Appunti di Secure Cloud Computing (Cybersecurity and Cloud)

IT

o l'aspettativa di perdita in caso di compromissione della risorsa IT

• Security Controls (Controlli di sicurezza): I controlli di sicurezza sono contromisure utilizzate

per prevenire o rispondere alle minacce e per ridurre o evitare i rischi. I dettagli su come

utilizzare le contromisure di sicurezza sono in genere delineati nelle policy di sicurezza, che

contengono una serie di regole e pratiche che specificano come implementare un sistema,

un servizio o un piano di sicurezza per la massima protezione delle risorse IT sensibili e

critiche.

• Security Mechanisms (Meccanismi di sicurezza): Le contromisure sono generalmente

descritte in termini di meccanismi di sicurezza, che sono componenti che comprendono un

framework difensivo che protegge le risorse IT, le informazioni e i servizi.

• Security Policies (Politiche di sicurezza): Una politica di sicurezza stabilisce una serie di

regole. Spesso, le politiche di sicurezza definiscono ulteriormente il modo in cui queste

regole vengono implementate e applicate.

Threat Agents

Un Threat Agent è un'entità che rappresenta una minaccia perché è in grado di eseguire un attacco.

Le minacce alla sicurezza del cloud possono provenire internamente o esternamente, da persone o

programmi software.

La figura sottostante illustra il ruolo che un threat agent assume in relazione a vulnerabilità, minacce

e rischi e le salvaguardie stabilite dalle politiche di sicurezza e dai meccanismi di sicurezza:

I tipi di Threat Agent sono:

• Anonymous Attacker (Attaccante Anonimo): Un utente malintenzionato anonimo è un

consumer di servizi cloud non affidabile, che non ha autorizzazioni nel cloud. In genere esiste

come un programma software esterno che lancia attacchi a livello di rete attraverso reti

pubbliche. Gli attaccanti anonimi ricorrono spesso a commettere atti come bypassare gli

account utente o rubare le credenziali di un utente utilizzando metodi che garantiscono

l'anonimato.

• Malicious Service Agent: Un malicious service agent è in grado di intercettare ed inoltrare il

traffico di rete che scorre all'interno di un cloud. In genere esiste come service agent (o un

programma che finge di essere un service agent) con logica compromessa o dannosa. Può

anche esistere come programma esterno in grado di intercettare da remoto e

potenzialmente corrompere il contenuto di un messaggio.

• Trusted Attacker (Attaccante Fidato): Un utente malintenzionato affidabile condivide le

risorse IT nello stesso ambiente cloud del consumer e tenta di sfruttare delle credenziali

legittime per prendere di mira i provider cloud e i tenant cloud con cui condivide le risorse

IT. A differenza degli attaccanti anonimi (che non sono affidabili), di solito lanciano i loro

attacchi dall'interno dei trust boundaries di un cloud abusando di credenziali legittime o

tramite l'appropriazione del contenuto di un messaggio confidenziale.

Gli attaccanti affidabili (noti anche come malicious tenant) possono utilizzare le risorse IT

“cloud-based” per un'ampia gamma di attacchi, tra cui l'hacking di processi di autenticazione

deboli, la violazione della crittografia, lo spamming degli account di posta elettronica o per

lanciare attacchi comuni, come un DoS.

• Malicious Insider: Gli insider dannosi sono threat agent che agiscono per conto o in relazione

al provider cloud. Si tratta in genere di dipendenti attuali, ex-dipendenti o di terze parti con

accesso ai locali del provider cloud. Questo tipo di threat agent può provocare un danno

potenzialmente enorme, poiché potrebbe disporre di privilegi amministrativi per l'accesso

alle risorse IT dei consumer.

Cloud Security Threats

Esistono diverse minacce e vulnerabilità comuni negli ambienti “cloud-based” e, per ognuna di

queste, i threat agent assumono un determinato ruolo:

• Traffic Eavesdropping (Intercettazione del traffico): L'intercettazione del traffico si verifica

quando i dati trasferiti verso o all'interno di un cloud (di solito dal consumer verso il provider)

vengono intercettati passivamente da un malicious service agent al fine di raccogliere dati

illegittimamente. Lo scopo di questo attacco è quello di compromettere direttamente la

confidenzialità dei dati ed, eventualmente, la confidenzialità del rapporto tra consumer e

provider. Questo attacco, a causa della sua natura passiva, può passare più facilmente

inosservato per lunghi periodi di tempo.

Nell’immagine sottostante un malicious service agent intercetta un messaggio tra consumer

e provider ed effettua una copia del messaggio prima che il messaggio venga ricevuto dal

provider.

• Malicious Intermediary: La minaccia dell'intermediario dannoso si verifica quando i messaggi

vengono intercettati e alterati da un malicious service agent, compromettendo così

potenzialmente la confidenzialità e/o l'integrità del messaggio. L’attaccante può anche

inserire dati dannosi nel messaggio prima di inoltrarlo a destinazione. Nella figura

sottostante un malicious service agent intercetta e modifica un messaggio inviato da un

consumer a un servizio cloud ospitato su un server virtuale. Poiché i dati dannosi sono inseriti

nel messaggio, il server virtuale è compromesso.

• Denial of Service: L'obiettivo dell'attacco denial of service (DoS) è sovraccaricare le risorse IT

fino a che non possano più funzionare correttamente. Questo attacco viene comunemente

lanciato in uno dei seguenti modi:

o Il carico di lavoro sui servizi cloud viene aumentato artificialmente con ripetute

richieste di comunicazione.

o La rete viene sovraccaricata di traffico per ridurre la sua reattività e paralizzare le sue

prestazioni.

o Vengono inviate più richieste di servizi cloud, ognuna delle quali è progettata per

consumare memoria eccessiva e risorse di elaborazione.

Gli attacchi DoS riusciti producono problemi al server. Nella figura sottostante il consumer A

invia più messaggi a un servizio cloud ospitato sul server virtuale A. Ciò sovraccarica la

capacità del server fisico sottostante, causando interruzioni con i server virtuali A e B. Di

conseguenza il consumer B non riesce a comunicare con alcun servizio cloud ospitato sui

server virtuali A e B.

• Insufficient Authorization: L'attacco con autorizzazione insufficiente si verifica quando

l'accesso viene concesso ad un utente malintenzionato in modo errato o in modo troppo

ampio, con il risultato che l'attaccante ottiene l'accesso alle risorse IT.

Nella figura sottostante il Cloud Service Consumer A ottiene l'accesso a un database che è

stato implementato presupponendo che vi si possa accedere solo tramite un servizio Web

con un contratto di servizio pubblicato (come per Cloud Service Consumer B).

Una variante di questo attacco, nota come weak authentication (autenticazione debole), può

verificarsi quando vengono utilizzate password deboli o account condivisi per proteggere le

risorse IT. All'interno degli ambienti cloud, questi tipi di attacchi possono avere un impatto

significativo a seconda della gamma di risorse IT e della gamma di accesso a quelle risorse IT

che l'attaccante riesce ad ottenere. Nella figura sottostante un utente malintenzionato ha

violato una password debole utilizzata dal consumer A. Di conseguenza, un consumer

dannoso (di proprietà dell'attaccante) è progettato per fingere di consumare servizi cloud A

per ottenere l'accesso al server virtuale.

• Virtualization Attack (Attacco all’infrastruttura della virtualizzazione): La virtualizzazione

offre a più consumer l'accesso alle risorse IT che condividono l'hardware sottostante ma

sono logicamente isolate l'una dall'altra. Poiché i provider concedono ai consumer l'accesso

amministrativo alle risorse IT virtualizzate (come i server virtuali), esiste il rischio intrinseco

che i consumer possano abusare di questo accesso per attaccare le risorse IT fisiche

sottostanti. Un attacco di virtualizzazione sfrutta le vulnerabilità della piattaforma di

virtualizzazione per comprometterne la confidenzialità, integrità e/o disponibilità.

Nella figura sottostante un trusted attacker accede con successo a un server virtuale per

comprometterne il server fisico sottostante. Per i cloud pubblici, in cui una singola risorsa IT

fisica può fornire risorse IT virtualizzate a più consumer, un tale attacco può avere

ripercussioni significative.

• Overlapping Trust Boundaries (Limiti di fiducia sovrapposti): Se le risorse IT fisiche all'interno

di un cloud sono condivise da diversi consumer, si verifica l’overlapping dei trust boundaries.

I consumer dannosi possono prendere di mira le risorse IT condivise con l'intenzione di

compromettere i consumer o altre risorse IT che condividono lo stesso trust boundaries. La

conseguenza è che alcuni o tutti gli altri consumer potrebbero essere colpiti dall'attacco e/o

l'attaccante potrebbe utilizzare risorse IT virtuali contro altre risorse IT che condividono lo

stesso trust boundaries.

Nella figura sottostante due consumer di servizi cloud condividono server virtuali ospitati

dallo stesso server fisico e, di conseguenza, i rispettivi trust boundaries si sovrappongono. Il

Cloud Service Consumer A è considerato attendibile dal cloud e quindi ottiene l'accesso a un

server virtuale, che poi attacca il server fisico sottostante e il server virtuale utilizzato dal

Cloud Service Consumer B.

• Container Attack: L'uso dei container introduce una mancanza di isolamento dal livello del

sistema operativo host. Poiché i container distribuiti sulla stessa macchina condividono lo

stesso sistema operativo host, le minacce alla sicurezza possono aumentare data la

possibilità di ottenere l'accesso all'intero sistema. Se l'host sottostante è compromesso, tutti

i container in esecuzione sull'host potrebbero risentirne.

I container possono essere creati dall'interno di un sistema operativo in esecuzione su un

server virtuale per garantire che, se si verifica una violazione della sicurezza che ha un

impatto sul sistema operativo su cui è in esecuzione un container, l'attaccante possa

accedere e modificare solo il sistema operativo del server virtuale o i container in esecuzione

su un singolo server virtuale, mentre altri server virtuali (o server fisici) rimangono intatti.

Flawed Implementation (Implementazioni imperfette)

La progettazione, l'implementazione o la configurazione scadenti delle implementazioni dei servizi

cloud possono essere indesiderabili conseguenze, al di là delle eccezioni e degli errori di runtime. Se

il software e/o l'hardware del provider presenta difetti di sicurezza intrinsechi o weakness operative,

gli attaccanti possono