Dati in cloud da mappare, gestire e presidiare in modo da garantire la sicurezza e la compliance. Secondo IDC, già nel 2020 oltre il 40% degli investimenti nei data center aziendali sarà impiegato per creare un ambiente IT ibrido in cui andare a sviluppare applicazioni e workload che saranno frammentati tra core, edge, siti di colocation e data center di cloud provider.
Dati in cloud: l’altra faccia della governance
Man mano che un numero crescente di organizzazioni trasferisce dati sensibili nel cloud, crescono gli sforzi necessari a garantire il presidio delle informazioni. È necessario identificare quali tipi di dati sono presenti nei vari modelli di archiviazione adottati sulle nuvole e tenere traccia dei dati in tutti gli ambienti per controllare la protezione in tutte le varie distribuzioni cloud.
I punti di attenzione di una buona gestione
Ci sono tanti motivi per cui è fondamentale avere visibilità dei dati in cloud. Le ragioni vanno dalle best practice sulla sicurezza interna e le esigenze di classificazione dei dati ai requisiti normativi e sulla privacy, come il GDPR o il California Consumer Privacy Act. Per i manager i punti di attenzione si moltiplicano: fortunatamente, continua a crescere il numero di strumenti e servizi che le organizzazioni possono utilizzare per scoprire quali sono i dati sensibili che risiedono negli ambienti cloud.
Governance per il rilevamento dei dati cloud
Prima di esplorare strumenti e servizi per tenere traccia dei dati, vale la pena discutere della governance necessaria ad adattarsi al meglio al rilevamento e al monitoraggio dei dati orientati al cloud. Idealmente, qualsiasi programma di governance del cloud sano dovrebbe includere il coinvolgimento di più team:
- legal
- risorse umane
- responsabili della sicurezza
- responsabili IT
- Responsabili della gestione del rischio e della conformità
Per qualsiasi progetto o distribuzione in cloud, la tipologia di dati che potrebbero essere coinvolta va innanzitutto classificata e valutata in base al rischio. Ulteriori politiche di classificazione dei dati in cloud dovrebbero essere impostati in base al tipo di business.
Gli strumenti e i servizi di rilevazione
Per ogni fornitore di servizi cloud, esistente o nuovo, gli strumenti e i metodi di rilevazione dei dati in cloud devono essere valutati quando nella distribuzione sono coinvolti dei dati sensibili.
Quando si esaminano gli strumenti di rilevamento dei dati cloud, vanno valutate:
- La copertura di fonti e tipi di dati
- La flessibilità di corrispondenza del modello di dati
- Le politiche di controllo dei dati (se disponibili)
- La capacità di monitoraggio e comunicazione
I tipi di dati e i livelli di sensibilità dovrebbero essere un elemento chiave di tutti gli aspetti del rischio e della governance del cloud.
Le soluzioni per i dati in Saas
Gli strumenti e servizi di rilevazione dei dati in cloud consentono alle organizzazioni di scoprire, classificare e tracciare i dati ospitati sulla nuvola. Il punto di partenza per tracciare e identificare i dati inviati e scaricati dagli strumenti SaaS è una sorta di servizio di intermediazione che coinvolge un broker di sicurezza dell’accesso al cloud (Cloud access security broker – CASB). Il CASB è un sistema che si colloca tra l’infrastruttura locale di un’organizzazione e l’infrastruttura di un provider cloud, fungendo da ceniera per consentire all’organizzazione di estendere la portata delle proprie politiche di sicurezza oltre la propria infrastruttura. Poiché tutte le opzioni SaaS sono diverse, è difficile sviluppare un processo di rilevamento e rilevamento coerente per i modelli di dati, in particolare senza un livello di servizio CASB di terze parti in atto.
Le soluzioni in ambito PaaS e IaaS
I maggiori provider PaaS e IaaS offrono vari servizi nativi che possono orchestrare il rilevamento e il tracciamento dei dati in cloud.
- AWS offre il servizio Macie, che può essere utilizzato per identificare e proteggere automaticamente i dati sensibili archiviati in S3. Gli scenari di monitoraggio personalizzati possono anche essere implementati attraverso l’integrazione con il servizio Amazon CloudWatch.
- Microsoft Azure ha diversi servizi integrati per identificare i dati. Il servizio di individuazione e classificazione dei dati per Azure SQL Data Warehouse è un servizio completamente cloud nativo, che offre scoperta dei dati e consigli su sicurezza, etichettatura e relativa classificazione, monitoraggio e controllo dei dati identificati, nonché rapporti su tutti gli accessi, l’utilizzo e l’archiviazione. Azure Information Protection è un altro servizio che i team di sicurezza possono usare per taggare e tracciare i dati, principalmente documenti e contenuti di posta elettronica all’interno degli ambienti cloud di Azure e Office 365.
- Google Cloud Platform propone diversi strumenti disponibili per il rilevamento e il controllo dei dati in clou. Data Catalog è un servizio di gestione dei metadati che funge da motore di ricerca per tutti i dati archiviati nella nuvola di Google. Ciò include la ricerca, la scoperta e la catalogazione automatizzate di tutti i dati. Il servizio si integra con un altro strumento di individuazione e protezione dei dati critici, ovvero Google Cloud Data Loss Prevention (DLP). In CDLP i dati in Cloud Storage, BigQuery e Cloud Datastore possono essere valutati per modelli di dati sensibili. La soluzione supporta anche l’integrazione dell’API con dati esterni e strumenti di analisi degli eventi. Inoltre, Cloud DLP può mascherare o tokenizzare elementi di dati per proteggere i modelli di dati sensibili una volta scoperti.
Altri strumenti di rilevamento dei dati in cloud
Oltre al provider di servizi cloud e ai servizi di rilevazione dei dati CASB, è disponibile anche una gamma di strumenti di terze parti per l’integrazione con gli archivi e le distribuzioni di dati in cloud. Se un’azienda sta già utilizzando internamente un set specifico di prodotti per il rilevamento dei dati e DLP, se sono in grado di fornire le stesse funzionalità descritte sopra può continuare a utilizzarli.
Gli strumenti e i servizi di rilevazione dei dati in tutti gli ambienti cloud sono in evoluzione costante. Possono essere costosi da implementare in un’architettura multicloud ma, come sottolineano gli esperti, è una tecnologia emergente da tenere in conto perché migliorerà significativamente da qui ai prossimi due anni.