Procedure operative
Le procedure che prescrivono i comportamenti operativi sono documentate, disponibili e conosciute dal personale interessato.
Hardening dei server
I server che ospitano componenti critiche per la sicurezza dei servizi sono sottoposti ad interventi sistemistici finalizzati a ridurre la superficie di attacco, quali: rimozione di software non necessario, disabilitazione di servizi/protocolli non necessari, installazione delle patch di sicurezza raccomandate dai vendor, applicazione di policy per la complessità delle password, abilitazione dei log di sicurezza, ecc.
Protezione da Distribuided Denial of Service (DDoS)
I dati vengono analizzati in ingresso individuando il traffico anomalo e bloccando, quando possibile, i pacchetti potenzialmente dannosi.
Tracciamento (logging)
Vengono raccolti e conservati i log dei server infrastrutturali per gli accessi privilegiati ai sistemi in osservanza ai requisiti di legge. Tali log vengono periodicamente verificati dal Team di Sicurezza attraverso audit interni. Sono messi a disposizione dei clienti i log applicativi delle operazioni effettuate nell'utilizzo dei servizi.
Allo stesso modo, l'operato degli amministratori di sistema è oggetto, con cadenza almeno annuale, di un'attività di verifica da parte dei titolari del trattamento, in modo da controllarne la rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali, previste dalle norme vigenti.
Monitoraggio e alerting
I sistemi critici del servizio sono controllati da un sistema di monitoraggio presidiato in modo continuativo. Il sistema ha la capacità di generare degli “alert”, sotto forma di messaggi email o SMS, che consentono di informare tempestivamente il personale addetto di un potenziale incidente o disservizio, in modo che le necessarie azioni di rimedio possano essere poste in atto nel più breve tempo possibile.
Backup (parte di competenza di Aruba)
Le componenti funzionali all’erogazione del servizio di Aruba, la gestione degli utenti e le altre componenti architetturali del servizio seguono le procedure di backup definite a livello aziendale, periodicamente verificate e testate.
Antivirus
Tutti gli apparati della rete Aruba sono controllati, monitorati e protetti da sistemi EDR. La tecnologia EDR (Endpoint Detection and Response) è in grado di monitorare in tempo reale ed in modo proattivo le minacce conosciute e sconosciute che riguardano tutti gli endpoint ed i server aziendali. Un gruppo dedicato con copertura 24/7 si occupa di analizzare gli eventi anomali ed intervenire tempestivamente.
Processo di Vulnerability Management
Tutto il perimetro Aruba viene scansionato regolarmente da strumenti automatici e da professionisti qualificati del settore al fine di identificare ogni possibile vulnerabilità anche solo potenziale. Ogni criticità individuata viene immediatamente segnalata al gruppo competente, dando avvio ad un ciclo di risoluzione della problematica che può concludersi con un nuovo rilascio oppure con una mitigazione (es. virtual patching). Per verificarne l’efficacia, si esegue infine una nuova scansione per avere la certezza del rientro della vulnerabilità.
Capacity Management e Change Management
Al fine di garantire la corretta consegna/erogazione del servizio vengono monitorate e analizzate le risorse a disposizione e le capacità, adottando gli opportuni accorgimenti per ottimizzare l'uso e assicurare la normale fruizione dei servizi.
I livelli di connettività, di occupazione delle risorse, lo spazio su disco ed il dimensionamento dell’infrastruttura sono monitorati con specifici strumenti dal gruppo di operatori appartenenti al Network Operation Centre (NOC), 24/7, il cui compito si estende anche al monitoraggio di qualsiasi evento anomalo.
Gli strumenti di monitoraggio permettono l’impostazione di controlli specifici per ciascun servizio, rilevando le anomalie e permettendo di anticipare le necessità di cambiamento.
I cambiamenti resi necessari dalle attività di monitoraggio e di gestione delle capacità vengono gestiti in modo controllato per permettere di verificarne i risultati e di mantenere traccia delle attività svolte.
Aggiornamenti e patching
Su tutti i sistemi viene periodicamente eseguito l’aggiornamento e il patching tramite dei tool centralizzati e seguendo delle procedure interne che prevedono il testing prima negli ambienti di sviluppo. Una volta superata questa fase viene eseguita l’applicazione in ambiente di produzione.
Sincronizzazione
Tutti i sistemi Cloud utilizzano il sistema NTP per sincronizzare i propri orologi e mantenere coerenza degli eventi. La fonte autoritativa per la sincronizzazione dell’orologio è INRiM (http://www.inrim.it). Il fuso orario su tutti i sistemi utilizzato è CEST ad eccezione di UK su cui viene utilizzato GMT. Tutte le VM fornite hanno fuso orario basato su CEST e utilizzano come fonte di sincronizzazione clock quella dell’host su cui risiedono.
Multitenancy e cancellazione sicura dei dati
Aruba garantisce un sistema multitenancy che permette di separare le istanze dei singoli clienti tra di loro e di separare le istanze dei clienti da quelle del Cloud Service Provider.
Il pannello cloud pubblico è stato espressamente sviluppato da Aruba in modalità multitenant secondo le linee guida per la programmazione sicura e permette esclusivamente l'accesso ed il governo della propria infrastruttura cloud. Inoltre, per i servizi PRO, VPS e Private Cloud, ed ogni qualvolta venga utilizzato un software esterno, la multitenancy è garantita direttamente dai sistemi di virtualizzazione utilizzati.
Alla chiusura del servizio, oppure all' esaurimento del credito, secondo quanto definito contrattualmente, Aruba provvede alla cancellazione e rimozione definitiva dei dati dei servizi cloud secondo quanto descritto nella pagina dedicata a cosa avviene all'esaurimento del credito. La cancellazione, a seconda del servizio, può avvenire attraverso API, pannelli tecnici, scripts o software specifici.
Aruba gestisce con un processo predefinito la cancellazione periodica dei file temporanei dei propri sistemi cloud.