Nel’era del cloud e della virtualizzazione il data center è profondamente cambiato. Va da sé che la governance delle infrastrutture IT e le relative politiche di sicurezza siano radicalmente mutate.
Ieri le applicazioni e i dati si gestivano essenzialmente in casa: il cuore dell’ICT, ovvero sistemi, applicazioni, server, storage e appliance, risiedevano nel data center aziendale, controllato da un staff di esperti informatici. I sistemi di sorveglianza e monitoraggio, in grado di individuare le minacce e mettere al riparo l’organizzazione dai pericoli del Web, erano focalizzati principalmente sui firewall e su tecnologie di difesa del perimetro della rete aziendale.
Deduplicazione di prima e di seconda generazione
Quando è arrivata sulla scena dei data center la virtualizzazione, le prospettive e gli approcci si sono evoluti. La softwarizzazione dell’hardware, sublimata da una programmazione di nuovo livello basata su hypervisor e nuovi criteri di gestione della potenza elaborativa, ha spostato la business continuity su parametri di servizio più innovativi. Sono state la velocità e la praticità della virtualizzazione a sensibilizzare le aziende a un nuovo tipo di ascolto, aprendo le porte alla gestione in cloud.
Indubbiamente, estermalizzare sulla nuvola la versione digitale del data center ha aperto nuove opportunità di sviluppo secondo economie di scala estremamente più efficaci e proattive. Al contempo, però, ha reso sfumati i confini tra l’azienda e il mondo esterno, inaugurando una liquidità delle infrastrutture e dei servizi un tempo inimmaginabili.
Sicurezza: hardware VS software
Oggi adottando un servizio cloud pubblico, non si sa realmente dove e come i propri dati vengono gestiti dal cloud provider. I responsabili dei sistemi informativi sentono che il controllo delle informazioni può sfuggire di mano: la mobilità e la liquidità della nuvola, infatti, impongono nuove regole di controllo e di sicurezza. Nella lunga e difficile guerra per eliminare le vulnerabilità dei sistemi informatici e renderli più resistenti al malware e alle varie tipologie di attacchi architettati dagli hacker, c’è un principio fondamentale, ovvero che il software è un codice scritto da un programmatore ed è per definizione modificabile, mentre l’hardware è sostanzialmente inalterabile (a meno di usare metodi fisici di modifica in laboratorio). Integrare la security direttamente in quel silicio che è il materiale chiave di chip elettronici e processori è dunque la risposta tecnologica capace di rispondere alle domande delle aziende che scelgono un approccio software defined. La chiave, in estrema sintesi, è integrare in modo nativo le funzionalità fondamentali di protezione dal malware e di cifratura dei dati direttamente nel cuore hardware delle unità di elaborazione, ovvero nel silicio.
Security in silicon: è così che la sicurezza diventa nativa
Il principio fondamentale applicato è quello di porre le funzionalità di security il più possibile in profondità, nel cuore della pila tecnologica rappresentata dall’hardware. La Silicon Secured Memory (SSM), infatti, offre un sistema di crittografia che controlla in tempo reale l’accesso alle applicazioni in esecuzione e ai dati nella memoria del sistema. È questa la strategia attualmente perseguita da Oracle, con l’introduzione della piattaforma SPARC M7, che rappresenta il risultato di un lungo percorso di ricerca e sviluppo e che stabilisce un radicale cambio di paradigma nell’approccio alla sicurezza IT.
Dal punto di vista funzionale, la sicurezza integrata direttamente nel silicio del processore (che costituisce il primo dei layer tecnologici) è da considerarsi più efficace di una security implementata a livello del sistema operativo, che si pone a un livello superiore e che, comunque, può essere alterato.
Il vantaggio? Ponendosi a valle della CPU, il sistema operativo eredita in automatico le intrinseche caratteristiche di sicurezza del processore come ad esempio le funzionalità crittografiche, trasmettendole a sua volta al livello successivo, che può essere il database. In questo modo, se i dati all’interno di quest’ultimo risultano già cifrati, l’approccio risulta migliore, rispetto all’alternativa di dover eseguire il processo di encryption in un secondo tempo tramite un’applicazione specifica.
Seguendo questa logica, lo strato di software applicativo a ruota eredita, assieme alle proprie peculiari caratteristiche di sicurezza, le caratteristiche di sicurezza del database, e così via. Per analogia, lo stesso ragionamento vale anche se applicato a livello di architetture cloud sia pubblico che privato: il layer applicativo (SaaS – Software as-a-Service) eredita gli attributi di sicurezza del database e del middleware sottostante (PaaS – Platform as-a-Service), che a loro volta ereditano il livello di security dello strato di virtualizzazione sottostante, il quale eredita le funzionalità di sicurezza del sistema operativo, che ha già fatto proprie le tecnologie di encryption nativamente integrate nel processore, nel networking e nell’infrastruttura di storage (IaaS – Infrastructure as-a-Service).
Protezione sempre attiva
A livello di performance, la tecnologia di cifratura hardware-assisted consente di accelerare automaticamente le prestazioni di encryption, e di mantenere un ambiente sicuro e protetto per tutte le applicazioni, anche nei casi di ampio utilizzo di svariati protocolli e standard (AES, DES, SHA). Inoltre, i sistemi basati sul processore SPARC M7, inclusi Oracle SuperCluster M7 e i server SPARC T7 e M7, sono progettati per integrarsi senza soluzione di continuità con le infrastrutture IT esistenti e con il cloud, fornendo un notevole impulso alle performance delle applicazioni enterprise e una valida risposta alle preoccupazioni dei CIO sull’integrità del data center a livello end-to-end nell’era del cloud.
In dettaglio, nella piattaforma M7 la funzionalità Silicon Secured Memory (SSM) del processore è always-on, e controlla in tempo reale l’accesso alle applicazioni in esecuzione e ai dati nella memoria del sistema, aiutando in tal modo a proteggere contro intrusioni malevole. In sostanza, un’area di memoria allocata per l’esecuzione di un dato programma non può essere utilizzata e letta indebitamente da un altro programma.
È questo che consente, ad esempio, di costituire una difesa contro i vettori d’infezione e compromissione dei server e dei sistemi IT come possono essere le tecniche di attacco buffer overflow: grazie al proprio meccanismo always-on, M7 non permette agli hacker nemmeno di sfruttare vulnerabilità come Heartbleed e VENOM. Nel primo caso, il punto d’ingresso è una vulnerabilità nell’accesso alla memoria riscontrata nel protocollo OpenSSL, normalmente utilizzato per cifrare le comunicazioni tra l’utente i server che gestiscono servizi online, come le transazioni di pagamento elettronico. Nel secondo caso, il codice malevolo punta a sfruttare un bug, VENOM appunto, introdotto in origine con il virtualizzatore open source QEMU, e tenta di sfuggire dallo spazio di memoria allocato per tale macchina virtuale, per accedere alle aree di memoria di altre virtual machine, e alla memoria di sistema. Se il virtualizzatore o il web server di gestione delle transazioni di pagamento online sono gestiti dal processore M7, infatti, gli attacchi buffer overflow sono bloccati direttamente e immediatamente a livello hardware. Il che spiega il motivo e il valore della scelta tecnologica.
L’obiettivo del software in silicon, infatti, è garantire un data center completamente cifrato, in cui i meccanismi di difesa dalle cyber-minacce e di salvaguardia dell’integrità e riservatezza dei dati sono embedded, e sempre attivi a livello end-to-end, nell’infrastruttura IT.
