La sicurezza è una delle maggiori preoccupazioni delle aziende nel valutare una gestione dei dekstop in cloud.
I DaaS provider affermano che i loro servizi garantiscono alle aziende un servizio di gestione dei desktop più semplice attraverso un’attività di hosting dedicata, e quindi più efficiente, economica e sicura rispetto a una gestione in-house il che ha del vero.
La capacità dei fornitori di centralizzare la gestione su larga scala ha indubbiamente i suoi vantaggi, così come poter offrire servizi in massa, rispetto alle capacità di ogni singola organizzazione, specialmente le PMI, consente ai provider di poter contare su maggiori competenze e capacità di servizio.
Rispetto a queste garanzie di sicurezza, gli amministratori IT e decisori aziendali dovrebbero prendere queste dichiarazioni comunque con beneficio di inventario.
Gli esperti, infatti, riportano la questione ai fondamentali, ricordando che i miglioramenti della sicurezza promessi dalla VDI sono il risultato di un insieme di sistemi e dei processi che gli amministratori mettono in atto per proteggere gli ambienti virtuali e come la VDI di per sè non abbia niente di più sicuro di quanto non lo abbia il suo omologo fisico. Allo stesso modo, il DaaS non è immune da problemi di vulnerabilità di sicurezza rispetto ad altri servizi cloud.
Fidarsi dei fornitori DaaS
La gestione di una gran numero di desktop non è un’impresa facile, ma la gestione di un ambiente VDI può risultare ancora più difficile gestita in house. Alcune organizzazioni optano per il DaaS in modo soprattutto per liberarsi da grattacapi e oneri amministrativi, scegliendo una struttura di servizio che ha già le infrastrutture e le competenze necessarie per gestire i desktop virtuali sulla nuvola. Una scelta che dovrebbe includere nell’accordo una capacità di controllo da parte degli amministratori IT delle aziende clienti.
Quando i dipartimenti IT consegnano le redini della gestione del desktop ai fornitore DaaS, gli affidano non soltanto un parco macchine ma anche e soprattutto un ambiente aziendale che, come tale, deve essere sicuro e garantito. Cosa succede, però, se il provider non è diligente?
In questo caso ci sono vari scenari: i tecnici, ad esempio, possono implementare interfacce di programmazione delle applicazioni mal progettate o utilizzare applicazioni non sicure.
Accidentalmente, potrebbero configurare erroneamente l’hypervisor o le macchine virtuali (VM). Potrebbero scegliere di proteggere tutto il sistema con uno strumento anti-malware inefficace.
Data la complessità delle infrastrutture necessarie per DaaS – tra cui l’opzione multi-tenancy – se uno di questi casi si verifica, prima che qualcuno si possa rendere conto che qualcosa non funziona potrebbe essere troppo tardi.
Senza contare che un buon servizio Daas deve essere in grado di supportare endpoint di tipo diverso come, ad esempio, desktop, laptop, smartphone e tablet. Tutti questi dispositivi si collegano al provider DaaS via Internet, il che significa che il personale del fornitore deve gestire vari account legati alle porte, alle connessioni, ai firewall, ai protocolli di trasporto e a tutti gli altri componenti necessari per facilitare in sicurezza il trasferimento dei dati.
Qualche altro problema di sicurezza con i servizi in cloud offerti dai provider
Purtroppo, un’infrastruttura che viene progettata male o rilasciata in maniera inadeguata è solo uno dei tanti rischi che possono insorgere con un approccio DaaS. Le aziende si fidano dei loro fornitori DaaS per mantenere la loro business continuity sicura e protetta. Ma non è detto che i cloud provider siano sempre vigili e attenti.
I fornitori, ad esempio, potrebbero non effettuare periodici audit dei sistemi, applicare patch di sicurezza o mantenere la protezione da virus in tutti i sistemi in uso. Potrebbero anche prendere decisioni basate su considerazioni diversi da quelle che farebbe l’It di un azienda rispetto alla sicurezza come, ad esempio, non fare un’analisi delle minacce del malware per evitare rallentamento e quindi non intaccare le prestazioni.
Le organizzazioni che si rivolgono a DaaS devono riporre la loro fiducia in tutto il personale che lavora con il DaaS provider e, in modo particolare, a chi ha accesso diretto agli ambienti VDI.
Ma le credenziali di queste risorse saranno state verificate? Saranno stati fatti controlli circa i loro precedenti? Dove risiedono le chiavi di crittografia e chi può accedervi? In linea teorica, infatti, i DaaS provider avranno sicuramente robuste politiche di sicurezza rispetto ai propri dipendenti interni. Detto questo, anche i lavoratori con le migliori intenzioni possono essere vittime di criminalità informatica.
Cosa succede se la falla al sistema viene da una violazione delle password
Ad esempio, la società di servizi finanziari JPMorgan Chase riporta che 76 milioni di famiglie e sette milioni di piccole imprese sono state colpite da un attacco informatico. Gli hacker hanno avuto accesso a un server Web di sviluppo utilizzando le credenziali di accesso di un dipendente. Con queste credenziali, gli hacker possono infatti navigare liberamente attraverso anche la rete finanziaria più sicura.
Gli esperti di sicurezza ipotizzano che i dati rubati possono essere utilizzati per lanciare ampie campagne di phishing contro imprese e nuclei familiari. Per analogia, immaginate cosa può succedere nel caso venga violata una credenziale di accesso per una un’infrastruttura DaaS.
Come per ogni servizio in outsourcing, ci devono essere garanzie nel tempo
Un altro grande paura quando ci si rivolge a un servizio in cloud come il DaaS è assicurarsi che il fornitore sia solido e non esca dal mercato. Non è solo una questione di garanzie alla business continuity ma anche a, cosa possa succedere all’infrastruttura e a tutte le macchine virtualizzate supportate. Un data center deve essere protetto in ogni momento da entrambi gli attacchi fisici e quelli provenienti attraverso il cyberspazio, perché qualsiasi discontinuità può generare falle nel perimetro della sicurezza e causare danni irreparabili.
Se un provider esce dal mercato e smette di pagare i servizi e l’infrastruttura, cosa succede? Anche se i dati sono crittografati, da qualche parte questo patrimonio informativo esiste e va garantito in qualche modo, prima che qualche hacker possa riuscire a infiltrarsi e ad agire. Ecco perché i servizi cloud gestiti sono sicuramente una strategia interessante, ma che va valutata in maniera attenta e contrattualmente ben definita.