Quanto più le aziende incrementano l’utilizzo del cloud, tanto più spesso si lamentano di doversi confrontare con problemi di sicurezza e di conformità specifici. Eppure basterebbe una migliore pianificazione del cloud design per evitare questi problemi
A cura di Gianfranco Gargiulo, Cloud Consultant di Orange Business Services
Molte imprese non si rendono conto delle complessità che il multicloud comporta e compiono un atto di fede, sperando che per magia tutto funzioni – e ovviamente, nella maggior parte dei casi, non è così. Altre non sono nemmeno consapevoli di essere multicloud, anche se utilizzano software as-a-service (SaaS) insieme ad altri servizi cloud, e si accorgono della complessità del loro scenario cloud solo quando si verifica un incidente che causa un’escalation.
I punti deboli della sicurezza del cloud aziendale derivano in genere da due questioni chiave: primo, una mancanza di visibilità completa sulle proprie risorse cloud; secondo, un’idea sbagliata delle responsabilità di sicurezza condivise che hanno con i loro fornitori di servizi cloud. Di conseguenza, assistiamo a vulnerabilità nella sicurezza – come perdite e furti di dati – che spesso si potrebbero prevenire.
Fino al 2022, almeno il 95% degli errori di sicurezza del cloud sarà colpa del cliente, secondo Gartner. È quindi indispensabile che i CIO progettino e pianifichino con cura l’adozione del cloud, domandandosi il motivo per cui stanno migrando verso il cloud e chiarendo a sé stessi i principali obiettivi.
Se vogliono migliorare il loro time-to-market o ridurre i costi, ad esempio, devono affrontare la fase di progettazione già con questi obiettivi in mente, e sfruttare i servizi dei migliori fornitori di cloud per raggiungerli. Diversi modelli e provider di cloud presentano rischi e conseguenze di controllo diversi, che devono riflettersi nella progettazione del cloud. Inoltre, i CIO devono assicurarsi di implementare e applicare le policy relative alla proprietà, ai rischi e alle responsabilità del cloud.
Comprendere gli aspetti regolatori del cloud
Il multicloud aumenta in modo significativo il panorama delle minacce. Le aziende devono capire come possono rafforzare la sicurezza per far fronte alla crescita nell’uso del cloud e di data center collocati in luoghi diversi, monitorando e proteggendo costantemente i propri asset e carichi di lavoro.
Utilizzare provider multicloud offre numerosi vantaggi come scalabilità, flessibilità e agilità, ma aumenta anche le potenziali vulnerabilità. Le aziende, ad esempio, devono prestare attenzione alle differenze nelle API dei servizi forniti da diversi cloud provider. Quando un’azienda genera una nuova macchina virtuale, potrebbe dare per scontato che tutti i provider cloud dispongano di firewall abilitati per impostazione predefinita, e questo potrebbe non essere il caso. Ma anche in questo caso, le regole predefinite potrebbero non filtrare le stesse richieste di connessione.
Le imprese devono anche essere consapevoli del fatto che, in ambito multicloud, useranno e trasformeranno le risorse in più data center in luoghi diversi. È quindi essenziale che sappiano come funzionano i loro fornitori di cloud e le normative che entrano in gioco da diverse sedi di hosting e requisiti contrattuali. Le aziende dovrebbero aspettarsi che i propri fornitori di servizi cloud aderiscano a quadri di conformità come gli standard ISO 27001 per la gestione del rischio e della sicurezza delle informazioni e ISO 20000-1, gli standard internazionali di gestione dei servizi IT. Molti provider di servizi cloud consentono inoltre alle aziende di seguire le proprie normative internazionali (o di settore) e di fare audit operativi per misurare il rischio di terze parti.
Nell’insieme, ne esce un quadro molto complesso, che molte aziende trovano minaccioso: sarà necessario attuare una strategia di sicurezza omogenea tra tutti i fornitori di cloud per ridurre al minimo i rischi. Per raggiungere questo obiettivo, le imprese devono disporre internamente delle competenze informatiche e legali per far funzionare in modo coerente i diversi pezzi di multicloud.
In alternativa, potrebbero lavorare con un partner comprovato e di fiducia che può farsi carico delle complessità di un ambiente multicloud al posto loro. Orange Business Services, ad esempio, ha sviluppato un catalogo di servizi professionali che consente ai clienti di scegliere i servizi multicloud di cui hanno bisogno, dalla progettazione e migrazione del cloud alle valutazioni e al monitoraggio della sicurezza. Ciò consente alle aziende di ottenere un valore ottimale dagli investimenti nel cloud.
I guai della “Shadow IT”
Sfortunatamente, l’adozione del cloud non autorizzata nei vari dipartimenti continua a rappresentare un problema. La maggior parte delle aziende sottostima ancora ampiamente la quantità di applicazioni cloud “ombra” (intentendo applicazioni che non sono state approvate dal dipartimento IT) impiegate.
The Ponemon Institute riporta che, tra i professionisti della sicurezza IT recentemente intervistati, solo il 25% si dichiara “molto fiducioso” di conoscere tutti i servizi cloud utilizzati dalla propria azienda.
Sicurezza, protezione dei dati e costi sono i maggiori problemi. I reparti IT devono riprendere le redini o la shadow IT in ambito cloud può facilmente sfuggire al controllo. Ciò significa che i dipartimenti IT devono accettare che i loro ruoli sono sostanzialmente cambiati: non costruiscono e forniscono risorse, bensì le scelgono e le gestiscono. I dipartimenti IT non possono impedire alle business unit di ottenere i servizi desiderati, ma possono e devono fornire consulenza sui servizi giusti e assicurarsi che questi servizi siano verificati e messi sotto controllo in modo da poter tenere traccia dei budget e rafforzare la sicurezza.
Mettere al sicuro l’evoluzione multicloud
IDC prevede che, entro il 2020, oltre il 90% delle imprese utilizzerà più servizi e piattaforme cloud. Garantire che queste imprese proteggano adeguatamente i dati e abbiano una visibilità end-to-end delle risorse richiede una nuova mentalità, incentrata sul design.
La più grande minaccia per le aziende che si spostano nel cloud o espandono il loro ecosistema multicloud è la cattiva progettazione che, in sostanza, si traduce in mancanze nella sicurezza e nei servizi cloud utilizzati in modo incompetente, inefficiente e difettoso. Una migrazione di successo al cloud è supportata da un piano di progettazione ben studiato, con le giuste competenze a bordo dall’ideazione fino alla creazione e alla gestione.
