Prima di tutto, nomenclatura .
link
Il "rischio" può essere determinato solo se esiste una vulnerabilità all'interno di questa situazione di infrastruttura condivisa che descrivi. C'è quasi sempre una vulnerabilità (ho detto "quasi" perché in InfoSec di solito non è saggio trattare in modo assoluto) in un sistema. Gli umani sono imperfetti e noi facciamo i sistemi.
Ma lasciami fare un passo indietro e non fare il pelo nell'uovo; Sì, se il proprio fornitore di servizi utilizza un unico sistema firewall e tutti i clienti condividono tale sistema, esiste una condivisione implicita di qualsiasi vulnerabilità. Anche con configurazioni che attenuano gli effetti del traffico tra i tenant, il firewall è un single point of failure e una risorsa condivisa. Tutto ciò che riguarda il firewall e un singolo titolare deve avere un impatto sugli altri, anche se ben gestito e mitigato.