Un trilione e mezzo di dollari. È la massa di spesa che, sommando quelle relative ai più disparati ambiti dell’Information communications technology, il cloud può creare. Lo sostiene la società di analisi Forrester nel suo studio Security’s Cloud Revolution is upon Us, dedicato ai responsabili della sicurezza e del risk management delle imprese. I ricercatori ammettono che l’impatto del cloud sul mercato delle applicazioni e della sicurezza It si è rivelato negli ultimi due anni superiore a quanto previsto. E valutano oggi la spesa mondiale per le sole soluzioni di sicurezza cloud-based intorno agli 1,5 miliardi di dollari.
Per Forrester, il 2013 sarà ricordato come l’anno in cui la cloud revolution ha definitivamente “sparigliato le carte sul tavolo” dell’It security, imponendo ai professionisti della sicurezza e ai vendor di soluzioni per la protezione dei dati, delle applicazioni e delle infrastrutture di prendere atto che il cloud è ormai una realtà dalla quale non si tornerà più indietro. Se al momento la maggior parte dei carichi di lavoro It è localizzata sulle risorse infrastrutturali installate all’interno delle mura aziendali, nel giro di due o tre anni migrerà sulla “nube”. A favorire questo terremoto è la convinzione, da parte dei responsabili del business, che le soluzioni cloud offrano benefici di flessibilità, semplicità e innovazione tecnologica che spesso mancano a quelle tradizionali on-premise. Inoltre, i top manager aziendali hanno iniziato ad apprezzare l’opportunità che l’It-as-a-service offre per trasformare le spese in conto capitale (Capex) in spese variabili a fronte di servizi (Opex). Come conseguenza di tutto ciò, si assiste spesso al fenomeno di utenti aziendali che installano autonomamente applicazioni cloud senza preoccuparsi troppo degli impatti sulla sicurezza del business.
Ad alleviare questa responsabilità, d’altra parte, c’è da dire che negli ultimi anni i Cloud service provider (Csp) hanno modificato il loro atteggiamento, in precedenza riluttante (proccupati di contrastare i timori di chi paventava problematiche di security degli ambienti cloud più con dichiarazioni di principio che con concrete dimostrazioni del contrario), verso la domanda di sicurezza proveniente dagli utenti. Oggi, invece, non solo implementano sistemi e policy di sicurezza per prevenire abusi nella gestione dei dati e violazioni dall’esterno, ma fanno di questi controlli e procedure, dei plus per promuovere i servizi. E a volte delle vere e proprie componenti aggiuntive della propria offerta.
Rischio Linea Maginot
Sempre di più i dipartimenti It si ritrovano a dover gestire infrastrutture costituite da un cocktail di data center tradizionali e ambienti cloud nelle sue varie accezioni. Secondo Forrester (figura 1), l’architettura It delle aziende vede oggi la presenza di infrastrutture on-premise, protette da soluzioni di sicurezza isolate e installate all’interno dell’azienda, e infrastrutture cloud, con ricorso a soluzioni di protezione offerte dai Csp. Le infrastrutture on-premise e cloud sono, al momento, integrate tra loro in modo abbastanza lasco; in futuro, invece, è previsto che diventino strettamente integrate, sia dal punto di vista dei sistemi che gestiscono i carichi di lavoro sia da quello delle soluzioni di sicurezza.
In questo contesto, e per non perdere il controllo di quanto avviene nel rapporto fra business e It, i responsabili della sicurezza devono iniziare a pensare a un’architettura di security diversa da quella tradizionale. Il primo passo, suggerisce Forrester, è non pensare più alla sicurezza in termini di protezione del perimetro della Lan aziendale e di “fortificazione” (hardening) del data center. La società di analisi paragona questa architettura di sicurezza alla Linea Maginot creata dai francesi prima della Seconda guerra mondiale, che venne aggirata dai tedeschi passando per il Belgio. Forrester cita anche il generale americano George Patton che, in proposito, disse: “Le fortificazioni fisse sono monumenti alla stupidità umana”.
In ambienti flessibili e distribuiti di infrastrutture on-premise e cloud non è possibile effettuare un monitoraggio efficace e mettere in sicurezza gli asset aziendali se non utilizzando controlli di sicurezza integrati. Se, come abbiamo detto, l’atteggiamento dei Csp verso la sicurezza è cambiato, anche i vendor di security solution sono ormai convinti che le infrastrutture, le applicazioni e l’expertise di sicurezza devono sempre di più abbracciare o appoggiarsi sul cloud.
Oggi i migliori Cloud service provider cercano di diventare delle case di vetro per quanto concerne la sicurezza, e mettono a disposizione dei loro utenti documenti sulle tecniche e sulle policy messe in atto, report sulle scansioni di sicurezza, informazioni sulle certificazioni e così via. Al di là di quanto scritto nei Service level agreement (Sla), gli utenti possono così conoscere e convalidare i processi e i controlli di sicurezza adottati dai loro partner. Molti Csp, inoltre, partecipano attivamente alle community che promuovono standard e framework di sicurezza comuni (come la Cloud Security Alliance) e operano per soddisfare i requisiti elaborati da organismi di controllo come l’European Network and Information Security Agency (Enisa) o l’americano National Institute of Standards and Technology (Nist). La partecipazione a community come la Cloud Security Alliance, dove oltre a potenzili o effettivi clienti diretti dei vendor It partecipano clienti dei primi, provoca un confronto e uno scambio a cascata di informazioni relative alle problematiche, ma anche di risposta alle criticità, abilitando veri e propri circoli virtuosi.
Strategie per la cloud-readiness
Da parte loro, le organizzazioni It e di sicurezza aziendali, devono preoccuparsi di prevedere sempre di più la security integrata nel cuore delle applicazioni cloud. Più le applicazioni sono intrinsecamente sicure e meno cruciale risulta la sicurezza a livello di infrastruttura. In un modello It in cui i carichi di lavoro si muovono non solo nel perimetro dell’azienda, ma anche su dispositivi mobile (compresi quelli personali degli utenti) e tra diverse infrastrutture cloud, deve essere prestata la massima attenzione alla sicurezza dei singoli dati. Questo obiettivo è sicuramente facilitato dall’utilizzo delle soluzioni di sicurezza offerte dai singoli Csp (figura 2) e dalla gestione ottimale degli strumenti di security predisposti sui device mobili. Deve anche essere aggiornata la strategia di Identity e Access Management (Iam), integrando sia gli utenti aziendali sia altri che in precedenza non venivano considerati (partner, fornitori, clienti etc.), sia gli ambienti cloud che, ancora una volta, i device mobili. Last but not least è necessario mettere a punto la governance delle applicazioni cloud, corredate di policy ben documentate.
In ultima analisi, la crescita del ricorso al cloud comporta una crescita delle misure di sicurezza, crescita che, a sua volta, abilita una maggiore diffusione del cloud. In questo modo la security, che fino a poco tempo fa veniva vista come un freno all’infrastruttura as a service, si trasforma all’opposto in un suo abilitatore.