“Scegliere di ricorrere al cloud computing significa adottare un approccio completamente diverso rispetto al passato nella modalità di fruizione delle tecnologie (e della loro gestione) e questo crea, ovviamente, alcune giustificate preoccupazioni”, osserva Elio Molteni (nella foto), Senior technology Specialist di Ca Technologies. “Quando si parla di cloud, diventa complementare parlare di cloud security dato che la sicurezza è uno degli aspetti più critici da affrontare (sia dal punto di vista tecnologico che normativo)”.
Il concetto fondamentale su cui si basa la cloud security è la separation of duty (separazione di responsabilità). Di che si tratta, in pratica? “Un sistema di sicurezza in ambiente cloud – spiega Molteni – introduce una separation of duty tra amministratore del sistema e amministratore della sicurezza; l’amministratore di sistema si occuperà della gestione della macchina (sarà cioè il provider di servizi cloud ad avere la responsabilità della gestione delle tecnologie); l’amministratore della sicurezza avrà invece la responsabilità delle politiche di sicurezza sulla macchina”.
“In sostanza, il cloud comporta una separazione di responsabilità tra amministratori e auditor – spiega Molteni -. Dal punto di vista tecnologico significa portare l’attenzione sulla gestione delle identità e dei privilegi degli users e sul controllo degli accessi”.
La sicurezza deve quindi andare nella direzione del controllo degli accessi a sistemi e applicazioni all’interno di ambienti cloud (ma anche fisici o virtuali), affinché si possa avere traccia e controllo su chi può accedere a quali risorse, in un’ottica strategica di riduzione dei rischi e di adeguamento alle normative.
“Approcciare il cloud da un punto di vista di sicurezza significa prendere in considerazione questi aspetti: come ridurre i rischi con una solida gestione dei privilegi utente; come agevolare la crescita in sicurezza con tecnologie come virtualizzazione e cloud; come sfruttare le opportunità offerte dalla gestione degli accessi web; come semplificare l’esperienza degli utenti con la federazione”, spiega Molteni.
Tutte considerazioni che trovano nelle tecnologie delle risposte puntuali. “La tecnologia c’è ed è matura – aggiunge Molteni -, si tratta solo di capire come implementarla e gestirla in virtù del principio della separazione dei compiti e delle responsabilità, sia in un’ottica tecnologica, sia da un punto di vista di business e, soprattutto, normativo”.
L’offerta tecnologica di Ca Technologies per la cloud security va dalle soluzioni SiteMinder, Federation Manager e Soa Security Manager (a seconda degli scenari di gestione degli accessi) ai prodotti della famiglia Identity Lifecycle Management per il provisioning, il role management e tutte le altre funzioni di gestione delle identità. “Ca Technologies offre anche una protezione diretta al cuore dell’infrastruttura cloud grazie al controllo degli accessi ai server di virtualizzazione (hypervisor) garantito dalla soluzione Access Control e alle funzioni scalabili di log and event reporting su Internet fornite da Enterprise Log Manager”, precisa Molteni.
