Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

La “nube” si prepara all’It mission-critical

pittogramma Zerouno

La “nube” si prepara all’It mission-critical

Finora le aziende hanno usato il cloud soprattutto per risparmiare e implementare applicazioni più velocemente. Ma hanno tenuto in casa sistemi core-business e dati sensibili e confidenziali. In futuro le cose sono destinate a cambiare. Con l’aiuto anche di nuove tecnologie e, possibilmente, legislazioni meno punitive.

12 Dic 2012

di Riccardo Cervelli

Il futuro del cloud computing dipende dalla soluzione di problemi legati alla sicurezza, alle legislazioni per la tutela della privacy e alla capacità delle aziende utenti e dei fornitori di negoziare appropriati Service level agreement. È quanto si può dedurre analizzando dibattiti a convegni, ricerche e iniziative di organizzazioni professionali internazionali.

Fabio Rizzotto, research director di Idc

Grazie al cloud computing le aziende possono usufruire di servizi It flessibili, scalabili, a costi contenuti e approvvigionati in modo rapido da pool di risorse computazionali e infrastrutturali costruiti e orchestrati con tecnologie di virtualizzazione. “La gestione della virtualizzazione sotto il profilo della security – ha esordito alcuni mesi fa Fabio Rizzotto, research director di Idc, in apertura della Security Conference – continua a rappresentare un tema caldo”. Figuriamoci quanto il problema della relazione fra virtualizzazione e sicurezza cresca di complessità spostandoci dall’applicazione nei data center aziendali (dove secondo Idc si contano mediamente già sei server virtuali ogni server fisico) al cloud. “Il tema del rapporto tra security e cloud – ha affermato poco dopo Rizzotto – può essere visto da mille angolazioni. Tra queste, anche quella che vede l’impiego del cloud anche per l’implementazione di servizi di sicurezza (security-as-a-service). Al momento in Italia queste soluzioni sono adottate da circa il 15% delle aziende e la quota degli investimenti in security-as-a-service rappresenta già più del 40% del totale, soprattutto nelle piccole aziende”.

Il cloud computing è oggi ancora un “work in progress”. Anche per quanto concerne la sicurezza. Finora la maggior parte delle aziende si sono rivolte ai servizi cloud soprattutto per applicazioni che non implicano dati particolarmente sensibili e business-critical. Applicazioni, tuttavia, che se utilizzate via cloud promettono vantaggi in termini di riduzione dei costi e di velocità di implementazione. La maggior parte delle aziende italiane nutre ancora, nei confronti del cloud, timori legati alla sicurezza e alla compliance alle normative. Il 61% delle aziende che utilizzano servizi infrastructure-as-a-service, secondo Idc, vede la sicurezza di dati e informazioni come una criticità del cloud. L’80% degli utenti di application-as-a-service evidenzia invece come “criticità contrattuali” aspetti quali “luogo e modalità di trattamento” e “cessazione e restituzione dei dati”. Il 60% delle aziende italiane, infine, considera molto improbabile o poco probabile l’utilizzo di fornitori “public cloud” che conservano dati all’estero”.

Diverse ragioni per essere diffidenti

L’atteggiamento delle imprese verso il cloud, soprattutto per quanto riguarda i timori per la security e la privacy, è un mix di diffidenza, timore di incorrere in qualche violazione di legge, ma anche attesa di essere rassicurati circa le capacità effettive dei cloud service provider di offrire il giusto livello di protezione dei dati e delle applicazioni. E di certo le notizie apparse sui media circa furti di Id, password e altri dati personali dai data center di grandi multinazionali o di noti social network non aiutano a creare una maggiore fiducia delle aziende nei confronti del “cloud computing”: soprattutto nella sua accezione “public”.

Del resto, questi timori non erano del tutto infondati, almeno fino allo scorso anno, quando Ponemon Institute ha reso pubblica una ricerca (Security of Cloud Computing Providers Study) sponsorizzata da Ca Technologies. Dopo aver analizzato le risposte fornite da 127 cloud service provider (Csp) 103 negli Usa e 24 in Europa, la società di analisi e consulenza specializzata in sicurezza e privacy ha definito “critica” la situazione dei servizi cloud dal punto di vista della sicurezza. È emerso che solo il 29% dei fornitori di cloud pubblici e il 42% di private cloud provider si sentiva di poter definire sicure le proprie applicazioni e risorse erogate sulla “nube”. D’altra parte, solo il 51% dei provider di cloud privati e il 35% di quelli di cloud pubblici hanno definito la sicurezza come un aspetto fondamentale per raggiungere gli obiettivi It e di data processing affidatigli dai clienti. Secondo questi provider, quando gli è stato chiesto di indicare le ragioni per le quali le aziende erano migrate al cloud computing, al primo posto è emersa al riduzione dei costi (91%), seguita dai tempi di deployment più rapidi (79%) e dall’aspettativa di migliorare il customer service (37%). Il miglioramento della sicurezza è risultato uno dei due fanalini di coda con l’11% delle risposte, seguito dalla necessità di essere compliant con accordi e policy (3%). Di conseguenza, almeno fino al momento dell’indagine, i Csp non consideravano la sicurezza come un vantaggio competitivo rilevante agli occhi dei clienti. E questo si è riflesso in una situazione per cui la maggior parte dei Csp – con un’incidenza maggiore fra quelli del segmento “public” – è risultata non disporre di personale dedicato alla sicurezza di applicazioni, infrastrutture e piattaforme cloud. In virtù di questo scarso investimento in security, alla richiesta di indicare per quali aspetti della sicurezza si sentisse più attrezzato, il campione ha identificato ai primi posti la capacità di ripristinare in tempi rapidi i servizi dopo un guasto (65%), di offrire ai dati ambienti sicuri (54%), di riuscire a investigare su accessi inappropriati o illeciti (49%), di assicurare la disponibilità dei servizi It e la compliance con regolamentazioni e leggi (48%), mentre aspetti come la capacità di assicurare un’appropriata data segregation o di rendere più difficili gli accessi ai dati sensibili da parte degli utenti privilegiati si sono classificati agli ultimi posti rispettivamente con il 36 e il 32% dei rispondenti. Un quadro che è confermato da quello relativo alle tecnologie di sicurezza implementate, dove in cima si sono collocati firewall (94%) e anti-virus e anti-malware (78%), seguiti, seppure alla distanza, dai sistemi di encryption for data in motion (58%), mentre a chiudere la classifica sono stati sistemi oggi considerati cruciali per abbattere le barriere all’utilizzo del cloud in applicazioni mission-critical, come correlation and event management (10%), data loss prevention (8%) e single sign-on (6%).

Sicurezza come obiettivo e vantaggio competitivo

Tuttavia, già nel 2010 e 2011 un segnale positivo nel rapporto fra cloud e sicurezza Ponemon lo aveva già visto. Un terzo degli intervistati prevedeva che, in futuro, l’offerta di servizi di sicurezza via cloud potrebbe rappresentare una nuova fonte di guadagno. Una nuova tendenza che avrebbe potuto rimuovere un freno all’uso di questo nuovo paradigma per le applicazioni mission-critical. Un’impasse causata da un rimpallo di responsabilità tra clienti e provider su chi si debba preoccupare della sicurezza dei dati sensibili e confidenziali. Secondo la ricerca Ponemon, per essere più chiari, ai tempi delle interviste solo un terzo sia dei provider sia dei clienti riteneva che a doversi preoccupare della messa in sicurezza dei dati dovessero essere soprattutto i fornitori; i restanti due terzi, invece, affermavano dovesse essere la controparte: i clienti secondo i provider e viceversa. Sia come sia, secondo Ponemon, la crescente attenzione dei legislatori nei confronti alle problematiche della sicurezza nel cloud computing porterà sempre di più le aziende a chiedere maggiori garanzie e offerte di security ai fornitori cloud, e a inserire queste voci nei Service level agreement. Secondo il National Institute of Standard and Technology (Nist) americano, autore di un approfondito studio sulla situazione della sicurezza nelle “public cloud”, contenente un decalogo per chi intendesse utilizzarle (Guidelines on Security and Privacy in Public Cloud Computing), “il paradigma del cloud computing è in grado di offrire nuove opportunità di innovazione nell’offerta di servizi di sicurezza che possono, in prospettiva, contribuire al miglioramento della sicurezza di alcune organizzazioni nel suo complesso, privacy inclusa”.

Per quali ragioni i ricercatori del Nist vedono un ruolo positivo del modello It basato sulla “nube” nell’evoluzione della security? Un motivo è che i cloud service provider hanno più opportunità delle aziende clienti di reclutare personale specializzato in sicurezza. Le piattaforme dei Csp sono robuste perché basate su infrastrutture più uniformi di quelle che si possono trovare nei data center tradizionali. Ciò consente una maggiore automazione dei processi, compresi quelli di sicurezza, facilita il testing, l’audit e il patching. Le risorse dei Csp sono molto disponibili perché scalabili, ridondate, dotate di soluzioni di disaster recovery. Sono quindi in grado di contenere gli attacchi e identificare gli eventi pericolosi, minimizzando l’impatto dei tentativi di violazione sulla produzione. I Csp, inoltre, possono essere sfruttati anche come risorse per il backup e recovery, in alternativa alla predisposizione di siti remoti dove archiviare i dati, magari memorizzati su nastri. Infine, due vantaggi per il mobile computing. Siccome la maggior parte delle attività computazionali si svolgono nel cloud, i client che accedono remotamente non hanno bisogno di particolare risorse. Una public cloud, inoltre, permette di centralizzare tutti i dati prodotti o utilizzati dalla forza lavoro in mobilità, eliminando così il problema delle informazioni business sparse fra molteplici laptop, smartphone o media removibili, dispositivi che per le loro dimensioni e la loro portabilità sono facilmente soggetti a smarrimenti e furti.

A questo punto, che fare?

Queste rosee prospettive non devono far dimenticare i problemi che tuttora insistono sul cloud computing e abbassare la guardia agli utenti. Come hanno affermato tutti i vendor intervenuti alla Security Conference, le criticità di sicurezza del cloud computing non possono essere affrontate con i metodi e le tecnologie tradizionali. L’80-90% degli investimenti in security riguardano ancora i sistemi perimetrali. Ma nell’era del cloud le applicazioni e le informazioni non sono più confinate dentro data center con pochi punti di contatto con l’esterno e difendibili come cittadelle medievali. Le piattaforme cloud sono caratterizzate da una grande accessibilità da qualunque punto del pianeta e in qualsiasi momento. La protezione, quindi, deve spostarsi sempre di più sui dati e sulle applicazioni, cercando ovviamente di non appesantire più del necessario i server virtuali. Devono essere implementati sistemi più evoluti di crittografia e controllo degli accessi ai dati e alle applicazioni. Dlp e Identity access management, nelle sue forme più evolute e moderne, come il Federated Iam, sono due tematiche destinate a diventare sempre più rilevanti. Dal canto loro, invece, le aziende dovrebbero smettere di stare alla finestra, ma puntare a cogliere le opportunità del cloud computing. Compreso quello “public”, seguendo per esempio i consigli del Nist come l’analisi dei requisiti di sicurezza delle soluzioni che si intendono acquisire sul cloud, la valutazione del livello di security offerto dal provider, la possibilità di negoziare specifici service agreement, la messa in sicurezza anche dei client che devono accedere a tali servizi, il monitoraggio continuo e così via. Infine si dovrebbe – come sta facendo del resto la Cloud Security Alliance – convincere i legislatori dei diversi Paesi a mettersi d’accordo fra loro per predisporre dei framework legali che facilitino un cloud computing sicuro senza vincoli di frontiere. E possibilmente dovrebbero limitarsi a fissare i principi giuridici e lasciare agli esperti della community It il compito di definire gli aspetti tecnici in grado di farli rispettare in modo efficace ed efficiente.

Riccardo Cervelli

Giornalista

Nato nel 1960, giornalista freelance divulgatore tecnico-scientifico, nell’ambito dell’Ict tratta soprattutto di temi legati alle infrastrutture (server, storage, networking), ai sistemi operativi commerciali e open source, alla cybersecurity e alla Unified Communications and Collaboration e all’Internet of Things.

Articolo 1 di 6