Un’evoluzione prepotente, che ha portato i cloud provider a “correggere il tiro” più volte nel giro di pochi mesi, focalizzandosi principalmente sulla sicurezza. Lo sviluppo della seconda generazione delle piattaforme cloud ha ormai caratteristiche ben definite e i player di primo livello come Oracle hanno definito gli standard che consentono di unire la flessibilità di servizi gestiti con una solida architettura incentrata sulla protezione dei dati.
Dal fisico al virtuale…
Spesso la spinta verso l’implementazione di infrastrutture cloud è imbrigliata in una sorta di contraddizione. Se da una parte le piattaforme cloud vengono percepite come un fattore abilitante a livello di flessibilità e produttività, dall’altra scontano la “zavorra” di una serie di pregiudizi, specialmente per quanto concerne il livello di sicurezza.
Una percezione spesso determinata dal timore che la migrazione su cloud possa comportare un minore controllo sul network. In realtà, l’adozione di piattaforme cloud a livello IaaS (Infrastructure as a Service) rappresenta, se correttamente implementata, un fattore che rafforza notevolmente la sicurezza: “L’uso di Software Defined Network (SDN) rappresenta un vantaggio enorme a livello di cyber security” conferma Fabrizio Zarri, Master Principal Sales Consultant Oracle. La flessibilità di una rete in ambito IaaS, infatti, consente di adattarne l’architettura con estrema facilità e garantire un livello di sicurezza estremamente elevato”. La logica è evidente: in un sistema SDN, infatti, è possibile modificare la struttura del network in base alle esigenze di security (per esempio sotto il profilo della segmentazione) senza scontare i ritardi che, normalmente, comporta l’adozione di soluzioni di rete hardware tradizionali. Un elemento, questo, che gli esperti di sicurezza ormai considerano fondamentale per garantire una tempestiva protezione dei sistemi aziendali.
…dal virtuale al fisico
Anche se viene spesso descritta come una “nuvola” sganciata da elementi fisici, qualsiasi piattaforma cloud risiede su server all’interno di data center e, di conseguenza, ha una sua dimensione nel mondo “terreno”. Un aspetto, questo, che sotto il profilo della sicurezza ha una rilevanza primaria, ispirata in primis ai concetti di ridondanza: “La gestione dei datacenter Oracle è gestita in diverse regioni” spiega Zarri. “I diversi data center all’interno della regione sono posizionati a una distanza di almeno 30 Km e sono collegati tra loro da backbone a banda ultra-larga”.
Un’architettura, specifica Zarri, che consente di avere una latenza bassissima nella trasmissione dei dati e che consente di operare come se le diverse macchine fossero in una stessa rete locale. Anche nel caso di strutture collegate in diverse regioni, il livello di efficienza del collegamento consente comunque prestazioni (quasi) equivalenti a una LAN. Il distanziamento fisico è una precauzione essenziale: in caso di calamità naturali, infatti, la presenza di più strutture (a media o lunga distanza l’una dall’altra) garantisce la possibilità di avviare un disaster recovery e, in definitiva, di preservare l’integrità dei dati e dei servizi i qualsiasi situazione.
Il tema della competenza in ambito security
Se l’aspetto “fisico” della gestione è qualcosa che spesso rimane al di fuori della portata degli utenti, esiste un ulteriore aspetto nella gestione delle piattaforme cloud che rischia di collocarsi in una sorta di “area grigia”. Si tratta della responsabilità per quanto riguarda la gestione della cyber security. In questo caso, infatti, si parla comunemente di “shared responsability” (responsabilità condivisa) che si calibra in maniera differenziata a seconda del tipo di servizio erogato dal provider.
“La consapevolezza delle diverse gradazioni di responsabilità è fondamentale per garantire la sicurezza della piattaforma” puntualizza Zarri. “Con Oracle Cloud abbiamo però implementato una serie di funzionalità che supportano gli utenti nella gestione dei servizi”. Il riferimento è prima di tutto alle impostazioni predefinite adottate nel servizio, che per esempio prevede la protezione tramite crittografia per i bucket. Esistono però anche funzioni specifiche, come Data Safe. Il servizio, fornito gratuitamente, analizza le impostazioni ed evidenzia eventuali anomalie e discrepanze rispetto alle policy di sicurezza stabilite da Orcale. Uno strumento, in definitiva, che consente di “guidare” gli utenti a un utilizzo dei servizi cloud ispirato al massimo rigore in ambito security.
Prevenzione sugli aspetti critici
Uno dei settori che a livello di security dipendono dal provider è certamente quello della gestione della piattaforma allargata e in particolare la gestione di quei servizi “orizzontali” che intersecano le istanze dei vari tenant sulla piattaforma. “Oracle Cloud prevede una separazione netta tra hypervisor e network virtualizzato” spiega Fabrizio Zarri. “In questo modo possiamo garantire che eventuali compromissioni di una macchina virtuale di un tenant possa propagarsi alle altre”. L’adozione di questa forma di isolamento, però, non è l’unica precauzione “forte” a livello di sicurezza introdotta da Oracle nel suo servizio. Uno degli elementi di garanzia più incisivi è quello che i tecnici della società chiamano Hardware-Based Root of Trust, cioè un sistema che prevede la cancellazione e il ripristino del firmware ogni volta che un server viene reso disponibile. Grazie a questa procedura, ogni utente può infatti avere la certezza di disporre di una macchina “pulita” anche quando è stata precedentemente utilizzata da un altro tenant.