidamente l’estensione e l'intensità dell'attacco stesso (aumento della probabilità di rischio);
- Accesso non autorizzato da parte di un cliente di servizi Cloud a software, dati, e risorse dedicati ad un altro cliente di servizi Cloud, mediante impropria autenticazione / autorizzazione o mediante exploit di vulnerabilità introdotte intenzionalmente o meno;
- Aumento dell’intensità di attacchi basati sulla rete che sfruttano vulnerabilità di software non specificamente progettato per un modello “internet – based” o vulnerabilità presenti in risorse precedentemente accessibili solo attraverso reti private;
- Limitata capacità di crittografare i dati memorizzati nelle unità di storage del Cloud in un ambiente “multi - tenancy”;
- Attacchi che sfruttano l'astrazione fisica delle risorse in Cloud e si avvantaggiano della mancata trasparenza del fornitore sulle procedure di audit e le relative registrazioni;
- Attacchi che sfruttano vulnerabilità datate e conosciute in macchine virtuali non aggiornate e/o sulle quali non sono stati correttamente applicati gli aggiornamenti di sicurezza;
- Attacchi che sfruttano la supply chain dei servizi di cloud computing per utilizzare le vulnerabilità che si presentano durante l’attraversamento della supply chain da parte di componenti di servizi che il Cloud Provider ha affidato a terzi;
- Abuso dei privilegi da parte di attaccanti interni, soprattutto in riferimento al personale del fornitore di servizi Cloud che ricopre ruoli ad alto rischio (ad esempio gli amministratori di sistema);
- Intercettazione di dati in transito (attacchi di tipo man-in-the-middle).
Criticità relative alla PRIVACY nei Servizi Cloud
- Controllo sui dati: i dati non risiedono più su server “fisici” del Titolare, ma sono allocati di norma sui sistemi del Provider;
- Allocazione dei dati: il Cloud può estendersi geograficamente su siti distinti (non solo italiani, ma anche UE ed extra UE) ragion per cui il Titolare potrebbe ignorare dove vengono effettivamente conservati i propri dati;
- Condivisione dell'infrastruttura: l’infrastruttura del Provider del servizio è in genere condivisa tra molti Titolari, con conseguenti maggiori rischi di data protection;
- Centralità della connessione WEB: l’utilizzo del servizio avviene via web tramite la rete Internet che assume dunque un ruolo centrale in merito alla effettiva disponibilità dei dati;
- Catena di esternalizzazione: il servizio prescelto potrebbe essere il risultato finale di una catena di trasformazione di servizi acquisiti presso altri service Provider, diversi da colui con il quale viene stipulato il contratto di servizio, con conseguente maggiore difficoltà a sapere chi, dei vari gestori dei servizi intermedi, può accedere ai dati;
- Portabilità dei dati / interoperabilità: l’adozione da parte del Provider del servizio di tecnologie proprie può, in taluni casi, rendere complessa per il Titolare la transizione di dati e documenti da un sistema cloud ad un altro o lo scambio di informazioni con soggetti che utilizzano Servizi Cloud di differenti Provider, ponendone quindi a rischio la portabilità o l’interoperabilità dei dati;
- Responsabilità del Titolare per “culpa in eligendo”: per le norme Italiane la designazione di un Responsabile Privacy implica per il Titolare una “culpa in eligendo”. Il Titolare dovrà pertanto dimostrare di aver "scelto bene" il proprio Provider, tenendo conto anche di tutta la catena di esternalizzazione;
- Responsabilità del Titolare per “culpa in vigilando”: per le norme Italiane la designazione di un Responsabile Privacy implica per il Titolare una “culpa in vigilando”, ossia un obbligo di verifica della conformità dei comportamenti del Responsabile designato sia alle norme di legge sia ai compiti ed alle istruzioni ricevute dal Titolare stesso.
«Qualcuno di voi si sente più tranquillo adesso ? » «Non so voi, ma io me la vedo brutta...! »
«Esagerato ! » «Cosa vuoi che succeda...? »
«Chi ha costruito il CLOUD lo ha certamente fatto con la SICUREZZA e la PRIVACY in mente, quindi di che ti preoccupi ? »
«Anche gli aeroplani vanno dentro le nuvole, e non succede niente... »
«Sono costruiti apposta, ed usano gli strumenti per volare anche in condizioni di scarsa visibilità...! »
«Sinceramente, io non sono preoccupato per il CLOUD, ma per NOI...! »
«Siamo davvero capaci di gestire questo CLOUD in modo da evitare tutte quelle criticità di cui abbiamo parlato prima ? »
«Beh, che ci vuole ? »
«Abbiamo tutti gli strumenti che ci servono per gestire il CLOUD... »
«...e poi guarda ! E' fatto tanto bene che pare andare da solo ! »
«Sembra che abbia l'AUTOPILOTA...! »
«Sì, sì... »
«...ma a proposito di aeroplani e piloti, un mio amico che fa il pilota mi ha detto che per volare tra le nuvole bisogna essere specificamente ADDESTRATI al volo strumentale, altrimenti... »
«Altrimenti cosa ? »
«...altrimenti si rischia di PRECIPITARE ! »
«Non è possibile ! E' certamente una BUFALA ! »
«Gli strumenti ti dicono tutto su come vola l'aereo... »
«Come puoi PRECIPITARE se basta seguire gli strumenti per volare diritto ? »
«Il mio amico pilota mi ha detto che, se non sei addestrato al volo strumentale, ti può capitare di entrare in uno stato di confusione che si chiama "disorientamento spaziale"... »
«...anzi, mi ha anche fatto vedere un video che spiega come succede... »
(...)
Alcune conclusioni sul CLOUD
Le mie riflessioni sul CLOUD mi portano a concludere che:
- Il CLOUD è più un modo diverso di vendere i tradizionali Servizi IT che una nuova tipologia di Servizio
- Il CLOUD non è una cosa semplice da capire e da gestire
- Se non sei ben preparato, entrare nel CLOUD può essere pericoloso
Cordialmente vostro,
Autostoppista Cyber Galattico
P.S.:
Il vostro Autostoppista si diletta ogni tanto a pilotare questo "trespolo volante":
con cui una volta gli è accaduto di entrare - per sbaglio e solo per una manciata di secondi - in una nuvoletta, dove ha visto qualcosa di simile a questo: