Il modello di responsabilità condivisa nel cloud Microsoft
Tra i vari aspetti da considerare prima di sottoscrivere qualsiasi servizio in cloud spicca per importanza quello relativo alla sicurezza e disponibilità dei dati. E’ necessario conoscere preventivamente quali siano le garanzie offerte dal fornitore ed eventualmente prevedere un piano per integrarle qualora non soddisfino completamente le policy aziendali.
A tal proposito ogni fornitore di servizi cloud offre determinate assicurazioni applicando nella maggior parte dei casi il modello di responsabilità condivisa, dove, in funzione della tipologia di servizio, vengono definite le responsabilità del gestore e del cliente. Una sorta di accordo sul “Chi fa cosa” tra le parti.
La tabella che segue si riferisce al modello di responsabilità condivisa nel cloud Microsoft e ci aiuterà a comprendere meglio la suddivisione delle competenze.
Fonte: https://learn.microsoft.com/it-it/azure/security/fundamentals/shared-responsibility
Il modello suddivide le responsabilità in 10 punti corrispondenti ad altrettanti aspetti coinvolti nel servizio. Successivamente (con colori diversi) vengono definite le responsabilità in funzione della tipologia di servizio (SaaS, PaaS, IaaS e On-Premise). Risulta evidente che nel caso di una soluzione “On-Premise” il cliente è responsabile di tutti i punti del servizio. D’altro canto le responsabilità a carico del cliente si riducono notevolmente man mano che il livello del servizio aumenta, fino ad arrivare alla tipologia “SaaS”.
Tra i servizi di tipo SaaS (software as a service) riservati alle aziende, troviamo uno dei prodotti più diffusi in assoluto ovvero Microsoft 365. Si tratta della suite di applicazioni più utilizzata per le app di produttività personale, per la gestione della posta elettronica e grazie, agli strumenti integrati come OneDrive e SharePoint, risulta anche una ottima soluzione per l’archiviazione e condivisione di documenti.
Purtroppo anche i servizi in modalità SaaS non esentano completamente il cliente da alcune importanti responsabilità. Rimangono infatti a carico del cliente:
-
Protezione dei dati archiviati nel cloud Microsoft
-
Protezione dei dispositivi usati per l’accesso ai dati
-
Verifica delle autorizzazioni e identità degli utenti
Semplificando, Microsoft eroga i prodotti 365 in modalità SaaS, garantendo il funzionamento dei servizi cloud sotto l’aspetto infrastrutturale hardware e software, ma lascia al cliente la responsabilità di proteggere dati e dispositivi nonché di verificare le autorizzazioni e l’identità degli utenti che accedono alle informazioni.
Ecco allora cosa aspettarsi e come eventualmente integrare alcune funzionalità.
Protezione dei dati archiviati nel cloud Microsoft
Attualmente Microsoft prevede la replica degli archivi su diversi data center e garantisce per policy predefinita:
- Il recupero della posta dal cestino per 14 giorni, estendibili a 30;
- Il recupero di dati cancellati da OneDrive e SharePoint per 90 giorni;
Si tratta comunque di attività elementari, generalmente insufficienti a garantire una efficiente strategia di backup che permetta il recupero granulare delle informazioni con diversi punti di ripristino e per un periodo di tempo più lungo, conforme a policy aziendali e a normative sulla protezione dei dati. Consigliamo di integrare la protezione basilare con prodotti dedicati come per esempio la soluzione Veeam backup for 365 che assicura il backup completo dell’ambiente 365 inclusa la posta elettronica, gli archivi di SharePoint, OneDrive e Teams, affinché i dati siano sempre protetti e accessibili.
Anche la protezione della posta elettronica può essere migliorata con la tecnologia antispam/antimalware di Vade for M365 in quanto la soluzione integrata EOP (Exchange Online Protection) non è attualmente in grado di intercettare alcune minacce avanzate e molto pericolose come per esempio il phishing zero day e il ransomware.
Protezione dei dispositivi usati per l’accesso ai dati
I servizi Microsoft 365 sono disponibili in diverse versioni, chiamate “piani” che si distinguono principalmente per le app e le funzionalità offerte. In alcuni “piani”, anche tra i più diffusi, come per esempio “Business Basic” e “Business Standard” NON è previsto nessun tipo di protezione per il dispositivo (PC, notebook, tablet, smartphone, ecc. ecc.) utilizzato per l’accesso ai dati.
Anche in questo caso occorre provvedere alla sicurezza degli endpoint con prodotti dedicati, in grado di proteggere in modo particolare i browser web con cui si esegue l’accesso ai servizi cloud. Da considerare inoltre l’utilizzo crescente di dispositivi mobili personali, per esempio in caso di smart working, per i quali sono necessarie soluzioni antivirus avanzate che includano firewall, controllo dei contenuti e funzionalità avanzate di riconoscimento delle minacce come l’EDR.
Noi proteggiamo endpoint e server dei nostri Clienti con l’antivirus di Bitdefender perche:
- Assicura una protezione completa da ransomware, phishing, attacchi zero-day, virus, spyware, ecc.;
- Utilizza tecniche di machine learning, analisi comportamentale e monitoraggio dei processi in esecuzione;
- Garantisce una protezione multilivello degli endpoint con pochissimi falsi positivi;
- Il modulo aggiuntivo ATS/EDR migliora il rilevamento delle moderne minacce sempre più difficili da intercettare;
- Utilizzo di Agent leggero che sfruttando tecnologie in cloud ha una limitata occupazione di risorse locali;
Verifica delle autorizzazioni e identità degli utenti
E’ responsabilità del cliente, e non potrebbe essere diversamente, verificare l’identità e le autorizzazioni dell’utente che accede ai servizi 365 e di conseguenza anche ai dati aziendali. Microsoft mette a disposizione di tutti i piani rivolti alle aziende gli strumenti per il controllo degli accessi con i gruppi di sicurezza e le autorizzazioni personalizzate oltre alla funzionalità per l’autenticazione a più fattori, che Vi consigliamo di attivare quanto prima.
E ‘ possibile migliorare il livello di autenticazione e controllo degli accessi attraverso licenze opzionali Microsoft Entra ID P1 e Entra ID P2 (in precedenza chiamate Azure Active Directory P1/P2).
Restiamo a Vostra disposizione per verificare assieme quale soluzione soddisfi le policy di protezione aziendale attuali e future.