Questo sito utilizza cookie per raccogliere informazioni sull'utilizzo. Cliccando su questo banner o navigando il sito, acconsenti all'uso dei cookie. Leggi la nostra cookie policy.OK

Security: da ostacolo a driver nell’adozione del cloud, ma…

pittogramma Zerouno

Intervista

Security: da ostacolo a driver nell’adozione del cloud, ma…

20 Mar 2017

di Giampiero Carli Ballola

Incontrato a margine della Oracle Cloud Security Conference, Yuecel Karabulut, Director of Product Management Public Cloud Security di Oracle, focalizza alcuni punti di attenzione nella definizione di una strategia di security nell’utilizzo di infrastrutture tecnologiche e applicazioni as a service

MILANO – La sicurezza è da sempre una delle questioni più calde quando si parla di cloud e ha rappresentato a lungo, più per pregiudizio che come reale problematica, un ostacolo all’adozione di risorse IT e applicazioni as a service. Oggi invece la security può rappresentare addirittura un driver nella scelta dell’opzione cloud perché la sicurezza che può garantire un cloud provider di livello enterprise per la protezione fisica e di rete è sicuramente superiore a quella garantita dalla singola azienda; ne è convinto Yuecel Karabulut, Director of Product Management Public Cloud Security di Oracle, che ZeroUno ha potuto intervistare a margine della Oracle Cloud Security Conference che si è tenuta a Milano nelle scorse settimane. Il top manager ha ricordato uno statement di Gartner: “Sulla sicurezza il cloud è imbattibile”. Anche se, come vedremo, ciascuno deve assumersi le proprie responsabilità.

Di questo servizio fa parte anche il seguente articolo:
IL FRAMEWORK – Oracle Cloud Security: un framework pensato per la sicurezza dei sistemi d’impresa
Yuecel Karabulut, Director of Product Management Public Cloud Security di Oracle

Con vent’anni di esperienza nella ricerca e sviluppo di soluzioni di sicurezza, Karabulut è anche professore di Computer Security alla Macquarie University di Sidney. Gli abbiamo quindi chiesto di illustrarci le caratteristiche salienti della proposta Oracle in ambito security.

Yuecel Karabulut: La prima cosa da dire è che l’Oracle Cloud è pensato per l’utente enterprise. Del quale conosciamo sia le necessità sia gli scenari d’uso. Quindi il nostro approccio non è ‘one size fits all’, ma dare opzioni personalizzate, con diversi modelli d’isolamento. Tutti però devono controllare accessi e identità, definendo gli ambiti di responsabilità dei diversi utenti e rendere gli eventi sia visibili al security manager, che sappia ciò che accade nei sistemi, sia verificabili [auditable] ai fini della compliance. Ciò tocca a noi, ma anche gli utenti devono fare la loro parte. Che è di capire quali siano le loro responsabilità a fronte di situazioni e rischi possibili.

ZeroUno: Alcuni utenti tendono a separare i dati dalle applicazioni, tenendo i primi in casa e le seconde sul cloud. Ha un senso ciò per la sicurezza?

Karabulut: Dipende dai casi d’uso, ma in genere conviene che dati e applicazioni siano contigui. Infatti anche se i dati stanno in casa devono comunque andare sul cloud per essere trattati. Purtroppo non è ancora possibile processare dati criptati, per cui passando dallo storage alla RAM vanno decrittati, ed è un punto debole. Il consiglio è tenere i dati criptati e separati e controllare strettamente l’identità delle applicazioni che vi accedono”.

ZeroUno: C’è differenza, e se sì quale, fra la sicurezza di un servizio SaaS e uno Paas?

Karabulut: Certamente: nel SaaS il vendor è al 100% responsabile della sicurezza perché l’utente non ha accesso alle VM e alle infrastrutture. Nel PaaS invece le macchine virtuali sono presso gli utenti. Per esempio, il Database Cloud Service è un PaaS e le istanze al database sono sulle VM dell’utente, cui spetta quindi controllare accessi e identità”.

Giampiero Carli Ballola
Giornalista

Giampiero Carli-Ballola, nato nel 1942 e giornalista specialista in tecnologia, collabora con ZeroUno dal 1988. Segue i processi di digitalizzazione del business con particolare attenzione ai data center e alle architetture infrastrutturali, alle applicazioni big data e analitiche, alle soluzioni per l’automazione delle industrie e ai sistemi di sicurezza.

Articolo 1 di 3