High Quality
Open the downloaded document, and select print from the file menu (PDF reader required).
quaderni consip
ricerche, analisi, prospettive
quaderni consip
ricerche, analisi, prospettive
Matteo Cavallini
Cloud Security: una sda per il uturo
II
[
2011
]
I ‘Quaderni Consip’ sono una testata registrata presso il Tribunale Civile di Romaversione cartacea iscr. n. 11 del 16 gennaio 2009versione elettronica iscr. n. 14 del 16 gennaio 2009Direttore responsabileAlessandro GrilliRedazioneConsip S.p.A.Via Isonzo, 19/e00198 RomaT + 39 06 85449.1corporateidentity.consip@tesoro.itI Quaderni Consip sono pubblicati all’indirizzo:www.consip.it
Cloud Security: una sda per il uturoquaderni consip3quaderni consip3quaderni consip3
Preazione
Di cloud computing si è parlato e discusso molto nell’ultimo periodo. I ornitori e i ruitori dei servizi, leuniversità e le istituzioni di ricerca si sono atti promotori di numerosi convegni, analisi e studi, molti deiquali sono ancora in corso. Il problema della sicurezza è considerato cruciale per lo sviluppo del cloudcomputing. La caratteristica dei sistemi cloud di utilizzare risorse elaborative (intese in senso lato) chepossono essere distribuite su siti diversi, allocate dinamicamente a seconda delle richieste e dei carichi dilavoro e condivise tra più clienti genera problematiche di sicurezza nuove rispetto a quelle dei tradizionalisistemi inormativi.Il settore pubblico, nell’avvicinarsi al cloud computing, deve tener conto di alcune ulteriori specicità cherichiedono una maggiore attenzione per quanto riguarda: il rispetto della privacy, la proprietà dei dati,la conservazione nel tempo delle inormazioni, l’indipendenza da soluzioni proprietarie e la possibilità dicambiare periodicamente i ornitori. Non arontare e risolvere i problemi connessi a queste specicitàcostituisce un reno, orse un ostacolo insormontabile, alla diusione del cloud computing nella PA.Questo quaderno aronta il problema della “cloud security” prendendo in considerazione il sistema digoverno e le policy da adottare, i controlli e le veriche da eettuare, la conormità agli standard, l’utilizzodi architetture e tecniche per migliorare la sicurezza dei sistemi e delle applicazioni.I potenziali vantaggi e beneci che i ornitori di servizi cloud prospettano sono messi a conronto conle preoccupazioni degli utenti e con i costi del superamento degli ostacoli che si rappongono alla lorodiusione. Una particolare attenzione è dedicata all’analisi dei rischi che le modalità di acquisizione e dierogazione dei servizi cloud pongono.Queste analisi hanno portato a due conclusioni. Da un lato una singola amministrazione deve seguire un“approccio consapevole ai servizi cloud”, con la denizione di una strategia, degli specici requisiti, dei livellidi servizio necessari e di un Piano della Sicurezza. Dall’altro il settore pubblico nel suo complesso, anche sulpiano transnazionale, è chiamato ad arontare e risolvere problemi di carattere generale: una normativaaggiornata e adeguata, un piano di lotta al cyber crime, l’adozione di regole per la portabilità dei dati e delleapplicazioni, la denizione di standard e di criteri di certicazione.
Sections
« prev | next »- Prefazione
- Introduzione
- 1.1 La definizione del NIST
- 1. Il Cloud Computing
- 1.1.1 Caratteristiche essenziali
- Tabella 1 – Le caratteristiche essenziali del cloud computing
- 1.1.2 I “Service model”
- Tabella 2 – I “Service model”
- 1.1.3 I modelli di erogazione
- Tabella 3 – I modelli di erogazione
- Tabella 4 - Matrice delle casistiche dei Modelli di Erogazione
- 1.2 Gli attori
- 1.3 Il modello architetturale di riferimento
- Fig. 1 – DMTF Cloud Service Reference Architecture
- Fig. 2 – CSA Cloud Reference Model
- 1.4 I possibili scenari
- 2. Il Cloud e il mercato
- 2.1 Vantaggi e benefici
- 2.2 Problematiche e preoccupazioni
- 3. Il Cloud e l’e-government
- 3.1 Gli approcci degli Stati Uniti e dell’Europa
- 3.2 Vantaggi e preoccupazioni
- Fig. 3 – Cloud Benefts (Fonte Federal Cloud Computing Strategy)
- 4. la gestione del rischio nel mondo cloud
- 4.1 Risk assessment
- 4.2 I principali rischi delle cloud
- Tabella 5 - Matrice della rilevanza dei rischi nei vari Service Model
- 4.2.1 Rischio 1 –Contrattualistica non sempre adeguata
- 4.2.2 Rischio 2 – Impossibilità di negoziare i termini contrattuali
- 4.2.3 Rischio 3 – Legge applicabile e foro competente
- 4.2.5 Rischio 5 – Riflessi di azioni giudiziarie verso altri clienti
- 4.2.6 Rischio 6 – Perdita di governance
- 4.2.7 Rischio 7 – Lock In
- 4.2.8 Rischio 8- Indisponibilità di un servizio o di un provider
- 4.2.10 Rischio 10 – Compromissione della sicurezza della rete
- 5. Cloud Security: gli aspetti più rilevanti
- 5.1 Il sistema di governo e le policy di sicurezza
- 5.2 Audit e compliance
- 5.3 La definizione e la gestione dell’infrastruttura
- 5.4 L’utilizzo della cifratura
- 5.5 La gestione delle identità
- 5.6 La sicurezza delle applicazioni
- 6. Un approccio consapevole ai servizi cloud
- Fig. 4 – ENISA Model for decision-makers
- 6.1 La definizione di una strategia
- 6.2 La definizione dei requisiti
- 6.3 La valutazione degli SLA
- 6.4 Il Piano della Sicurezza
- 6.5 La continuità dei servizi
- 6.6 La gestione degli incidenti
- 7. Le sfide per il futuro
- 7.1 Sfida 1: l’evoluzione normativa
- 7.2 Sfida 2: la lotta al cyber crime
- 7.3 Sfida 3: la portabilità dei dati e delle applicazioni
- 7.4 Sfida 4: l’approccio transnazionale
- 7.5 Sfida 5: le best practice e le certificazioni
- Ringraziamenti
- Referenze
Add a Comment