Spectre, Meltdown e i veri pericoli del Cloud

[Scritto in collaborazione con Luca Perencin]

Il caso delle vulnerabilità Spectre e Meltdown, scoperte da Google, hanno riacceso la discussione pro e contro gli ambienti cloud pubblici.

È indubbio che un sistema isolato, ben aggiornato offra maggiore sicurezza di un ambiente cloud. È pur vero che le grosse aziende cloud (Amazon, Microsoft) possano offrire solitamente maggior sicurezza che gli ambienti privati nei servizi esposti su Internet. La gestione delle patch, anche personalizzabili, un controllo h24 e altre misure di sicurezza offrono tendenzialmente una protezione migliore che molti istituti finanziari, dove la sicurezza è una priorità.

Nella mia esperienza da consulente, spesso il problema di sicurezza non è tanto la sicurezza della piattaforma, quanto come queste piattaforme vengano usate. La poca conoscenza della piattaforma, o semplicemente la pigrizia, spesso conducono ad un data breach. E poi, queste stesse persone, puntano il dito contro il cloud..Con il GDPR dietro l’angolo, e pesanti multe, questo rappresenta un bel rischio per le aziende.

Quando si abbraccia un ambiente cloud, sia pubblico che privato, è bene affidarsi ad un serio e riconosciuto professionista, che conosce a fondo la piattaforma.

Quindi il cloud è esente da pericoli? Forse da vulnerabilità sí, ma il problema è da un’altra parte. Condivido in pieno le parole di Tim Berners-Lee il creatore del World Wide Web: in una sua intervista sul Guardian, il papá del web lancia un allarme di quanto sia pericoloso l’accentramento di Internet verso poche multinazionali.

Pensandoci su, in effetti, i protocolli che oggi sono alla base di Internet che sono stati creati al tempo di DARPANET (militare) e -successivamente- ARPANET (smilitarizzata) avevano un intento preciso: creare una rete decentralizzata, i cui protocolli di peering permettevano di riadattare la rete anche in caso di attacchi nucleari.

Lo strano destino e’ che la rete di trasporto di per se e’ stata progettata per essere non dipendente da un punto centrale, ma permette di avere relazioni di peering con altri punti, mentre i contenuti e le infrastrutture si stanno accentrando verso poche multinazionali, come Amazon Web Services (AWS), Microsoft Azure e Google, per citarne alcune alcuni famosi.

Nel tempo, i servizi a disposizione sono diventati sempre più facili da usare, permettendo, ad esempio, di aprire un blog su WordPress.com con pochi semplici click, al posto di installare e configurare manualmente i vari componenti, oltre all’impegno di dover stare sempre attenti agli aggiornamenti e alle minacce esterne.

Se da una parte e’ fuori discussione che l’uso di piattaforme cloud sia comodo e veloce affidarci anche per l’infrastruttura IT, dall’altra questo accentramento spaventa, non solo per discorsi di privacy e per costi, ma soprattutto per la nostra stessa indipendenza.

E’ palese che piattaforme come AWS e Azure offrano dei servizi interessanti a prezzi appetibili, soprattutto per la piccola e media impresa, e sicuramente nessun software on-premise riuscirà ad offrire lo stesso livello di funzionalità e di innovazione.

È importante evitare alcuni prodotti, che ci legano mani e piedi al fornitore, e usare open standards e protocolli aperti per i nostri dati. In questo modo, anche se in prima battuta volessimo usare AWS o Azure, possiamo in qualsiasi momento decidere di riportare in casa tecnologie e dati o cambiare fornitore.

Lo stesso concetto e le stesse problematiche sono state già affrontate in un ambito simile, apparentemente slegato, ma che, al contrario, offre parecchi punti di contatto: la gestione dei contenuti online; partendo dai primi siti istituzionali e di vetrina, e poi a i blog e ai siti divulgativi, si è pensato poi che la soluzione fosse quella di mettere tutti i contenuti sui Social; Il tempo ha poi dimostrato che questa mossa ha diminuito il valore dei contenuti, oltre alla conseguente perdita di identità e, a volte proprietà. Si vede quindi un ritorno alla gestione diretta dei contenuti, e l’uso dei social come canale di comunicazione.

Allo stesso modo, non possiamo pensare di affidarci totalmente a provider esterni, seppur qualificati, ma pensare a soluzioni che integrino i due mondi, mantenendo il controllo dei nostri dati.

Bisogna essere preparati a “rientrare”, e questo lo si può ottenere creando un embrione di servizi su cui poggiare l’infrastruttura, ad esempio con infrastrutture open come OpenStack e Kubernetes/Docker.

Affrontare una digital transformation con consapevolezza e affidarsi a professionisti, aiuta ad usare in maniera agnostica la piattaforma sottostante, evitare il vendor lock-in, e a riportare in casa i dati, qualora ce ne fosse bisogno.