menu di navigazione del network

Requisiti di sicurezza per la qualificazione dei servizi SaaS per il Cloud della PA


(Alessandro Pira) #1

Avrei alcune domande e osservazioni relative ai requisiti legati alla sicurezza espressi nell’allegato A:

http://cloud-pa.readthedocs.io/it/latest/circolari/SaaS/allegato_a_qualificazione_SaaS_v6.html

RS7 - Il Fornitore SaaS deve mettere in atto misure di network e domain isolation (firewall, ACL, controller di dominio) per mantenere l’isolamento tra i diversi domini applicativi.

Nell’ambito delle funzionalità messe a disposizione dal Cloud SPC, o comunque dettagliate nei requisiti per i Cloud per le PA, chi si occupa del software quali meccanismi ha a disposizione per controllare elementi infrastrutturali come quelli citati in questo requisito (firewall) e, se vogliamo, anche nei requisiti RS6 e RS8?

RS9 - …devono essere inclusi meccanismi per bloccare il traffico di rete da e verso URL presenti in una blacklist…

Il traffico di rete non ha un URL di provenienza, casomai un indirizzo IP, e più in generale “traffico di rete” e “URL” afferiscono a livelli dello stack ISO/OSI differenti. Se posso dare un suggerimento, riformulerei in maniera differente.

RS14 - Il Fornitore SaaS deve garantire che non si possano verificare abusi nell’uso delle funzionalità dell’applicazione e nell’accesso ai dati (eventualmente in grado di compromettere la sicurezza)

Dal momento che è a carico del fornitore SaaS occuparsi della sicurezza dell’intera supply chain relativa all’applicazione, e che purtroppo gli 0-day esistono (https://it.wikipedia.org/wiki/0-day), la garanzia dell’assenza di qualunque possibilità, seppur remota, che un malintenzionato con sufficienti risorse e conoscenze possa effettuare degli abusi mi sembra utopica. Sbaglio?

Potete chiarire questi dubbi?

Grazie


Requisiti per la qualificazione di servizi SaaS: Sicurezza
(Bago) #2

Alessandro, è passato un anno da queste tue domande. Qui evidentemente non hai avuto illuminazioni, ma mi chiedo se sei riuscito ad avere qualche risposta in merito, altrove.

Se ho capito bene dal 20 novembre 2018 la PA dovrebbe acquistare SaaS solamente da soggetti accreditati e vedo che tra i CSP abilitati ci sono solo 6 (Microsoft, Oracle, IBM, Amazon, Maggioli, Siscom) e mancano tantissimi SaaS italiani che la PA usa regolarmente.

Se stai riuscendo ad essere aggiornato, puoi condividere quali sono i canali con i quali ottieni informazioni?


(Bago) #3

Intanto mi autorispondo che il limite del 20 novembre è stato posticipato prima al 1/1/2019 e il 20/12 è stato posticipato ulteriormente al 31/3/2019.

A questo punto ci resta solo da sperare che venga posticipato periodicamente di qualche mese, fino a che non verrà cambiato qualcosa :slight_smile: