Diverse sono i benefici che le aziende possono ottenere spostando applicazioni e dati nel Cloud: dalla scalabilità, all'agilità, alla riduzione dei costi.
Tuttavia, ai potenziali vantaggi sono associati anche nuovi rischi. Una dimostrazione di ciò giunge anche da un survey condotto da HP nel novembre 2013 (HP Cloud-public cloud security research) che ha messo in luce come il 16 per cento delle aziende intervistate presenti sul Cloud abbia riportato almeno una violazione del cloud pubblico negli ultimi 12 mesi.
State of Security Operations 2016 report of capabilities and maturity of cybe...
Soluzioni per proteggere i dati nel cloud
1. Soluzioni per proteggere i dati nel Cloud
Crittografia e Cloud
Diverse sonoi beneficiche le aziende possonoottenere spostandoapplicazioni e dati nel Cloud:dalla
scalabilità,all'agilità,allariduzionedei costi.
Tuttavia,ai potenziali vantaggi sonoassociati anche nuovirischi.Unadimostrazione di ciògiunge anche da
un surveycondottodaHP nel novembre 2013 (HPCloud-publiccloudsecurityresearch) che hamessoin
luce come il 16 per centodelle aziende intervistate presenti sul Cloudabbiariportatoalmenouna
violazionedel cloudpubbliconegli ultimi 12mesi.
Peraltro,varicordatoche i Cloudproviderche offronoservizi di Infrastructure asa Service (IaaS) e Platform
as a Service (PaaS) propongonosolitamente unmodellodi "responsabilitàcondivisa"perle applicazioni e i
dati dei loroclienti e,di conseguenza,laresponsabilitàdellasicurezzadei dati nel cloudè unproblemala
cui soluzionespettaalle aziendeproprietariedei dati.
La crittografiadei dati è unodei metodi piùefficaci perproteggere i dati ariposonel cloud,manon tutte le
tecnologie sonoidentiche. Al fine di selezionare lasoluzione piùefficace perle proprie specificheesigenze
aziendali,è importante analizzare alcuni aspetti fondamentalilegati allagestione del processodi
crittografiae al modoincui viene esercitatalaprotezione deidati inusoo a riposoattraversoogni fase del
lorociclodi vitae a come viene affrontatalagestione e lasicurezzadelle chiavidi crittografia.
Una delle preoccupazioni primarie perchi scegliemodelliClouddi tipoibridoopubblicoè proprioquelladi
garantire la massimasegretezzadelle chiavi di cifraturariuscendo,nel contempo,amantenernela
proprietàe il controllo:due obiettivi spessotraloroantagonisti.
Infatti,tutti i sistemi di crittografiadei dati,sianel cloudoinundata centerfisico,condividonouna
vulnerabilitàcomune:hannobisognodi utilizzarele chiavi di crittografiae,quandoquestesonoinuso,è
possibile,ipoteticamente,rubarle.
Nell'analizzare unasoluzionedi crittografiaè anche opportune valutarne il livellodi versatilitàe lasua
capacità di supportare i diversi possibilicasi d'uso:crittografiadel disco,del database,del file systeme
dellostorage distribuito.
AttraversoladivisioneEnterprise SecurityProducts,inrispostaatutte queste esigenze,HPpropone HP
AtallaCloudEncryption,unasoluzione che adottanumerose precauzioniconosciutee le combinaconaltre
di nuovotipo.
2. HP Atalla Cloud Encryption
HP AtallaCloudEncryption,avvalendosi del motore Porticor,combinacifraturaallostatodell'arte
implementatasuappliance (fisicaovirtuale) conunatecnologiabrevettatadi gestionedelle chiavi
progettataperproteggere i dati critici inambienti Clouddi tipopubblico,ibridoe privato. Questasoluzione
permette di crittografare l'interolayerdei dati,inclusi i principali database (Oracle,MySQL,MicrosoftSQL
Servere IBM DB2), i file e lostorage distribuitoall'internodi unCloudpubblico,ibridoe privatoconchiavi
che nonrisultanomai esposte inmodovulnerabile.
Perfornire protezionenel cloudHPAtallaCloudEncryptionutilizzatre tecnologiedi base:
crittografiadei dati basatasu standardgestibile attraversoun'interfacciautentemoltosemplice;
un serviziocloud-readyperlagestione dellechiavi che utilizzala soluzioni enterprise perla
protezione dei dati sensibili tecnologiabrevettatadi cifraturaconchiave divisa;
tecniche di crittografiaachiave omomorficache proteggonole chiavi anche quandosonoinuso.
Come funziona HP Atalla Cloud Encryption
HP AtallaCloudEncryptionfornisce lapossibilitàdi inserire lasoluzione di crittografiatral'archiviazione dei
dati e l'applicazioneoil database servernel cloud. Unavoltache è stata concessal'autorizzazione,la
soluzione di crittografiarisultatrasparenteperl'applicazionee puòessere integratavelocementee con
facilitàsenzamodificare alcunaapplicazione.
Ogni voltache un'applicazione (peresempioundatabase server)scrive unbloccodati suun disco,questo
passa attraversoun'appliance virtuale sicuraincui i dati vengonocrittografati e poi inviati al volumedel
disco. Tutte le richieste perleggerei dati dal discovengonoinviati allaappliance virtualesicura,che legge i
blocchi di dati cifrati,li decodifica,e quindiinviai dati di testoinchiaroall'applicazione richiedente.
HP AtallaCloudEncryptionutilizzal'algoritmodi crittografiaAdvancedEncryptionStandard(AES) con
chiave a 256 bit. Blocchi multiplisonoincatenaticonCipher-BlockChaining(CBC) e loschemaEncrypted
Salt-SectorInitializationVector(ESSIV)viene utilizzatopercontrastare i cosiddetti attacchi "watermarking"
indirizzati ai metodi di cifraturadel discoe incui lapresenzadi un bloccodi dati appositamente
predisposto(peresempio,unfiledi richiamo) puòessere rilevatodaunattaccante senzaconoscere la
chiave di crittografia.
La soluzione proposta da HP può cifrare in modo dinamico:
• i volumi di undisco,siache si presentinoalle applicazionicome dischi NFSocome volumi CIFS;
• i volumi di dischi inunaSAN,tramite il supportodel protocolloiSCSI;
• lostorage distribuito,neicasi incui le applicazioni scrivonol'interofileall'internodi un Webservice.Il
motore PorticorsupportasiaAmazonS3 (Simple Storage Service) che è attualmente l'implementazione più
diffusasiaconsente l'integrazioneconaltre implementazioni.
3. Oltre allacrittografia,HPAtallaCloudEncryptionmette adisposizioneanche altre tecnologieperrafforzare
la sicurezzadei dati quali:
• firmadigitale pergarantire che il datononvengaalterato,
• unatecnologiabrevettatadi dispersione deidati e di decostruzioneperrendere piùdifficoltosotrovare i
dati nel cloud,
• sistemi di registrazionee di allertasueventi legati ai dati a supportodelle azioni di auditinge di
compliance.
HP Atalla Cloud Encryption Virtual Key Management Service
Le bestpractice di sicurezzaprevedonodi nonmemorizzare lachiave di cifraturaaccantoai dati
crittografati,inquantoentrambi le componentipotrebberorisultare vulnerabili al medesimoattacco.
Nel cloudquestorappresentaun obiettivoirrealizzabile:nonè possibileevitaredi memorizzare le chiavinel
cloudassieme ai dati poiché si habisognodelle chiavi peraccedere ai dati memorizzati sui serverapplicativi
e sui database server.
L'approccio seguitodaHP perovviare a questacondizioneall'internodellasoluzioneHPAtallaCloud
Encryptionprevede di mettereadisposizioneunserviziodi gestione dellechiavi ospitatoall'internodel
cloudche eviti di penalizzare lasicurezzagrazie all'utilizzodi unatecnologiadi crittografiaachiave divisae
omomorfica.
QuestoserviziodenominatoHPAtallaCloudEncryptionVirtual KeyManagement(VKM) Service è fornito
attraversoil cloudedè supportatodal partnerdi HP,Porticor. Il servizioVKMfornisce lacapacitàdi
generare chiavi di crittografiache possonoessereutilizzatedal software HPAtallaCloudEncryption
implementatonell'infrastrutturacloud.
L'accesso al servizioavviene dal sitoWebdi HPAtallaCloudEncryptionsuconnessionehttpsattraverso
l'integrazioneconun'appliance virtuale. Il servizioè disponibile inmodalità24x7ed è progettatoper
fornire unlivellodi disponibilità(SLO) del 99,99per cento.Nel casoin cui un disastrodi varia naturaabbia
un impattosul servizio,HPgarantisce il ripristinodell'accessoentro15giorni lavorativi.
La cifratura a chiave divisa
La cifraturaa chiave divisautilizzatanellasoluzioneHPAtallaCloudEncryptionprevede che ogni "data
object"(peresempioundiscoounfile) vengacifratoconun'unicachiave che viene separataindue.
La primaparte,la cosiddettaMasterKey,è uguale pertutti i "data object"nell'applicazionee rimane in
possessosolodel proprietariodell'applicazione mentre è sconosciutaadHP.
La secondaparte dellachiave è differente per ogni "dataobject"e viene generatadall'appliance virtuale
sicuraall'internodel serviziodi gestionedelle chiavie di HPe memorizzatanel KeyManagementService
dopoaverlaulteriormente cifrataconunachiave privataRSA.
4. Entrambi le chiavi devono essere utilizzatecontemporaneamente persvolgere le operazioni crittografiche.
Quandoun'applicazioneaccede all'archiviodati,l'appliance combinalachiave masterconlaseconda
chiave perottenere unachiave che puòeffettivamente decifrare unoggetto.
In altre parole,ogni voltache unutente creaun nuovoprogetto(applicazione),si generaunasolachiave
Master che viene memorizzatainmodosicurosusistemi on-premises.
La chiave Masterviene utilizzatadall'appliance virtualesicurache risiede nelClouddell'utente,manon
viene mai trasferitaal KeyManagementServicedi HPAtallaCloudEncryption.
Quandoun volume di discooun oggettoAmazonS3 viene crittografato,questoriceve unanuovachiave
che è una combinazione matematicadellaMasterKeye di una chiave casuale univocacreatadall'appliance
virtuale sicurae conservatainformacrittografatanel KeyManagementService.Intal modo,perogni
applicazione oprogetto,l'utente deve tenere tracciasolodi unaMaster Key.
Quandonon è piùnecessariol'accessocontinuatoaun"data object",è possibileutilizzarel'interfacciadi
gestione (API)per"bloccare"l'oggetto. Lachiave vienepoi cancellata,e sololasecondaparte viene
conservata(criptata) nel virtual KeyManagementService.
5. L'oggettoin tal modorisultaancora protettosiadallaMaster Keysiadall'altrachiave e quandola chiave
dovesse serviredi nuovoperlariattivazionedel volume,puòessere prelevatodal virtual KeyManagement
Service.
Tecnologia omomorfica per proteggere le chiavi durante l'uso
L'operazione concui l'appliance virtualecombinale due parti delle chiavidi cifraturasolitamente
richiederebbe che entrambile parti dellachiave venganoesposteinmodononcifrato.
HP AtallaCloudEncryption,invece,mantienesicuri i dati e le chiavi di cifraturaanche quandosono inuso
nel cloud,grazie all'usodi tecnologiacrittograficaomomorfica:unatecnicache abilital'esecuzione di
operazioni matematiche sudati cifrati. Di fatto,conHP AtallaCloudEncryptionentrambi le parti della
chiave sonocifrate primae durante il loro utilizzonell'appliance.Di conseguenza,l'appliance virtuale
fornisce all'applicazione l'accessoall'archiviodei dati senzamai esporre le chiavi Masterinmodonon
cifrato.
La soluzioneAtallacifralaMaster Keyinmodo differente perogni istanzadellavirtualappliance sicura. Nel
caso improbabileche l'appliancevirtuale fosseviolatae lachiave di crittografiavenisse rubata,solo
l'oggettodati stocasticamente dipendente che è inmemoriainquel momentosarebbe esposto.Per
accedere al restodei dati atrchiviati,il ladroavrebbe bisognodellaMasterKeydel progettoenterprise.
Va osservatoche l'esecuzione di unprocessodi cifraturaomomorficacompletoconsentirebbedi effettuare
tutte le operazioni matematiche sui dati cifrati marichiederebbe un'enorme potenzaelaborativa,
difficilmente disponibile.
Perovviare a questoinconvenienteHPha predispostounatecnologiadi cifratura(in attesadi brevetto)
parzialmente omomorficapercombinare e separare le chiavi di cifratura,che interessasoloil linkpiù
criticodel processodi cifraturadei dati all'internodel cloud(di fattolaMasterKey) riducendo,intal modo,
il carico elaborativocomplessivo.
HP Atalla Cloud Encryption Agent
L'agent HP AtallaCloudEncryption,consente agli utentidelle soluzioniHPAtalladi crittografare i dati su
discodirettamente sul loroserverapplicativoe anche di generare dischi cifrati virtualiall'internodi file
regolari inunfile systemesistente. Tutti i processi di cifraturae decifraturaavvengonolocalmentesull'host
serverpermassimizzare le prestazioni.
HP AtallaCloudEncryptionAgentsi aggiunge allefunzionalitàdi creazionedei dischicrittografati in
modalitàinlinefornitedall'appliance virtualedi HPAtallaCloudEncryption.
Come misuradi sicurezzaaggiuntiva,l'agenteHPAtallaCloudEncryptionviene rilasciatoutilizzandouna
chiave APIsicura,che permette di accedere alle sue chiavi crittografiche gestitemanonallaMaster Key.
6. Le procedure di cifraturadel discoavvengonolocalmentesull'hostserverche fagirare HP AtallaCloud
EncryptionAgent,e le chiavi di cifraturasonodivise trala virtual appliance HPAtallaCloudEncryptione il
HP AtallaCloudEncryptionVirtual KeyManagement(VKM) Service.
L'offerta HP Atalla Cloud Encryption
HP AtallaCloudEncryptionvieneoffertodaHP inmoltepliciopzioni di deployment,supportandoVMware e
AmazonWebServicescon possibilitàdi supporto9x5e 24x7.
In particolare l'offertaprevede
• HP AtallaCloudEncryptionforAmazonWebServicespervirtual appliance ovverorilasciato
nell'ambienteclouddel cliente conunprezzoperappliance virtuale
• HP AtallaCloudEncryptionforVMware pervirtual appliance ovverorilasciatonell'ambiente clouddel
cliente conunprezzoperappliance virtuale
• HP AtallaCloudEncryptionagentperistanzasuVMware ovverorilasciatoperl'installazionesull'
applicationservernell'ambienteclouddel cliente susistemaoperativoLinux e unprezzoperistanza
dell'agentesuVMware.
• HP AtallaCloudEncryptionagentperistanzasuAWSovverorilasciatoperl'installazione sull'
applicationservernell'ambienteclouddel cliente susistemaoperativoLinux e unprezzoperistanza
dell'agentesuAWS.