Sicurezza del cloud
Focus sulla sicurezza del cloud: strategie, architetture e modelli contrattuali per proteggere i dati aziendali sensibili in un mondo digitalizzato
I dati sono uno strumento della moderna economia digitalizzata, il nuovo oro delle aziende (settore privato), ma anche dello Stato (settore pubblico). Nel mondo digitalizzato di oggi, c'è un flusso inarrestabile di nuovi set di dati che finiscono su internet in gran numero. Alcuni di questi dati riguardano dati personali che rappresentano un'identità digitale. La vera arte di un'azienda è quella di filtrare attentamente questi dati e, soprattutto, di archiviarli. L'obiettivo di questo breve articolo è quello di mostrare i dati presenti in un cloud e come vengono elaborati dal punto di vista aziendale. Inoltre, questo breve documento mostra quali tipi di contratti, architetture e misure di sicurezza adeguate contro gli attacchi informatici adotta il settore per avere una base solida per il proprio trattamento dei dati. Prima di addentrarci direttamente nell'argomento della sicurezza del cloud, è importante conoscere alcuni dati fondamentali sul cloud computing, su come funziona e su come è strutturato un cloud: "Il cloud computing è un modello di elaborazione dei dati che può essere utilizzato per accedere a un pool condiviso di risorse informatiche configurabili (ad esempio reti, server, sistemi di archiviazione, applicazioni e servizi) comodamente tramite una rete, in qualsiasi momento e da qualsiasi luogo, a seconda delle necessità. Queste risorse possono essere rese disponibili rapidamente e con un minimo sforzo amministrativo o di interazione con il fornitore di servizi. Il cloud può essere utilizzato in tre varianti (Infrastructure as a Service (IaaS), Platform as a Service (PaaS), Software as a Service (Saas)). Il tipo di cloud si differenzia a seconda del tipo di fornitura (cloud privato, community cloud, cloud pubblico, cloud ibrido)" [1]. Nell'ambito del cloud computing, esistono diversi tipi di provisioning, ossia il modo in cui i cloud provider rendono disponibili i servizi cloud ai loro utenti. Esistono quattro modelli principali associati al cloud computing: 1. cloud pubblicoIl cloud pubblico consente a tutti gli utenti di accedere a risorse informatiche comehardware (sistema operativo, CPU, memoria) o software (server di applicazioni, database) su base di abbonamento o a pagamento. I casi d'uso pratici includono lo sviluppo e il test di applicazioni per attività critiche e non, come la condivisione di file e i servizi di posta elettronica. 2. cloud privatoIl cloud privato è di solito utilizzato esplicitamente da una singola organizzazione e può essere gestito internamente o da un fornitore esterno di servizi IT. Sebbene i cloud privati siano spesso più costosi dei cloud pubblici a causa degli investimenti per l'acquisizione e la manutenzione, rispondono meglio alle preoccupazioni delle organizzazioni in materia di sicurezza e protezione dei dati. 3. cloud ibrido (forma ibrida di un data center fisico o di un cloud privato esterno e/o di un cloud pubblico)Il cloud ibrido utilizza infrastrutture cloud sia private che pubbliche. Le aziende scelgono questo modello per espandere rapidamente la propria infrastruttura IT in base alle esigenze. Ad esempio, un rivenditore online può utilizzare le risorse del cloud pubblico durante le festività natalizie per integrare o alleggerire la capacità del suo cloud privato. 4. community cloudIl community cloud supporta diverse organizzazioni che utilizzano le risorse informatiche insieme . Si tratta, ad esempio, di università che collaborano in aree di ricerca specifiche o di enti statali come i dipartimenti di polizia di un distretto che condividono le risorse. L'accesso a un community cloud è limitato ai membri della comunità. I costi per l'utente finale sono tradizionalmente bassi per i cloud pubblici, senza la necessità di grandi investimenti. I cloud privati, invece, richiedonoinvestimenti, ma offrono un risparmio fondamentale rispetto ai costi operativi della propria infrastruttura.risparmio in linea di principio. I cloud privati garantiscono inoltre maggiore sicurezza e conformitàrispetto ai cloud pubblici. Per questo motivo alcune organizzazioni utilizzano i cloud privati per i dati e le applicazioni business-critical o più sensibili e i cloud pubblici per attività di base come lo sviluppo di applicazioni, gli ambienti di test e i servizi di posta elettronica.[2] Una soluzione di cloud ibrido è un buon modo per ridurre o diversificare i rischi di un attacco informatico. Offre un maggiore controllo sulla propria sicurezza rispetto all'utilizzo puro di un cloud pubblico. Inoltre, un'infrastruttura cloud ibrida offre la possibilità di impostare standard di sicurezza individuali e di configurare software personalizzati su server privati.configurazione personalizzata del software su server privati. Questa distribuzione porta a una maggiore affidabilità del sistema e a una migliore valutazione dei problemi del sistema. Inoltre, l'efficienza dei costi è maggiore rispetto all'acquisto e alla manutenzione dei server in loco.[3] Modelli di architettura dei servizi cloudVisti i vantaggi di una soluzione cloud ibrida, che vanno da un maggiore controllo della sicurezza a una migliore affidabilità, è importante comprendere le diverse architetture dei servizi cloud. Queste architetture, ovvero Infrastructure as a Service (IaaS), Platform as a Service (PaaS) e Software as a Service (SaaS), offrono diversi livelli di fornitura di servizi e definiscono diverse responsabilità per la conformità. 1. infrastruttura come servizio (IaaS)I fornitori di IaaS forniscono l'infrastruttura di base per l'elaborazione, lo storage e la rete, nonché l'hypervisor per la virtualizzazione.hypervisor per la virtualizzazione. Gli utenti sono responsabili della creazione e della gestione delle istanze virtuali, dell'installazione dei sistemi operativi, della fornitura di applicazioni e dati e dell'intera configurazione. L'IaaS è interessante sia per le piccole che per le medie imprese. Il semplice funzionamento di un'infrastruttura cloud che non viene gestita internamente è un'alternativa economica all'acquisto di hardware proprio. Esempi: DigitalOcean, AWS, Azure, Google Compute Engine. 2 Piattaforma come servizio (PaaS)I fornitori di PaaS estendono lo stack applicativo più di quanto non facciano gli IaaS, aggiungendo sistemi operativi e middleware (ad es. database). Gli utenti si concentrano maggiormente sullo sviluppo delle applicazioni. La piattaforma gestisce l'infrastruttura sottostante. Esempi: AWS Elastic Beanstalk, Google App Engine. 3. software come servizio (SaaS)I fornitori SaaS offrono uno stack di applicazioni completo. Gli utenti possono accedere all'applicazione completamente ospitata tramite un browser web. La gestione dei carichi di lavoro e delle risorse IT è completamente sotto il controllo del fornitore SaaS, mentre gli utenti hanno un controllo esplicito sui dati creati dall'applicazione. Esempi: aBusiness Suite, Salesforce, Dropbox, Google Workspace.[4] Il cloud nel diritto contrattualeI contratti SaaS non sono ancora stati trattati esplicitamente dal legislatore. Ad oggi, un contratto SaaS può essere classificato giuridicamente solo come un contratto misto, che include aspetti di contratti di servizio, lavoro e noleggio. L'area di diritto applicabile dipende quindi dalla sezione del contratto relativa al servizio. La componente centrale di un contratto SaaS risiede principalmente nel diritto di locazione, poiché la fornitura di un software è meglio paragonata al trasferimento di una proprietà ai sensi del diritto di locazione. Poiché il software non è considerato una "cosa" ai sensi del diritto di locazione, l'opinione attuale è che i contratti SaaS rappresentino un trasferimento temporaneo per l'uso. Ciò è in linea con i regolamenti e con l'obiettivo perseguito dalla legge sulla locazione.[5] I contratti PaaS sono in gran parte caratterizzati da accordi sui livelli di servizio (SLA), che definiscono i servizi minimi e i diritti e gli obblighi.servizi minimi e definiscono i diritti e gli obblighi di entrambe le parti contraenti. La protezione e la sicurezza dei dati svolgono un ruolo fondamentale, poiché i servizi PaaS spesso comportano il trattamento di dati sensibili. Il contratto deve contenere disposizioni chiare sullaprotezione dei dati personali. È inoltre fondamentale specificare nel contratto chi è il proprietario della proprietà intellettuale delle applicazioni create: di solito l'utente mantiene la proprietà delle applicazioni e il fornitore quella della piattaforma.[6] ConclusioniIndipendentemente dal fatto che si tratti di una startup, di una società di venture capital, di una PMI o di una grande azienda, la sicurezza del cloud è fondamentale per ogni organizzazione. Non è solo importante considerare con quali fornitori di cloud si vuole lavorare come aziendama anche quali sono le condizioni quadro. In definitiva, la sicurezza non è di per sé responsabilità esclusiva del fornitore di servizi tecnologici cloud, ma i dipendenti di un'azienda svolgono un ruolo altrettanto importante nell'aspetto della sicurezza di un cloud. È fondamentale investire regolarmente nella formazione e nella sensibilizzazione dei dipendenti per garantire che abbiano il know-how necessario per gestire le politiche e le procedure di sicurezza. Tuttavia, per sfruttare appieno il potenziale del cloud, le aziende dovrebbero investire sia nella manutenzione dei propri sistemi o di quelli di partner esterni, sia nell'assunzione di nuovo personale IT. In questo modo, un'azienda può garantire la sicurezza del sistema e aumentare la soddisfazione dei clienti, migliorando così la reputazione dell'azienda nel lungo periodo. Uno dei principali ostacoli alla scelta di un fornitore esterno di cloud è sempre stato ladipendenza da fornitori stranieri e dalle loro normative sulla protezione dei dati. Le aziende affrontano questa sfida con misure quali l'esame approfondito delle linee guida sulla protezione dei dati, approcci al cloud ibrido per ridurre al minimo i rischi, valutazioni delle misure di sicurezza e delle certificazioni dei provider, valutazioni dell'impatto sulla protezione dei dati, monitoraggio e audit regolari e preparazione a eventuali violazioni della protezione dei dati. Le strategie variano a seconda delle dimensioni dell'azienda e del settore, ma tutte hanno l'obiettivo di garantire la conformità alla protezione dei dati e di ridurre al minimo i rischi potenziali quando si utilizzano servizi cloud esterni. Elenco delle fonti
Capire il cloud: sai cos'è un cloud pubblico e cos'è un cloud ibrido? (2023) Che cos'è lo IaaS? Definizione e curiosità Piattaforma come servizio (PaaS) (2022) A cosa devi prestare attenzione quando redigi i contratti SaaS (2022) Contratti Platform-as-a-Service (contratti PaaS): Una guida (2023) [1] cfr. https://www.swissbanking.ch/de/themen/digitalisierung-innovation-cyber-security/cloud-computing https://www.speechlive.com/at/blog/die-cloud-verstehen-wissen-sie-was-eine-public-cloud-und-was-eine-hybride-cloud-ist[3] cfr. / (2023) [4] cfr. https://bsh-ag.de/it-wissensdatenbank/iaas-infrastructure-as-a-service/ e https://www.computerweekly.com/de/definition/Platform-as-a-Service-PaaS (2022) [5] cfr. https://www.top.legal/wissen/saas-vertraege (2022) [6] cfr. https://www.anwalt.de/rechtstipps/platform-as-a-service-vertraege-paas-vertraege-ein-leitfaden-216904.html (2023) Proteggi ciò che conta Proteggi i tuoi server. 24 ore su 24.Articoli rilevanti per l'argomentoQuale tipo di backup è la scelta migliore per i miei dati?Perché i processi di business ottimizzati sono importanti per la tua azienda? Ecco quanto è importante il backup dei dati nella vita reale Questo articolo copre gli argomenti:Cloud computing |
|