Vista la crescente adozione del cloud computing, i responsabili It hanno bisogno di comprendere e sviluppare una practice che analizzi i rischi delle funzionalità che possono essere fruite all’interno della “nuvola”, analizzando il giusto bilanciamento fra rischi e benefici del cloud. Inoltre, possono beneficiare della introduzione del cloud attivando best practice di gestione del rischio e della sicurezza.
Ad oggi, quattro preoccupazioni vengono affrontate dai responsabili It:
– conoscono relativamente poco i cloud provider e le loro modalità di trattare i dati;
– non conoscono i sistemi di sicurezza infrastrutturale dei cloud provider;
– non sanno se i cloud provider posseggono meccanismi per la gestione degli aspetti regolatori della sicurezza;
– non conoscono i livelli di servizio reali che possono essere garantiti dall’infrastruttura dei provider (inclusi quelli riguardanti il recovery dei dati e delle applicazioni), visto che i dati viaggiano su Internet e non sempre si conoscono le caratteristiche fisiche dei data center e dell’infrastruttura degli stessi
Tipicamente, però, la risposta è che i cloud provider debbono aderire agli stessi standard e regole di sicurezza dei propri clienti, e in alcuni casi aderiscono a standard anche più rigorosi.
Ovviamente la tecnologia collegata al cloud computing ha i propri aspetti peculiari, in termini di sicurezza, come qualunque tecnologia, e i responsabili It hanno bisogno di sviluppare procedure che consentano di analizzare i rischi connessi al cloud, per esempio analizzando quanto sia sensibile un determinato dato che debba essere immagazzinato all’interno della nuvola e verificandone il trattamento da parte del provider.
Per tale motivo si possono dare i seguenti consigli:
– definire una valutazione dettagliata dei rischi connessi al cloud (decidendo per esempio quali applicazioni sono più appropriate per andare su una cloud pubblica);
– conoscere bene il proprio cloud provider (in termini di performance finanziaria, livelli di trattamento del dato e della sicurezza It, aderenza agli standard di sicurezza, risultati degli audit, ecc.);
– formalizzare contratti chiari sul tema dell’aderenza agli standard di sicurezza;
– analizzare i flussi di dati all’interno del provider;
– costruire una strategia specifica di sicurezza per il cloud (per esempio definendo dove e quando è necessaria l’encription dei dati);
– gestire la compliance;
– aiutare a gestire la continuità del business (verificando le regole interne del cloud provider ed eventualmente integrandole).
Se si guarda invece con la prospettiva di chi costruisce le “nuvole” (i provider, ma è anche il caso di cloud private), oltre alle considerazioni di cui sopra, ne vanno applicate alcune peculiari.
Infatti va considerato che la foundation del cloud computing è costituita dalla esposizione di servizi infrastrutturali verso il cloud, che comincia ad essere adottata anche in ambienti di produzione complessi da alcuni nostri grandi clienti. Molte delle considerazioni che faremo di seguito si basano quindi sullo strato IaaS del cloud computing, ma potrebbero essere riapplicate allo stesso modo anche sugli strati più alti.
Questi servizi si basano sul concetto di Next Generation Data Center (NGDC) che consente la standardizzazione, la virtualizzazione e quindi il consolidamento delle attuali infrastrutture It.
A fronte degli indubbi vantaggi legati all’operatività e al cost saving si contrappongono, tuttavia, nuove problematiche in termini di sicurezza.
In questo contesto di innovazione tecnologica e architetturale emerge l’esigenza di implementare, e l’opportunità di migliorare, il livello di sicurezza delle infrastrutture, efficientando di conseguenza i costi legati alla sicurezza informatica.
Seguendo l’evoluzione verso un’infrastruttura virtualizzata, la sicurezza è inizialmente definita e declinata secondo un’architettura a silos in cui le classiche misure tecnologiche sono mutuate a ogni livello del sistema; il modello di sicurezza si è conseguentemente evoluto in maniera consistente al nuovo paradigma cloud individuando un approccio servizio-centrico, che comprende lo strato di sicurezza legato al business (quali per esempio i sistemi di gestione degli accessi e dell’identità), quello di sicurezza logica (legato ad esempio alla configurazione delle macchine virtuali e dell’hypervisor) quello di sicurezza fisica (firewall, DMZ, particolarmente importanti quando si espongono servizi verso l’esterno).
* Sabino Prizio è Senior Executive Accenture Technology