Con il termine cloud (noto anche con il nome di cloud computing, in italiano "nuvola informatica") si indica un servizio di erogazione di risorse informatiche, come l'archiviazione, l'elaborazione o la trasmissione di dati, attraverso internet.
Per il singolo utente ciò significa che per le soluzioni cloud non è necessario possedere un server proprio o installare un software. A seconda dei requisiti esistono diversi modelli di cloud che si differenziano dal punto di vista delle prestazioni e della sicurezza dei dati. Quali esattamente, lo scoprirai nelle prossime pagine.
Il vantaggio più grande del cloud è la sua flessibilità, perché permette di scalare a piacere i servizi. Inoltre con il cloud è possibile accedere ai dati sempre e ovunque, perché basta un terminale dotato di una connessione internet.
L'accesso al cloud è così flessibile perché la tecnologia WiFi offre un sistema comodo per la trasmissione senza fili dei dati. Dal punto di vista della crittografia dei dati e della sicurezza delle reti WLAN occorre tuttavia considerare alcuni punti importanti.
Il presente libro bianco si occupa dei principali standard e delle più importanti informazioni di sicurezza.
Indice.
Presentazione.................................................................. 02
Indice............................................................................... 03
Cos'è un cloud? .............................................................. 04
Tipologie di servizi cloud. ............................................... 05
Vari modelli di cloud. ...................................................... 06
Standard di comunicazione e wireless. ........................... 06
Sicurezza nella rete wireless. .......................................... 08
Conclusioni...................................................................... 10
L'autore. .......................................................................... 11
Altri libri bianchi da scaricare. ........................................ 11
Testo: high-tech dall'Alta Foresta Nera............................ 12
Cos'è un cloud?
Oggigiorno incontriamo il termine "cloud" ovunque e quindi ci sembra nato da poco. Nel settore dell'informatica questo termine era invece stato coniato già agli inizi degli anni '90 come paradigma per reti di computer la cui struttura fisica o funzionamento sono irrilevanti per l'utente, ma che per lui funzionano come un vero e proprio computer.
Il grande vantaggio rispetto al classico calcolatore sopra o sotto alla scrivania è che un computer cloud cresce in modo flessibile con i suoi servizi, perché lo spazio in memoria, la memoria RAM e i processori possono essere ampliati (scalati) a piacere.
Il termine "cloud" non rivela però nulla sul luogo in cui questo computer cloud si trova. Esattamente come esistono auto a noleggio o in leasing, nel frattempo esistono anche calcolatori a noleggio o in leasing. Questi calcolatori non devono più trovarsi per forza nel proprio centro di calcolo, ma possono essere gestiti in un qualsiasi altro posto. L'unica cosa che serve è una connessione dati. E siccome internet offre una simile connessione dati, spesso viene messo in relazione diretta con il cloud. Nel frattempo, tutti noi abbiamo più o meno regolarmente contatto, attraverso internet, con i computer di un servizio di cloud computing, senza dovercene per forza rendere conto. Ad es. l'online banking, gli ordini che facciamo negli store online, il nostro account presso un provider di e-mail o i social media: tutti questi processi quotidiani sarebbero impensabili senza la presenza di un cloud alle spalle.
Le applicazioni cloud sono particolarmente comode per l'archiviazione dei dati, soprattutto quando questi devono essere utilizzati da numerose persone o se l'accesso agli stessi deve avvenire da diversi luoghi. Per alcuni utenti anche il backup automatico per evitare la perdita dei dati quando si guasta il proprio disco fisso può essere un valido argomento per l'uso di una memoria cloud.
Per l'esercizio di un cloud è necessaria un'infrastruttura idonea. Quest'ultima può essere molto ampia, affinché ad es. uno store online sia in grado di evadere tutte le richieste che giungono nel periodo di Natale. Negli altri periodi dell'anno un simile "computer" sarebbe del tutto sovradimensionato. Cosa c'è di meglio quindi che utilizzare queste risorse per altre attività e condividerle con altri? Si tratta quindi di un piccolo passo verso il modello aziendale che prevede solo la gestione di un cloud e di suddividere le capacità disponibili su numerosi clienti, come fanno ad es. i provider di e-mail e i social network. Il finanziamento dell'infrastruttura viene garantita o da un canone di utilizzo periodico, o dalla messa a disposizione di informazioni personali monetizzabili, come avviene ad es. con i social network.
Tipologie di servizi cloud.
Sostanzialmente è possibile distinguere tra tre tipologie fondamentali di servizi cloud computing che si differenziano per l'entità delle ricorse messe a disposizione.
Infrastructure as a Service (IaaS)
Invece di acquistare l'infrastruttura IT, questa viene istanziata su richiesta o domanda al momento in cui una piattaforma ne ha bisogno. Così è possibile reagire tempestivamente a eventuali cambiamenti di fabbisogno senza dover impegnare il capitale in risorse hardware. L'intera amministrazione dei sistemi operativi e delle applicazioni è affidata al cliente stesso.
Platform as a Service (PaaS)
Questo modello si spinge ancora più in là e mette a disposizione una piattaforma software che può essere costituita da diversi servizi, programmi, librerie, ecc. e sulla quale il cliente può sviluppare e gestire le proprie applicazioni. La potenza di elaborazione e il fabbisogno di memoria possono essere scalati in base alle necessità.
Software as a Service (SaaS)
In questo pacchetto globale vengono messi a disposizione l'infrastruttura, la piattaforma e le applicazioni necessarie. L'accesso alle applicazioni avviene di norma tramite un browser web ed è quindi indipendente dalla piattaforma utilizzata da chi vi accede. Per l'uso e la gestione viene pagato un canone di utilizzo. In cambio, il fornitore del servizio si assume i costi di acquisto e di gestione, tra le altre cose anche per l'intera amministrazione IT, i lavori di manutenzione, gli aggiornamenti e i back-up.
Vari modelli di cloud.
I servizi di cloud computing vengono principalmente erogati tramite i seguenti modelli, che si orientano in base al livello di sicurezza richiesto dal cliente.
Public cloud
In un cloud di tipo pubblico, un service provider rende disponibili al pubblico su Internet le risorse, come applicazioni e storage. I clienti condividono l'infrastruttura e i servizi di public cloud possono offerti secondo un modello "paga quello che usi". Le aziende hanno la possibilità di disporre di un data center virtualmente proprietario, senza acquistare e manutenere hardware al loro interno.
Private cloud
Il cloud privato è un ambiente informatico realizzato esclusivamente per una persona, azienda o organizzazione.
La gestione di questo cloud può avvenire sia internamente tramite il proprio data center, "on premises"), sia esternamente da parte di un fornitore di servizi.
Community cloud
Il community cloud è una forma speciale di cloud privato gestito per una cerchia ristretta di utenti che possono trovarsi in località differenti, come ad es. autorità cittadine, università o gruppi di ricerca.
Virtual private cloud
Il virtual private cloud è un insieme di risorse informatiche configurabili a richiesta in un ambiente cloud pubblico che fornisce un certo livello di isolamento tra varie organizzazioni che utilizzano queste risorse.
Standard di comunicazione e wireless.
Tutte le offerte di cloud computing hanno bisogno di una connessione dati verso il cliente. Se questa viene garantita da internet, risulta particolarmente comoda perché fornisce numerose possibilità di accesso.
La connessione senza fili a internet di terminali come notebook, tablet e smartphone avviene tramite la rete di telefonia mobile o le reti WLAN. Le "Wireless Local Area Network" sono reti wireless che si basano su uno standard internazionale con una potata che può arrivare fino a 100 m. Al centro di una simile rete wireless WLAN c'è un access point (punto di accesso) che permette alla rete WLAN di collegarsi a internet tramite un cavo o la rete mobile. Spesso questi punti di accesso vengono chiamati anche hotspot (WiFi) o stazioni base.
IEEE 802.11
Affinché smartphone, tablet e altri terminali sviluppati sulla base dell'internet delle cose (Internet of Things o IoT) possano far uso di questa tecnologia ovunque, è necessario uno standard per queste connessioni wireless.
Nell'anno 1990 un gruppo di lavoro dell'IEEE ha iniziato a lavorare a uno standard per reti wireless. L'Institute of Electrical and Electronics Engineers è un'associazione internazionale di scienziati professionisti con l'obiettivo della promozione delle scienze tecnologiche che ha sviluppato un protocollo e sistema di trasferimento per reti wireless. Lo standard IEEE 802.11 pubblicato nel 1997 ha trovato subito una rapida accettazione e diffusione. Su questa base, lo standard è stato costantemente esteso e migliorato. Queste estensioni sono rilevabili dalla lettere
minuscole come ad es. a, b, g, n che seguono la sigla dello standard.
Dal momento che la banda da 2,4 GHz può essere utilizzata liberamente nella maggior parte dei paesi, i prodotti costruiti secondo gli standard 802.11b/g hanno trovato una larga diffusione. Attualmente vengono utilizzate anche altre bande di frequenza: lo standard 802.11ac usa la banda da 5 GHz, lo standard 802.11ad quella da 60 GHz e lo standard 802.11ah quella da 900 MHz.
Le principali frequenze wireless
2,4 GHz
Vantaggi
• In grado di superare materiali schermanti, portata più alta con meno perdite
• Banda di frequenza ISM gratuita e libera
• Ampia diffusione, basso costo dei dispositivi
Svantaggi
• La banda di frequenza deve essere condivisa con altri dispositivi o tecniche wireless (tra cui Bluetooth, forni a microonde, baby monitor per bambini, telefoni cordless), con conseguenti disturbi e interferenze
• L'esercizio privo di disturbi è possibile solo fino a max. 4 (USA: 3) reti nello stesso luogo, perché sono effettivamente disponibili solo 4 canali utili (che non si sovrappongono). In Germania: canali 1, 5, 9 e 13, negli USA canali 1, 6 e 11.
Banda da 5 GHz
Vantaggi
• Velocità di trasmissione nettamente più alta
• Banda di frequenza meno utilizzata che garantisce un esercizio privo di disturbi
• Portata più alta, perché con lo standard 802.11h è possibile una potenza di trasmissione fino a 1000 mW che compensa la maggiore attenuazione a frequenze più alte
Svantaggi
• Regolamentazioni più severe in Europa: sulla maggior parte dei canali è necessaria una selezione dinamica della frequenza (DFS) ad es. per non disturbare i radar meteo; su alcuni canali non è consentito l'esercizio all'aperto; se non viene utilizzato nessun controllo automatico della potenza di trasmissione (TPC-Transmit Power Control) è necessario ridurre la potenza di trasmissione
• Il segnale viene rapidamente schermato dalle pareti
Generalmente le alte frequenze utilizzate permettono una maggiore velocità di trasmissione. A seconda dei materiali utilizzati, le onde radio vengono tuttavia notevolmente attenuate all'interno di un edificio. Se è necessario coprire completamente un edificio di grandi dimensioni con un'unica rete wireless, può quindi rendersi necessario prevedere diversi punti di accesso o estendere la portata del segnale WiFi con dei cosiddetti ripetitori WLAN.
Wi-Fi (Alliance)
La Wi-Fi Alliance è un'organizzazione di costruttori nata nel 1999 con il nome di Wireless Ethernet Compatibility Alliance (WECA). Nel 2002 la WECA ha cambiato nome in Wi-Fi Alliance.
Lo scopo dell'associazione è quello di certificare secondo le proprie direttive i prodotti realizzati dai suoi costruttori sulla base dello standard IEEE-802.11, garantendo così l'esercizio affidabile tra i diversi dispositivi wireless. Questi prodotti ottengono il certificato Wi-Fi e sono autorizzati a recare il marchio "Wi-Fi". Nel frattempo, questo marchio WiFi è diventato in tutto il mondo il sinonimo di una wireless local area network sulla base dello standard IEEE-802.11. Tuttavia solo i prodotti delle aziende iscritte all'associazione vengono collaudati dietro il pagamento di una relativa tassa. Di conseguenza, l'assenza del marchio Wi-Fi sul dispositivo di un costruttore che non è iscritto all'associazione non significa necessariamente che il dispositivo non risponde agli standard.
Sicurezza nella rete wireless.
Contrariamente alle connessioni via cavo, le connessioni wireless possono essere intercettate in modo facile e inosservato. Di conseguenza, per garantire la sfera privata è necessario crittografare la connessione. Inoltre può rendersi necessario limitare l'accesso a un access point solo agli utenti noti. In tutto il mondo esiste una giurisprudenza molto differente sulla responsabilità del gestore dal punto di vista dell'utilizzo di un access point.
Accesso all'access point
All'atto della sua consegna, nel router WLAN è impostata una password standard per l'amministratore. Questa password è normalmente nota pubblicamente, visto che i manuali di istruzioni vengono pubblicati anche in internet. Durante la messa in funzione è quindi assolutamente necessario modificare sia il nome utente dell'amministratore, sia la relativa password.
Numerosi router offrono la possibilità di accedervi tramite internet, di registrarsi e di modificare le configurazioni impostate dall'amministratore. Nella maggior parte dei casi questa funzione dovrebbe essere disattivata per impostazione predefinita. Nel caso non ci siano fondati motivi per attivarla, si consiglia di lasciare disattivata la funzione di gestione remota del router WLAN.
Ogni access point può e/o dovrebbe avere un nome univoco, per poterlo distinguere dagli altri punti di accesso. Questo nome di rete (SSID – Service Set Identifier) viene di norma trasmesso dall'access point ed è quindi visibile ai potenziali utenti. Se questo punto di accesso deve rimanere invisibile al pubblico, nel router è possibile disattivare la trasmissione dell'SSID. Anche se un utente può comunque accedervi, deve conoscere il nome della rete e non può semplicemente selezionarlo da un elenco di punti di accesso disponibili.
La scelta della password è un ulteriore passo in direzione di una rete WLAN sicura. Anche se l'attenzione viene richiamata sempre più spesso su questo punto, esistono ancora reti la cui password è identica al nome SSID o formata da una sequenza di cifre facilmente indovinabile.
Un'ulteriore possibilità per complicare ulteriormente l'uso illecito di un access point è quella del cosiddetto filtro degli indirizzi MAC (Media Access Control). Ogni modulo WiFi possiede un indirizzo MAC univoco archiviato nel modulo wireless usato come codice identificativo per un particolare dispositivo di rete a livello di rete locale. Il gestore di un access point può archiviare nel router un elenco di indirizzi MAC che sono autorizzati ad accedere. Eventuali tentativi di accesso da parte di altri moduli WiFi verranno così rifiutati dall'access point.
Crittografia
Un ulteriore passo importante per proteggere una rete WiFi dall'utilizzo illecito è quello di crittografare la comunicazione. Tutti i moderni router WLAN dispongono di simili impostazioni. Nel quadro di un utilizzo sempre più diffuso della tecnologia WLAN sono stati sviluppati sistemi di crittografia della comunicazione sempre più potenti, perché nel corso del tempo sono continuamente emerse falle che consentivano agli hacker di attaccare i processi. Esclusivamente per ragioni di completezza, citiamo qui di seguito i sistemi di crittografia che nel frattempo sono considerati insicuri e che quindi non dovrebbero essere più utilizzati:
• WEP (Wired Equivalent Privacy)
• WPS (Wi-Fi Protected Setup)
• WPA (Wi-Fi Protected Access)
L'attuale sistema WPA2 (Wi-Fi Protected Access 2) è uno dei più difficili da decifrare, a condizione che venga utilizzata una password altrettanto sicura. Attualmente è lo standard di sicurezza per reti wireless che rispondono agli standard WLAN IEEE 802.11a, b, g, n e ac e si basa sull'Advanced Encryption Standard (AES). Attualmente si consiglia quindi di utilizzare questo sistema di crittografia.
Autenticazione nella rete WLAN
Non tutti possono utilizzare qualsiasi rete WLAN. Anche se l'accesso a una rete WLAN può essere limitato da una password, quando questa password diventa nota, si mettono a rischio non solo l'accesso, ma anche la crittografia. Nelle reti di grandi dimensioni, come ad es. quelle aziendali, può quindi rivelarsi opportuno assegnare a ciascun utente le proprie credenziali di accesso (nome utente e password), che possono essere gestite a livello
centrale. Questa gestione avviene su uno speciale server RADIUS (Remote Authentication Dial-In User Service). Nel caso un dipendente abbandoni l'azienda, non è necessario modificare la password di accesso alla rete WLAN. In questo caso basta cancellare le credenziali di accesso del dipendente interessato dal server RADIUS.
Conclusioni.
Grazie alle soluzioni di cloud computing, gli utenti privati, le aziende e gli enti pubblici possono beneficiare di potenti infrastrutture IT, senza bisogno di acquistarle o di gestirle. Grazie al modello "noleggiare invece di acquistare" raggiungono un alto livello di flessibilità. Infatti, contrariamente a un server farm proprietario, le capacità cloud noleggiate possono essere scalate a piacere verso l'alto o verso il basso. Di norma i modelli cloud attualmente presenti sul mercato si differenziano per l'entità delle risorse offerte dal provider e dalla sicurezza dei dati /sfera privata richiesta.
Grazie al fatto che i dati e le applicazioni sono archiviati e girano nel cloud (cioè in un computer o in una rete di computer situati in qualche parte del mondo), il cliente può accedervi sempre, ovunque e con qualsiasi dispositivo terminale. Un'opportunità importante soprattutto nel quadro del cosiddetto internet of things (IoT), un termine che descrive la connessione in internet di diversi prodotti. In questo contesto, il famoso frigorifero in grado di ordinare automaticamente il latte rappresenta solo un fenomeno marginale, ancorché molto comodo. Molto più interessati sono invece i macchinari di produzione intelligenti in grado di ordinare in modo automatico il materiale o i data logger che misurano le condizioni ambientali e fanno scattare un allarme quando le soglie predefinite vengono superate.
Il cloud può essere utilizzato in modo efficiente e comodo solo attraverso gli appositi standard di comunicazione wireless. Nel nostro caso il più importante è lo standard WiFi della WiFi Alliance. Dal momento che però la comunicazione e la trasmissione dei dati senza fili possono essere facilmente intercettate e/o utilizzate illegalmente, si consiglia di adottare una serie di misure di sicurezza. Queste partono dalla protezione tramite password, passano attraverso la crittografia e giungono fino all'autenticazione nella rete WLAN tramite indirizzo MAC.
Se si sceglie con cura una soluzione cloud idonea e se per la connessione dati si osservano gli ultimi standard di sicurezza, niente potrà più ostacolare un uso efficiente di queste tecnologie.
L'autore.
Dott. Volkmar Wismann. L'amburghese con laurea in fisica ed elettrotecnica ha svolto ricerche fondamentali nel settore delle tecniche radar. Dopo dieci anni passati come consulente nel campo dell'osservazione terrestre, ha lavorato prima in un'azienda specializzata in data logger, per poi passare allo specialista in strumenti di misura Testo, dove occupa una posizione direttiva.
Testo SpA
via F.lli Rosselli 3/2, 20019 Settimo Milanese (MI)
Tel: 02/33519.1
e-mail:
www.testo.it