Presta attenzione alla crittografia dei dati nel cloud per proteggere la tua azienda
Pubblicato: 2023-08-03Nonostante un picco continuo di vulnerabilità e rischi per la sicurezza basati sul cloud, una quantità enorme di dati cloud rimane non protetta mentre le aziende continuano a migrare app e dati nel cloud. Come riportato da un sondaggio, solo il 45% dei dati sensibili archiviati nel cloud è attualmente crittografato. Il 39% degli intervistati, tuttavia, ha riscontrato una violazione della sicurezza del cloud nell'ultimo anno.
La crittografia dei dati nel cloud, ovvero l'incapsulamento e la riorganizzazione dei dati prima della loro trasmissione al cloud, è fondamentale. Garantisce che indipendentemente dal fatto che i dati vengano persi, rubati o condivisi inavvertitamente, i loro contenuti sono praticamente irrilevanti senza la chiave di crittografia, che è accessibile solo agli utenti autorizzati.
Comprensione del significato della crittografia dei dati nel cloud
La crittografia del cloud è un meccanismo di sicurezza dei dati che crittografa i dati in chiaro in un testo cifrato incomprensibile per garantire che siano sicuri e protetti mentre viaggiano tra o all'interno di ambienti cloud. I dati vengono crittografati prima della migrazione nel cloud o durante lo spostamento tra due cloud.
La crittografia è un metodo semplice ma efficiente per impedire l'accesso non autorizzato ai dati sensibili archiviati nel cloud nel malaugurato caso di una violazione. Anche se i dati vengono rubati, questi trasgressori non possono decifrare le informazioni nei file crittografati.
È importante sottolineare che la crittografia dei dati nel cloud non può prevenire le violazioni dei dati, ma semplicemente le rende molto meno pericolose per la tua azienda.
La crittografia, tuttavia, aumenta le spese per i provider di cloud storage a causa della maggiore larghezza di banda necessaria. Questo perché la crittografia deve essere implementata prima di trasferire i dati al cloud (e in ultima analisi ai propri clienti). Di conseguenza, molti fornitori limitano le loro offerte di crittografia cloud e alcuni clienti proteggono i propri dati localmente prima di caricarli nel cloud.
La crittografia è stata considerata uno degli elementi più potenti della strategia di sicurezza informatica di un'organizzazione. Oltre a salvaguardare i dati dallo sfruttamento, affronta i seguenti ulteriori problemi di sicurezza cruciali:
- Rispetto degli standard normativi di riservatezza e sicurezza
- Protezione avanzata contro l'accesso non autorizzato ai dati da parte di altri tenant del cloud pubblico
- In alcuni casi, proteggere l'organizzazione dal dover divulgare violazioni o altri incidenti di sicurezza.
Perché l'urgente necessità di crittografia dei dati nel cloud?
Man mano che i dati e i carichi di lavoro migrano rapidamente nel cloud, diventa più difficile controllare e salvaguardare i dati sensibili. Dal 2020, l'86% delle aziende ha aumentato la portata e la portata delle proprie iniziative cloud. Tuttavia, le funzionalità di crittografia sono ancora carenti, motivo per cui Forrester ha recentemente sottolineato l'importanza di salvaguardare i dati nel cloud.
1. Requisiti di conformità e audit più severi
La maggior parte delle aziende deve rispettare rigide normative sulla privacy come PCI-DSS, GDPR, CCPA, GLBA, HIPAA, ecc. ambienti cloud.
2. L'ibrido e il multicloud ostacolano la visibilità
Distribuzione multicloud significa che le informazioni sono ospitate su più siti, tra cui AWS, Azure, GCP, Salesforce, SAP, ecc. Ciò porta a una mancanza di visibilità completa sui dati e richiede una notevole assistenza amministrativa per gestire e monitorare la migrazione dei dati.
3. La migrazione al cloud dalle app legacy sta complicando la gestione delle chiavi
Fino a poco tempo fa, diverse organizzazioni dipendevano da software legacy, on-premise o commerciale off-the-shelf (COTS). Quando si tratta di migrazione al cloud, si affidano esclusivamente agli ISV che migrano le applicazioni senza modifiche o ristrutturazioni. Le app COTS non dispongono della nozione di BYOK (porta la tua chiave), il che è problematico se il client desidera assumere la proprietà della crittografia.
Solo il 14% delle aziende è sicuro di controllare tutte le chiavi di crittografia per i propri dati basati su cloud. A livello globale, quasi due terzi (62%) degli intervistati dispone di cinque o più sistemi di gestione essenziali, il che comporta un aumento della complessità.
Per questo motivo è necessario un approccio strategico alla crittografia dei dati nel cloud e una soluzione centralizzata.
4. L'accesso ai dati cloud è spesso incontrollato
Sfortunatamente, la gestione delle identità e degli accessi (IAM) non viene sempre eseguita nel cloud, nonostante il suo ruolo cruciale nel prevenire le intrusioni di dati. Senza crittografia, quindi, i tuoi dati potrebbero facilmente cadere nelle mani sbagliate. Sorprendentemente, solo il 41% delle organizzazioni a livello globale ha messo in atto controlli di accesso all'infrastruttura cloud zero-trust! Ancora meno organizzazioni (38%) implementano tali controlli all'interno delle proprie reti cloud.
5. Nessuna soluzione di crittografia dei dati nel cloud si traduce in una bassa adozione del cloud
La maggior parte delle aziende non dispone di un metodo affidabile per separare le informazioni sensibili da quelle non sensibili. Inesperti con i framework di crittografia, ritengono di dover crittografare sia i dati strutturati che quelli non strutturati prima di caricarli nel cloud. Ciò riduce l'adozione del cloud in generale.
6. Le integrazioni diventano più semplici e sicure
Le interfacce di programmazione delle applicazioni o API sono spesso utilizzate dalle organizzazioni che lavorano in ambienti cloud per gestire i vari aspetti dei loro sistemi online. Che siano interne o esterne, le API con protocolli di sicurezza inadeguati rappresentano un rischio, in particolare durante il trasferimento delle informazioni. I servizi di crittografia nel cloud possono aiutare a mitigare i rischi creati da API non sicure, consentendoti di creare con sicurezza un ambiente integrato.
(Scarica il white paper: 5 passaggi per sviluppare la tua strategia di gestione dei dati nel cloud )
Le aziende hanno bisogno di due tipi di crittografia dei dati nel cloud
Tutti gli strumenti e i protocolli di crittografia dei dati cloud possono essere classificati in due grandi gruppi: simmetrici o asimmetrici. Nel primo metodo, viene utilizzata una sola chiave sia per crittografare che per decrittografare il testo in chiaro. Come semplice esempio, la parola "nebbia" può essere codificata facendo avanzare ogni lettera in una posizione in ordine alfabetico - a "gmh".
È sufficientemente intricato per essere sicuro ma adeguatamente basilare per essere veloce. Indovinare la chiave richiederebbe innumerevoli tentativi. Tuttavia, questo metodo a chiave singola è più suscettibile di essere compromesso.
Nella crittografia dei dati asimmetrica, sia la codifica che la decodifica avvengono utilizzando coppie collegate di chiavi private e pubbliche. È simile a un lucchetto con una chiave codificata: puoi proteggerlo (tramite una chiave pubblica) senza apprendere il codice, ma solo l'individuo che comprende il codice (ovvero la chiave privata) può sbloccarlo.
Oggi vengono utilizzati metodi asimmetrici come Transport Layer Security (TLS) perché sono meno suscettibili alle infiltrazioni.
Rispetto alla crittografia simmetrica, lo svantaggio più significativo della crittografia asimmetrica è che è generalmente più lenta. Le aziende devono scegliere saggiamente tra i due quando si tratta di sicurezza dei dati nel cloud. I carichi di lavoro che devono essere veloci ma non trasmettono informazioni sensibili, ad esempio le videoconferenze sul cloud, funzionano bene con la crittografia dei dati cloud simmetrica.
D'altra parte, i flussi di dati che contengono informazioni sensibili, senza un contesto temporale, come le app di business intelligence, sono più adatti ai protocolli asimmetrici.
Qual è il rischio di lasciare i dati non crittografati e non ispezionati?
La violazione dei dati di Equifax del 2018 ha compromesso le informazioni di identificazione personale (PII) di oltre 148 milioni di persone. I giusti processi di crittografia e sorveglianza avrebbero ridotto le possibilità che ciò avvenisse.
Un certificato del sito scaduto ha permesso al traffico di passare senza controllo per dieci mesi, consentendo a un malintenzionato di esfiltrare le informazioni sui clienti senza essere rilevato. Se i dati fossero stati crittografati prima del caricamento, gli hacker avrebbero esposto solo testo cifrato illeggibile.
La crittografia dei dati nel cloud è fondamentale, ma senza indagine può produrre punti ciechi. Secondo la ricerca, oltre l'80% degli attacchi ora avviene su canali crittografati. Le bandiere rosse possono essere identificate decrittando, esaminando e ottenendo visibilità nel traffico di rete attraverso tecniche di ispezione.
I continui viaggi nel cloud richiedono una maggiore attenzione alla crittografia
Le aziende stanno aumentando i loro investimenti nel cloud, ma quasi sette su dieci (68%) continuano a considerare le loro iniziative nel cloud come incompiute. Dopo aver selezionato il frutto più semplice, ovvero la migrazione di un'app da un server locale a un servizio cloud, stanno ora trasferendo un'infrastruttura più sofisticata e business-critical, ma devono ancora comprendere l'entità delle sue ripercussioni sulla sicurezza dei dati .
Alcune best practice di crittografia possono aiutare le aziende a comprendere le odierne esigenze di sicurezza:
- Evita di conservare le chiavi di crittografia con i dati che servono per crittografare e decrittografare. Bring Your Own KMS (BYOKMS), noto anche come External Key Management (EKM), offre il massimo livello possibile di sicurezza della crittografia cloud.
- Le soluzioni software che memorizzano le chiavi di crittografia possono essere danneggiate o esposte accidentalmente a vari livelli dell'infrastruttura. Configurare un'impostazione di implementazione attendibile guidata dall'hardware, come un modulo di sicurezza hardware (HSM), per archiviare le chiavi.
- Con la maggior parte delle organizzazioni che seguono una strategia multi-cloud, disporre di policy discrete, processi di controllo e misure di sicurezza personalizzate per ogni implementazione cloud aumenta i rischi e i costi. La centralizzazione dell'amministrazione delle chiavi per tutti i cloud pubblici o la crittografia SaaS è una best practice consigliata.
- Usa il computing confidenziale per lo sviluppo interno di app che funzionano con dati sensibili. Qui, le applicazioni vengono eseguite in impostazioni di esecuzione sicure basate su hardware. Evita di sfruttare il cloud in tali scenari, poiché l'app non è stata ancora completamente testata.
Avvolgendo
Le violazioni dei dati nel cloud sono una realtà inevitabile nel mondo digitale di oggi, sempre più iperconnesso. A causa delle minacce zero-day, prevenire questi attacchi potrebbe non essere sempre possibile. Puoi, tuttavia, proteggere i tuoi dati crittografandoli prima della migrazione al cloud. Le aziende devono anche prestare attenzione alla protezione del carico di lavoro all'interno del cloud attraverso soluzioni di sicurezza emergenti come SASE (Secure Access Service Edge), pensate specificamente per le imprese native del cloud.