Che cos’è il SaaS? Un indizio: non vuol dire “cloud”.
Pubblicato
il
Maggio 03, 2023
Condividi questo blog
Scritto da
Keeper Security
Il governo federale degli Stati Uniti ha preso l’impegno d’implementare la sicurezza informatica zero-trust in tutte le agenzie governative. Nel 2021, la Casa Bianca ha emesso l’ordine esecutivo (EO) 14028, ordinando alle agenzie federali di adottare architetture di rete zero-trust. Pochi mesi dopo, la CISA ha presentato una bozza di modello di maturità zero-trust. All’inizio del 2022, l’OMB (Office of Management and Budget) ha pubblicato il memorandum M-22-09, che impone alle agenzie di soddisfare specifici standard e obiettivi zero-trust entro la fine dell’anno fiscale 2024. Nello stesso anno, il Dipartimento della difesa (DoD) ha pubblicato la propria strategia zero-trust e relativa roadmap.
Si tratta di molte misure in un periodo di tempo piuttosto breve, soprattutto se si considera che lo stato di solito si muove molto lentamente. Tuttavia, nonostante tutta questa pressione dall’alto, i responsabili delle decisioni presso le agenzie governative sono ancora restii ad adottare la tecnologia basata sul cloud che consentirebbe loro di raggiungere gli obiettivi zero-trust: le soluzioni SaaS (Software-as-a-Service). Le convinzioni errate che circondano la tecnologia sottostante sono molte. In particolare, resiste il mito secondo cui “SaaS” vuol dire che i dati degli utenti vengono archiviati nel cloud, dove i cybercriminali possono accedervi.
In questo articolo spiegheremo cosa sia effettivamente il SaaS e metteremo fine a questi timori.
Che cos’è il SaaS?
SaaS è un metodo di distribuzione del software in cui un fornitore terzo ospita e gestisce i server, i database e il codice che compongono un’applicazione. I clienti accedono alle applicazioni SaaS su Internet, generalmente attraverso un browser web. Alcune app SaaS offrono anche una versione desktop, una per dispositivi mobili ed estensioni del browser.
Praticamente tutti utilizzano i prodotti SaaS ogni giorno, senza nemmeno rendersene conto. Per esempio, sono prodotti SaaS Gmail, Salesforce e persino app di social media come Instagram.
SaaS e cloud computing sono la stessa cosa?
No. SaaS non è sinonimo di cloud computing.
“Cloud computing” è un termine generico che indica qualsiasi soluzione ospitata da remoto e fornita ai clienti attraverso Internet. “SaaS”, invece, vuol dire solo che l’applicazione è ospitata e distribuita sul cloud. Questo, però, non vuol dire che un’applicazione non abbia componenti on-premise, né che i dati vengano trasferiti nel cyberspazio, a disposizione di tutti.
Spesso, le piattaforme SaaS hanno sia componenti on-premise che basati sul cloud. E soprattutto, se il provider SaaS utilizza un’architettura di sicurezza zero-knowledge, i dati non vengono mai archiviati “in chiaro” nel cloud. Vengono archiviati localmente sul tuo dispositivo; nemmeno il provider SaaS può accedervi, figuriamoci gli altri.
Che cos’è la sicurezza zero-trust?
Zero-trust è un moderno modello di sicurezza che impedisce l’accesso non autorizzato a dati e servizi perché richiede agli utenti di dimostrare la propria identità prima di consentire loro l’accesso a una rete. In più, anche dopo essere stato autenticato in rete, l’utente potrà accedere solo ai sistemi e ai dati di cui ha bisogno per svolgere il proprio lavoro, e nient’altro.
Il modello zero-trust offre agli amministratori IT la piena visibilità su tutti gli utenti, i sistemi e i dispositivi. Consente a persone, applicazioni e servizi di comunicare in modo sicuro, anche attraverso gli ambienti di rete, a prescindere dal fatto che gli utenti si connettano da casa, da un albergo, da un bar, da un aeroporto, o persino attraverso i propri dispositivi. Gli amministratori possono vedere con esattezza chi si connette alla rete, da dove e a cosa accede, e gli utenti non possono accedere finché non sono stati accuratamente autenticati.
Che cos’è la sicurezza zero-knowledge?
Zero-knowledge è un’architettura di sicurezza che non rientra nel modello tradizionale di “cloud computing” (così come è inteso dai più) in cui i dati risiedono esclusivamente nel cloud. Assicura invece i massimi livelli di sicurezza e privacy dei dati aderendo ai seguenti principi:
I dati vengono crittografati e decrittografati a livello di dispositivo (e non sul server)
L’applicazione non memorizza mai i dati in formato di testo semplice (esplicitamente leggibile) nel cloud
Il server non riceve mai dati in formato di testo semplice
Nessuno, tranne te, può visualizzare i tuoi dati
La condivisione dei dati utilizza la crittografia a chiave pubblica per la distribuzione sicura delle chiavi
Quando i dati vengono sincronizzati su un altro dispositivo, rimangono crittografati finché non sono decrittografati sull’altro dispositivo
Molto interessante. Ma cosa vuol dire, in parole povere?
Se alla lettura della sezione precedente ti è andata insieme la vista, sappi che non è capitato solo a te. Il concetto di zero-knowledge è piuttosto complesso, anche per chi ha dimestichezza con la tecnologia. Ecco una metafora per spiegare il concetto di zero-knowledge in parole povere:
Immagina una scatola magica con una chiave magica. Quando metti qualcosa nella scatola e chiudi la scatola con la chiave magica, il contenuto si trasforma in polvere. Solo la chiave magica può ridare forma al contenuto, perciò, anche se qualcuno dovesse riuscire a forzare la scatola, non troverebbe altro che polvere.
Ecco come funziona con un provider SaaS zero-knowledge:
Metti un oggetto nella scatola magica e poi la chiudi con la chiave magica.
Consegni la scatola magica al provider SaaS, ma ti tieni la chiave magica.
Quando vuoi indietro l’oggetto, il provider SaaS ti restituisce la scatola chiusa a chiave.
Usi la chiave magica, che è stata sempre nelle tue mani, per aprire la scatola e recuperare l’oggetto.
In questo caso, la “scatola magica” contiene i tuoi dati crittografati (la cui utilità è pari a quella della polvere) e la chiave magica è la tua chiave di decrittografia, a cui puoi accedere solo tu, perché archiviata sul tuo dispositivo e non nel cloud.
In più, la chiave magica non è memorizzata in una posizione da cui può essere rubata. Deriva dalla tua password, quindi non esiste nemmeno finché non inserisci la password e un secondo fattore di autenticazione, come una chiave hardware o una scheda CAC. Quando termini la sessione o questa scade, la chiave scompare fino alla tua prossima autenticazione.
Quali sono i principali vantaggi del SaaS zero-knowledge?
Le soluzioni SaaS zero-knowledge consentono alle organizzazioni di godere di tutti i vantaggi del cloud computing, uniti ai massimi livelli di sicurezza, privacy e controllo totale sui dati. Tra questi vantaggi vi sono:
Costi ridotti: le solide piattaforme SaaS si integrano praticamente in qualsiasi stack tecnologico, senza richiedere software o hardware aggiuntivi. Il fornitore SaaS gestisce tutta la manutenzione e gli aggiornamenti.
Semplicità d’integrazione con i sistemi d’identità centralizzati: la strategia zero-trust del governo federale, secondo quanto delineato nei documenti EO 14028 e OMB M-22-0-9, pone molta enfasi su solidi controlli dell’identità e degli accessi aziendali, tra cui l’autenticazione a più fattori (MFA). Le piattaforme SaaS zero-knowledge si integrano più facilmente con i moderni sistemi di gestione delle identità rispetto alle tradizionali soluzioni on-premise.
Maggiore sicurezza: il documento EO 14028 stabilisce che tutti i dati siano crittografati mentre sono in transito, un requisito che nelle soluzioni zero-knowledge è predefinito.
Rapidità d’installazione e distribuzione: l’assenza di hardware da configurare e di software da scaricare singolarmente sul computer di ogni utente, rende le soluzioni SaaS molto più facili da installare e configurare rispetto alle soluzioni on-premise.
Scalabilità e flessibilità: i prodotti SaaS sono scalabili per adattarsi a organizzazioni di qualsiasi dimensione, e poiché vengono forniti in abbonamento, i clienti possono facilmente ridurre o aumentare il numero delle licenze in base alle esigenze aziendali.
I responsabili decisionali statali non hanno motivo di temere i prodotti SaaS, purché scelgano una soluzione zero-knowledge e, ovviamente, autorizzata da FedRAMP. Le soluzioni SaaS zero-knowledge autorizzate da FedRAMP offrono una sicurezza migliore a un costo inferiore rispetto ai tradizionali software on-premise, e allo stesso tempo consentono alle agenzie federali di offrire ai cittadini americani servizi migliori e in modo più efficiente.
Keeper Security
Keeper Security sta trasformando il modo in cui le persone e le organizzazioni di tutto il mondo proteggono le loro password, segreti e informazioni riservate. La piattaforma di sicurezza informatica di Keeper è facile da usare e integra una sicurezza zero-trust e zero-knowledge per proteggere ogni utente su ogni dispositivo. Scelto da milioni di persone e migliaia di organizzazioni, Keeper è il leader nella gestione di password, segreti e accessi privilegiati, oltre che nell’accesso da remoto sicuro e nella messaggistica crittografata.
Ricevi le ultime notizie e gli aggiornamenti sulla sicurezza informatica direttamente nella tua casella di posta.
Condividi questo blog
Potrebbe piacerti anche
Che cos’è il testo cifrato?
Testo cifrato si riferisce a dati crittografati e illeggibili. L'unico modo per leggere i dati crittografati è decifrarli utilizzando una chiave di crittografia. Poiché il testo cifrato non può essere letto senza fornire la chiave di...