Sovranità dei dati: NCC Group valida i sistemi Nitro di AWS gararntendo che l'hyperscaler non ha modo di accedere ai dati dei clienti

"Il cloud è solo il computer di qualcun altro". È un'affermazione che sentiamo spesso e che per molti versi è anche condivisibile. Anzi, tecnicamente è ineccepibile: il cloud è effettivamente composto da risorse di calcolo e di archiviazione gestite da terzi. I vantaggi di adottare il cloud li conosciamo bene: un miglior controllo dei costi, l'abbattimento degli investimenti Capex, la possibilità di affidarsi a un'infrastruttura collaudata e stabile, sempre aggiornata, la flessibilità. 

Il cloud però non si sposa con tutte le esigenze e nei settori altamente regolamentati non è utilizzabile, non per tutte le operazioni quantomeno. Banche, istituti finanziari, ospedali e strutture sanitarie e, in generale, tutte le realtà che operano in settori altamente regolamentati devono rispettare obblighi stringenti sull'archiviazione delle informazioni, e per questo motivo i data center sono ancora centrali nell'economia di queste imprese: sono il modo migliore per garantire la sovranità sui dati. Non che sia impossibile per una banca appoggiarsi al cloud per tutte le operazioni, ma le norme impongono che i dati risiedano in UE e che siano inaccessibili a chi gestisce il servizio cloud, quindi agli hyperscaler. Per ovviare a queste problematiche nel Vecchio Continente si sta lavorando molto sulla creazione di uno o più infrastrutture cloud europee, ma non sempre le alternative sono all'altezza dei colossi del cloud statunitensi. Che, però, si stanno adoperando per garantire totale trasparenza e assicurare ai loro clienti la sovranità sui dati. Come AWS, che ha ottenuto una validazione indipendente sulla sicurezza e trasparenza dei sistemi AWS Nitro e ha introdotto un nuovo sistema di gestione delle chiavi crittografiche. 

I sistemi AWS Nitro sono validati da NCC Group

Chiedere ad AWS (o qualsiasi hyperscaler) se i dati che gestisce per conto nostro sono al sicuro è un po' come chiedere all'oste se il vino che serve è di buona qualità. Per questo motivo, il colosso del cloud ha chiesto a NCC Group, azienda di consulenza specializzata in cybersecurity, di validare indipendentemente i propri sistemi. Nello specifico, l'obiettivo era certificare il fatto che nemmeno gli operatori di AWS fossero in grado di accedere alle informazioni dei clienti del servizio. Un tema importante, non tanto perché non ci si fidi dei dipendenti della multinazionale, ma perché il Cloud Act americano impone alle aziende statunitensi di fornire tutte le informazioni presenti sui loro sistemi alle autorità, in caso di richiesta da parte di una corte statunitense (ma va anche detto che i provider di servizi cloud possono contestare le richieste che entrano in conflitto con le legislazioni di altri paesi o gli interessi nazionali). Anche quelli presenti sui server di altre aree geografiche, come le region europee. 

Il report di NCC Group ha confermato che non esistono meccanismi che permettano ad AWS di accedere ai dati dei clienti sui sistemi AWS Nitro. NCC Group rileva che "non c'è alcuna indicazione che un dipendente del fornitore di servizi cloud possa ottenere accesso [...] a qualche host", si legge nel report.

Il servizio KMS per la gestione delle chiavi crittografiche

Se nessuno all'interno di AWS può leggere i dati dei clienti è merito della crittografia, ma chi gestisce le chiavi crittografiche può avere accesso a queste informazioni. Per questo motivo nel 2022 è stato lanciato AWS KMS, un sistema di gestione delle chiavi che dà ai clienti pieni poteri: saranno infatti loro a creare, gestire e revocare le chiavi, andando così a risolvere i problemi derivanti dal Cloud Act. Se anche il Governo USA imponesse all'hyperscaler di consegnare tutte le informazioni sui suoi sistemi, i clienti sarebbero al sicuro dato che sono gli unici a poter maneggiare le chiavi. Queste ultime sono generare da sistemi esterni denominati XKS proxy (eXternal Key Store), che fanno da intermediari fra AWS e i propri clienti. Thales, Entrust, Fortanix, DuoKey e HashiCorp hanno già reso disponibili le proprie implementazioni dell'XKS. Aziende come Salesforce hanno già iniziato a rendere disponibili servizi che fanno leva su queste funzionalità: ne abbiamo parlato qui. 

Questo approccio è molto importante per i settori altamente regolati che abbiano citato all'inizio dell'articolo, dato che consente anche alle realtà operanti in questi ambiti di utilizzare il cloud di AWS rimanendo conformi alle leggi UE. 

L'accesso ai dati non è l'unico problema 

Se il nodo della riservatezza delle informazioni può essere risolto utilizzando chiavi esterne, c'è un altro problema da non sottovalutare: quello dell'accesso alle informazioni. Se anche un hyperscaler non avesse alcun modo di accedere ai dati, potrebbe molto semplicemente mettere in crisi un'azienda decidendo di bloccarle l'accesso ai sistemi. Ovviamente, AWS o altri hyperscaler non avrebbero alcun interesse a sabotare i propri clienti, perdendoci quindi dei soldi, ma non sappiamo come si evolverà lo scenario geopolitico nei prossimi anni. E se per motivi oggi inimmaginabili gli USA imponessero ai provider cloud statunitensi di bloccare l'accesso a certe realtà, i danni potrebbero essere enormi, soprattutto nell'ambito sanitario e finanziario. Fantapolitica? Molto probabilmente, ma sono temi che non possono essere trascurati. Del resto, sino a poco più di un anno fa davamo per scontate le scorte di gas, non dimentichiamolo.