Il cloud computing è sicuro?
Uno dei concetti ultimamente più di moda nel mondo dell’informatica è il “cloud computing”. L’idea di base della “nuvola” è che le applicazioni invece di girare sui client, vengono spostate su invisibili cluster di macchine accessibile da Internet.
Ecco tre categorie di sistemi basati sul cloud computing
Software as a Service(SaaS)
Nel Saas comprate un abbonamento a un prodotto software, ma parte o tutti i dati e il codice vivono su macchine remote.
Platform as a Service (Paas)
Dal punto di vista degli utenti questo modello è simile al SaaS, ma le applicazioni vengono sviluppate in modo tale che e possano essere eseguite su una infrastruttura remota.
Infrastructure as a Service (Iaas)
Questo modello è molto simile al Paas, tranne che chi sviluppa l’applicazione può definire un proprio ambiente software. In sostanza, uno IaaS Provider mette a disposizione dei propri clienti delle macchine virtuali. Il provider può modificare dinamicamente le risorse dedicate ad ogni macchina virtuale in modo da permettere totale scalabilità a seconda dei carichi di lavoro.
Rischi del cloud computing
Dal punto di vista degli utenti, questi tre modelli sono sostanzialmente molto simili. La sicurezza delle applicazioni dipende da fattori che, per larga parte, gli utenti non possono controllare.
In questi modelli anche chi sviluppa le applicazioni non può controllare direttamente l’ambiente informatico utilizzato. Chi fornisce la nuvola stabilisce le regole e chi sviluppa deve seguirle.
Un vantaggio significativo di tutte le soluzioni di cloud computing è che, se sono state progettate bene, tutto il codice potenzialmente attaccabile risiede sul server. E’ tuttavia possibile che chi sviluppa l’applicazione decida di lasciare sul client funzionalità che sarebbe meglio implementare sul server. Va quindi sempre dato per scontato che i cattivi possano accedere a qualsiasi cosa presente sul client, indipendentemente dal tipo di precauzioni prese.
Se, per esempio, il client fosse responsabile della costruzione e della validazione delle query verso un database e il server lo eseguisse senza nessuna verifica, un cattivo potrebbe modificare il codice lato client in modo da poter fare sul database qualsiasi cosa per cui il client abbia permessi. Di solito significa poter leggere, modificare, cancellare a piacere.
Pro e Contro
Ovviamente il cloud computing presenta molti vantaggi, tra cui la condivisione dei costi di infrastrutture tra aziende diverse e una più agevole scalabilità in caso di necessità.
L’altro lato della medaglia è che i provider tendono ad essere molto grossi e quindi diventano anche obiettivi molto interessante per i cattivi.
I grandi provider devono risolvere gli stessi problemi di sicurezza di chiunque altro, ma le conseguenze di un incidente potrebbero essere ben più gravi, visto il numero di applicazioni e clienti coinvolti.
Articoli correlati:
[...] l’edizione PRO a pagamento che l’edizione gratuita di Panda Cloud Antivirus son state migliorate per offrire una maggiore protezione e flessibilità agli utenti che ne [...]