Il cloud ibrido sembra ormai la via preferenziale per le aziende di ogni dimensione che abbiano scelto di non restare ancorate al passato e ai vecchi, non più funzionali modelli It. È però una via non libera dagli ostacoli, specialmente relativi alla sicurezza degli ambienti, delle applicazioni e dei dati che vengono affidati alla nuvola e costantemente spostati dai data center interni alle aziende verso il cloud, e viceversa. Quali ostacoli, esattamente, e come affrontarli? Ce ne parla Jim Poole, vice president ecosystem business development di Equinix. La società californiana di Redwood City vende soluzioni di colocation e di connettività ad aziende, creatori di contenuti, system integrator e fornitori di servizi di rete.
Jim Poole, vice president ecosystem business development di Equinix
Il cloud ibrido continua a rappresentare una barriera all’adozione della nuvola da parte delle aziende, perché sia queste ultime sia i fornitori di servizi cloud hanno la responsabilità di creare delle soluzioni sicure. Dan Sullivan, nel suo articolo pubblicato su TechTarget, “Cinque problemi di sicurezza del cloud ibrido da superare”, descrive le questioni da considerare nelle strategia di deployment, inclusi la pianificazione e lo sviluppo: la ridondanza dei dati, la gestione del rischio e la gestione della sicurezza. Ciascuno di questi tre punti è estremamente importante per affrontare alcune delle più comuni problematiche di sicurezza legate al cloud ibrido e affrontate dalle aziende. Vediamoli più attentamente.
La ridondanza dei dati
Assicurarsi che esistano copie multiple dei dati è un elemento importante all’intero dei progetti di implementazioni, ma è anche consigliabile considerare la crittografia sia per i dati in movimento sia per quelli statici, in modo da ridurre la superficie d’attacco delle applicazioni e specialmente per il traffico che attraversa Internet. È, inoltre, una buona idea considerare la compressione e la deduplica per ridurne la quantità sia dei dati statici sia di quelli in movimento. Nel primo caso, la compressione e la deduplica possono limitare le necessità di storage e dunque i costi; nel secondo, possono rappresentare componenti aggiuntivi nella riduzione della superficie d’attacco, dei costi e dei tempi di trasporto.
La gestione del rischio
Nelle infrastrutture di cloud ibrido le aziende clienti e i fornitori di servizi condividono la gestione del rischio. Gli amministratori It aziendali affrontano a loro modo il problema quando qualcosa va storto, mentre i cloud service provider (Csp) si attengono a processi e procedure solitamente mirati al rispetto degli Sla patteggiati con i clienti. Entrambe le parti devono affrontare i problemi nel momento in cui si verificano. Sarebbe prudente che le imprese comprendessero i processi e le procedure dei Csp, e capissero quanto è complesso minimizzare il rischio aziendale in caso di problemi. Questo significa che gli amministratori It dovrebbero disporre di un piano di gestione del rischio ben ponderato, da condividere con i service provider, e dovrebbero poter fare affidamento su di esso prima che insorga un problema.
Le pratiche di sicurezza
La security, sfortunatamente, è un aspetto che nelle strategie risulta spesso ignorato finché l’azienda stessa o un suo partner non sperimentano un attaco, una perdita di dati e spiacevoli effetti collaterali di diminuita credibilità e potenzialmente anche di multe e cause legali. Un piano di sicurezza completo dovrebbe proteggere tutte le applicazioni, a prescindere dalla loro collocazione su risorse locali o nel data center di un fornitore di servizi cloud. E dovrebbe includere la possibilità di controllare e monitorare gli utenti, i luoghi e i tempi di accesso alle applicazioni. È inoltre suggeribile avere capacità di monitoraggio dettagliate per capire come e quando ogni componente di un’applicazione accede ai dati, ai servizi si sistema e ad altre parti dell’applicazione. Gli strumenti di monitoraggio dovrebbero allertare tempestivamente se qualcuno si inserisce all’interno di un processo applicativo durante un attacco “man in the middle” per intercettare dati mentre transitano oppure inserire dati esterni all’interno del flusso esistente.
La strada diretta è la più sicura
Consigliamo caldamente di usare la crittografia quando si spostano dati cloud utilizzando la rete Internet pubblica. Anche i dati cifrati, però, non sono totalmente immuni dal rischio crescente dei malware e Internet presenta una estesa superficie di attacco. Secondo il “2016 Midyear Cybersecurity Report” di Cisco, il protocollo Transport Layer Security (Tls), cioè quello dominante per realizzare la crittografia del traffico di rete, sta diventando un bersaglio sempre più amato dagli hacker. Il 60% del traffico di rete globale utilizza il Tsl per la crittografia, ma è anche usato da circa il 10% dei malware esaminati dai ricercatori di Cisco. Potrebbe apparire una piccola percentuale, ora come ora, ma gli esperti di Cisco si attendano che essa possa aumentare “man man che crescerà l’utilizzo complessivo dell’encryption nel traffico benigno”.
Le interconnessioni dirette fra i servizi di cloud pubblico e privato, che scavalcano la Internet pubblica, permettono alle aziende di stabilire un percorso sicuro per i carichi di lavoro delle loro applicazioni e per i loro dati. Una interconnessione diretta dal perimetro di una rete aziendale verso servizi cloud elimina, inoltre, il rischio di eseguire il backhauling di traffico cloud attraverso Internet o una rete Wan aziendale, con la possibilità che molteplici rimbalzi da un router all’altro creino occasioni di attacco. Una interconnessione diretta e sicura, dall’edge al cloud, permette anche alle aziende di rilasciare servizi di sicurezza “vicini” agli utenti, alle applicazioni e ai dati, facendo affidamento sull’accesso sicuro a servizi di cloud ibrido. Questo vale soprattutto per i dati che devono rispettare severi regolamenti e standard di compliance.
Progettare una infrastuttura di cloud ibrido sicura può risultare complesso, specie perché molte aziende non dispongono di personale o di esperienza. I professionisti It interpellati nell’indagine “2016 State of the Cloud Report” di RightScale hanno citato come principali ostacoli all’adozione della nuvola la mancanza di risorse ed expertise e la sicurezza. Ecco perché bisogna trovare un partner che abbia un’ampia esperienza e competenze sul cloud, oltre che accesso a un fitto ecosistema di fornitori di servizi di nuvola e di sicurezza, con soluzioni di Infrastructure-Protection-as-a-Service e di protezione dagli attacchi DDoS.