Categorie: Cloud

Nel 2020 (secondo le stime di Gartner) il cloud raggiungerà la maturità a livello mondiale. E in 9 casi su 10 la formula scelta dalle aziende sarà quella del cloud ibrido.

L’abbinamento tra una struttura interna e una esterna pienamente integrate riscuote sempre più successo, anche se potrebbe porre qualche problema in più a chi si occupa di gestire la sicurezza informatica in azienda. Se la scelta del cloud privato mette l’azienda di fronte alla piena responsabilità per le soluzioni di security adottate e quella verso il cloud pubblico impone la delega di queste scelte sul provider, è necessario fare chiarezza per prendere coscienza delle scelte effettuate ed armonizzare le soluzioni. Il primo passo da fare consiste nell’individuare tutte le soluzioni relative alla sicurezza che permettono al cloud ibrido di adattarsi a tutte le normative o alle regole previste nei contratti.


L’importanza della sicurezza nel cloud ibrido

E’ un passaggio impegnativo perché da una soluzione all’altra si possono avere risposte differenti on premise e nel cloud sulle quali può incidere anche il settore in cui opera l’azienda, che potrebbe prevedere situazioni particolari. A questo si aggiunge la possibile differenza di approccio fra le aziende che gestiscono il proprio private cloud e i provider generalisti che mettono a disposizione le loro infrastrutture in cloud, circa l’efficacia di soluzioni di sicurezza di diversa tipologia e, per di più, acquisite da vendor diversi.

Per fare un esempio, si può pensare a un’azienda che nella propria struttura interna abbia scelto di tutelarsi contro gli Advanced Persistent Threat (APT), i sistemi di Intrusion Detection (IDS) e Intrusion Prevention (IPS) e, dall’altra parte, si trovi un provider cloud che invece non ha un’offerta per le APT e copre solo le ultime due aree.

Altro fronte di possibile frizione riguarda le metodologie di audit e certificazione. In questo caso può esserci una differenza fra le certificazioni. Quelle del provider possono non soddisfare l’impresa che abbia necessità di compliance più stringenti.

Prima di iniziare a trasferire dati e applicazioni in un cloud di fornitori di servizi è quindi necessario assicurarsi di aver compreso appieno tutte le normative di conformità relative ai dati e la verticale di settore in cui si opera. Sia che si tratti di gestire i dati delle carte di credito dei clienti, le informazioni sulla salute dei pazienti o che si lavori con dati diffusi in più Paesi, il cliente cloud è in ultima analisi responsabile nel dimostrare che il livello minimo di misure di sicurezza dei dati venga raggiunto.


La visibilità dei dati

Il problema più urgente per gli amministratori della sicurezza dei dati, di fronte alla prospettiva di proteggere un cloud ibrido, è però la loro visibilità. Occorre riflettere molto per decidere dove memorizzare i dati. Anche in questo caso, è facile perdere la traccia senza una visibilità adeguata. Quindi, quando si spostano dati sensibili nel controllo di un fornitore di servizi cloud, è bene disporre del monitoraggio necessario per essere in grado di tenere traccia delle posizioni degli archivi e dei flussi di traffico, sia in entrata che in uscita. Si tratta di mettere in piedi dei processi strutturati di “Data Governance” che in ultima analisi sono in grado di classificare, monitorare e proteggere l’accesso non autorizzato ai dati.

Un ottimo modo per contribuire a proteggere i dati, in qualsiasi situazione, è quello di crittografarli mentre sono a riposo. Poiché si tratta di una situazione di multi-tenant all'interno di una rete di provider di servizi cloud, questa diventa una necessità assoluta. Oltre alla protezione dei dati a riposo è necessario pensare alla protezione dei dati in movimento mentre vengono spostati tra provider cloud differenti o vengono fruiti da chi consuma i servizi associati, - così come quelli in uso, mentre vengono elaborati e manipolati da un'applicazione cloud. In questo modo è garantita la loro protezione per tutto il loro ciclo di vita.
Un ultimo aspetto da tenere in considerazione quando si sviluppa una strategia di sicurezza, è assicurarsi che tutti gli strumenti, le procedure e le pratiche siano in grado di scalare in base ad esigenze di crescita.

Si tratta di problemi che hanno una soluzione se ci si avvale di player in grado di gestire ambienti cloud ibridi e che sono in grado di mettere a fattor comune di più clienti la propria esperienza in fatto di gestione della sicurezza di questo tipo di ambienti caratterizzati da elevata complessità. La parte più complessa resta quella di identificare le proprie esigenze di sicurezza in anticipo per mettere insieme i componenti prima di spostare la distribuzione ibrida in produzione. Fatto questo, alla fine, implementare un ambiente ibrido con le giuste modalità, può portare vantaggi dal punto di vista dell’innalzamento dei livelli della sicurezza.

New call-to-action