A cura di Ryan Mallory, Senior Vice President Global Solutions Enablement di Equinix
Man mano che il cloud diventa sempre più onnipresente all’interno dell’azienda, le tradizionali soluzioni di sicurezza on-premise devono essere riarchitettate per proteggere le imprese durante il loro viaggio verso il cloud. Quando i contenuti e i dati si spostano nel cloud e le fonti diventano più disperse geograficamente, proteggere tali risorse può essere una sfida. I controlli di sicurezza devono estendersi fino ai confini per fornire dati solidi e affidabili e garantire la privacy, la protezione e la conformità delle applicazioni.
Tuttavia, la distribuzione della sicurezza ai confini comporta una nuova serie di sfide che le aziende devono considerare:
- Mancanza di visibilità dei dati server-to-server all’interno di un data center
- La necessità di implementare politiche di sicurezza coerenti in ambienti on-premise, cloud ibrido e multicloud
- Il costante aumento del volume degli attacchi, la profondità e l’ampiezza del traffico in movimento verso il cloud pubblico
- Controllo e rilevamento della perdita di dati nelle applicazioni SaaS
- Raccolta dati e analisi per il rilevamento delle minacce nonché decisioni aziendali data-driven
È sempre più importante che le organizzazioni IT affrontino queste sfide a testa alta dato che il costo delle violazioni dei dati continua ad aumentare. Secondo l’edizione 2018 del Cost of a Data Breach Study realizzato dal Ponemon Institute sponsorizzato da IBM, il costo totale medio di un singolo data breach è aumentato del 6,4%, da 3,62 milioni di dollari nel 2017 a 3,86 milioni di dollari nel 2018.
Creazione di punti di controllo agili e cloud-neutral
Queste sfide possono essere affrontate sfruttando le best practice IOA (Interconnection Oriented Architecture) per la distribuzione di reti, dati, sicurezza e applicazioni al confine. Seguendo le seguenti fasi, è possibile creare punti di controllo agili e cloud-neutral su una piattaforma di interconnessione e di colocation distribuita a livello globale. Questi punti di controllo sono i punti in cui si implementano applicazioni di sicurezza e si accede ai servizi di sicurezza da fornitori di cloud e SaaS al confine, in prossimità di utenti, end point, dati e applicazioni. Ecco un rapido riepilogo delle tre fasi principali.
- Espandere il perimetro di sicurezza fino al confine
Il perimetro esterno è dove le reti e le risorse, che sono sotto il dominio di controllo di un’impresa, si interfacciano a reti e risorse che sono sotto il controllo di altri (dove “nostro” si collega a “tutti gli altri”). È il muro esterno e la prima linea di difesa dove posizionare i controlli di sicurezza del cloud. A causa dell’aumento delle applicazioni distribuite e mobili e delle fonti di dati at the edge, questo muro esterno si sta spostando oltre i controlli di sicurezza on premise. Ecco perché posizionare i controlli di sicurezza in una struttura di colocation neutrale rispetto al fornitore, in cui è possibile sfruttare connessioni private, veloci e a bassa latenza tramite un hub di interconnessione, è fondamentale per mantenere la sicurezza e la conformità dei dati e delle applicazioni end-to-end.
Questi controlli di sicurezza edge-based includono in genere funzionalità come DDoS, firewall di nuova generazione (NGFW), web application firewalls (WAF) e key management systems. Lo spostamento dei controlli di sicurezza al confine può avvenire nella fase iniziale del percorso di trasformazione del cloud, quando vengono trasferiti su cloud i contenuti web e gli altri servizi rivolti al pubblico. In questa fase è inoltre possibile terminare le WAN aziendali e l’accesso remoto in più strutture di colocation regionali per una maggiore ottimizzazione della rete.
- Determinare caratteristiche principali per il controllo della sicurezza
Nel loro viaggio di trasformazione del cloud, le aziende spesso spostano più applicazioni e dati aziendali verso i fornitori di cloud e SaaS, che si trovano FUORI dai tradizionali data center e dai suoi meccanismi di controllo. Inoltre, le applicazioni e i dati associati possono essere distribuiti a livello regionale, in quanto devono essere posizionati più vicino all’utente/consumatore finale, per migliorare le prestazioni.
Con il passaggio al cloud e ai fornitori SaaS, l’azienda dovrebbe considerare l’implementazione di funzioni di controllo di sicurezza aggiuntive come la crittografia dei dati memorizzati, la visibilità del carico di lavoro nel cloud e la sicurezza web nella stessa struttura di co-ubicazione vendor-neutral dove gli hub di interconnessione possono essere utilizzati.
- Creazione di punti di controllo agili e cloud-neutral
Ogni CSP ha un diverso insieme di caratteristiche di sicurezza native della propria piattaforma. Se si usano tutti i controlli, senza avere un master controller proprio, allora sarà necessario costruire controlli di sicurezza più volte, una volta per CSP. Questo è però richiede troppo lavoro. L’ideale sarebbe progettare i controlli di sicurezza per le istanze nel cloud. Questo consentirà di spostare un insieme di carichi di lavoro da un cloud all’altro senza dover cambiare il modo in cui si implementano i controlli di sicurezza o configurare e applicare nuovamente le policy (o dover utilizzare un insieme di software completamente diverso).
Per evitare queste misure complesse e dispendiose in termini di tempo durante la migrazione dei carichi di lavoro tra i cloud, è possibile rendere il sito di colocation una base operativa di avanzamento (FOB) che supporta gli obiettivi di sicurezza del cloud. In una strategia IOA, i FOB sono chiamati “punti di controllo della sicurezza” che fungono da “spazio” cloud-neutral da cui è possibile applicare e gestire i controlli di sicurezza su più cloud per una maggiore agilità. È il luogo in cui è possibile ospitare strumenti, log, storage, ecc. per recuperare i dati, indagare e risolvere i problemi in caso di violazione del cloud. È possibile eseguire e gestire gli strumenti da questi punti di controllo della sicurezza per fornire una maggiore visibilità, sia che si tratti di impresa a cloud o da cloud a cloud. È anche il luogo in cui risiedono i sistemi su cui definire, creare e applicare i criteri di sicurezza, in modo che tali criteri possano essere facilmente applicati a qualsiasi cloud.
Maggiore sicurezza per ambienti IT ibridi e distribuiti
Il posizionamento dei controlli di sicurezza nel cloud ai confini consente prestazioni, visibilità e agilità maggiori quando si tratta di proteggere carichi di lavoro multipli su infrastrutture on-premise, cloud ibrido e multicloud. Una piattaforma globale di colocation e interconnessione neutrale rispetto ai fornitori, come la piattaforma Equinix, consente di implementare solidi punti di controllo della sicurezza lungo il perimetro dell’azienda digitale per garantire il massimo livello di sicurezza, protezione e conformità dei dati.
