Entro il 2020 nessuna azienda sarà fuori dal cloud, ma quanto conosciamo davvero il cloud, e quanto siamo in grado di prevenire le minacce? Il punto
La notizia relativa alla sottrazione dati subìta da UBER che non ha denunciato, ha taciuto e preferito pagare per evitare la pubblicazione dei dati, rende evidente quanto nell’ambito della security sul Cloud, ci sia da fare.
Background
Nel modello di IT tradizionale aziendale che vede i Data Center e i CED come fulcro operativo, si osservano gli svantaggi legati ai tempi per le richieste di modifica nelle infrastrutture IT che sono complesse e possono impattare gli SLA (Service Level Agreement ossia i livelli di servizio definiti in soglie temporali n.d.r.) concordati. L’IT tradizionale diventa quindi un freno per il business piuttosto che un abilitatore. Inoltre i costi operativi sono tipicamente ingenti.
Per questi motivi l’IT deve cambiare approccio e diventare funzionale all’agilità aziendale, deve semplificare i processi e contemporaneamente aumentare vantaggi e competitività. Il cloud computing applicato alle logiche di data center permette di istanziare e configurare apparati in pochi istanti o minuti, garantendo elasticità delle modifiche e costi operativi più bassi (a meno di eventuali investimenti in una soluzione in cloud privato). Se si scelgono soluzioni in cloud pubblico allora fermo restando i tre modelli di erogazione, la tecnologia per l’IT diventa completamente as service: Infrastructure-as-a-service (Iaas) come ad esempio i servizi di Interoute e Equinix, Platform-as-a-service (Paas) come quelli offerti da office 365 di Microsoft ad esempio, o Software-as-a-service (Saas) ovvero pacchetti applicativi fruibili da remoto.
Ricerche e forecast
Una recente ricerca pubblicata da CloudCheckr evidenzia numeri interessanti: il 94% delle organizzazioni si trova a dover affrontare sfide nell’adozione del cloud pubblico, ma solo il 33% della leadership aziendale ha una forte conoscenza del cloud. Il 63% ha aggiunto nuovi ruoli per gestire l’adozione del cloud, ma solo il 46% ha già formato un CCoE (Cloud Center of Excellence n.d.r). La Statistica IDC “Worldwide and Regional Public IT Cloud Services Forecast, 2016-2020” evidenzia come l’80% delle aziende stia pianificando e implementando strategie cloud, tanto che si osserva il passaggio ad una strategia “cloud first” per l’aggiornamento / la sostituzione dei sistemi tradizionali e al “cloud only” quando sviluppano i sistemi e servizi di prossima generazione”. Forbes addirittura nello studio “Cloud Computing Forecasts, 2017” sottolinea come entro il 2020 nessuna azienda sarà fuori dal cloud come oggi nessuna azienda è fuori da internet.
Cloud Security
La frenata nell’adozione di questa tecnologia è data dalle sfide di sicurezza legate al cloud. L’episodio occorso ad Uber ne è un esempio emblematico, ma in generale se si pensa al cloud, le sue principali caratteristiche sono quelle di essere condiviso, connesso e dinamico e quindi potenzialmente vulnerabile ed esposto. Diciamo quindi innanzitutto che non basta pensare al perimetro del cloud. Secondo Fabrizio Tucci Security Engineer di Check Point, se ci si riduce a controllare solo la security perimetrale si ispeziona solo il 30% del traffico. Ma un amministratore dovrebbe avere visibilità del 70% di traffico rimanente.
Come fare per essere sicuri anche in Cloud
Quindi, inizialmente si deve implementare una protezione di rete che garantisca una connessione sicura fra l’ambiente cloud e l’ambiente on premise e successivamente è necessario micro-segmentare il cloud per controllare le comunicazioni interne e prevenire movimenti laterali che possono accadere a causa di minacce che si manifestano fra le applicazioni.
Sarebbe anche opportuno automatizzare la sicurezza affinché sia possibile applicarla in modo dinamico ed elastico all’interno di una infrastruttura come quella cloud in cui vige l’auto-provisioning (configurazione automatizzata degli elementi infrastrutturali e software di base), auto-scaling (scalabilità dei sistemi automatizzata n.dr.) e l’automatica adattabilità ai cambiamenti. Infine è necessaria la creazione di policy coerenti fra gli ambienti on premise e quelli in cloud, ed una gestione unificata per la sicurezza di tutti gli ambienti che valga sia per la gestione delle identità e il controllo accessi con sistemi IAM (Identity & Access management), sia per la crittografia dei dati. Deve valere inoltre un modello di responsabilità condivisa fra il cloud provider e l’azienda affinché il primo implementi forti controlli di sicurezza sull’infrastruttura cloud, ma il secondo si preoccupi di proteggere i dati che risiedono sul cloud.
David Gubiani Security Engineering Manager di Check Point sottolinea come il cloud computing costituisca il mondo moderno dell’IT perché offre alle aziende un’agilità molto maggiore e consente loro di fornire applicazioni a costi e tempi ridotti. Tuttavia, il modello di responsabilità condivisa è una politica che deve essere adottata per garantire che i dati dei clienti siano archiviati in modo sicuro nel cloud, sia dal cloud provider, sia dall’organizzazione che lo utilizza, affinchè quest’ultima possa evitare di essere il prossimo target di attacco
Approfondimento
Per chi vuole capire meglio il modello di responsabilità condivisa è possibile studiare l’apposito white paper emesso dall’azienda israeliana di sicurezza.