Che cos'è la sicurezza nel cloud?
Il cloud computing sicuro include tre funzionalità di base: riservatezza, integrità e disponibilità. La riservatezza è la capacità di garantire la segretezza delle informazioni da persone che non dovrebbero averne accesso. L'integrità implica che i sistemi funzionino in modo tale da produrre risultati che non siano imprevisti o fuorvianti. La disponibilità fa riferimento al mantenimento dell'uptime dell'infrastruttura cloud e dei servizi basati sul cloud, tra cui la prevenzione degli attacchi di denial-of-service (DoS).
La sicurezza è forte solo quanto il suo livello inferiore. Le aziende che stanno creando le loro politiche di sicurezza cloud hanno bisogno di valutare una strategia di "difesa in profondità". Ciò significa costruire da zero con una base affidabile a livello hardware. Le applicazioni e i software nel cloud funzioneranno in modo più sicuro se implementati su una base sicura.
Esistono diversi strumenti Intel® abilitati a livello hardware che fanno fronte a queste capacità essenziali nelle piattaforme cloud e, grazie alle funzionalità di sicurezza integrate su ogni componente di silicio Intel®, non resta altro che abilitare tali strumenti. Strumenti quali crittografia, firmware e protezione della piattaforma fungono da punto di partenza per affrontare le questioni di sicurezza IT delle aziende e degli enti pubblici. Grazie alle funzionalità di sicurezza dei dati migliorate disponibili nel cloud, è possibile finalmente realizzare i vantaggi di costo e agilità disponibili nel cloud pubblico, nel cloud privato o nell'implementazione di un cloud ibrido attraverso tecnologie che contribuiscono a consentire il confidential computing.
Perché è importante la sicurezza nel cloud?
Il cloud offre risorse di computing e storage su richiesta in grado di trasformare le aziende e accelerare lo sviluppo e l'implementazione dei servizi. Tuttavia, le aziende non possono godere di tutti questi potenziali vantaggi senza una solida spina dorsale in grado di proteggerle dalle minacce digitali, dai malware e dagli hacker. L'obiettivo è ridurre la superficie di attacco complessiva, gestire i rischi per accedere alle risorse cloud e, in ultima analisi, rendere l'utilizzo del cloud redditizio e vantaggioso.
Ciascun settore sta lavorando assiduamente al fine di tenere il passo con lo scenario di minacce in continua evoluzione, sia che si tratti di proteggere la proprietà intellettuale, mantenere i sistemi aggiornati o garantire la conformità alle norme sulla privacy. I team di sicurezza IT sono spesso a corto di personale oppure fanno fatica a soddisfare le esigenze in continua evoluzione. Il cloud computing offre una soluzione a queste sfide poiché diversi cloud pubblici sono dotati di offerte di servizi di sicurezza informatica, crittografia e protezione dei dati.
Il cloud sta emergendo come piattaforma principale per la consapevolezza della sicurezza, in cui vengono implementate le più recenti tecnologie, gli esperti di sicurezza informatica sono disponibili in qualsiasi momento e i progressi nell'ambito delle minacce digitali vengono affrontati in tempo reale. Le aziende possono trarre vantaggio non solo dalle risorse di computing e storage on-demand nel cloud, ma anche dalle funzionalità di sicurezza dei dati di livello mondiale.
In che modo la sicurezza nel cloud è diversa dalla sicurezza della rete?
La sicurezza della rete fa riferimento alla sicurezza del perimetro di un data center e al trasferimento dei dati all'interno o all'esterno del data center. Ciò comporta l'utilizzo dell'infrastruttura di rete e dei controlli per la gestione del flusso dei dati e la prevenzione dell'accesso alla rete da parte delle minacce digitali. Un esempio fondamentale per la sicurezza della rete è l'utilizzo dei firewall in grado di limitare l'accesso alle porte di rete specifiche. Ma il networking è solo un fattore dell'equazione e il cloud computing include l'intera gamma di dispositivi, dati e software. Le aziende e gli architetti cloud hanno bisogno di un perimetro di rete solido e sicuro, ma ci saranno sempre minacce informatiche e violazioni dei dati a raggirare le protezioni del perimetro. Per questa ragione, è importante avere una strategia di sicurezza su più livelli, come il confidential computing, che abbracci hardware, software e applicazioni.
Cloud per settori soggetti a regolamentazione
L'importanza della protezione delle risorse cloud è ancora più evidente in settori soggetti a regolamentazione come quello della sanità e nella finanza. Ad esempio, le aziende sanitarie negli Stati Uniti sono tenute a rispettare l''Health Insurance Portability and Accountability Act (HIPAA)" volto a proteggere i dati sensibili dei pazienti da accessi non autorizzati. I fornitori di servizi finanziari sono tenuti a rispettare il Sarbanes-Oxley Act relativo alla responsabilità pubblica, nonché a utilizzare al contempo i loro metodi di sicurezza informatica per il rilevamento e la prevenzione delle frodi.
Gli uffici della pubblica amministrazione devono attenersi a una serie di standard rigorosi per quanto riguarda il cloud computing per la pubblica amministrazione. Tra questi figurano il Federal Risk and Authorization Management Program (FedRAMP) e il quadro del National Institute of Standards and Technology (NIST). Intel® ha partecipato allo sviluppo del quadro NIST e continua ad aiutare le organizzazioni ad adattarsi ai relativi requisiti.
La presenza di una radice di attendibilità abilitata tramite hardware può contribuire a fornire la garanzia, sia per le aziende appartenenti a questi settori soggetti a regolamentazione, sia per le autorità di regolamentazione stesse, del rispetto di una due diligence volta a proteggere i dati sensibili nel cloud.
Sovranità dei dati
La sovranità dei dati è un altro settore altamente regolamentato per le aziende che utilizzano il cloud pubblico o le risorse cloud ibride. Il concetto di sovranità dei dati illustra il modo in cui i governi nazionali impongono requisiti e limitazioni o le modalità di accesso ai dati in base al punto in cui sono fisicamente archiviati. Le normative potrebbero stabilire che i carichi di lavoro o i dati dei cittadini del paese possano essere trasferiti al di fuori del paese o rimanere su un server che non si trova all'interno dei confini di tale paese. Le funzionalità abilitate tramite hardware come il trusted boot possono contribuire a supportare la sovranità dei dati. In fase di avvio delle applicazioni, il trusted boot può contribuire a verificare che i dati si trovino esattamente nel punto in cui dovrebbero essere, oppure a prevenire l'esecuzione di un'applicazione con dati migrati.
Protezione di cloud pubblici, ibridi e privati
Le aziende che investono nell'infrastruttura cloud privata o in cloud pubblici possono trarre vantaggio dalla sicurezza basata su hardware Intel® in grado di creare una base affidabile per i dati a riposo, in movimento o in uso. Le principali innovazioni Intel contribuiscono a fornire una crittografia accelerata e l'esecuzione affidabile per le applicazioni, una radice di attendibilità a livello del firmware e storage resistente alle manomissioni.
- I processori scalabili Intel® Xeon® offrono funzionalità ottimizzate per l'hardware, tra cui Intel® Total Memory Encryption (Intel® TME). Intel® TME contribuisce a garantire che tutta la memoria accessibile dalla CPU Intel® sia crittografata, comprese le credenziali dei clienti, le chiavi crittografiche e altre informazioni personali identificabili.
- Intel® Software Guard Extensions (Intel® SGX) su sistemi selezionati contribuisce a proteggere l'integrità delle applicazioni e la privacy dei dati. Questa tecnologia stabilisce "enclave di dati" all'interno della memoria per l'isolamento dei dati in uso. Intel® SGX è una tecnologia chiave che consente un computing riservato per i modelli di elaborazione cloud e multiparty, particolarmente adatta per i carichi di lavoro che prevedono l'uso di dati sensibili in segmenti soggetti a regolamentazione come i servizi finanziari, la sanità e la pubblica amministrazione.
- Intel® Platform Firmware Resilience (Intel® PFR), disponibile esclusivamente sui processori scalabili Intel® Xeon®, contribuisce ad aumentare la protezione contro l'intercettazione del firmware, rilevare la corruzione del firmware e ripristinare i sistemi compromessi a uno stato noto di buone condizioni.
Abilitare la computazione a parti multiple
L'iniziativa di confidential computing contribuisce a consentire un caso di utilizzo emergente con una collaborazione in più reparti dell'organizzazione noto come la computazione a parti multiple. Ad esempio, la University of California San Francisco (UCSF) ha creato una piattaforma abilitata da Intel® SGX volta a garantire la privacy dei pazienti che utilizza al contempo algoritmi per la raccolta di dati curati. Ciò consente a diversi ospedali di combinare i dati e accelerare la ricerca, il che potrebbe portare al rilevamento rapido delle malattie o a sperimentazioni farmacologiche con tracciamento rapido. Il Confidential Computing Consortium è un'iniziativa della comunità che continua a esplorare possibilità come la computazione a parti multiple e la tecnologia a livello di innovazione come Intel® SGX.
Sicurezza tramite la collaborazione
Intel collabora a stretto contatto con i provider di servizi cloud (CSP) per la fornitura dell'hardware e delle tecnologie Intel® più recenti per la difesa dalle minacce. Ciò include l'implementazione di nuove generazioni di hardware con innovazioni quali Intel® SGX e aggiornamenti del firmware o dei database delle minacce per garantire che le piattaforme siano in grado di operare con le patch di sicurezza dei dati più aggiornate. L'utilizzo di un cloud pubblico consente alle aziende di trarre vantaggio dalla tecnologia all'avanguardia e di eseguire l'offload del carico di gestione per la ricerca e l'implementazione delle più recenti tecnologie sui CSP. Anche le aziende che stanno cercando di progettare e implementare la propria infrastruttura di cloud privato o lavorare con i CSP all'accesso alle risorse cloud pubbliche, possono iniziare chiedendo indicazioni a Intel.