I fraintendimenti sulla sicurezza cloud hanno dominato il settore IT da quando il cloud è diventato una scelta pratica per l’hosting dell’infrastruttura quindici anni fa. Esistono molti miti sulla sicurezza cloud riguardo alla possibilità di ospitare servizi nel cloud mantenendo sicurezza e conformità normativa.
Da quei primi giorni, il settore IT e il cloud sono cambiati radicalmente, e l’utilità e la solidità del modello di cloud computing sono ora ampiamente riconosciute.
Nonostante il cloud sia cambiato, i miti sulla sicurezza cloud continuano a circolare, in particolare quelli relativi alla sicurezza cloud. Le versioni precedenti dei miti sulla sicurezza cloud erano eccessivamente pessimistiche. Oggi, sono altrettanto inclini a visioni troppo ottimistiche sulla conformità e sicurezza nel cloud.
Cos’è la sicurezza cloud?
La sicurezza cloud è un insieme di procedure e strumenti per proteggere le organizzazioni da minacce esterne e interne. Poiché le aziende adottano la trasformazione digitale e includono strumenti e servizi basati su cloud nella loro infrastruttura, è fondamentale disporre di una solida sicurezza cloud. Per garantire un ambiente di cloud computing sicuro per le operazioni e la gestione dei dati dell’organizzazione, ciò aiuta a proteggere dati sensibili, applicazioni e risorse da potenziali minacce.
I rischi per la sicurezza sono diventati più complessi a causa della rapidità con cui cambia il mondo digitale, in particolare per le aziende che operano nel cloud computing. Le organizzazioni spesso hanno poco controllo su come i loro dati vengono accessibili e trasferiti nel cloud. Senza un impegno attivo per aumentare la sicurezza cloud, le aziende corrono molti rischi nella gestione delle informazioni dei clienti in termini di governance e conformità.
Quali sono i miti sulla sicurezza cloud rispetto ai fatti?
Ecco alcuni miti sulla sicurezza cloud:
Mito 1: Più strumenti di sicurezza implicano maggiore sicurezza
Le persone tendono generalmente ad avere miti sulla sicurezza cloud secondo cui avere più strumenti aumenta la sicurezza nel cloud.
Al contrario, avere più strumenti di sicurezza non aumenta automaticamente la sicurezza. L’Oracle e KPMG Cloud Threat Report 2020 afferma che sono necessarie troppe tecnologie per proteggere gli ambienti cloud pubblici, secondo il 70% degli intervistati. Ognuno utilizza in media più di 100 controlli di sicurezza distinti. Diversi fornitori di sicurezza, soluzioni diverse e il blocco di vari canali di attacco creano delle lacune. E queste aperture offrono opportunità di accesso agli attaccanti.
Troppe opzioni di sicurezza combinate con infrastrutture cloud complesse e soluzioni non cooperative portano a una mancanza di intelligence condivisa e a un design rischioso.
Implementare strumenti e risorse per semplificare la gestione della sicurezza cloud e aiutare a prendere il controllo della sicurezza è essenziale se si vogliono colmare queste lacune.
Mito 2: Solo il CSP è responsabile della sicurezza
Uno dei più grandi miti sulla sicurezza cloud è che il provider cloud sia completamente responsabile della sicurezza.
Come cliente cloud, l’organizzazione utente finale protegge comunque i dati che carica sul servizio, secondo il noto “modello di responsabilità condivisa”. Poiché i compiti variano a seconda dei servizi utilizzati, è fondamentale sapere esattamente dove risiedono le proprie responsabilità quando si tratta di proteggere l’infrastruttura cloud-native.
Le organizzazioni non implementano la maggior parte dei diversi approcci per proteggere i dati nel cloud.
Mito 3: Le violazioni di successo sono il risultato di attacchi complessi
I miti sulla sicurezza cloud secondo cui le violazioni sono dovute ad attacchi complessi sono falsi. Sebbene esistano attaccanti altamente sofisticati, la maggior parte degli attacchi riusciti non deriva necessariamente dalla loro crescente sofisticazione. La stragrande maggioranza degli attacchi è causata da errori degli utenti finali e configurazioni errate.
Mito 4: La visibilità nel cloud è semplice e facile
Un altro dei miti sulla sicurezza cloud è che la visibilità nel cloud sia semplice e facile. È necessario essere pienamente consapevoli di tutti i dettagli rilevanti mentre si pagano risorse cloud, come il numero di account, se i progettisti hanno rilasciato nuove funzionalità, se è stato configurato correttamente, eventuali vulnerabilità, ecc.
Purtroppo, tenere traccia di tutte queste informazioni è molto più difficile di quanto la maggior parte delle persone creda. Non è possibile individuare deviazioni nel comportamento delle risorse se non si conosce come dovrebbero comportarsi. Le minacce sono estremamente difficili da riconoscere e affrontare tempestivamente senza dashboard centralizzate.
Mito 5: La conformità è garantita quando si utilizzano servizi di sicurezza cloud
Un altro dei miti sulla sicurezza cloud di cui parleremo oggi è che la conformità sia garantita quando si utilizza un servizio di sicurezza cloud. Molti provider di servizi cloud vantano la conformità delle loro offerte alle normative sulla sicurezza delle informazioni.
Ad esempio, il servizio di storage S3 di Amazon ha ottenuto la certificazione di conformità a SOC, PCI DSS, HIPAA e altri requisiti legali. Ma cosa significa questo? Non implica che un sistema di archiviazione dati basato su S3 sia automaticamente conforme a tali standard. S3 può essere utilizzato come componente di un sistema conforme a PCI grazie alla sua conformità PCI, ma ciò richiede una configurazione corretta. Qualsiasi sistema basato su S3 può diventare non conforme a causa di un semplice errore di configurazione, ed è responsabilità dell’utente assicurarsi che ciò non accada.
La buona notizia è che se si utilizza lo strumento di sicurezza cloud di SentinelOne, questo può aiutare a essere conformi.
Mito 6: Un audit di sicurezza cloud non è necessario
CSPM e le capacità di gestione o scansione delle vulnerabilità sono, in pratica, una forma di audit di sicurezza cloud. Ma non sono sufficienti e trascurano altre aree. Per un contesto più ampio, è necessario implementare le migliori pratiche di sicurezza cloud. I principali strumenti e piattaforme di sicurezza cloud possono offrire la capacità di eseguire audit approfonditi in modo efficace. Bisogna considerare gli audit di sicurezza nel loro insieme e non solo la gestione delle vulnerabilità o la conformità. Esistono diverse aree o elementi che gli strumenti e le tecnologie di sicurezza cloud affrontano. Quindi, per ottenere i migliori risultati, è importante combinare le migliori soluzioni di sicurezza con le migliori misure e pratiche di sicurezza.
Mito 7: Le funzioni serverless e i container sono intrinsecamente più sicuri
I miti sulla sicurezza cloud secondo cui le funzioni serverless e i container sono fondamentalmente più sicuri sono falsi. La natura effimera dei container, delle funzioni serverless e la loro tendenza a durare poco aumentano la sicurezza. Gli attaccanti trovano difficile stabilire una presenza persistente nel sistema.
Sebbene questa affermazione sia sostanzialmente corretta, l’utilizzo di trigger basati su eventi provenienti da molte fonti offre agli attaccanti accesso a più obiettivi e opzioni di attacco. Queste tecnologie cloud-native possono aumentare la sicurezza se configurate correttamente, ma solo se fatte nel modo giusto.
Mito 8: Il cloud è generalmente più sicuro
Questo particolare tra i miti sulla sicurezza cloud è più un fattoide—una combinazione di verità e falsità.
In generale, i provider cloud sono più affidabili in operazioni come l’applicazione delle patch ai server. Affidarsi a loro ha senso, e i provider di servizi cloud godono di livelli di fiducia ben meritati.
Tuttavia, proteggere tutto su numerosi cloud comporta diversi passaggi, tra cui la gestione delle identità, la protezione degli accessi e audit regolari. La crescente diffusione dei carichi di lavoro su numerosi cloud pubblici e privati comporta una mancanza di contesto end-to-end per il rischio. Le vulnerabilità di sicurezza inevitabili con soluzioni incoerenti non fanno che peggiorare questi problemi.
Mito 9: I criminali evitano di prendere di mira il cloud
I criminali informatici prendono di mira il cloud perché:
- È una tecnologia nuova, quindi esistono lacune di sicurezza. Il cloud non è sicuro per progettazione o per impostazione predefinita.
- Le infrastrutture cloud possono diventare sempre più complesse. Le organizzazioni scalano verso l’alto e verso il basso. Possono noleggiare o rimuovere servizi cloud nuovi o esistenti. La natura interconnessa del cloud, combinata con le dimensioni dell’organizzazione, lo rende particolarmente vulnerabile.
- Agli attaccanti non interessa necessariamente la superficie. Sono interessati alla loro missione. Cercano di sfruttare le risorse del cliente, ottenere accesso a dati sensibili e manipolarli indirettamente (o direttamente) per ottenere informazioni riservate. E nel 2025, è probabile che ciò accada sempre di più, sia su cloud pubblici che privati.
Mito 10: Le aziende stanno abbandonando il cloud pubblico
I miti sulla sicurezza cloud secondo cui i carichi di lavoro stanno tornando dal cloud sono principalmente diffusi da fornitori legacy che avrebbero vantaggi economici se ciò fosse vero. In realtà, la maggior parte delle aziende non ha riportato indietro i carichi di lavoro dal cloud. La maggior parte delle persone che si sono spostate proviene da SaaS, colocation e outsourcer piuttosto che dall’infrastruttura cloud (IaaS).
Ciò non significa che tutte le migrazioni cloud abbiano successo. Invece di abbandonare la propria strategia cloud e riportare le applicazioni nella posizione originale, le aziende sono più propense a gestire i problemi man mano che emergono.
Guida all'acquisto CNAPP
Scoprite tutto quello che c'è da sapere per trovare la giusta piattaforma di protezione delle applicazioni cloud-native per la vostra organizzazione.
Leggi la guidaMito 11: Per essere valido, devi essere cloud
Il cloud-washing, ovvero definire come cloud ciò che non lo è, può essere involontario e frutto di una confusione legittima. Ma per raccogliere fondi, aumentare le vendite e soddisfare aspettative e obiettivi cloud poco chiari, aziende IT e fornitori definiscono “cloud” una vasta gamma di prodotti. Questo porta ai miti sulla sicurezza cloud secondo cui un servizio o prodotto IT deve essere nel cloud per essere efficace.
Chiamate le cose con il loro nome invece di affidarvi al cloud-washing. La virtualizzazione e l’automazione sono solo due esempi delle molte altre funzionalità che possono esistere indipendentemente.
Mito 12: Tutto dovrebbe essere fatto nel cloud
Il cloud è una soluzione eccellente in alcuni casi d’uso, come carichi di lavoro altamente variabili o imprevedibili o dove il provisioning self-service è fondamentale. Tuttavia, non tutti i carichi di lavoro e le applicazioni sono adatti al cloud. Ad esempio, spostare un’applicazione legacy di solito non è un buon caso d’uso a meno che non sia possibile ottenere vantaggi di costo dimostrabili.
Non tutti i carichi di lavoro possono beneficiare allo stesso modo del cloud. Quando opportuno, non esitate a suggerire alternative non cloud.
Mito 13: Le violazioni cloud iniziano sempre da vulnerabilità cloud
È un’idea comune che le violazioni cloud inizino sempre da vulnerabilità cloud. In realtà, la maggior parte delle principali violazioni non inizia nel cloud stesso. Gli attacchi spesso iniziano invece da un endpoint compromesso, un’identità rubata o un segreto esposto—indipendentemente da dove siano ospitate le risorse. Gli incidenti di alto profilo continuano a fare notizia, non per difetti intrinseci dell’infrastruttura cloud, ma perché gli attaccanti sfruttano lacune nella sicurezza digitale tra ambienti ibridi, endpoint e identità. Gli strumenti di sicurezza tradizionali possono non rilevare queste minacce, consentendo anche a piccole debolezze di diventare punti di ingresso per gli attori malevoli. Una sicurezza cloud efficace deve proteggere non solo i carichi di lavoro cloud, ma l’intero ambiente. Deve fermare gli attacchi ovunque inizino e fornire difese unificate e automatizzate che si adattano alle minacce ovunque emergano.
Mito 14: Rispetto all’infrastruttura on-premises, il cloud è meno sicuro
Questi miti sulla sicurezza cloud sono principalmente una questione di percezione perché ci sono state pochissime violazioni di sicurezza nel cloud pubblico – la maggior parte delle violazioni continua a coinvolgere ambienti on-premises.
Qualsiasi sistema IT è sicuro solo quanto le misure adottate per mantenerlo tale. Poiché riguarda il loro core business, le aziende di servizi cloud possono investire più facilmente in una sicurezza robusta, costruendo un’infrastruttura migliore.
Mito 15: I cloud multi-tenant (pubblici) sono meno sicuri dei cloud single-tenant (privati)
Questo mito nei miti sulla sicurezza cloud sembra logico: gli ambienti utilizzati da un singolo tenant dedicato sono più sicuri di quelli utilizzati da più organizzazioni.
Tuttavia, non è sempre così. I sistemi multi-tenant “forniscono un ulteriore livello di protezione dei contenuti… come gli inquilini di un condominio che usano una chiave per entrare nell’edificio e un’altra per entrare nel proprio appartamento, i sistemi multi-tenant richiedono sia sicurezza perimetrale che a livello di ‘appartamento’,” come affermato in un articolo di CIO sui miti della sicurezza cloud. Questo rende più difficile per gli hacker esterni accedere al sistema.
Perché SentinelOne per la sicurezza cloud?
L’attuale panorama cloud richiede un approccio unificato e guidato dall’AI alla sicurezza, e Singularity™ Cloud Security di SentinelOne risponde alla sfida con il suo CNAPP senza agenti e basato su AI. È una piattaforma unica che offre visibilità approfondita su tutto l’ambiente—container, Kubernetes, VM e carichi di lavoro serverless—consentendo ai team di sicurezza di rilevare e neutralizzare le minacce in tempo reale. Con CSPM senza agenti, è possibile implementare in pochi minuti, eliminare le configurazioni errate e garantire la conformità multi-cloud, mentre AI-SPM consente di scoprire pipeline AI, modelli e valutare i servizi AI con controlli avanzati di configurazione e Verified Exploit Paths™. Ma questo è solo l’inizio.
- CWPP offre una difesa attiva basata su AI in qualsiasi ambiente cloud o on-premises, mentre CDR fornisce telemetria forense granulare e rilevamento personalizzabile per un rapido contenimento e un servizio esperto di incident response. CIEM consente di rafforzare i privilegi e prevenire la perdita di segreti, EASM individua asset sconosciuti e automatizza la gestione della superficie di attacco esterna, e Graph Explorer correla visivamente gli alert tra asset cloud, endpoint e identità per valutare l’impatto delle minacce a colpo d’occhio. Integrandosi perfettamente con le pipeline CI/CD, SentinelOne applica la sicurezza shift-left fin dalle prime fasi. Monitora e rileva continuamente le minacce con oltre 1.000 regole predefinite e personalizzate. KSPM garantisce protezione e conformità continua per ambienti containerizzati e Kubernetes.
- SentinelOne utilizza hyperautomation senza codice, include un analista di sicurezza AI e offre threat intelligence di livello mondiale.
- Un’unica piattaforma. Tutte le superfici. Nessun punto cieco. Zero falsi positivi.
Protezione dei carichi di lavoro cloud (CWPP) basata su AI per server, VM e container, che rileva e blocca le minacce in tempo reale durante l'esecuzione.
Conclusione
I responsabili delle organizzazioni incaricati della sicurezza del cloud computing devono comprendere i fraintendimenti comuni sulla sicurezza del cloud computing. Chi sa distinguere tra fatti e miti sulla sicurezza cloud può ottenere molto di più dal cloud computing e utilizzarlo per far crescere il proprio business e assistere i clienti in modo sicuro e sostenibile.
Le aziende che adottano tecnologie cloud devono costruire la soluzione di sicurezza appropriata per difendersi dai rischi cloud e proteggere l’intera superficie cloud, i dati e gli asset.
Domande frequenti sui miti della sicurezza cloud
No. Le piattaforme cloud investono molto nella sicurezza dell'infrastruttura—data center fisici, hypervisor e reti. I loro team applicano patch ai sistemi 24 ore su 24. In effetti, molti cloud pubblici soddisfano standard di sicurezza elevati come ISO 27001 e SOC 2. La chiave è come configuri e utilizzi questi servizi; la maggior parte delle violazioni è causata da configurazioni errate, non dal cloud stesso.
Assolutamente no. Nel modello di responsabilità condivisa, i provider proteggono l'infrastruttura sottostante, mentre tu gestisci dati, identità e configurazione. Scegli le chiavi di cifratura, le policy di accesso e i controlli di rete. Se configurato correttamente, mantieni il pieno controllo su chi può visualizzare o modificare i tuoi dati, anche quando risiedono fuori sede.
No. I provider proteggono i componenti “del cloud”—hardware, sistema operativo host e livelli di virtualizzazione. Sei responsabile di ciò che è “nel cloud”: i tuoi workload, dati, permessi utente e impostazioni di rete. Ignorare la tua parte del modello lascia lacune che gli attaccanti possono sfruttare, quindi è comunque necessario applicare le best practice di sicurezza e il monitoraggio continuo.
Le password aiutano, ma sono solo uno strato. L'autenticazione a più fattori è essenziale per fermare il furto di credenziali. Sono necessari anche controlli di accesso basati sui ruoli, permessi just-in-time e monitoraggio delle sessioni per proteggere da credenziali compromesse. Una visibilità continua sui pattern di accesso e avvisi di anomalie completa una difesa solida.
No. I framework di conformità elencano controlli e audit richiesti, ma superare un controllo di conformità non garantisce la protezione da minacce nuove. Sono comunque necessari monitoraggio in tempo reale, remediation delle vulnerabilità e risposta agli incidenti. La conformità è una base; la sicurezza è una pratica continua che si adatta al cambiamento delle tattiche degli attaccanti.
Log e alert sono fondamentali, ma sono per natura reattivi. Sono necessarie misure proattive—rafforzamento delle configurazioni, scansioni automatiche delle configurazioni errate e gestione continua della postura—per prevenire gli incidenti. Gli alert dovrebbero essere integrati in playbook XDR o SOAR che contengano e isolino le minacce prima che si aggravino.
Gli strumenti di sicurezza cloud-native spesso utilizzano prezzi pay-as-you-go, rendendoli accessibili alle PMI. Si evitano grandi costi iniziali per hardware o software. Molti provider includono funzionalità di sicurezza integrate—come IAM, cifratura e rilevamento di minacce di base—senza costi aggiuntivi. Sfruttando queste funzionalità e integrando add-on mirati, i costi restano sotto controllo.
La sicurezza shift-left si applica anche nel cloud. Integrando i controlli di sicurezza nei template infrastructure-as-code e nelle pipeline CI/CD, si individuano configurazioni errate prima che le risorse vengano avviate. Questo evita costosi hotfix sugli ambienti live e garantisce che i nuovi servizi vengano lanciati con impostazioni sicure fin dal primo giorno.
