Salesforce Cloud: la responsabilità va condivisa
Uno dei motivi per cui Salesforce è diventato un bersaglio così frequente per gli attaccanti è che molti clienti non comprendono il modello di responsabilità condivisa che sottoscrivono quando si affidano a un particolare provider o servizio cloud.
La protezione della piattaforma alla base di Salesforce, ovvero i data center ospitanti, l'hardware, le reti e le risorse di storage fisiche, il sistema di virtualizzazione, il software operativo e così via, rientra tra le responsabilità di Salesforce. Pertanto, la società assicura un livello di sicurezza elevato in queste aree. Questo spesso porta a supporre che i dati caricati su quella piattaforma siano altrettanto ben protetti.
In realtà, come illustra la tabella seguente, a prescindere dal tipo di servizio cloud implementato, i clienti sono sempre responsabili della sicurezza di almeno tre elementi:
- Contenuti (tutti i dati caricati sulla piattaforma);
- Dispositivi che accedono alla piattaforma;
- Account, identità e credenziali di tutti gli utenti autorizzati.
Questo significa che devi proteggere questi aspetti su una piattaforma SaaS in gran parte esternalizzata come Salesforce con la stessa attenzione che useresti se implementassi tipologie di cloud su cui hai più controllo, come PaaS, IaaS o on-premise (a cui corrisponde, in questo ordine, un livello via via maggiore di responsabilità di sicurezza a carico dell'organizzazione).