1. Cloud&SecurityAgostino Forestiero

2. Qualche dato (gen. 2012) Pi di 50 milioni di server cloud nel mondo !!Google ne detiene pi del 2% (pi di 1 milione di server).Principali attori mercato cloud: Zoho, Google, Rackspace e Microsoft.Esistono pi di 35.000 data center nel mondo, oltre 24.000 solo negli USA. Il 56% degli utenti Internet usa un servizio webmail (Gmail, Hotmail o Yahoo) Il 34% conserva foto personali sul web Il 29% usa applicazioni online (Google Docs o Photoshop Express) Il 7% conserva video personali online Il 5% paga per conservare files online Il 5% fa il backup di dati su siti online 3. Qualche dato prevede che entro il 2016 archivieremo oltre un terzo dei nostri contenuti digitali nei cloud di vario tipo. - nel 2011 solo il 7% dei contenuti dei consumatori veniva archiviato nel cloud; - nel 2016 questo dato salir al 36%.Gartner stima che il mercato cloud arriver a 150 miliardi di dollari entro il 2013 Merrill Lynch parla di un mercato cloud che arriver a 160 miliardi di dollari entro il 2013 Le infrastrutture del public cloud stanno crescendo del 25% e ilmercato dei server aziendali raddoppier entro il 2013. Nel 2013 il 10% del numero totale dei server fisici venduti sar virtualizzato con una media di 10 Virtual Machine per server fisico, il che significa circa 80-100 milioni di server virtuali. Dal 2012 il cloud computing rappresenter il 25% di tutta la spesa del reparto IT. CRN prevede che la spesa per le PMI nel Cloud Computing sar di 100 miliardi di dollari entro il 2014. 4. Le aziendeLe aziende stanno puntando sul cloud computing poich il cloud unisce due dei fattori oggi ritenutifondamentali: lefficienza e lottimizzazione delle risorse hardware e software e la business agility. Nelle PMI, il cloud computing permette di ridurre i costi delle infrastrutture, ridurre la complessit gestionale e aumentare la business agility.Nelle grandi imprese, il cloudfornisce la capacit di escalationnecessaria per rispondere rapidamentealle condizioni di mercato checambiano. 5. Cloud Computing in ItaliaDa una ricerca condotta dalla Business SoftwareAlliance riguardante i paesi utilizzatori del CloudComputing lItalia risulta essere in sesta posizionenel mondo e terza in Europa, allinterno di unaclassifica guidata dal Giappone. 6. Le imprese che si sono gi affacciate al cloud hanno scelto un approccio infrastrutturale (IaaS - 59%).La spinta verso questa decisione arriva principalmente dai risparmi sullacquisto diserver, macchine, infrastrutture e software, oltre che dalla riduzione dei costi operativi e dalla flessibilit escalabilit proprie del cloud computing. 7. Il 57% sceglie infrastrutture e servizi implementati in un contesto aziendaleprivato, chiuso, in cui gli accessi sono controllati e consentiti solo a personale interno.Il private cloud in questo momento favorito perch si riesce a preservare gliinvestimenti gi fatti in azienda e quindi il percorso dalla virtualizzazione al privatecloud in qualche modo unevoluzione naturale. 8. I cloud privati offrono flessibilit, efficienza e risparmio sui costi IT.In tutto il mondo, aziende di qualsiasi dimensione e tipo hanno concretizzato la promessa del cloudprivato ottenendo innovativi risultati di business. Grazie a un modello cloud di erogazione dei servizi, lazienda ha ottenuto miglioramenti in termini dirisparmio sui costi, utilizzo ed efficienza. Velocizzano il time-to-market fino al 75% Riducono i costi di gestione dell IT fino al 66% Sono scalabili per consentire la crescita dei servizi fino al 50% Automatizzano e riducono il provisioning delle risorse da settimane a minuti 9. Le problematiche che principalmente frenano ladozione del cloud computingsono tre: privacy, sicurezza e problemi di connettivit. 10. Principali preoccupazioni dei fruitori di servizi cloud: paura di minacce informatiche varie (virus, trojan, malware), condivisione non autorizzata di documenti personali e aziendali, uso improprio di dati personali, violazione della privacy e diffusione di foto, video ed e-mail privati.In Italia il 78% delle aziende cita la sicurezza come principale deterrente nei confronti del Cloud; il 56% teme furti da parte di hacker e linsider sharing; il 55% ha citato lutilizzo scorretto del Cloud; il 51% il pericolo il malware. (Symantec) 11. Differenti modelli di cloud cambiano anche il modo con cui affrontare la sicurezza Private Cloud:Utente responsabile dellinfrastrutturaMaggior personalizzazione dei controlli di sicurezzaBuona visibilit delle operazioni day-to-dayFacilit di accesso a logs e policiesPublic Cloud: Fornitore responsabile dellinfrastruttura Minor personalizzazione dei controlli di sicurezza No visibilit delle operazioni day-to-day Difficolt di accesso a logs e policies 12. Il problema della sicurezza pu essere facilmente risolto con unadeguata protezione!!!!Modello di Cloud SecurityPermette di sfruttare i vantaggi dati dalla maggiore scalabilit, flessibilit, disponibilit e costi inferioriofferti dal cloud, in totale sicurezza.Il modello si basa su: domini virtuali fidati (autenticazione, crittografia, gestione dellisolamento) servizi di monitoraggio specifici per sistemi cloud. 13. Realizzazione del modello di Cloud Security Fase di prevenzione Fase di detection Una fase di prevenzione, per impedire lo sfruttamento da parte di esterni delle vulnerabilit del sistema, e di una fase di detection, per rilevare prontamente una eventuale anomalia Protezione dei principali canali cloud I principali canali di traffico attraverso cui si spostano i dati da e verso lesterno sono: Traffico e-mail Traffico web (servizi mobile e delle applicazioni) Traffico di autenticazione Purtroppo per tali sistemi sono messi a rischio dai comportamenti inopportuni degli utenti e/odipendenti, facendo nascere numerosi rischi legati alla condivisione delle risorse (reti, dischi, hypervisor). 14. PrevenzioneServizi di autenticazione, crittografia ed accesso sicuroGestione firewall e comunicazioni sicure tra le applicazioni e gli ambienti runtime del cloudControllo logico degli accessi alle risorse aziendali (dati, applicazioni)Sicurezza nella gestione dei Sistemi Operativi (accesso ai SO, Back-up, Monitoraggio)Sicurezza nella gestione della rete (monitoraggio utilizzo, monitoraggio accesso al Web, accessosicuro ai servizi di posta elettronica)Gli strumenti tradizionali di sicurezza possono fronteggiare solo parzialmente le nuove minacce in ambienti cloud. 15. DetectionMeccanismo di controllo specifico per sistemi di cloud computing insito nellhypervisor della piattaformadi virtualizzazione (VMWare, Hiper-V, KVM).Console amministrativa web-based per il management, il monitoring e il reporting dei dati analizzati. MonitorHypervisorVirtualization platformServerServer Server ServerVMVM VM VM VM VMVM VM VMVMVM VMVM VMVMVMVM 16. DetectionTool integrato per la creazione di un sistema di casistica e reportistica sulle abitudini dellutente, relativo: alle risorse utilizzate (CPU, RAM, Banda ecc.) alla navigazione (n. di pagine visitate, tempo trascorso su una pagina, cronologia, servizi pi e meno usati, ecc.), alla documentazione (quali e quanti file scaricati e dove), alla tecnologia (browser utilizzati, plug-in e supporti), alla modalit (attraverso canali di un Social Network, accessi diretti o tramite link, ecc.). 17. Detection E possibile identificare situazioni di uso non normale. Un sistema di Intrusion Detection controlla la pertinenza delle azioni svolte rispetto a quelle attese. Vengono individuate eventuali anomalie nel comportamento (per es.: accesso ad aree non autorizzate o comportamenti dannosi)Le anomalie vengono segnalate intempo reale allamministratore del sistema. 18. ConclusioniLe aziende stanno puntando sul cloud computing poich il cloud unisce due dei fattori oggi ritenutifondamentali: lefficienza e lottimizzazione delle risorse hardware e software e la business agility.Leproblematiche che principalmente frenano ladozione del cloud computingsono tre:privacy, sicurezza e problemi di connettivit.La sicurezza un problema classico che inibisce ladozione della nuvola, ma pu essere facilmente risoltocon unadeguata protezione.SCS & eco4cloud propongono un modello di Cloud Security che permette di sfruttare i vantaggiofferti dal cloud in totale sicurezza.Il modello composto da una fase di prevenzione, per impedire lo sfruttamento da parte di esternidelle vulnerabilit del sistema, e di una fase di detection, per rilevare prontamente le eventuali anomalie. 19. Grazie !!!