Torino, 6 maggio 2010 Enrico Ferretti, Associate Director...sono ospitate al di fuori dagli edifici...

Cloud Computing: opportunità e rischi

Torino, 6 maggio 2010

Enrico Ferretti, Associate Director([email protected])

1© 2010 Protiviti SrlQuesto documento è destinato esclusivamente ai soci AIEA e non può essere riprodotto e distribuito a terze parti senza l’autorizzazione di Protiviti S.r.l.

AgendaAgenda

• Introduzione al Cloud Computing

• I rischi di sicurezza nel Cloud Computing

• Mitigare i rischi di sicurezza del Cloud Computing


AgendaAgenda





LL’’interesse per il Cloud Computinginteresse per il Cloud Computing


TerminologiaTerminologia

COMPUTINGCOMPUTINGCLOUDCLOUD +‘Cloud’ è il simbolo grafico usato per Internet

‘Computing’ si riferisce ai servizi di “utility computing”:

•Accesso a risorse computazionali (memoria, CPU, virtual server, ...)

•Servizi (backup, anti-spamming, …)

I servizi di utility computing sono erogati attrave rso InternetI servizi di utility computing sono erogati attrave rso Internet


DefinizioniDefinizioni

Il Cloud Computing è ancora un paradigma in fase di evoluzione. La definizione, le modalità di utilizzo, le tecnologie di riferimento, le problematiche rilevate, i rischi ed i benefici sono ad oggi oggetto di dibattito.

Cloud computing is a model for enabling convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers,

storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction. This

cloud model promotes availability and is composed of five essentialcharacteristics, three service models, and four deployment models.

Fonte: NIST

Cloud computing is a style of computing where massively scalable IT-related capabilities are provided ‘as a service’ across the Internet to multiple external

customers.

Fonte: Gartner


NIST Visual ModelNIST Visual Model

NIST - National Institute of Standards and Technology

http://csrc.nist.gov/groups/SNS/cloud-computing/

Software as a Service (SaaS)

Platform as a Service (PaaS)

Infrastucture as a Service (IaaS)

Modelli di Servizio

Modelli di DeploymentPublic Private Hybrid Community

BroadNetwork Access

Resource Pooling

Rapid Elasticity Measured ServiceOn-Demand Self

Service Caratteristiche Fondamentali


Nuova tecnologia o nuovo modello?Nuova tecnologia o nuovo modello?

• Il Cloud Computing rappresenta la convergenza di tre principali trend degli ultimi anni: orientamento dell’IT come servizio , virtualizzazione , standardizzazione dell’accesso alle risorse elaborative tramite Intern et.

• Diverse sono le tecnologie che hanno dato inizio al fenomeno:

• Il Cloud Computing sta conquistando spazi sempre più rilevanti grazie alla diffusione di:

- data center di ampie dimensioni, per conseguire economie di scala

- banda larga per l’accesso ad Internet

- modelli di pagamento pay-per-use.

• Cloud Computing

• SaaS

• Grid Computing

• Virtual machine


I Modelli di Utilizzo (1/2)I Modelli di Utilizzo (1/2)

• Public Cloud : sono gestite da fornitori di servizi e le applicazioni di più aziende clienti sono ospitate su server, sistemi di storage e reti del cloud. Le Public Cloud sono ospitate al di fuori dagli edifici del cliente e forniscono al cliente la possibilitàdi estendere in maniera flessibile la capacità della propria infrastruttura ICT.

• Private/Community Cloud : sono realizzate per l’uso esclusivo di un cliente, consentendo il massimo controllo sui dati, sulla sicurezza e sulla qualità del servizio. Tipicamente l’azienda possiede la propria infrastruttura ed ha il controllo su come le applicazioni vi sono ospitate.

• Hybrid Cloud : combinano i modelli di Public e Private Cloud. Integrare una private cloud con le risorse di una public cloud può essere utile per gestire in maniera più flessibile la capacità elaborativa richiesta.


I I ModelliModelli di di UtilizzoUtilizzo (2/2)(2/2)

Infrastructure Managed by Infrastructure Owned by Infrastructure LocatedAccessible and Consumed by

Public Third Party Provider Third Party Provider Off Premise Untrusted

Private / Community

Organization

Third Party Provider

Organization

Third Party Provider

On Premise

Off PremiseTrusted

HybridBoth Organization and Third

Party ProviderBoth Organization and

Third Party ProviderBoth On Premise or Off

Premise

Trusted &

Untrusted

Or

CSA - Cloud Security Alliance


I I ModelliModelli di di ServizioServizio

• Tre sono i modelli di servizio del cloud:

- Software as a Service (SaaS): E’ un’applicazionecompleta offerta come servizio on-demand. Un SaaS provider ospita e gestisce una data applicazione nei propri datacenter e la rendedisponibile via Web a più utenti.

- Platform as a Service (PaaS): Prevede la fornitura di un’infrastruttura sulla quale il cliente può sviluppare proprie applicazioni usando linguaggi di programmazione e tool supportati dal provider.

- Infrastructure as a Service (IaaS): Eroga memoria di base e capacità computazionali come servizio standardizzato sulla rete. I server, i sistemi di storage, gli switch, i router e altri sistemi sono residisponibili in modalità virtualizzata.

CSA - Cloud Security Alliance


Le Le CaratteristicheCaratteristiche

Le cinque caratteristiche essenziali del cloud individuate dal NIST sono:

On-Demand Self Service : il cliente può acquistare ed attivare risorse computazionali, ad esempio capacità elaborativa o spazio disco in base alle proprie necessità e senza interazione “umana” con il provider.

Broad Network Access: le risorse sono disponibili sulla rete ed accessibili dalcliente da piattaforme eterogenee (es. telefoni cellulari, laptop, PDA, …).

Resource Pooling: le risorse del provider sono organizzate attraverso un modellomulti-tenant ed assegnate dinamicamente in base alle richieste.

Rapid Elasticity: le risorse sono acquisibili ed attivabili in modo rapido e flessibile. Per il cliente non ci sono limiti pratici alla quantità di risorse attivabili, le qualipossono essere acquistate in qualsiasi quantità in ogni momento.

Measured Service: il servizio richiesto dal cliente è misurato e fatturato attraversomodelli basati sull’effettivo utilizzo delle risorse.


PrincipaliPrincipali beneficibenefici

• I benefici nell’adozione di soluzioni di Cloud Computing variano in funzione deimodelli di servizio (SaaS, PaaS, IaaS) e dei modelli di deployment (Public, Private, Hybrid, Community).

• I benefici sono classificabili in due categorie principali:

• Possibilità di aumentare la capacità senza investire in nuove infrastrutture.

• Esigenza ridotta di pianificare in anticipo l’utilizzo delle risorse.

• Semplificazione dei processi di gestione dei sistemi IT.

• Maggiore flessibilità nell’allocazione deicosti, aumentando la spesa operativa e diminuendo la spesa a investimento.

• Possibilità di aumentare la capacità senza investire in nuove infrastrutture.

• Esigenza ridotta di pianificare in anticipo l’utilizzo delle risorse.

• Semplificazione dei processi di gestione dei sistemi IT.

• Maggiore flessibilità nell’allocazione deicosti, aumentando la spesa operativa e diminuendo la spesa a investimento.

• Accesso veloce a servizi (anytime ed anywhere).

• Modello pay-per-use, con conseguenteriduzione dei costi.

• Maggiore flessibilità nell’adattarsi al variare delle esigenze.

• Maggiore rapidità nello sviluppare nuove soluzioni.

• Migliore capacità di interagire con societàpartner.

• Flessibilità nel selezionare fornitori multipli che offrono servizi scalabili con possibilitàdi contratti a breve termine.

• Accesso veloce a servizi (anytime ed anywhere).

• Modello pay-per-use, con conseguenteriduzione dei costi.

• Maggiore flessibilità nell’adattarsi al variare delle esigenze.

• Maggiore rapidità nello sviluppare nuove soluzioni.

• Migliore capacità di interagire con societàpartner.

• Flessibilità nel selezionare fornitori multipli che offrono servizi scalabili con possibilitàdi contratti a breve termine.

Efficienza ITEfficienza IT Efficienza del BusinessEfficienza del Business


AgendaAgenda





Il Cloud Computing percepito dagli utentiIl Cloud Computing percepito dagli utenti

Gli utenti percepiscono gli aspetti di sicurezza come principale rischio nell’adozione del Cloud Computing.

15%

8%

45%

12%

12%

13%

8%

18%

74,60%

0% 10% 20% 30% 40% 50% 60% 70% 80%

Carenza di fornitori

Regolamentazioni proibitive

Possibile difficoltà nel tornare allasituazione precedente

Dubbi circa un aumento dei costi

Insufficienza di customizzazione

Integrazione con i propri sistemi

Disponibilità

Performance

Sicurezza

IDC Enterprise Panel, August 2008


La sicurezza nel Cloud ComputingLa sicurezza nel Cloud Computing

Gli elementi da considerare per gestire la sicurezza nel Cloud Computing sono quelli abituali:

La loro applicazione nel contesto del Cloud Computi ng potrebbe essere piùcomplessa.

• Riservatezza: protezione delle informazioni critiche da accessi non autorizzati.

• Integrità: salvaguardia dell’originalità e della completezza delle informazioni da modifiche non autorizzate.

• Disponibilità: garanzia che le informazioni siano disponibili quando richieste dagli utenti.


La Riservatezza nel Cloud ComputingLa Riservatezza nel Cloud Computing

Una delle misure di sicurezza per gestire la riservatezza è la crittografia .

Applicabile, ma quali prestazioni sono necessarie p er avere tempi accettabili?

Esempio

Il Cliente Finale dispone di un elevato volume di dati, la cui elaborazione viene fatta mediante un servizio in Cloud Computing. I dati, quindi, devono essere inviati alla “nube” per essere elaborati e poi essere rinviati al mittente. Per preservare la riservatezza, i dati sono inviati in forma crittografata, sono decifrati dalla “nube”, sono effettuate le elaborazioni richieste, sono crittografati nuovamente e rinviate mediante la “nube” al cliente.

Esempio

Il Cliente Finale dispone di un elevato volume di dati, la cui elaborazione viene fatta mediante un servizio in Cloud Computing. I dati, quindi, devono essere inviati alla “nube” per essere elaborati e poi essere rinviati al mittente. Per preservare la riservatezza, i dati sono inviati in forma crittografata, sono decifrati dalla “nube”, sono effettuate le elaborazioni richieste, sono crittografati nuovamente e rinviate mediante la “nube” al cliente.


La DisponibilitLa Disponibilitàà nel Cloud Computingnel Cloud Computing

Una delle misure di sicurezza per gestire la disponibilità è la ridondanza .

Applicabile, ma i costi potrebbero essere troppo el evati rispetto ai benefici .

Esempio

Un’azienda gestisce un volume di dati che aumenta velocemente e ha quindi la necessità di avere una infrastruttura di storage. Acquista il servizio in modalità Cloud Computing e, a garanzia della disponibilità, chiede al suo fornitore telco di ridondare la rete.Ritiene comunque non accettabile il rischio che la “nube” non sia disponibile al momento in cui ha necessità di accedere ai dati più critici. Decide quindi di eseguire un back up dei dati indipendentemente dal servizio di Cloud Computing.

Esempio

Un’azienda gestisce un volume di dati che aumenta velocemente e ha quindi la necessità di avere una infrastruttura di storage. Acquista il servizio in modalità Cloud Computing e, a garanzia della disponibilità, chiede al suo fornitore telco di ridondare la rete.Ritiene comunque non accettabile il rischio che la “nube” non sia disponibile al momento in cui ha necessità di accedere ai dati più critici. Decide quindi di eseguire un back up dei dati indipendentemente dal servizio di Cloud Computing.


LL’’IntegritIntegritàà nel Cloud Computingnel Cloud Computing

Una delle misure di sicurezza per gestire l’integrità è la gestione del ciclo di vitadel dato .

Applicabile, ma la verifica sarebbe fatta a posteri ori, cioè dopo la modifica .

Esempio

Nei due esempi precedenti è di fondamentale importanza assicurarsi che i dati non subiscano modifiche non autorizzate. Si potrebbero applicare allora soluzioni quali l’hashing o firma digitale.

Esempio

Nei due esempi precedenti è di fondamentale importanza assicurarsi che i dati non subiscano modifiche non autorizzate. Si potrebbero applicare allora soluzioni quali l’hashing o firma digitale.


I Rischi nel Cloud ComputingI Rischi nel Cloud Computing

• Anche i rischi di sicurezza, così come i benefici, variano in funzione dei modelli di Cloud Computing e sono strettamente correlati alla gestione della sicurezza in termini di riservatezza, integrità e disponibilità.

• European Network and Information Security Agency (ENISA ) e la Cloud Security Alliance (CSA) hanno pubblicato due relazioni allo scopo di analizzare i rischi e i possibili controlli di sicurezza nell’adozione del Cloud Computing:

- Cloud Computing - Benefits, risks and recommendations for information security (ENISA, Nov. 09)

- Security Guidance for Critical Areas of Focus in Cloud Computing V2.1 (CSA, Dic. 09)


Le aree di rischio dellLe aree di rischio dell’’ENISAENISA

L’ENISA, nella pubblicazione “Cloud Computing: Benefits, risks and recommendationsfor information security”, ha identificato 35 rischi:

• Lock-in • Loss of governance • Compliance challenges • Loss of business reputation due to co-tenant activi ties • Cloud service termination or failure • Cloud provider acquisition • Supply chain failure


• Resource exhaustion • Isolation failure• Cloud provider malicious insider - abuse of high pri vilege

roles • Management interface compromise • Intercepting data in transit • Data leakage on up/download, intra-cloud • Insecure or ineffective deletion of data • DDoS and EDOS • Loss of encryption keys • Undertaking malicious probes or scans • Compromise service engine • Conflicts between customer hardening procedures and

cloud environment



cloud environment

RISCHI ORGANIZZATIVIRISCHI ORGANIZZATIVI

RISCHI TECNOLOGICI RISCHI TECNOLOGICI

• Subpoena and e-discovery • Risk from changes of jurisdiction• Data protection risks • Licensing risks


RISCHI LEGALI RISCHI LEGALI

• Network breaks• Network management • Modifying network traffic • Privilege escalation • Social engineering attacks • Loss or compromise of operational logs • Loss or compromise of security logs • Backups lost, stolen • Unauthorized access to premises • Theft of computer equipment • Natural disasters


RISCHI NON SPECIFICI DEL CLOUDRISCHI NON SPECIFICI DEL CLOUD


Le aree di rischio dellLe aree di rischio dell’’ENISAENISA

L’ENISA, nella pubblicazione “Cloud Computing: Benefits, risks and recommendationsfor information security”, ha identificato 35 rischi:





cloud environment



cloud environment

RISCHI ORGANIZZATIVIRISCHI ORGANIZZATIVI

RISCHI TECNOLOGICI RISCHI TECNOLOGICI



RISCHI LEGALI RISCHI LEGALI



RISCHI NON SPECIFICI DEL CLOUDRISCHI NON SPECIFICI DEL CLOUD


• Potrebbe risultare difficoltoso per il cliente verificare le modalità con le quali il provider tratta i dati e, di conseguenza, essere sicuro che ciò avvenga nel rispetto delle normative vigenti.

• Sebbene la responsabilità della sicurezza ricada effettivamente su più soggetti, agli occhi dell’opinione pubblica è l’azienda che acquisisce i dati e non il fornitore di servizi cloud ad essere considerato il vero responsabile della sicurezza delle informazioni.

Data Data ProtectionProtection RiskRisk

• Perdita di controllo sul Paese nel quale sono conservati i dati

• Archiviazione dei dati in più Paesi

• Perdita di controllo sul Paese nel quale sono conservati i dati

• Archiviazione dei dati in più Paesi

• Reputazione della compagnia

• Fiducia del cliente

• Dati personali

• Dati sensibili

• Erogazione dei servizi



• Dati personali

• Dati sensibili


VULNERABILITA’VULNERABILITA’ IMPATTIIMPATTI


• Ad oggi è abbastanza limitata l’offerta di strumenti, procedure, formati standard di dati o servizi di interfaccia che possano garantire la portabilità dei dati, delle applicazioni e del servizio da un fornitore ad un altro.

• Potrebbe risultare pertanto difficoltoso per un utente migrare da un provider ad un altro o tornare ad una soluzione IT in-house, con conseguente rischio di per l’utente di restare legato ad un particolare provider.

LockLock--inin

• Mancanza di tecnologie e soluzioni standard

• Selezione di fornitori non accurata

• Mancanza di completezza e trasparenza nelle condizioni contrattuali


• Selezione di fornitori non accurata



• Dati personali

• Dati sensibili



• Dati personali

• Dati sensibili




• Utilizzando l’infrastruttura cloud, il cliente cede necessariamente il controllo di alcune problematiche inerenti la sicurezza al cloud provider. Allo stesso tempo, gli SLA potrebbero non prevedere l’obbligo da parte del cloud provider di fornire tali servizi, lasciando un gap nelle misure di sicurezza.

LossLoss of of GovernanceGovernance

• Mancanza di chiarezza nei ruoli e nelle responsabilità

• Definizione di SLA in conflitto tra clienti diversi

• Indisponibilità di audit o certificazioni per i clienti


• Memorizzazione dei dati in più Paesi e carenza di trasparenza in merito

• Assenza di controllo sul processo di vulnerabilityassessment

• Certificazioni non adatte alle infrastrutture cloud


• Mancanza di chiarezza circa la proprietà dei beni


• Definizione di SLA in conflitto tra clienti diversi

• Indisponibilità di audit o certificazioni per i clienti



• Assenza di controllo sul processo di vulnerabilityassessment



• Mancanza di chiarezza circa la proprietà dei beni



• Fedeltà ed esperienza dei dipendenti

• Dati personali

• Dati sensibili





• Dati personali

• Dati sensibili




• Gli investimenti volti al raggiungimento di certificazioni potrebbero essere messi a rischio dalla migrazione al cloud se:

- il cloud provider non riesce a fornire l’evidenza della propria compliance con le normative pertinenti

- il cloud provider non consente all’utente di eseguire controlli di audit

• In alcuni casi, l’utilizzo di una infrastruttura cloud pubblica non consente di soddisfare alcune norme di compliance (ad es. PCI DSS).

Compliance challengesCompliance challenges

• Indisponibilità di audit e certificazioni ai clienti





• Indisponibilità di audit e certificazioni ai clienti





• Certificazioni

• Rispondenza a vincoli normativi

• Certificazioni

• Rispondenza a vincoli normativi



• Il modello multitenant e risorse condivise sono caratteristiche essenziali del cloud computing. Ad essi sono però collegati il rischi di possibili failure dei meccanismi di separazione di storage, memoria e routing.

• Andrebbe tuttavia considerato che gli attacchi ai meccanismi di segregazione sono meno diffusi rispetto a quelli eseguiti su sistemi operativi ed in generale sono più difficili da mettere in pratica.

IsolationIsolation failurefailure

• Vulnerabilità dell’hypervisor

• Carenza di meccanismi di separazione delle risorse

• Possibilità di una violazione della rete interna al cloud

• Coinvolgimento in problematiche di altri clienti del cloud

• Vulnerabilità dell’hypervisor

• Carenza di meccanismi di separazione delle risorse

• Possibilità di una violazione della rete interna al cloud

• Coinvolgimento in problematiche di altri clienti del cloud



• Dati personali

• Dati sensibili




• Dati personali

• Dati sensibili




• La gestione delle infrastrutture cloud necessita per il cloud provider di ruoli aventi privilegi elevati, quali ad esempio gli amministratori di sistema.

• Ciò comporta il rischio che i dipendenti del cloud provider possano compiere attività malevole.

Cloud provider malicious insider Cloud provider malicious insider -- abuse of high abuse of high privilege roles privilege roles


• Insufficiente enforcement dei ruoli definiti

• Mancanza dell’applicazione dei principi need-to-know

• Vulnerabilità AAA

• Vulnerabilità di OS o di sistema

• Inadeguatezza delle procedure di sicurezza fisica

• Impossibilità di processare i dati in modalitàcrittografata

• Vulnerabilità delle applicazioni o carente gestione delle patch


• Insufficiente enforcement dei ruoli definiti

• Mancanza dell’applicazione dei principi need-to-know



• Inadeguatezza delle procedure di sicurezza fisica

• Impossibilità di processare i dati in modalitàcrittografata





• Propietà intellettuale

• Dati personali

• Dati sensibili





• Propietà intellettuale

• Dati personali

• Dati sensibili




• Le interfacce di gestione dei servizi cloud pubblici sono disponibili tramite la rete Internet e consentono l’accesso ad un insieme di risorse più vasto rispetto al caso di un tradizionale hosting.

• Ciò implica un rischio maggiore, anche perché combinato al rischio dell’accesso da remoto ed alle vulnerabilità del browser web.

Management interface compromiseManagement interface compromise


• Accesso da remoto alle interfacce di gestione

• Errata configurazione




• Accesso da remoto alle interfacce di gestione

• Errata configurazione





• Dati personali

• Dati sensibili


• Interfacci di gestione dei servizi cloud



• Dati personali

• Dati sensibili


• Interfacci di gestione dei servizi cloud



• La cancellazione completa adeguata o tempestiva dei dati potrebbe non essere possibile o non verificabile, sia perchè più copie dei dati potrebbero essere memorizzate ma non disponibili, sia perchè i dischi sui quali risiedono i dati da cancellare possono contenere anche dati di altri clienti.

Insecure or ineffective deletion of data Insecure or ineffective deletion of data

• Bonifica dei supporti di archiviazione• Bonifica dei supporti di archiviazione • Dati personali

• Dati sensibili

• Dati critici

• Dati personali

• Dati sensibili

• Dati critici



I 12 controlli del CSAI 12 controlli del CSA

• Il CSA, nella pubblicazione “Security Guidance for Critical Areas of Focus in Cloud Computing”, ha definito 12 domini di controlli di sicurezza suddivisi in due aree:

• Governance and Enterprise Risk Management

• Legal and Electronic Discovery

• Compliance and Audit

• Information Lifecycle Management

• Portability and Interoperability

• Governance and Enterprise Risk Management

• Legal and Electronic Discovery

• Compliance and Audit

• Information Lifecycle Management

• Portability and Interoperability

• Traditional Security, Business Continuity and Disaster Recovery

• Data Center Operations

• Incident Response, Notification and Remediation

• Application Security

• Encryption and Key Management

• Identity and Access Management

• Virtualization

• Traditional Security, Business Continuity and Disaster Recovery

• Data Center Operations

• Incident Response, Notification and Remediation

• Application Security

• Encryption and Key Management

• Identity and Access Management

• Virtualization

DOMINI DI GOVERNODOMINI DI GOVERNO DOMINI TECNOLOGICI DOMINI TECNOLOGICI


Relazione tra Rischi e ModelliRelazione tra Rischi e Modelli

• I rischi di sicurezza variano in funzione sia dei modelli di servizio / di deployment, sia dei vincoli organizzativi o di compliance.

• Loss of governance

- il modello SaaS può comportare un rischio di perdita di governo maggiorerispetto al modello IaaS.

• Compliance

- l’impatto di questo rischio varia in funzione della presenza o meno di vincoli normativi (es. PCI-DSS o SOX) e al tipo di modello di deployment(public o private).


InsourcingInsourcing o o OutsourcingOutsourcing

I rischi cambiano anche in funzione delle politiche di insourcing o outsourcing definite dall’organizzazione. Nella scelta di soluzioni in outsourcing devono essere considerate misure specifiche di sicurezza.

A.06.2.1 Identificazione dei rischi legati a parti esterne

A.06.2.2 Occuparsi della sicurezza quando si tratta con i cl ienti

A.06.2.3 Occuparsi della sicurezza negli accordi con terze p arti

Jericho Cloud Cube Model

La ISO 27002 definisce particolaricontrolli:


ControlliCSA

ControlliCSA

Controllisistema

tradizionale

Controllisistema

tradizionale

Approccio per la gestione della sicurezzaApproccio per la gestione della sicurezza

Scelta del sistema di gestione e del modello di

Cloud Computing…Risk Assessment Definizione del Sistema di

controllo

Rischi ENISA Controlli ISO27002

6.14

6.13

6.9

7.3

7.8

7.6

7.4

6.5

5.3

6.26.21

7.12

7.18

… e delle misure di sicurezza per

l’attuazione dei controlli


AgendaAgenda





Mitigare i rischi del cloudMitigare i rischi del cloud

Gestione dei rischi del cloudGestione dei rischi del cloud

MISURE ORGANIZZATIVE / DI PROCESSO

MISURE ORGANIZZATIVE / DI PROCESSOMISURE TECNOLOGICHEMISURE TECNOLOGICHE


Misure tecnologicheMisure tecnologiche

• Vasta è la gamma di soluzioni tecnologiche ad oggi disponibili per gestire i rischi di sicurezza dei sistemi informativi. Per mitigare i rischi specifici dei sistemi cloud è necessario individuare le soluzioni più idonee e personalizzarle in base alle proprie esigenze.

• Tra le soluzioni tecnologiche disponibili e con maggior garanzie, si ricordano ad esempio:

I sistemi di cifratura dei dati permettono di proteggere le

informazioni che risiedono nelle risorse del provider, consentendo il controllo dell’accesso ai dati critici.

I sistemi di cifratura dei dati permettono di proteggere le

informazioni che risiedono nelle risorse del provider, consentendo il controllo dell’accesso ai dati critici.

DATA ENCRYPTIONDATA ENCRYPTION FEDERATED IDENTITY MANAGEMENT

FEDERATED IDENTITY MANAGEMENT

Le soluzioni di FIM, attraverso la strong authentication, controllano l’accesso ai siti ai servizi cloud, eventualmente con single sign-

on.

Le soluzioni di FIM, attraverso la strong authentication, controllano l’accesso ai siti ai servizi cloud, eventualmente con single sign-

on.


Misure organizzative/di processoMisure organizzative/di processo

• Ad oggi non esistono best practice standard da applicare per la definizione di un contratto cloud.

• I punti chiave sui quali focalizzarsi sono:

- Sicurezza dei dati e compliance

- Performance

- Diritti di audit

- Scenari di uscita

Torino, 6 maggio 2010 Enrico Ferretti, Associate Director...sono ospitate al di fuori dagli edifici...

Documents

Transcript of Torino, 6 maggio 2010 Enrico Ferretti, Associate Director...sono ospitate al di fuori dagli edifici...