Fino a ieri riflettere sul cloud significava per le aziende porsi domande su quali fossero vantaggi e criticità relative alla nuvola, intesa come “nuovo” modello architetturale: si è parlato di flessibilità, di costi, di sicurezza ecc. relativamente al tema “in generale”. Oggi, con il crescere dell’offerta sul mercato, dell’adozione del cloud stesso da parte delle imprese, e in generale della maturità che le aziende hanno acquisito sul tema, gli interrogativi stanno cambiando: il cloud non è più visto come un’entità “ampia e omogenea”; l’IT ha ormai compreso che tutte le nuvole, AWS, Microsoft Azure, Google ecc., sono diverse, e che ognuna ha i suoi punti di forza e di debolezza. L’attenzione si è dunque spostata sul tema del multicloud: non ci si chiede più tanto come si debba utilizzare “il” cloud, quanto come si possano sfruttare al meglio le varie opzioni cloud disponibili.
Perché le aziende stanno scegliendo il multicloud
È bene, prima di tutto, sgombrare il campo da una diffusa “falsa credenza”: multicloud non significa semplicemente avere a disposizione più cloud per spostare i dati da una nuvola all’altra rincorrendo “l’offerta più economica” in un’ottica di riduzione dei costi. Esiste questo tema, ma va considerato che oggi i prezzi dei principali cloud pubblici, comparando servizi simili, non sono molto diversi tra loro e i vantaggi economici che possono derivare da operazioni di questo tipo spesso non sono davvero significativi.
Le ragioni che spingono le aziende a dotarsi di più cloud sono piuttosto legate alla diversificazione tra nuvola e nuvola a cui prima si è accennato: una strategia multicloud consente alle imprese di scegliere per ogni servizio quello migliore, considerando i campi di specializzazione di ciascun cloud provider. Si può adottare il servizio di storage di un vendor, ma preferire il servizio di machine learning di un altro. Se si considera un contesto di mercato in cui il business sempre più dipende dai dati e dall’efficacia di servizi e applicazioni, poter scegliere liberamente tra le offerte dei cloud provider sondando le peculiarità specifiche di ciascun fornitore diventa particolarmente importante.
Le criticità sul fronte della sicurezza
Il multicloud porta con sé tuttavia una serie di sfide, e tra queste va certamente considerata quella della sicurezza. L’uso di più cloud aggiunge alcune dimensioni alla sicurezza delle applicazioni e dei dati che impongono delle riflessioni specifiche e l’adozione di un approccio alla security adeguato; è utile in quest’ottica porsi porsi due domande, che qui di seguito riportiamo.
1) Che garanzie devono poter offrire le tecnologie di sicurezza multicloud?
Prima di tutto devono fornire un accesso sicuro alle applicazioni e ai componenti in cloud, indipendentemente dal tipo di cloud utilizzato; in secondo luogo devono proteggere dati e informazioni aziendali, su qualsiasi nuvola questi siano ospitati. In entrambi i casi, devono mantenersi efficaci in caso di failover e indipendentemente da ogni “movimento” delle applicazioni e delle componenti, che potrebbero essere per varie ragioni spostate da un cloud all’altro o ridimensionate.
Devono poi adattarsi ai nuovi service provider o alle nuove funzionalità che man mano possono aggiungersi all’ecosistema aziendale.
Va inoltre ricordato che per poter proteggere adeguatamente tutte le applicazioni e i dati aziendali è necessario dotarsi di tecnologie che consentano all’IT di gestire le diverse risorse di hosting in modo uniforme: rendere la distribuzione e la manutenzione delle applicazioni ogni volta diversa da provider a provider complica le procedure di sicurezza.
2) Che strumenti devono essere sfruttati dalle aziende per indirizzare una efficace strategia di sicurezza nel multicloud?
Prima di tutto i tool incorporati o strettamente collegati alla singola applicazione; generalmente sono progettati per proteggere i punti in cui gli utenti accedono alle applicazioni stesse. Sono utili perché “si spostano” insieme alle applicazioni, quando queste vengono traghettate da una nuvola all’altra (o da una nuvola a un data center aziendale on premise). È un tipo di sicurezza che si collega al capitolo della security by design, tema centrale del nuovo regolamento europeo Gdpr.
Alla sicurezza delle applicazioni devono aggiungersi i servizi e le funzionalità di sicurezza proprie del cloud pubblico, che variano in base al fornitore. I principali fornitori dispongono di svariati servizi web progettati per il controllo degli accessi, inclusi strumenti di identity management e security auditing. In particolare, se si adotta un modello multicloud, ma si ha un solo fornitore di applicazioni di front-end (uno scenario quindi che da questo punto di vista non presenta eterogeneità da dover gestire), queste tecnologie possono rappresentare una buona prima forma di difesa a livello di user-access security.
Sono infine necessari strumenti di network security, access security e tool specifici di cui deve dotarsi l’impresa per offrire quella protezione ulteriore che nessuna delle due tipologie di strumenti sopra citati può offrire. In particolare, per ricordare alcuni strumenti che possono rivelarsi molto utili:
- API Security Tools – Per proteggere i microservizi, che scalano i confini dei cloud provider o sono utilizzati da più applicazioni, potrebbe essere necessario ricorrere a strumenti di API security: tipicamente i microservizi sfruttano broker API che aggiungono un sovraccarico ai flussi di lavoro tra le componenti applicative che deve essere protetto.
- Network-security -All’interno di una rete VPN, per rendere più semplice la gestione della protezione delle applicazioni aziendali che risiedono nel multicloud, e del traffico di rete da queste generato, è utile dotarsi di strumenti che consentano all’IT di governare le applicazioni in modo semplificato: in particolare, se si creano delle sottoreti (dove ciascuna sottorete raggruppa più applicazioni) diventa possibile imporre regole di sicurezza, policy, limitazioni a un intero “blocco di applicazioni” rendendo di fatto più agile esercitare una forma di controllo sulle stesse.
- Load balancer tools – Per riuscire a rendere comunque sicura ogni applicazione ogni volta che si sposta, si sottrae o si aggiunge una componente, un buon aiuto può arrivare dagli strumenti per il load balancing: questi strumenti, aumentando l’affidabilità dell’architettura del sistema e facilitando in una VPN il riconoscimento e la gestione delle applicazioni e delle componenti, consentono appunto alla security di mantenersi efficace indipendentemente “da ogni “movimento” delle applicazioni e delle componenti.