[section_title title=Sicurezza delle app – Parte 3]
I servizi nativi nel cloud focalizzati sulla sicurezza si occupano tutti di accesso e crittografia. Nessuno di loro prende in carico la sicurezza del livello applicativo e nessuno fornisce una copertura sufficiente a dare fiducia quando si tratta di resistere a un attacco progettato per disabilitare, alterare o sottrarre dati sfruttando l’applicazione stessa.
È necessaria un’altra soluzione; un servizio progettato appositamente per proteggere le applicazioni e i dati di cui è responsabile perché la gestione nel cloud avvenga proprio come quella nel data center. Questa scelta può comportare l’adozione di un WAF (web application firewall) cloud-enabled o WAF as a Service o come minimo un’applicazione approfondita delle best practice maggiormente raccomandate da OWASP su ogni applicazione distribuita nel cloud.
La sicurezza nel cloud può essere vista come una responsabilità condivisa, dove il fornitore e il cliente si prendono cura dei diversi aspetti della protezione del cloud, ma la sicurezza delle applicazioni è al 110 per cento responsabilità di chi per la prima volta mette quella singola applicazione nel cloud!
Interessanti, in questo contesto, sono le dichiarazioni rilasciate da Bill Murray a capo dei programmi globali di sicurezza di AWS, nel corso di un’intervista con The Register .
“In AWS la sicurezza è una responsabilità condivisa tra noi e i clienti”, ha dichiarato. “I clienti sono responsabili della protezione di tutto, dal sistema operativo guest che fanno eseguire su AWS attraverso le applicazioni che attivano. Noi invece siamo responsabili del sistema operativo host e della macchina virtuale e di tutto giù ciò che riporta concretamente al livello del data center.” “Spesso mi chiedono ‘Che cosa ti tiene sveglio la notte?’ In AWS è la preoccupazione che il cliente non abbia configurato correttamente le proprie applicazioni per mantenerle sicure”.
In sintesi, bisogna considerare attentamente quali servizi e soluzioni si stanno distribuendo per proteggere le applicazioni da quello che comporterà un attacco che – inevitabilmente – prima o poi colpirà i sistemi. La sicurezza delle applicazioni non è una guardia del corpo costosa, qualcosa che solo le applicazioni VIP possono permettersi. È più simile alla sicurezza personale, quel qualcosa che ogni applicazione che si presenta in pubblico dovrebbe avere con sé. E questo è vero indipendentemente dal fatto che le applicazioni siano nel data center o nel cloud.