I Cinque Pilastri del Cloud Computing Secondo il NIST: Una Bussola per Imprese e Pubbliche Amministrazioni

Il National Institute of Standards and Technology (NIST) degli Stati Uniti ci ha fornito definizioni e framework essenziali per il cloud computing e la cybersecurity. Questi strumenti sono una vera e propria bussola per aziende e pubbliche amministrazioni che vogliono addentrarsi nelle complessità del cloud. È fondamentale capire la distinzione tra i "cinque pilastri" che definiscono le caratteristiche intrinseche del cloud computing e le "cinque funzioni" del NIST Cybersecurity Framework (CSF), che sono i pilastri per costruire una solida strategia di sicurezza nel cloud.

Le Cinque Caratteristiche Essenziali del Cloud Computing (Secondo la Definizione NIST SP 800-145)

Questi pilastri descrivono le funzionalità che un servizio deve possedere per essere davvero considerato "cloud computing". Capire queste caratteristiche è cruciale per chiunque intenda adottare o gestire servizi cloud.

1. Self-Service On-Demand (Servizio Self-Service Su Richiesta):

   • Gli utenti possono autonomamente, e senza dover interagire con il fornitore, allocare risorse di calcolo (come CPU, storage, rete) quando ne hanno bisogno. Questo garantisce un'agilità e una velocità incredibili nel configurare le risorse IT.

   • Rilevanza: Riduce i tempi di attesa e la dipendenza dal personale IT. Permette a imprese e PA di reagire velocemente alle esigenze operative o ai cambiamenti del mercato, come un'impennata improvvisa di traffico su un servizio pubblico online o l'esigenza di lanciare rapidamente una nuova applicazione aziendale.

2. Broad Network Access (Ampio Accesso alla Rete):

   • Le capacità del cloud sono disponibili su rete e accessibili tramite meccanismi standard, rendendole utilizzabili da diverse piattaforme (ad esempio, smartphone, tablet, laptop).

   • Rilevanza: Favorisce la mobilità e la collaborazione, consentendo l'accesso a dati e applicazioni da qualsiasi luogo e dispositivo. Questo aumenta la flessibilità lavorativa per i dipendenti e migliora la capacità delle PA di erogare servizi ai cittadini ovunque si trovino.

3. Resource Pooling (Pool di Risorse):

   • Le risorse di calcolo del fornitore sono aggregate per servire più utenti (modello multi-tenant). Risorse fisiche e virtuali vengono assegnate e riassegnate dinamicamente in base alla domanda. L'utente, di solito, non ha controllo o conoscenza sull'esatta posizione delle risorse.

   • Rilevanza: Porta a un'elevata efficienza economica per il fornitore, che si traduce spesso in costi inferiori per gli utenti. Offre scalabilità e resilienza, dato che le risorse possono essere ridistribuite rapidamente in caso di guasti o picchi di domanda, garantendo che un servizio non si blocchi per mancanza di risorse.

4. Rapid Elasticity (Rapida Elasticità):

   • Le capacità possono essere fornite e rilasciate in modo elastico, talvolta automaticamente, per scalare rapidamente verso l'alto e verso il basso, in base alla domanda. Questo dà all'utente l'impressione di disporre di risorse illimitate, che possono essere acquisite in qualsiasi quantità e momento.

   • Rilevanza: Permette a imprese e PA di gestire carichi di lavoro variabili senza dover investire in infrastrutture fisse che rimarrebbero inutilizzate nei periodi di bassa domanda. Questo ottimizza i costi e assicura prestazioni adeguate anche durante i picchi imprevisti, come nel caso di un evento online di grande successo.

5. Measured Service (Servizio Misurabile):

   • I sistemi cloud controllano e ottimizzano automaticamente l'uso delle risorse, sfruttando capacità di misurazione appropriate per il tipo di servizio (es. storage, CPU, larghezza di banda). L'uso delle risorse può essere monitorato, controllato e riportato, offrendo trasparenza sia al fornitore che al consumatore.

   • Rilevanza: Facilita il modello "pay-per-use" (paga per l'uso effettivo), consentendo alle organizzazioni di pagare solo per le risorse effettivamente consumate. Questo supporta una pianificazione finanziaria precisa e l'ottimizzazione dei costi, evitando sprechi.

Le Cinque Funzioni del NIST Cybersecurity Framework (CSF) per la Sicurezza nel Cloud

Oltre a definire le caratteristiche del cloud, il NIST ha sviluppato un Cybersecurity Framework (CSF) composto da cinque funzioni principali. Queste guidano le organizzazioni nella gestione dei rischi di cybersecurity e sono cruciali quando si parla di ambienti cloud.

1. Identificare (Identify):

   • Sviluppare una comprensione organizzativa per gestire il rischio di cybersecurity relativo a sistemi, persone, asset, dati e capacità. Questo include l'identificazione degli asset critici, dei rischi che affrontano e dell'impatto potenziale di una violazione.

   • Rilevanza: È il primo passo per PA e imprese. Serve a mappare e classificare i dati e le applicazioni da spostare nel cloud o da sviluppare in esso, comprendendo i rischi specifici che ne derivano (ad esempio, quali dati sensibili saranno ospitati e dove).

2. Proteggere (Protect):

   • Sviluppare e implementare le misure di sicurezza appropriate per garantire l'erogazione di servizi critici. Include controlli di accesso, crittografia, protezione dei dati, sensibilizzazione e formazione del personale.

   • Rilevanza: Fondamentale per implementare controlli di sicurezza nativi del cloud, come la gestione delle identità e degli accessi (IAM), la configurazione sicura delle risorse cloud e la crittografia dei dati sia in transito che a riposo.

3. Rilevare (Detect):

   • Sviluppare e implementare le attività appropriate per identificare un evento di cybersecurity. Questo significa monitoraggio continuo, rilevamento delle anomalie e comprensione del potenziale impatto di un incidente.

   • Rilevanza: Richiede l'implementazione di sistemi di monitoraggio e logging nel cloud. È cruciale per identificare tempestivamente attività sospette, configurazioni errate o tentativi di attacco, per esempio analizzando i log di accesso ai dati nel cloud.

4. Rispondere (Respond):

   • Sviluppare e implementare le attività appropriate per agire in caso di un incidente di cybersecurity rilevato. Include la pianificazione della risposta, le comunicazioni, l'analisi, la mitigazione e i miglioramenti post-incidente.

   • Rilevanza: Essenziale per definire procedure chiare per la gestione degli incidenti cloud. Questo comprende la collaborazione con il fornitore di servizi cloud e l'uso di strumenti automatizzati per una risposta rapida a eventuali violazioni.

5. Recuperare (Recover):

   • Sviluppare e implementare le attività appropriate per mantenere la resilienza e ripristinare qualsiasi capacità o servizio compromesso a causa di un incidente di cybersecurity.

   • Rilevanza: Implica la definizione di strategie di backup e ripristino dei dati e delle applicazioni nel cloud. Questo garantisce la continuità operativa anche in caso di gravi interruzioni, attacchi ransomware o disastri naturali che possano colpire l'infrastruttura cloud.

Conclusione:

I framework del NIST, sia per la definizione delle caratteristiche del cloud computing che per la gestione della cybersecurity, offrono una solida base per imprese e pubbliche amministrazioni. Adottare questi principi significa non solo sfruttare appieno i vantaggi di agilità, scalabilità ed efficienza economica offerti dal cloud, ma anche costruire una strategia robusta per proteggere dati e servizi in un panorama di minacce in continua evoluzione.