Soluzioni tecniche

Cloud computing e sicurezza degli endpoint

21 Febbraio 2012

Nell'era del cloud computing, in cui i dati non risiedono sul pc o sullo smartphone con il quale lavoriamo, ma vengono archiviati su storage remoti nella “nuvola”, si ha l'impressione che la sicurezza dei sistemi, che con questi dati si interfacciano, sia meno importante o addirittura inutile: se i miei dati sono salvati costantemente su server sicuri e ad alta affidabilità, in caso di compromissione del mio dispositivo basta sostituirlo (o reinstallarlo) per ottenere di nuovo l'accesso senza rischi e soprattutto senza perdere un bit.

Sicurezza degli endpoint

L'accessibilità continua dei dati e l'intercambiabilità dei dispositivi di accesso sono tra i punti di forza di un sistema basato sul cloud. Perciò, una conclusione del genere può apparire veritiera.
In realtà, bisogna fare alcune considerazioni aggiuntive.


Intanto, ci sono informazioni sensibili che sono salvate sul dispositivo: per esempio le credenziali.
Anche se usiamo soltanto applicativi web, è il browser stesso a chiederci se vogliamo salvare la password di accesso.
A volte poi, le applicazioni ci danno la possibilità di salvare interi file di configurazione per velocizzare gli accessi successivi.
Cominciamo quindi a pensare ai dispositivi, in particolare quelli mobili, come terminali di accesso ai nostri dati, virtualmente incontrollabili: l'apparato potrebbe essere smarrito o rubato e se chi lo usa vi trova le credenziali di accesso ai nostri sistemi non c'è modo di accorgerci dell'accesso non autorizzato.
Per non parlare della possibilità che parte dei dati siano scaricati in locale per sveltire l'accesso.

Se poi il concetto di BYOD (che Ilaria Colombo ha analizzato in questo articolo) prenderà piede, la necessità di aumentare la sicurezza degli accessi al cloud sarà ancora più pressante: gli utenti esigeranno la libertà di scegliere il dispositivo più adatto alle loro esigenze, mentre gli amministratori si troveranno a dover applicare regole di governance per assicurarsi la protezione dei dati aziendali a svariate tipologie di apparati.

Dovremo quindi definire criteri e best practice per mettere in sicurezza tutti i dispositivi.
Ecco quindi che l’assunto iniziale è confutato: la sicurezza del cloud non può prescindere dalla sicurezza dei singoli apparati.

Ma quali sono le operazioni necessarie per attuare questi criteri?

  1. In primo luogo dobbiamo avere un inventario aggiornato, sia hardware che software.
  2. Dobbiamo applicare le patch di sicurezza ed essere avvertiti quando questo non avviene.
  3. Dobbiamo sapere a chi un dispositivo è assegnato e avere la possibilità di localizzarlo in caso di smarrimento.
  4. Inoltre non dobbiamo trascurare la messa in sicurezza del dispositivo stesso, dotandolo di antivirus e firewall ed eventualmente crittografandone i dati per metterci al riparo da furti o smarrimenti.
  5. Nella migliore delle ipotesi poi, dovremo gestire queste attività nello stesso modo in cui gestiamo la sicurezza degli altri sistemi dell’azienda, in modo da avere un'unica interfaccia cui accedere e introdurre il minor numero di eccezioni, che rendono meno fluida l’amministrazione.
  6. Infine, dovremo scegliere applicazioni SAAS che implementino gestioni sicure degli accessi, come certificati SSL e generatori di password one-time.

Quali best practice hai messo in atto per proteggere i dati della tua azienda?

Autore
Furio Borsi
Si appassiona al mondo digitale fin da bambino, con il glorioso Commodore 64, sul quale si diverte a scrivere semplici programmi in Basic e modificare giochi. Nel 1990 riceve in regalo il suo primo PC (i386), seguito un paio d'anni dopo da un i486dx. In questi anni affina le sue attitudini al problem solving, scassando hardware e software e divertendosi a rimetterlo a posto. ;) Diventa così "quello che se ne capisce" per i suoi familiari e amici, arrivando a collaborare con alcuni studi professionali per la gestione del parco macchine e dei server Windows. Finito il liceo, studia DAMS con indirizzo multimediale a Bologna e Imperia. Nel 2002, dopo un anno sabbatico a Londra, lavora come sviluppatore junior in un'azienda che produce software per database territoriali in ambito Pubblica Amministrazione. In questo periodo si avvicina con passione a problematiche sistemistiche e di network management su reti estese. Nel 2007 entra a far parte dello staff di Achab, per cui si occupa di formazione e supporto, in particolare riguardo a Kaseya, e gestione del parco macchine e della rete.
Commenti (0)
guest
0 Commenti
Inline Feedbacks
Guarda tutti i commenti