Il cloud computing si basa sul concetto di “condivisione” delle proprie infrastrutture IT e ciò rappresenta una complicata sfida per i tecnici di rete ai quali viene chiesto di rendere sicuro un ambiente che non hanno sotto controllo.
Come risultato, la sicurezza del cloud computing e i controlli di rete che devono essere messi in atto come applicazioni e servizi devono essere spostati nella “nuvola”.
Un framework che valuta rischi e opportunità
I notevoli vantaggi economici di lavorare nel cloud comportano una serie di cambiamenti nelle relazioni risk-reward. Di fatto, bisogna rivedere in modo sostanziale la strategia di business e la propensione al rischio quando si tratterà di valutare il ritorno sugli investimenti (ROI) di eventuali soluzioni di sicurezza necessarie per il passaggio al cloud computing.
Vi consigliamo di dare un’occhiata al framework creato dal Jericho Forum con lo scopo di aiutare le aziende a valutare i rischi e le opportunità connessi con i processi di business che si spostano nel cloud.
Inoltre, un rapporto dell’Information Security Forum suggerisce che molte delle attuali offerte di servizi cloud sono immature. Infatti, anche i maggiori vendor delle platform-as-a-service (PaaS) come Google e Microsoft non possono ancora vantare una grande esperienza con i servizi basati sul cloud.
Il forum consiglia cautela e fa sapere alle aziende che dovrebbero evitare di porre i loro sistemi più importanti nel cloud finché non sono sicuri dell’affidabilità del fornitore.
Nonostante il cloud computing sia spesso presentato come un’opzione particolarmente sicura, i sondaggi mostrano che circa un terzo degli intervistati che hanno già sposato la causa del cloud ha lamentato interruzioni nel servizio: va quindi da sé che avrete bisogno di un piano destinato a far fronte a questo tipo di inconveniente.
L’ottimizzazione della WAN aiuta gli utenti a rispettare le policy di sicurezza
Non è bene concentrarsi solo sulla connettività per garantire la disponibilità. I tool network-centrici, come il VoIP, centralizzano la memorizzazione dei dati e le applicazioni basate su Web sono estremamente sensibili alla latenza. Molte cessano di funzionare quando una WAN satura di collegamenti è la loro unica via verso la rete più grande. Questo provoca frustrazione nei dipendenti e crea un rischio per la sicurezza. Per esempio, il trasferimento lento di file può portare i dipendenti a trovare metodi alternativi per trasferire i file, che possono portarli a infrangere le regole della policy di sicurezza.
L’ottimizzazione della WAN è un investimento relativamente basso se confrontato con quello in soluzioni software per dispositivi mobili o all’aggiunta di un altro data center più vicino ai lavoratori mobili. Soluzioni di ottimizzazione WAN come Citrix NetScaler combinano la gestione del traffico attraverso il load balancing Layer 4-7 con un firewall per le applicazioni Web, il che è l’ideale.
Assumersi le responsabilità per la sicurezza del cloud computing
Sebbene vi sia una responsabilità condivisa con il provider cloud per la sicurezza dei dati, in ultima analisi, i responsabili siete voi e questo è un ruolo che non va esternalizzato. Pertanto è essenziale condurre un esame approfondito della sicurezza del vostro provider affinché possa garantire una buona governance, preferibilmente nei confronti di un comprovato standard, come ISO 27001. Se non potete effettuarli da soli, i fornitori di servizi dovrebbero essere in grado di fornirvi i risultati di verifiche indipendenti e di penetration test.
Ovviamente, nel momento in cui sarete pronti a spostare i dati o le applicazioni nel cloud, il team IT dovrà aver completato un veloce percorso di apprendimento per adattarsi alle nuove modalità di lavoro. Personalmente, farei in modo che una parte del budegt risparmiato venga utilizzato per fornire una formazione adeguata. Nel frattempo, mi sento di raccomandare la lettura del Guida Cloud Security Alliance che vi potrà aiutare a comprendere le principali aree di interesse per le organizzazioni che intendono adottare il cloud computing.
