Sono diversi i segnali che attestano un progressivo orientamento delle aziende verso soluzioni hybrid e multi cloud. A livello italiano, si possono citare i dati dell’Osservatorio Cloud Transformation del Politecnico di Milano riferiti al 2019. Fra i tanti trend che emergono, la survey condotta su 199 grandi imprese ha rilevato che nel 77% del campione il sistema informativo vede la compresenza di servizi applicativi in cloud integrati con un insieme di applicazioni aziendali on-premises. Inoltre, il 68% delle imprese utilizza più di un cloud provider, a dimostrazione del fatto che il modello single cloud ormai è ritenuto insufficiente a rispondere alle esigenze di modernizzazione dell’IT. “Il mondo sta diventando software-defined” ha affermato in occasione dell’IBM Digital Think 2020 il CEO Arvind Krishna, a ulteriore conferma delle ragioni che dovrebbero spingere ad adottare il paradigma del cloub ibrido. Ragioni che, nell’Osservatorio del Politecnico si concentrano nell’identificazione di alcuni vantaggi quali continuità del servizio, scalabilità, minore rischio di lock-in, ottimizzazione dei costi e migliori funzionalità a supporto dei processi. Basteranno a muovere i CIO verso una scelta convinta di un ambiente hybrid e multi cloud?
Information security e innovazione guidate dal cloud ibrido
Nel sondaggio annuale svolto dalla Society for Information Management, che l’anno scorso ha coinvolto più di 1000 dirigenti IT, ai primi posti tra le principali preoccupazioni degli intervistati si sono classificati information security e data analytics. L’innovazione in senso stretto ha occupato la coda della lista, segno che per i CIO il problema della sicurezza è prioritario e che qualsiasi tipo di innovazione non può prescinderne. Del resto, una controprova arriva dall’Osservatorio Information Security & Privacy del Politecnico di Milano che recentemente ha registrato anche in Italia una decisa inversione di tendenza nella cultura aziendale inerente i temi della security. Non più intese quale onere per contrastare le minacce o adempiere agli obblighi di compliance derivanti per esempio dall’entrata in vigore del GDPR, le questioni legate alla sicurezza ormai sono considerate un elemento strategico, connesso proprio a quella digital transformation radicale di cui il cloud è un pilastro imprescindibile. Per di più, l’allargamento del perimetro potenzialmente esposto alle violazioni e la complessità nel presidio di flussi di dati in aree differenti, è all’origine di un approccio nuovo che punta a tutelare le informazioni complessivamente e non soltanto limitandosi alla protezione degli ambienti che li ospitano. Si potrebbe dire che la propensione all’hybrid e al multi cloud guidi un’innovazione globale che riguarda anche le misure di sicurezza idonee da implementare.
La security by design a fondamento dell’hybrid cloud
In materia di sicurezza oggi uno dei concetti più spesso richiamati è quello del “by design” o “by default”. Il GDPR parla esplicitamente di data protection by design, ma anche nello sviluppo del software l’espressione security by design connota una maggiore qualità nelle tecniche di implementazione dei linguaggi di programmazione. Anche per l’hybrid cloud la sicurezza by design è un’esigenza di cui tenere conto, perché non basta suddividere i carichi di lavoro e i dati su nuvole diverse, privata per quelli mission-critical e pubblica per quelli meno critici. Questa è solo la base di partenza. Ciò che aggiunge il metodo by design nella sicurezza dell’hybrid cloud è la valutazione del rischio e la costruzione conseguente di un framework per le varie tecnologie in gioco. Il primo cambiamento richiesto ai CIO, quindi, ha a che fare con un mindset focalizzato su identità, dati e carichi di lavoro piuttosto che sulle piattaforme sottostanti. Ancor più in profondità, tale cambiamento situa la cyber security nel cuore dell’innovazione e delle esigenze del business, poiché un rallentamento nell’operatività o qualsiasi minaccia agli asset aziendali eroderebbero quegli stessi benefici evidenziati sopra dall’Osservatorio Cloud Transformation.
I pilastri della sicurezza nell’hybrid cloud che innovano l’IT
Il legame tra innovazione e security, in cui l’architettura dell’hybrid cloud fa da cerniera, si coglie bene osservando quali sono le forme di protezione intrinseche nella nuvola ibrida. In particolare, la crittografia, l’automazione, l’orchestrazione, il controllo degli accessi e la sicurezza degli endpoint. Come si vede, un insieme di misure tecniche che non contraddice il presidio tradizionale affidato agli antivirus, ma lo inserisce in un orizzonta più ampio.
Crittografia
La crittografia, sia dei dati attivi sia di quelli inattivi, è probabilmente una delle forme più moderne di protezione dei dati durante tutte le fasi di transizione. Oltre a essere raccomandata dall’art. 32 del regolamento GDPR, che parla di pseudonimizzazione e cifratura dei dati personali, è necessaria nello storage decentralizzato di una tecnologia di ultima generazione quale la blockchain. Oggi la cifratura è offerta da qualsiasi cloud provider che, in taluni casi, propongono standard di certificazione come quelli FIPS 140-2 che assicurano resilienza e alta disponibilità integrate.
Automazione
Connaturata ai cloud ibridi, l’automazione nel monitoraggio degli ambienti, nel controllo dei profili di conformità e nell’implementazione delle correzioni rivoluziona i modelli manuali con cui vengono svolte abitualmente queste azioni. Serve a prevenire i rischi e, quindi, interviene prima che si presenti una violazione, per cui è strettamente correlata alla strategia di business continuity. Abbatte, nel contempo, la potenziale fonte di errore causata da processi non automatizzati e richiede tempi incomparabilmente più veloci nell’approntare un sistema di sicurezza organico e sincrono.
Orchestrazione
L’orchestrazione coordina le risorse cloud e i componenti software come se fossero un’unica entità. L’Osservatorio Cloud Transformation citato in apertura ha individuato 4 leve per l’orchestrazione dei sistemi: l’automation, di cui abbiamo appena parlato con riferimento al suo ruolo nella gestione della sicurezza di ambienti hybrid e multi cloud; l’Integration, essenziale alla interconnessione di questi ambienti; la governance, cioè il governo e l’ottimizzazione delle prestazioni e dei costi correlati; la security, appunto, nella quale l’utilizzo di appositi tool garantisce la sicurezza senza soluzione di continuità tra vari sistemi.
Controllo degli accessi
Un’ulteriore innovazione che la sicurezza applicata ai cloud ibridi sta portando è quella del controllo degli accessi. Generalmente si avvale di un fattore come il single sign-on (SSO) che contempera l’efficacia nella tutela dei dati aziendali senza arrecare particolare disagio agli end user. Sul fronte dell’amministrazione delle identità, le piattaforme di identity and access management-as-a-service (IDaaS) funzionano sia per gli ambienti multitenant sia per quelli dedicati e possono essere integrate con il software di gestione degli accessi delle applicazioni legacy presenti in azienda.
Sicurezza degli endpoint
L’importanza di questo aspetto è emersa prepotentemente durante la fase di quarantena che ha obbligato una popolazione enorme di dipendenti a lavorare da casa. A prescindere da questa circostanza, la sicurezza degli endpoint ormai è un bisogno dettato da una trasformazione radicale degli stili di collaborazione, sempre più fluidi e meno centralizzati. I classici firewall non bastano più perché i dispositivi, e le minacce connesse, sono dappertutto. Preservarli da accessi indebiti, per esempio mediante policy DLP (data loss prevention) che ne impediscano a distanza un uso illecito in caso di furto o smarrimento, va di pari passo con una copertura estesa della superficie d’attacco. Per questo la loro sicurezza si sposa pienamente con quella dell’hybrid cloud, di cui condivide la modernità di approccio in termini tecnici e organizzativi.
L’importanza della sicurezza integrata – La visione di IBM
È proprio l’importanza di un approccio integrato ai temi della sicurezza che ha guidato IBM nello sviluppo del suo IBM Cloud Pak for Security, una piattaforma per la sicurezza che vi avvale di standard condivisi e di codice open source. IBM Cloud Pak for Security mette in connessione i data source, lasciando i dati dove risiedono e facilitando di conseguenza l’individuazione di minacce nascoste. Ciò consente di aiutare le aziende a velocizzare le fasi decisionali sulle modalità di gestione di ciascun rischio. Grazie agli strumenti di orchestrazione integrati, IBM Cloud Pak for Security automatizza risposte e azioni, nel rispetto delle priorità di ciascun team.
Include le seguenti funzionalità:
– Threat Intelligence Insights, che aiuta a identificare e assegnare priorità alle minacce più rilevanti in base al profilo dell’organizzazione e alla telemetria ambientale;
– Data Explorer, che consente di eseguire indagini federate sui dati source al fine di connettere gli insight provenienti da strumenti di sicurezza come Security Information and Event Management (SIEM), endpoint detection and response (EDR) e dati memorizzati nei data lake.
– Security Orchestration, Automation and Response (SOAR), che consente di ridurre il tempo necessario per rispondere a minacce complesse, fornendo agli analisti strumenti per automatizzare le operazioni di sicurezza con funzionalità di orchestrazione.
