RSA, la divisione di sicurezza di EMC, svela la vision condivisa con Intel Corporation e VMware per la realizzazione di infrastrutture più sicure, trasparenti e affidabili per servizi cloud business-critical.
Questa vision, che sfrutta le tecnologie e l’expertise di RSA, Intel e VMware è descritta nel documento RSA dal titolo “Infrastructure Security: Getting to the Bottom of Compliance in the Cloud” e dimostrata attraverso un proof of concept realizzato durante l’edizione 2010 dell’RSA Conference.
“Affinché il cloud si trasformi in una piattaforma aziendale matura, sulla quale girano processi e dati di valore, dobbiamo avere fiducia sui livelli di sicurezza dell’infrastruttura fisica e virtuale sottostanti”, ha dichiarato Pat Gelsinger, Presidente e Chief Operating Officer in EMC Information Infrastructure Products.
“Oggi la maggior parte delle aziende ha scarsa o addirittura nessuna visibilità su ciò che avviene negli strati infrastrutturali del cloud, impedendo la verifica della sicurezza. Insieme dimostriamo invece che le ‘nuvole’ possono essere visibili, misurabili e controllabili per la gestione sicura dei processi di business più importanti di un’azienda”.
Creare un’infrastruttura cloud sicura
RSA, Intel, VMware e gli esperti GRC di Archer Technologies (recentemente acquisita da EMC), hanno mostrato una vision per la creazione di un’infrastruttura cloud sicura che promette di offrire significativi vantaggi operativi ad aziende e service provider che dispongono di cloud privati.
Questo concetto, che comprende hardware fidato, ambiente virtuale sicuro, e software per la sicurezza dell’informazione, event management e gestione GRC, offre una visibilità senza precedenti sulle condizioni dei livelli più bassi del cloud.
Una demo alla conferenza ha mostrato alcuni vantaggi tra cui:
• Maggiore visibilità sulle attività e gli stati delle macchine fisiche e virtuali, offrendo alle aziende la possibilità di verificare le condizioni di sicurezza in ciò che era il ‘black box’ del cloud.
• Controlli più raffinati per applicare policy differenziate nei cloud privati, come ad esempio quali tipologie di hardware fisico possono essere utilizzate per le macchine virtuali e quali tenant o divisioni possono co-risiedere o condividere le risorse.
• Compliance semplificata attraverso processi automatici per la raccolta, l’analisi e il reporting di attività ed eventi a livello di infrastruttura.
“Terremark, in qualità di fornitore di cloud per il governo federale, si è sempre focalizzata su un utilizzo sicuro dei cloud. Per noi, dimostrare la conformità su piattaforme virtuali condivise è stata un’attività manuale, complessa e molto impegnativa”, ha confermato Chris Day, Chief Security Architect Terremark Worldwide.
“Come partner vCloud di VMware, se riusciamo a dimostrare facilmente compliance, sicurezza e controllo in infrastrutture virtuali multi-tenant sarà di grande interesse per i nostri clienti e il nostro business. L’integrazione tecnologica che VMware, Intel e EMC hanno dimostrato conferma che abbiamo preso la giusta decisione in termini di partnership e che i clienti che scelgono Terremark per l’infrastruttura cloud hanno anch’essi fatto la scelta giusta”.
La base di questa innovativa infrastruttura di elaborazione è un hardware root derivato da Intel Trusted Execution Technology (TXT) che autentica ogni singolo passo della sequenza di boot, dalla verifica delle configurazioni hardware all’inizializzazione del BIOS fino al lancio dell’hypervisor. Una volta partito, l’ambiente virtuale VMware raccoglie i dati dei livelli hardware e virtuali e alimenta la piattaforma enVision Security Information and Event Management di RSA con un flusso continuo di dati grezzi.
Questa soluzione è studiata per analizzare gli eventi che arrivano dal livello virtuale per identificare incidenti e condizioni che possono influenzare sicurezza e conformità. Le informazioni vengono poi contestualizzate all’interno della soluzione Archer SmartSuite Framework, progettata per presentare una valutazione basata su policy della situazione di sicurezza e compliance aziendale attraverso una dashboard centralizzata.
“Per oltre 18 mesi, Burton Group ha sottolineato le preoccupazioni legate a privacy, isolamento e controlli di audit quali principali barriere all’adozione del cloud infrastructure-as-a-service”, ha continuato Chris Wolf, Senior Analyst in Burton Group. “Tuttavia, queste preoccupazioni oggi iniziano a dissiparsi perché i servizi cloud basati su un hardware root of trust iniziano ad emergere.
E’ molto incoraggiante vedere alcuni vendor che ne assumano la leadership ed è un passo molto positivo che vengano soddisfatti requisiti quali la conformità PCI e pongano chiari confini per la sicurezza. Con la realizzazione di modelli di sicurezza su più livelli, ben definiti e l’implementazione di adeguati controlli di audit e di applicazione delle policy, si hanno tutte le condizioni per l’adozione di cloud IaaS”.
“Savvis vanta un’ottima reputazione nell’eccellenza operativa ed è uno degli early adopter dell’inizitiva VMware vCloud”, ha aggiunto Bryan Doerr, CTO di Savvis Inc. “Abbiamo collaborato a lungo con VMware, Intel, EMC e Cisco e supportiamo l’approccio VCE. Abbiamo condiviso le richieste di sicurezza dell’infrastruttura cloud multi-tenant con VMware, RSA e Intel – e la tecnologia presentata questa settimana da RSA rappresenta proprio l’innovazione richiesta.
Controlli di conformità e misure di sicurezza semplici, dimostrabili e verificabili potrebbero rappresentare un passo avanti rispetto a ciò che abbiamo ottenuto finora con i tradizionali processi rigorosi e l’isolamento fisico. Questo dimostra i vantaggi che i nostri clienti possono ottenere grazie alla collaborazione e all’innovazione tra Savvis, VMware, Intel e EMC”.
Il nuovo security brief si focalizza sulla compliance nel cloud
RSA ha inoltre rilasciato il Security Brief dal titolo “Infrastructure Security: Getting to the Bottom of Compliance in the Cloud” che presenta un overview delle sfide legate alla dimostrazione della sicurezza nei livelli più profondi del cloud e offre indicazioni sul modo in cui è possibile incrementare visibilità e controllo nei cloud privati per soddisfare i requisiti di conformità.
Gli autori del documento includono molti dei più noti esperti di sicurezza e virtualizzazione del mondo tra cui Jon Darbyshire, Fondatore di GRC Archer Technologies; Douglas Fisher, Vice President & General Manager Systems Software Division in Intel Corp.; Bret Hartman, Chief Technology Officer in RSA; e Dr. Stephen Herrod, Chief Technology Officer and Senior Vice President R&D in VMware.
Nel Brief, gli autori concordano nell’affermareche le prossime frontiere della conformità nel cloud verrano implementare con più facilità, attraverso modalità più affidabili di attestazione della sicurezza delle macchine fisiche e virtuali nel cloud. Nel documento vengono evidenziati i vantaggi di business, di sicurezza e di compliance su hardware root of trust e presenta una vision su come poter ottimizzare i servizi e le soluzioni IT esistenti in azienda per creare un’infrastruttura per i servizi cloud, facilmente controllabili, misurabili e presentati.
“Affidandosi a hardware root of trust di Intel Trusted Execution Technology, i cloud provider possono offrire un’infrastruttura che consenta all’IT di implementare e gestire policy di sicurezza richieste dalle esigenze di business”, ha affermato Kirk Skaugen, Vice Presidente e General Manager di Intel DataCenter Group. “Lavorando insieme, Intel, Vmware e EMC aiutano le aziende nella realizzazione di soluzioni IT più efficienti e sicure”.
“La soluzione VMware vSphere offre ai clienti i fondamenti per raggiungere un livello di sicurezza migliore nel proseguo del loro viaggio verso l’adozione del cloud computing” ha continuato Dr. Stephen Herrod, CTO e Senior Vice President dell’R&D di Vmware. “Lavorando con gli esperti di Emc ed Intel, abbiamo ora intrapreso un passo logico in avanti per migliorare il livello di sicurezza nel cloud, con una maggiore visibilità in queste aree. In questo modo i clienti sono rassicurati del fatto che i loro dati ed applicazioni siano sicure e compliant”.
I Security Brief di RSA sono studiati per offrire ai leader di sicurezza una indicazione essenziale sui rischi sempre più pressanti per la sicurezza delle informazioni e le opportunità. Ogni singolo Brief è realizato da un team selezionato di esperti di diverse organizzazioni che condividono conoscenze specialistiche su tematiche critiche emergenti.
