MILANO – La sicurezza è da sempre una delle questioni più calde quando si parla di cloud e ha rappresentato a lungo, più per pregiudizio che come reale problematica, un ostacolo all’adozione di risorse IT e applicazioni as a service. Oggi invece la security può rappresentare addirittura un driver nella scelta dell’opzione cloud perché la sicurezza che può garantire un cloud provider di livello enterprise per la protezione fisica e di rete è sicuramente superiore a quella garantita dalla singola azienda; ne è convinto Yuecel Karabulut, Director of Product Management Public Cloud Security di Oracle, che ZeroUno ha potuto intervistare a margine della Oracle Cloud Security Conference che si è tenuta a Milano nelle scorse settimane. Il top manager ha ricordato uno statement di Gartner: “Sulla sicurezza il cloud è imbattibile”. Anche se, come vedremo, ciascuno deve assumersi le proprie responsabilità.
 | Di questo servizio fa parte anche il seguente articolo: |
 | IL FRAMEWORK – Oracle Cloud Security: un framework pensato per la sicurezza dei sistemi d’impresa |
Yuecel Karabulut, Director of Product Management Public Cloud Security di Oracle
Con vent’anni di esperienza nella ricerca e sviluppo di soluzioni di sicurezza, Karabulut è anche professore di Computer Security alla Macquarie University di Sidney. Gli abbiamo quindi chiesto di illustrarci le caratteristiche salienti della proposta Oracle in ambito security.
Yuecel Karabulut: La prima cosa da dire è che l’Oracle Cloud è pensato per l’utente enterprise. Del quale conosciamo sia le necessità sia gli scenari d’uso. Quindi il nostro approccio non è ‘one size fits all’, ma dare opzioni personalizzate, con diversi modelli d’isolamento. Tutti però devono controllare accessi e identità, definendo gli ambiti di responsabilità dei diversi utenti e rendere gli eventi sia visibili al security manager, che sappia ciò che accade nei sistemi, sia verificabili [auditable] ai fini della compliance. Ciò tocca a noi, ma anche gli utenti devono fare la loro parte. Che è di capire quali siano le loro responsabilità a fronte di situazioni e rischi possibili.
ZeroUno: Alcuni utenti tendono a separare i dati dalle applicazioni, tenendo i primi in casa e le seconde sul cloud. Ha un senso ciò per la sicurezza?
Karabulut: Dipende dai casi d’uso, ma in genere conviene che dati e applicazioni siano contigui. Infatti anche se i dati stanno in casa devono comunque andare sul cloud per essere trattati. Purtroppo non è ancora possibile processare dati criptati, per cui passando dallo storage alla RAM vanno decrittati, ed è un punto debole. Il consiglio è tenere i dati criptati e separati e controllare strettamente l’identità delle applicazioni che vi accedono”.
ZeroUno: C’è differenza, e se sì quale, fra la sicurezza di un servizio SaaS e uno Paas?
Karabulut: Certamente: nel SaaS il vendor è al 100% responsabile della sicurezza perché l’utente non ha accesso alle VM e alle infrastrutture. Nel PaaS invece le macchine virtuali sono presso gli utenti. Per esempio, il Database Cloud Service è un PaaS e le istanze al database sono sulle VM dell’utente, cui spetta quindi controllare accessi e identità”.
