Crittografia sempre più necessaria per la sicurezza di ambienti virtuali

Crittografia sempre più necessaria per la sicurezza di ambienti virtuali

Per rispondere alle normative di sicurezza in ambienti virtualizzati, la crittografia sembra rappresentare l'approccio migliore come emerge da un recente sondaggio della rivista SC Magazine

di Andrea Bai pubblicata il , alle 16:28 nel canale Server e Workstation
 

L'avvento delle tecnologie di virtualizzazione ha portato all'attenzione dei responsabili IT una nuova serie di problemi, in particolar modo quando si tratta di misure di sicurezza legati ai sistemi di pagamento online per quelle aziende che si trovano a dover rispettare una serie di norme ben precise, come ad esempio lo standard Payment Card Industry Data Security (PCI DSS) definite dal consorzio formato dalle principali società che gestiscono i circuiti di carte di credito/debito.

La rivista inglese SC Magazine ha recentemente condotto un sondaggio commissionato da SafeNet per raccogliere l'opinione dei responsabili IT di circa 170 aziende europee per indagare in che modo le normative PCI DSS si integrino con le policy aziendali e quali siano le principali difficoltà incontrate in questo ambito. Secondo il 63% degli intervistati lo standard PCI DSS ha avuto un grosso impatto sulla gestione del rischio nell'azienda e sui processi di conformità, dal momento che la portata delle sanzioni ha spinto numerose realtà ad effettuare gli investimenti necessari e ad intraprendere le azioni opportune per adeguarsi alle normative.

Alla domanda “Qual è la preoccupazione principale in ambito sicurezza”, il 52% degli intervistati risponde che essa risiede nella sicurezza in ambienti cloud e il 46% degli intervistati ritiene la sicurezza per le transazioni online negli ambienti virtuali una priorità assoluta.

La sicurezza nell'ambito della virtualizzazione rimane pertanto una sfida a cui le aziende europee si trovano a dover superare. Nell'indagine emerge inoltre che il 70% degli intervistati afferma di archiviare dati sensibili su macchine virtuali (35%), su ambienti cloud privati (26%) o pubblici (9%), descrivendo una tendenza che andrà via via intensificandosi nel corso dei prossimi mesi, con la parallela crescita nell'adozione di tecnologie di virtualizzazione e servizi cloud. Le aziende si trovano pertanto nella situazione dover a far collimare le normative di sicurezza con le caratteristiche intrinseche della virtualizzazione come ad esempio i confini sempre più labili dovuti alla multi-tenancy, l'accesso privilegiato che gli amministratori hanno sulle risorse virtualizzate, la mobilità dei dati o la difficoltà di fare auditing in maniera granulare.

E' interessante notare come gli intervistati percepiscano in maniera abbastanza diffusa come le tecniche di crittografia (a vari livelli, dalla crittografia dei database a quella delle email, da quella dei dati delle applicazioni a quella dei file, per passare dalla crittografia di unità NAS e SAN) possano rappresentare un approccio idoneo alla salvaguardia delle informazioni, rispondendo così alle normative sulla sicurezza e riuscendo al contempo a non deteriorare i vantaggi e i benefici della virtualizzazione.

7 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Piccioneviaggiatore30 Novembre 2011, 16:43 #1

Crittografia...

...assolutamente indispensabile.
Il problema e' che qualunque agenzia governativa(americana),puo' richiedere in qualsiasi momento all' erogatore del servizio la chiave di decriptatura,
Quindi a mio avviso il Cloud e' assolutamente sconsigliato per qualsiasi serio business,fatta eccezione la condivisione delle foto delle vacanze.
Mparlav30 Novembre 2011, 17:05 #2
E può richiederla non solo se è un'azienda americana ed ovunque si trovino localizzati i server, ma anche se è un'azienda "estera" ma ha i server su suolo americano.
Le "meraviglie" del Patriot Act ...

Certo si può aggiungere un personale livello di crittografia a quello garantito dal server, ma ritengo che sia più difficile da gestire, e non applicabile a tutti i servizi.
eeetc30 Novembre 2011, 18:10 #3
Scusate ma che v'importa se l'FBI o l'NSA possono entrare, con la chiave o senza?
A parte che qualunque servizio segreto o di sicurezza di qualunque paese può entrare, se vuole, nell'ambito di questa notizia è irrilevante in quanto si parla di sicurezza per l'ecommerce e pagamenti.
Francamente sarei più preoccupato di sapere che un criminale informatico possa penetrare in quegli archivi e impadronirsi di dati sensibili che non il nerd delll'NSA che trafuga i dati della mia carta di credito per acquistare a sbafo su Amazon a spese mie..
Maddoctor30 Novembre 2011, 19:57 #4
Io ho un altro punto di vista ....
normalmente i cracker, rubano i dati sfruttando backdoor che permettono di ottenere privilegi di root su un sistema.

Una volta che sei loggato su un sistema che tratta i dati che vuoi rubare ..... viene da se che hai accesso a quei dati ..... siano essi criptati oppure no.
Mi spiego ... ho un DB con i dati criptati : se rubo i datafile non leggo niente. Però, se sono loggato sul sistema e uso un programma di accesso al DB .... beh .... i dati li leggo.

IMHO
myrdrwin01 Dicembre 2011, 00:32 #5
Originariamente inviato da: eeetc
Scusate ma che v'importa se l'FBI o l'NSA possono entrare, con la chiave o senza?
A parte che qualunque servizio segreto o di sicurezza di qualunque paese può entrare, se vuole, nell'ambito di questa notizia è irrilevante in quanto si parla di sicurezza per l'ecommerce e pagamenti.
Francamente sarei più preoccupato di sapere che un criminale informatico possa penetrare in quegli archivi e impadronirsi di dati sensibili che non il nerd delll'NSA che trafuga i dati della mia carta di credito per acquistare a sbafo su Amazon a spese mie..


Il discorso è più generale e potrebbe interessarti mel momento in cui con quelle chiavi e in cloud ci metti dati dell'azienda visto che spesso varie agenzie governative di vari stati soko state accusate di fare spionaggio industriale a favore delle aziende locali.

Originariamente inviato da: Maddoctor
Io ho un altro punto di vista ....
normalmente i cracker, rubano i dati sfruttando backdoor che permettono di ottenere privilegi di root su un sistema.

Una volta che sei loggato su un sistema che tratta i dati che vuoi rubare ..... viene da se che hai accesso a quei dati ..... siano essi criptati oppure no.
Mi spiego ... ho un DB con i dati criptati : se rubo i datafile non leggo niente. Però, se sono loggato sul sistema e uso un programma di accesso al DB .... beh .... i dati li leggo.

IMHO


Si è vero in parte, quando hanno rubato gli archivi con le pass di accesso del psn sony si è scoperto che erano protette con l'md5 che ormai anche il mio orologio buca in 5 secondi. Se logghi sulla macchina e il database è criptato se non hai la pass del database anche se sei root non puoi comunque leggerlo ma solo copiarlo, ti faccio un esempio stupido, se ho un file di word protetto, anhe se ti dó le pass di amministratore del mio pc puoi lanciare l'applicativo che legge il file, ms word, ma senza la pass del file non lo puoi leggere, quello che fanno di solito è copiare il file e craccarlo dopo, forse.
Dun01 Dicembre 2011, 03:08 #6

Siete fuori strada...

State ancora ragionando in terminini di encryptions simmetriche o asimmetriche.

What about: http://crypto.stanford.edu/craig/craig-thesis.pdf ?

Jorgensen01 Dicembre 2011, 12:49 #7
Forse dovresti sapere che la crittografia omomorfica è tutt'ora sperimentale(giudicata peraltro "prematura e non utilizzabile" da Schneier) e quindi bel lontana dall'essere un'applicazione pratica, inoltre senza stare qui a tirarla per le lunghe ma tale crittografia offre margini di sicurezza significativamente inferiori alla crittografia tradizionale(sia simmetrica che asimmetrica).

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^