Vi racconto la batosta subita dal gruppo francese OVHcloud
Per vedere altri post come questo, segui la comunità @informatica
Un giudice canadese ordina l’accesso a dati europei, facendo saltare in aria la narrativa francese sulla sovranità del cloud. Solo la tecnologia (la criptazione) ci salverà. L’approfondimento di Francis Walsingham.
La necessità di una infrastruttura europea nasce principalmente dalla necessità di avere dati di interesse nazionale/comunitario in server nazionali/comunitari. Questa esigenza per non rischiare di non avere più accesso ai dati se uno stato estero (USA tanto per citare qualcosa di concreto!) sul cui territorio i server insistono, li renda inaccessibili.
Mi manca un pezzo riguardo la criptazione. Sulla protezione dei dati a riposo (backup, archivi) è facile: carico in cloud i dati cifrati, io ho la chiave, chiunque ottenga i dati cifrati non ci fa niente se io non fornisco la chiave. Una VM che eroga un servizio? Il provider ha accesso al hw (virtualizzato o fisico) di conseguenza il provider, se richiesto, può banalmente fare un mitm sul mezzo che uso per amministrare la VM e intercettare qualsiasi chiave/codice che io metta a protezione dei dati. Ho un db in cloud che fa da backend a un sito, la VM in cloud legge, scrive, modifica, ha accesso completo a tutti i dati: in che modo la cifratura può proteggere in uno scenario del genere?
Il primo caso che hai descritto rientra più nell’ambito della cifratura end-to-end perché i dati sono criptati direttamente sul client prima di essere inviati al server che li archivia o smista (se si tratta di un app di messaggistica).
Nel caso di un servizio cloud in cui il service provider deve accedere ai dati, dovrebbe quanto meno cifrare i dati in transito (ssl) e a riposo (cifrare database e dati sul disco), in modo tale da non consentire la lettura a terzi, incluso il cloud provider.
Però credo che alla fine ti devi fidare del fatto che il cloud provider non abbia una backdoor sull’istanza e non acceda in modo illegittimo alle chiavi di cifratura.
Il nodo è quello: fidarsi del cloud provider.
Per come la vedo io, al momento non esiste un mezzo tecnico che ti garantisca la protezione(1) dei dati in cloud se questi sono in uso.
(1)Garantisca la protezione = protegga dall’accesso non autorizzato con lo stesso livello di sicurezza di un archivio cifrato con algoritmo robusto, chiave di lunghezza adeguata e nota solo a chi ne ha diritto
