Cloud ibrido, la metamorfosi della sicurezza

Sicurezza nel cloud sfida primaria per le organizzazioni

Spostarsi verso il cloud ibrido significa affrontare un percorso di trasformazione tecnologica e organizzativa. Quali sono le priorità per i CIO? Prima di tutto bisogna valutare quali applicativi e servizi esternalizzare e quali tenersi in casa. Poi è necessario curare l’integrazione degli ambienti e garantire al contempo la sicurezza dell’intera infrastruttura

L’offerta di risorse hardware virtuali a disposizione delle aziende è oggi piuttosto ampia. Accanto ai grandi player, non tantissimi, operano cloud provider di dimensioni locali o regionali che muovono il mercato. Variando i livelli di servizio garantiti (SLA) e allargando la forbice dei prezzi. Tanto che qualcuno per attirare nuovi clienti inizia persino a parlare di cloud low cost. L’importanza dell’ubicazione del provider per lo storage dei dati, un aspetto poco considerato nella prima fase di espansione del cloud, riveste un’importanza più sfumata rispetto a un paio di anni fa. Si è in parte placata l’ondata d’indignazione sollevata dalle rivelazioni sulle attività di sorveglianza globale condotte dallo spionaggio americano, anche perché nel giro di 24/36 mesi i data center sparsi per l’Europa sono spuntati come funghi. E altri ne arriveranno. Così i provider più grandi, quelli con più data center che coprono aree estese del globo, sono in grado di offrire ai propri clienti la possibilità di scegliere dove salvare i dati. «I problemi legati a sicurezza e riservatezza – due dei principali ostacoli all’implementazione di soluzioni di cloud pubblico e ibrido, soprattutto per quello che riguarda la localizzazione e la sovranità del dato – hanno fatto sì che le aziende per affrontare queste criticità orientassero la propria scelta verso cloud service provider (CSP) europei o comunque verso operatori in grado di erogare servizi cloud da data center localizzati in Europa» – conferma Sergio Patano, research & consulting manager di IDC Italia. La ragionevole certezza che i propri dati saranno fisicamente memorizzati (anche) sul territorio europeo, oggi è meno risibile. Che siano anche al sicuro e al riparo da sguardi indiscreti rimane invece molto controverso.

LA SCELTA DEL CLOUD PROVIDER

La scelta del provider in relazione allo storage e alla protezione del dato in ogni caso dipende in buona misura dai vincoli fissati dalla legge, italiana ed europea. I dati del resto non possono essere certo salvati ovunque e nemmeno solo in base a mere ragioni di convenienza. Perciò a seconda del dato da conservare, l’organizzazione rivolgerà la propria attenzione a una certa tipologia di cloud. Ci saranno dati che andranno sempre conservati in un cloud privato. Altri che si potranno salvare in cloud pubblici con determinate caratteristiche. E tipologie di dati gestibili invece senza particolari vincoli. Si tratta di far emergere le proprie esigenze e scegliere il cloud provider più adatto. Detto questo, è inevitabile che le esigenze dell’azienda debbano per forza aderire al dettato normativo. L’utilizzo di determinati servizi potrebbe comportare la violazione delle norme del paese da cui si opera. In altri casi, il salvataggio dei dati su risorse pubbliche e condivise, può avvenire solo a patto che sul cloud siano attivi strumenti di monitoraggio ad hoc. Da questo punto di vista i cloud pubblici non sono evidentemente tutti uguali. Per esempio ci sono cloud provider che offrono livelli di cifratura e sicurezza superiori a quelli che si trovano in una infrastruttura cloud privata. Per non correre il rischio di violare la normativa – sia essa locale, europea o specifica di un certo settore d’attività – la Direttiva 95/46/EC è un ottimo punto di partenza per farsi un’idea più precisa non solo delle norme a cui attenersi per la messa in sicurezza di dati, infrastrutture e persone, ma anche dei controlli da effettuare preventivamente. Per quanto riguarda la scelta del proprio partner cloud non è fuori luogo ricordare che prima di poter operare sul mercato, il provider deve conseguire decine di certificazioni. Da quelle relative alla protezione dei dati in senso stretto (protezione fisica da eventi accidentali, business continuity…), riassunti nelle direttive ANSI/TIA-942, a quelle per la sicurezza delle informazioni: report SSAE 16 – Statement on Standards for Attestation Engagements, (con certificazioni da SOC1 a SOC3 per i datacenter più sicuri) e ISO 27001, che illustrano le modalità accettate di memorizzazione delle informazioni. Alcuni settori poi sono regolamentati da normative specifiche, come la PCI DSS che disciplina il trattamento e la memorizzazione dei dati relativi alle carte di credito.

«La compliance alle normative ha diverse connotazioni a seconda del mercato nel quale si opera e ai requisiti richiesti, con riferimento, per esempio, alla non modificabilità del dato, alla business continuity, al disaster recovery, etc.» – ci spiega Roberto Patano, senior manager systems engineering di NetApp Italia. «Le soluzioni NetApp consentono di garantire i livelli di sicurezza e il controllo dei dati anche in un ambiente cloud e di movimentare le informazioni da un data center on premise verso un service provider esterno o Hypercaler e viceversa grazie a un tool univoco (Cloud Manager) per tutti gli ambienti. Il livello di sicurezza viene garantito anche nel caso di ambienti ibridi. E attraverso l’encryption le informazioni vengono protette nel momento in cui vengono trasferite all’esterno». Perciò se è rischioso sorvolare sulla verifica dei requisiti del cloud service provider non va però dimenticato che per operare sul mercato, un CSP ha già dovuto dimostrare di possedere tutta una serie di requisiti. Come sottolinea Daniele Vona, responsabile pre-sales di Seeweb le probabilità che «il cloud provider possa ottemperare alle policy di compliance più di quanto possa fare autonomamente un’azienda, avendo già organizzato la propria infrastruttura IT e predisposto un team dedicato alla risoluzione delle problematiche di sicurezza IT sono alte». Ci sono tuttavia altri aspetti legati all’operatività pura del provider da considerare attentamente. Per esempio, la possibilità per clienti e prospect di potersi staccare da un certo fornitore senza strascichi, scongiurando la trappola del lock-in. «La migrazione da un provider all’altro – rileva Alessandro Rani, pre-sales manager di VM Sistemi – deve avvenire con la massima libertà, valutando correttamente aspetti quali la rimozione definitiva dei dati dai sistemi che vengono liberati (decomissioning), l’encryption e i meccanismi di salvaguardia delle chiavi utilizzate dal processo di crittografia».

Leggi anche:  L’Italia è il 4° Paese al mondo più colpito dalle minacce IT a tema pandemia

UNIFORMITÀ DELLE POLICY IN CLOUD E ON PREMISE

Spostarsi verso il cloud ibrido significa affrontare un percorso di trasformazione tecnologica e organizzativa. Per l’IT ciò significa valutare quali applicativi e servizi esternalizzare e quali tenersi in casa. Ma significa anche adeguare la propria infrastruttura e realizzare un progetto credibile che illustri con quali modalità s’intende raggiungere la completa integrazione tra gli ambienti, rispettando al contempo la normativa. «Le caratteristiche della gestione del sistema informativo in cloud e degli asset strategici per il proprio business, ossia le informazioni, non sono così diverse da quelle tipiche dell’outsourcing dei sistemi IT. In entrambi i casi, si concederà a un soggetto terzo la gestione, in toto o in parte, di componenti “critici” della propria infrastruttura» – continua Alessandro Rani di VM Sistemi. In termini di sicurezza e di compliance, questo passaggio di testimone schiude scenari molto ampi, che rendono l’adozione di nuovi servizi fortemente dipendente dalle scelte di business. «Le infrastrutture IT sia interne sia esterne devono essere valutate secondo modelli di governance invece che rispetto alla tecnologia e al mero aspetto economico. Individuando gli asset vitali per il proprio business. E indicando per ciascuna tipologia, quale sia il livello di rischio accettabile, rispetto a perdita, modifica, compromissione, esfiltrazione degli stessi» – spiega Rani.

La migrazione verso il cloud ibrido presuppone dunque un’attenta analisi preliminare degli aspetti di sicurezza dato che il concetto di compliance, inteso come aderenza alla normativa, si estende sino all’infrastruttura del CSP. «La compliance è tra le prime tre priorità dei nostri clienti a livello mondiale» – conferma Morten Lehn, general manager Italy di Kaspersky Lab. «Indipendentemente dal fatto che utilizzino data center on premise software-defined con tecnologie avanzate, abbiano trasferito tutto nel cloud pubblico o realizzato un’infrastruttura ibrida, distribuendo i carichi di lavoro e le applicazioni business tra ambienti on premise e off premise, grazie alle soluzioni Kaspersky Lab è possibile offrire il giusto equilibrio tra protezione, performance e gestione» – afferma Lehn. Il perseguimento dell’omogeneità e della coerenza nel cloud ibrido informa tutto il processo di migrazione. E prevede la fattiva collaborazione del cloud provider ed eventualmente di un system integrator. «Nel mondo del cloud ibrido, si parla di compliance e sicurezza condivisa. Demandata cioè in parte al provider e in parte al cliente» – concorda Gastone Nencini, country manager di Trend Micro. Entrambi gli attori – sottolinea Nencini – possono trarre il massimo beneficio dalla collaborazione, implementando una piattaforma di nuova generazione per la protezione dei data center dinamici (server fisici, virtuali e in-the-cloud, nonché desktop virtual): «Deep Security aiuta i nostri clienti a gestire le diverse tipologie di compliance integrandosi con le soluzioni di importanti player del mercato come Amazon e Microsoft Azure. Le elevate capacità di virtual patching consentono a questa piattaforma di proteggere i dati aziendali e le applicazioni mission-critical senza dover ricorrere a onerosi interventi di patching di emergenza».

Ma se gli scenari di cloud ibrido sono ormai la normalità, l’utilizzo di risorse esterne richiede un livello di sicurezza comparabile con quello già in essere sulla farm privata. Facciamo un esempio concreto. Domandiamoci cioè in che modo rendere sicuro il flusso dati end-to-end nel caso in cui l’azienda abbia la necessità di utilizzare più server in cloud pubblico, per definizione accessibili da internet. Una strada potrebbe essere quella di definire delle policy di sicurezza partendo dall’utilizzo dei tool standard forniti dal cloud provider (firewall locali e di rete, servizi VPN…). Il primo nodo sarà allora quello di approcciare la varietà di metodi utilizzati per gestire la sicurezza da parte del fornitore cloud. Prima di tutto per le scarse probabilità di trovare le stesse soluzioni di sicurezza utilizzate in azienda. Dispositivi che il cloud provider fornisce in modalità “as is”. Oppure con l’onere della configurazione a carico del cliente. C’è anche un altro aspetto che un vendor di sicurezza non può fare a meno di notare: «I tool di sicurezza offerti dal cloud provider sono essenzialmente delle facility per implementare alcuni servizi, che non possono essere al livello di un prodotto maturo e sviluppato ad hoc per determinate esigenze» – afferma Luca Livrieri, sales engineer manager Italia & Spagna di Forcepoint. Inoltre sebbene «i tool di protezione contribuiscono a creare le basi per una comunicazione sicura tra l’ambiente aziendale e l’infrastruttura cloud, sono ancora numerosi i vettori di attacco da monitorare. I malware e gli attacchi basati sulla rete possono arrivare infatti dalle infrastrutture interne» – mette in guardia Morten Lehn, general manager Italy di Kaspersky Lab. Non solo. «Quando si parla di networking o API – aggiunge Lehn – bisogna ricordare che la chiave del successo è l’integrazione tra l’infrastruttura e le soluzioni di sicurezza. Le nuove tecnologie consentono ai nostri clienti enterprise di realizzare ambienti più flessibili e garantiscono più strumenti ai provider dell’infrastruttura e dei servizi cloud». In questo modo – come spiega dal canto suo Antonio Madoglio, SE manager di Fortinet (it.fortinet.com) – «uno degli approcci consigliati è di proteggere gli accessi con opportuni sistemi di autenticazione, basati su meccanismi a due fattori. Inoltre sarebbe auspicabile rafforzare al massimo gli algoritmi di encryption utilizzati sulle VPN a protezione del flusso di comunicazione utilizzato dalle API».

OBIETTIVO INTEGRAZIONE POLICY

Scrivere delle nuove policy di sicurezza che si integrino con quelle esistenti non è sempre possibile. In alcuni casi, potrebbe diventare eccessivamente oneroso dal punto di vista operativo e amministrativo. Con la possibilità concreta di incorrere in errori. «Certo, l’uniformità non è obbligatoria» – commenta Paolo Arcagni, system engineer manager di F5 Networks. «Ma è chiaro che per un IT manager che deve occuparsi di un certo tipo di policy per la stessa applicazione erogata sia in un data center privato che in uno pubblico, la gestione di una policy differente a seconda dell’ambiente in cui si trova diventa impegnativa. Ed è molto più comodo avere un unico metodo di protezione per una determinata applicazione, indipendentemente da dove e come questa viene erogata». L’IT dovrebbe essere in grado di erogare l’applicazione in ogni tipo d’ambiente. In realtà, le periodiche contrazioni del budget a disposizione, a fronte della necessità costante di ottimizzare l’erogazione di servizi, espongono l’organizzazione al pericolo di abbassare pericolosamente la guardia sulla security. «Per non cadere in questa trappola è necessario che l’azienda sia sempre in condizioni di scegliere il luogo dal quale erogare un certo servizio. Senza rinunciare alle componenti di sicurezza necessarie» – afferma Arcagni.

Leggi anche:  Green Pass, l’80% degli italiani condividerebbe i propri dati sanitari e personali per accelerare la libertà post-pandemia

«La nostra proposta in tal senso è chiara. La sicurezza che forniamo, segue l’applicazione ovunque essa vada. Così quando è presente nel data center privato, forniamo al cliente soluzioni che si possono erogare in maniera ottimizzata e cost effective. Se invece quella stessa applicazione si sceglie di migrarla sul cloud pubblico, la nostra tecnologia consente al cliente di esportare la shell di sicurezza costruita per quella applicazione. Perché le stesse opzioni di sicurezza sono virtualizzabili in quegli ambienti. Per esempio, se in azienda ho un’applicazione con dati sensibili, protetta da un web application firewall nel data center privato, che per qualche ragione devo portare nel cloud pubblico, posso virtualizzare il WAF nel cloud pubblico e spostare o sincronizzare la stessa identica policy che avevo nel data center privato. La shell di sicurezza che protegge l’applicazione a tutti i livelli di erogazione della pila OSI posso infatti portarla con me anche nel cloud pubblico» – spiega Arcagni. Strategia condivisa anche da Madoglio di Fortinet, che ritiene che per estendere le policy di sicurezza dall’azienda alle risorse ibride, servano soluzioni di sicurezza ad hoc sviluppate per il cloud. «Fortinet è in grado di gestire con la stessa tecnologia sia ambienti eterogenei on premise che in cloud. La medesima tecnologia di sicurezza può essere installata presso le sedi del cliente sotto forma di appliance fisica sia nel cloud, nei marketplace più diffusi come AWS e MS Azure, sotto forma di virtual appliance. Ciò significa che è possibile gestire centralmente le due soluzioni dallo stesso Fortimanager realizzando quello che noi chiamiamo “single pane of glass”. Entrambe le entità possono inoltre beneficiare degli stessi aggiornamenti di sicurezza (single point of security update) e implementare le stesse politiche di accesso (single point of authentication and SSO)».

Molti ritengono che l’ibrido permetta di migrare senza problemi le applicazioni tra le infrastrutture on premise e cloud. Una promessa attraente. Ma quanto veritiera? Spesso si parte dal presupposto che il cloud pubblico sul quale decidiamo di appoggiarci e le infrastrutture on premise abbiano le stesse capacità. Ma nonostante gli sforzi profusi da talune organizzazioni per adeguare la propria infrastruttura, è difficile che ciò si verifichi. Non dimentichiamo che le aziende migrano verso il cloud semplicemente perché non sono sufficienti le risorse che hanno a disposizione. In termini di elasticità, pay-per-use, innovazione. E naturalmente sicurezza, che l’IT può reputare inadeguata. «Gli ambienti cloud sono in genere più sicuri di molti ambienti on premise, questo perché, in tema di sicurezza, un cloud provider di un certo spessore può effettuare investimenti in infrastrutture, processi e formazione del personale fuori dalla portata di molte aziende, soprattutto PMI» – ci dice Marco Viscardi, consulente Internet e Cloud di OPEN CLOUD. Ecco allora, che il vero quesito da porsi andrebbe rovesciato: «In che modo far sì che la mia infrastruttura di sicurezza raggiunga lo stesso livello di sicurezza di quella che sposto sul cloud?» – suggerisce Viscardi. «Troppo spesso manca proprio la definizione di policy che regolamentino in modo efficace quel che l’azienda vuole fare, senza per questo derogare alla necessaria sicurezza. Quando ciò si realizza, creare la strategia adatta – appoggiandosi a fornitori che accettano le clausole contrattuali adatte che permettono di essere conformi alle leggi – diventa non solo fattibile, ma addirittura semplice» – sostiene Alessio Pennasilico, membro del comitato direttivo e del comitato tecnico scientifico di CLUSIT.

Leggi anche:  Il numero di attacchi ai dispositivi IoT è raddoppiato in un anno

TECNOLOGIE CHE INTEGRANO I DUE AMBIENTI CLOUD

L’interazione e l’integrazione tra sistemi on premise e nel cloud pubblico si concretizza attraverso l’impiego di strumentazione e tecnologia dedicata. «API REST che utilizzano protocolli sicuri, raggiungibili via HTTPS. Tecniche di autenticazione OTP basate su token. Tecnologie di networking, come VPN, MPLS e VXLAN. Tecnologie che fanno sì che l’infrastruttura on premises sia direttamente connessa all’infrastruttura in cloud. Centralizzando la gestione in un’unica dashboard. Lasciando all’IT la possibilità di migrare il proprio workload» – spiega Daniele Vona di Seeweb. Ma per ognuna di queste tecnologie ci sono altrettanti aspetti di sicurezza che vanno considerati. Per esempio, come sottolinea Luca Livrieri di Forcepoint, la gestione delle macchine virtuali viene notevolmente agevolata dalla praticità delle API: «I cloud provider per favorire le aziende in termini di flessibilità di utilizzo della piattaforma mettono a disposizione delle aziende diverse API per la gestione delle VM. Ciò consente di mettere in piedi un server in produzione nel giro di qualche secondo». I vantaggi sono evidenti. Il rovescio della medaglia però è la possibile diminuzione del livello di sicurezza. «Ciò soprattutto in ottica DoS/DDoS. Attaccando le API è teoricamente possibile spegnere, se non cancellare VM in produzione» – mette in guardia Livrieri. Problema tuttavia superabile, proteggendo le risorse cloud con un engine attestato al Security Management Client aziendale. «In questo modo, la superficie di attacco si riduce di parecchio. Le macchine non sono più accessibili dall’esterno se non sulle porte dei servizi erogati, mentre negli scenari più sicuri la pubblicazione può avvenire utilizzando la VPN. Inoltre, visto che i cloud provider non mettono a disposizione punti di ispezione, consigliamo l’installazione di una soluzione ad hoc che, monitorando il traffico senza distinzioni tra risorse interne e cloud, intercetti i possibili attacchi alle API. Infine, le usuali politiche di segregazione delle risorse – reti di management fisicamente separate e poste in zone della rete ad accesso controllato – contribuiscono a ridurre il rischio. Nascondendo le risorse dietro a punti di enforcement correttamente definiti e implementati, il livello di sicurezza globale risulta essere simile lato cloud provider che farm interna» – afferma Livrieri.

IL FUTURO DELL’HYBRID CLOUD

I vantaggi del cloud sono noti. Maggiore efficienza dell’infrastruttura IT. Economie di scala. Sourcing. Miglioramento dei processi di business. Maggiore velocità nel provisioning. Test di sviluppo e deployment più veloci. Fattori che insieme garantiscono una spinta decisa all’innovazione. La flessibilità offerta da un ambiente ibrido è evidente sia a fronte di un task semplice come eseguire un workload sia davanti a compiti più complessi come la gestione di grandi quantità di dati. In tal senso, gli esempi di successo che convincono le organizzazioni ad adottare un modello di cloud ibrido sono sempre più numerosi. Ma spostarsi verso il cloud ibrido significa anche affrontare un percorso impegnativo di trasformazione tecnologica e organizzativa. Che richiede un approccio strutturato e una valutazione attenta di una serie di problematiche di sicurezza. L’integrazione della sicurezza in un progetto cloud non è alla portata di tutte le aziende e rappresenta sempre un rischio. Perciò prima di operare una scelta definitiva bisogna tenere conto di numerosi aspetti, approdando alla definizione di un progetto di migrazione il più possibile credibile e sostenibile. Ma una volta abbracciato il cloud ibrido per le organizzazioni in grado di orchestrare al meglio l’integrazione tra soluzioni cloud pubbliche e on premise, la possibilità che si aprano orizzonti applicativi nuovi – con maggiori opportunità di realizzare le necessità di innovazione e ottimizzazione e allettanti prospettive di crescita – è più che una promessa. In un futuro non troppo lontano poi, l’integrazione tra i due ambienti potrebbe diventare ancora più stretta grazie all’automazione dei processi e alla “pacchettizzazione” delle applicazioni e del loro ambiente di funzionamento in pattern distribuibili, basati su standard aperti e pensati per automatizzare la distribuzione lungo le diverse tipologie di cloud. Processi che contribuiranno a ridurre la complessità dell’ambiente ibrido consentendo alle aziende, indipendentemente dal grado di maturità dell’infrastruttura, dal budget a disposizione e dal settore di appartenenza, di beneficiare della flessibilità e dell’efficienza offerta dall’ambiente cloud ibrido in modi ancora più efficaci e produttivi.