La ‘nuova’ sicurezza del Cloud: come trasformare un problema in un’opportunità

“Affrontare le avversità reinterpretandole come opportunità” interpella la creatività umana. Nel mondo dell’It, il principio si applica in modo eclatante ai fornitori di sicurezza, in un mercato che vira verso il cloud ma con una spiacevole consapevolezza: in tutte le indagini note è proprio la security che ha il podio di inibitore numero uno delle decisioni di migrazione verso il cloud. Come trasformare il problema in opportunità lo spiega Jonathan Penn (nella foto), analista di Forrester.

Pubblicato il 08 Apr 2011

jonathanpenn70

La ricerca di Jonathan Penn, analista di Forrester, intitolata “Security and the Cloud” vale come “livre de chevet” per vendor strategist di sicurezza, perché “prende il toro per le corna”: applica all’universo dei prodotti e servizi di sicurezza It il principio opportunità-avversità. L’avversità “sicurezza nel cloud”, diventa l’opportunità “sicurezza del cloud”. Penn presagisce, con solide argomentazioni (1,5 miliardi di dollari, quanto si stima varrà il mercato sicurezza cloud al 2015) una riconfigurazione dirompente del mercato di prodotti e servizi di sicurezza, attorno alle soluzioni emergenti dal cloud, che si incentreranno su servizi cloud sicuri, grazie a “nuove” funzionalità di sicurezza del Cloud.
Così le aziende potranno sciamare al cloud superando i patemi per i loro dati e le loro applicazioni, anche mission critical; e i vendor fornire una “nuova” sicurezza, non come appliance o scatola a sé stante, ma come prerequisito funzionale da smarcare (un “embedded checkbox”) per ogni prodotto o servizio che funga da componente hardware, middleware, software, applicativa o di processo, in qualsiasi servizio cloud proponibile. Nella catena del valore i Vendor di sicurezza tenderanno a diventare indiretti o di secondo livello? Probabile, ma in un più vasto mercato, reinterpretato come mercato sicurezza cloud e mercato di generale sicurezza It a rimorchio.
Il primo passo, si legge nel report di Penn, è misurare il mercato Cloud: un merito a prescindere, perché è la prima stima “omnicomprensiva su 20 sottosettori Ict” in cui ci imbattiamo. Per il mercato Cloud, rispetto alla spesa Ict globale del business (aziende) e delle amministrazioni pubbliche, che viaggia a livello planetario sui 2,5 trilioni di dollari, i servizi Cloud impattano “solo” 12 sottosettori (System integration, Storage, Server, Applicazioni, Customizzazione delle Applicazioni, Middleware e i 6 sottosettori dell’It outsourcing).

Figura 1 – Cloud Computing Touches Many Sector of Ict Industries
(cliccare sull’immagine per visualizzarla correttamente)

Il potenziale teorico di una migrazione a servizi cloud, iniziata qua e là nel mondo, è insomma stimata oggi da Forrester a 918 miliardi di dollari (cioè la somma delle 12 cifre riportate nella figura 1 e, ovviamente, se tutti i dipartimenti It lo decidessero).
Secondo passo è la stima del “sottomercato” Cloud Security, luogo della “nuova” sicurezza Cloud, da scomporre in protezione esclusiva del dato, integrità di sistema, gestione della vulnerabilità (rete e sistema), disponibilità (da una inchiesta Forrester effettuata tra 542 decisori di vendor hardware in Usa ed Europa con più di 500 dipendenti, citati in ordine decrescente tra il 66 e il 60%); seguono dal 55 al 52% funzionalità collegate a processi come sicurezza applicativa, adeguato monitoraggio e audit, controllo di esposizione o negligenza di personale.
“La marea montante del cloud alzerà la barca della sicurezza – scrive Penn -. Un primo fattore di spinta è la ripresa, almeno globale, dell’economia e dei budget It, che stimolano anziché ridurre l’attrazione dell’It verso tutta una serie di soluzioni as-a-service – se si mitiga il rischio. Anche se le loro risposte indicano per l’ennesima volta l’inibitor sicurezza al primo posto col 50% esatto, la devono pensare così i 542 decisori, i cui investimenti si concentrano su sicurezza cloud o virtualizzazione (prerequisito fondante del cloud): già nel secondo semestre 2009 da Emc/Rsa, Hp, Ibm, McAfee, Novell, Sun, Symantec, Trend Micro, VeriSign, Verizon sono usciti qualcosa come 21 annunci attinenti prodotti, managed service, partnership tecnologiche o consulenziali che, tutti, articolano una strategia cloud centrica “che renda sicuri gli ambienti cloud”.
Al Security Strategist serve ragionare sulle soluzioni “as a service” in rapida proliferazione, visualizzandone la “tassonomia”, secondo Forrester una matrice di 12 spazi, quanti ne genera l’incrocio fra le dimensioni “Valore per il business” (Iaas, Paas, Saas, Bpaas) e “Livello di condivisione” (le diverse tipologie di Cloud: Privato in house o con Provider dedicato, Pubblico presso un Provider globale, e soprattutto Ibrido, pensabile come combinazione lasciata alla scelta aziendale tra le due ozioni).

Figura 2 – Forrester’s Full Taxonomy of Cloud Markets
(cliccare sull’immagine per visualizzarla correttamente)

Nel forecast Forrester (vedi figura 3) il “sottomercato” Sicurezza, 210 milioni di dollari al 2010 su un mercato complessivo di circa 9,6 miliardi dollari delle soluzioni “as a service”, passerà i 1,5 miliardi di dollari al 2015, sulla base di stime di crescita dello spending cloud e del traino che esercita sulla spesa in “nuova” tecnologia sicurezza cloud (valutata al 5% del totale spesa Cloud, escludendo personale, consulenza o servizi di integrazione).
Vediamo più da vicino cosa fa da motore alla crescita. Analizzando ancora la figura 2, sull’asse del livello di condivisione, “le funzionalità di nuova sicurezza (e la spesa corrispondente) puntano a proteggere il nuovo ambiente It che abbraccia infrastruttura proprietaria e soluzioni basate sul cloud: cioè proprio il cloud ibrido, baricentro degli investimenti business, che è la logica testa di ponte per contagiare l’It on premise con la nuova sicurezza cloud”, osserva Penn. “Il motore è l’instaurarsi di un circuito virtuoso, che non disperde risorse (avversità) ma le crea (opportunità) sotto una nuova categoria di fatturato, il mercato sicurezza del Cloud, dove il nuovo modello di architettura, governance, pricing, partnership, e in definitiva go-to-market dell’ambiente cloud impone risposte “radicali” alle discipline di sicurezza correnti (identity management e sicurezza dati e applicazioni in testa)”.
Così, concesso che il packaging della sicurezza cloud in servizi cloud e il suo pricing ridurranno i margini, la sicurezza cloud è aggiuntiva al mercato della sicurezza It preesistente, e la traina perché si impenna il gradiente dei servizi Cloud generali, che costituiscono uno shift fondamentale nell’industria It.

Figura 3 – Forecast: Global Spend to Secure Public Cloud Services, 2010 to 2015
(cliccare sull’immagine per visualizzarla correttamente)

Il vendor sicurezza, insomma, non deve intaccare i ritorni della sicurezza It tradizionale per investire in nuova sicurezza del cloud, ma la realizza contando su denaro fresco e così fa da locomotiva alla sicurezza It in generale. Il ritorno dell’investimento potrà cominciare nel 2013 (vedi ancora in figura 3 il sorpasso del “gradiente spesa sicurezza Cloud su spesa complessiva in tecnologie Cloud”, da parte del “gradiente spesa sicurezza Cloud su sicurezza It totale”).
Sempre col Cloud ibrido, il ruolo di acceleratori di importazione di nuova sicurezza cloud lo giocheranno prevalentemente Saas e Iaas, che sono in testa come aspettative di adozione corrente e di crescita futura nei piani aziendali (rispettivamente con il 48% e il 33%.

Figura 4 – Cloud Adoption: SaaS Lead in Current Adoption and Planned Growth, Followed by IaaS
(cliccare sull’immagine per visualizzarla correttamente)

E per i Cloud provider, Penn aggiunge: “la sicurezza sarà elemento primario di valutazione e decisione per i clienti sul se e quando adottare soluzioni Cloud. Serve perciò trasparenza non solo negli Sla e negli audit, ma sui propri processi, certificazioni, località, tecniche, programmi operativi. Come Amazon, che comunica le sue misure di Sicurezza con Webinar; o Microsoft che divulga cosa fa con Azure e Bpos, educando i suoi Cloud service provider (Csp)”.
Servono poi standard di sicurezza: “in ambiente cloud, riferimenti come Ssae 16, Cei Cmmi, Iso 27001 hanno tutti lacune – osserva Penn -; vanno precisati policy, accesso ai log di sistema, regole di scansioni di sicurezza”.
Necessaria anche una migliore visibilità operativa: un esempio è il Cloud Security Protocol, estensione del Security Content Automation Protocol (Scap) del governo Usa, un’iniziativa per sviluppare metodi standard ed unificati di raccolta, analisi e reporting di operazioni interne cloud.
E serve collaborare tra vendor a una lingua franca per confrontare meccanismi di sicurezza di vendor diversi. Il messaggio finale? “In un ambiente cloud non basta il repackaging delle proprie funzionalità di sicurezza; vanno riorientate – conclude Penn -. Non basta, per esempio, aumentare la scalabilità (che comunque serve) ma diventano necessari una serie di agganci ed Api per il supporto di strumenti proprietari (service desk, fatturazione), interfacce e portali configurabili, supporto multitenancy, amministrazione semplificata con template e supporto ruoli, capacità di dispiegamento automatizzato e quasi istantaneo (con un supporto workflow), un sofisticato modello di consumo del servizio di sicurezza”.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati