San Francisco (CA) – Secondo una ricerca di Enterprise Management Associates, l’approccio al cloud computing da parte delle organizzazioni è ancora molto cauto. Solo l’11% delle realtà interpellate dalla società di ricerca e analisi (a fine 2009 su un campione di 150 grandi aziende americane) ha piani concreti e già definiti per passare al cloud computing entro i prossimi dodici mesi e di queste, comunque, la maggior parte (i tre quarti) utilizzerà la formula del private cloud. Perché? Perché c’è ancora poca chiarezza e scarsa conoscenza sugli aspetti legati alla sicurezza. Tema portante dell’annuale evento che Rsa, la divisione di sicurezza di Emc, organizza negli Stati Uniti e che quest’anno ha riunito quasi 17.000 tra clienti, partner, espositori, relatori, giornalisti, ecc. “Security in the cloud” è stato anche il titolo dell’intervento dell’executive vice president di Emc e presidente di Rsa, Art Coviello, che, nella sessione plenaria d’apertura, ha posto l’accento su alcune importanti questioni che inducono a riflettere su pro e contro del cloud computing. “Il 70-80% dei budget It viene speso in manutenzione e gestione di applicazioni e infrastrutture”, sottolinea Coviello, “considerazione che rende sempre più evidente quanto l’ottimizzazione promessa dal cloud computing possa garantire migliori ritorni di investimenti in It. Ma se lo sviluppo delle infrastrutture virtuali sta dimostrando di essere una grande occasione per adottare una visione più ampia del cloud, è anche vero che la sicurezza è il primo fattore frenante, quello che impedisce qualsiasi realizzazione veramente cloud oriented”.
Lo dimostrano anche i dati del “2010 State of the Cio”, studio promosso da Cio Magazine, dai quali emerge che il 51% dei Cio (su una base di 594 It leaders interpellati) conferma che la sicurezza è la preoccupazione principale in ambito cloud computing. “È quindi evidente che la security non ha saputo tenere il passo con l’evoluzione del cloud che, seppur ancora a piccole dosi, è evidenziata dalle attuali aziende sempre più virtuali e iper-estese”, ha sottolineato Coviello. Una sicurezza che secondo il presidente di Rsa deve seguire una direzione precisa: “Il giusto approccio è quello information-centrico, concentrato sulla difesa del singolo dato e non più solo del perimetro”, precisa Coviello che sottolinea come presupposto fondamentale per lo sviluppo della “nuvola” sia la garanzia di poter contare su infrastrutture cloud sicure, accessibili e compliant.
Dalle parole ai fatti
E dato dunque che le nuove sfide riguardano compliance, data protection e risk management in ambienti virtuali, sul palcoscenico dell’Rsa Conference salgono insieme al “padrone di casa” anche Intel e Vmware per dimostrare come sia possibile oggi costruire un’infrastruttura sicura orientata ai servizi cloud di tipo business critical (alla demo sono intervenuti anche esperti di Archer Technologies, da poco acquisita da Emc, specializzata in soluzioni per la visualizzazione e la gestione del rischio, automatizzando le attività di Governance, Risk and Compliance e l’applicazione delle policy in ambienti fisici e virtuali).
Obiettivo dei tre player era dimostrare i benefici (operativi e organizzativi) che si possono ricavare nella gestione di cloud privati.
Nel test dimostrativo sono state coinvolte tecnologie di virtualizzazione sicura, di sicurezza logica e gestione degli eventi. Attraverso la conoscenza delle attività e dello stato effettivo delle macchine fisiche e virtuali sono state verificate le condizioni di sicurezza delle infrastrutture componenti il cloud privato attraverso la creazione di policy differenziate (per esempio sui tipi di hardware fisico sui quale far girare le macchine virtuali, sulle business unit che potevano risiedere insieme su un certo tipo di hardware e condividerne le risorse, ecc.) e l’automazione dei processi di raccolta, analisi e reportistica su attività ed eventi legati all’ infrastruttura di cloud privato. Tecnicamente, l’infrastruttura oggetto della proof of concept prevedeva hardware Intel Trusted Execution Technology che autentica ogni singolo passo della sequenza di boot, dalla verifica delle configurazioni hardware al lancio dell’hypervisor. L’ambiente di virtualizzazione Vmware raccoglie poi i dati dei livelli fisici e virtuali per passarli alla piattaforma informativa e di gestione di eventi enVision di Rsa e l’informazione viene poi contestualizzata all’interno della soluzione SmartSuite Framework di Archer che presenta in modo unificato lo stato della sicurezza di un‘ipotetica organizzazione.