Chi, tra i CIO e i CISO, fosse ancora ossessionato da “preoccupazioni sulla sicurezza del cloud, dovrebbe smettere di esserlo, e applicare la propria immaginazione ed energia per sviluppare nuovi approcci al controllo della nuvola, che gli permettano di sfruttare, in modo sicuro, affidabile, e in conformità con le normative, i vantaggi di questo modello di computing sempre più diffuso ovunque”. La raccomandazione, della società di ricerche Gartner, è presa a prestito da Antonio Duma, Solutions Architect di Amazon Web Services (AWS), per introdurre l’argomento sicurezza e compliance nel cloud, in una delle numerose sessioni tematiche tenutesi al recente AWS Summit 2018 di Milano.
Who's Who
Antonio Duma
Vari casi di vantaggi ottenuti con il cloud di Amazon vengono documentati: Duma cita Finra (Financial Industry Regulatory Authority), Slack, DNAnexus. Tutti hanno workload ‘sensibili’ che girano su AWS, ed hanno espresso note positive: il CISO di Finra, John Brady, dichiara che la security in AWS è superiore a quella on-premise nel proprio data center, sotto vari aspetti come cifratura, attività di patching, operazioni di auditing e logging, compliance. Richard Crowley, Director of Operations di Slack, sottolinea la capacità di AWS di fare nella sicurezza un lavoro molto migliore rispetto a quanto l’azienda sarebbe mai in grado di fare nel proprio datacenter.
Who's Who
John Brady
Who's Who
Richard Crowley
Migrare verso AWS, illustra Duma, significa rafforzare la propria ‘security posture’, non solo perché si usano servizi GDPR compliant, ma perché si ereditano i controlli globali di sicurezza e conformità, e la capacità di scalarli con maggior visibilità e capacità di gestione; si possono applicare i più elevati standard di privacy; l’automazione è facilitata da servizi di security profondamente integrati; e, non da ultimo, tramite AWS è possibile accedere a una vasta rete di partner e soluzioni nel mondo della sicurezza, che spaziano dalle tecnologie per l’infrastruttura di security, a quelle per il controllo delle identità e degli accessi, alle soluzioni per l’analisi delle configurazioni e delle vulnerabilità, ai sistemi di logging e monitoraggio. Solo un accenno agli standard di privacy: le aziende possono soddisfare i requisiti di ‘residenza dei dati’ scegliendo una regione AWS, con la garanzia che Amazon non li replicherà altrove senza esplicito consenso dell’utente; quest’ultimo potrà tra l’altro rispettare, con questa scelta geografica, la conformità con leggi e normative locali relative alla privacy delle informazioni.
Siemens centralizza la security dei team R&D
Al centro della presentazione il caso di Siemens: “L’esigenza – spiega Andrea Bella, Head of R&D Development Infrastructure di Siemens Industry Software – era far evolvere l’area MOM (manufacturing operation management) da un insieme di team verso un gruppo di lavoro integrato, capace di utilizzare in modo congiunto e coeso le metodologie di sviluppo Agile per la fornitura dei prodotti. E qui la collaborazione con AWS ha permesso di impostare e gestire centralmente gli account dei vari team di sviluppo, in termini di sicurezza e compliance, applicando il paradigma ‘infrastructure as code’ per il networking e le operazioni di configurazione. Tra i benefici, l’abbassamento dei rischi attraverso l’automazione, la riduzione da giorni a ore dei tempi di provisioning di nuovi ambienti ai team R&D, e l’accelerazione dei tempi di rilascio dei prodotti”.
Who's Who
Andrea Bella