Il mercato apprezza facilità di migrazione e aderenza alla normativa
«Nel 2014 quando Oracle ha deciso di progettare e mettere in produzione nel giro di due anni la seconda generazione di cloud infrastructure, la sicurezza è stata una delle leve principali» ci dice Fabrizio Zarri, Master Principal Sales Consultant Oracle. Uno dei primi risultati raggiunti dal team di 2000 specialisti cloud, è stato quello di operare una separazione tra l’hypervisor e il network. Proprio per migliorare la sicurezza. «Visto che lì si concentrava la maggior parte degli attacchi, bisognava intervenire. La separazione tra i due environment in uno strato sottostante di hardware completamente dedicato – continua Zarri – ha portato a un altro vantaggio. Quello cioè di offrire ai nostri clienti delle macchine fisiche, bare metal, dentro alle quali far girare i workload in maniera indipendente su un network separato. Con l’oracle cloud di seconda generazione, abbiamo dato la possibilità al cliente di avere macchine virtuali con un hypervisor di virtualizzazione hardenizzato da Oracle, oppure di acquistare una macchina fisica così da poter gestire e isolare i dati al proprio interno».
Protezione del firmware
Un secondo importante criterio di sicurezza nella progettazione dell’OCI Oracle Cloud Infrastructure consiste nella protezione dagli attacchi PDoS volti a manomettere il firmware. «Ci sono molte tipologie di attacco volte ad aggredire il firmware della macchina per accedere all’hypervisor e potenzialmente ai dati del cliente. Per fare sì che su ogni server il provisioning sia eseguito con firmware pulito, abbiamo implementato una procedura sicura per la cancellazione e reinstallazione del firmware del server. Il processo – basato su una componente hardware protetta prodotta secondo le nostre specifiche e ispezionato visivamente – a conferma della corretta esecuzione richiede l’installazione del firmware originale. Se qualcuno tenta di manometterlo ce ne rendiamo conto immediatamente. Questo riduce il rischio di attacchi di tipo PDoS (Permanent Denial of Service) finalizzati a installare delle backdoor nel firmware originale» spiega Zarri.
Shared responsibility
In tema di security, cliente e cloud provider sono titolari di specifici oneri a cui adempiere. Perciò è importante che le aziende comprendano i modelli di responsabilità condivisa in funzione del servizio cloud proposto (IaaS/SaaS/PaaS) per implementare le misure di sicurezza necessarie. «In un ambiente IaaS è il cloud provider a essere responsabile della sicurezza dell’infrastruttura fisica. Dal datacenter alle macchine fisiche» afferma Zarri. «Con questo modello di servizio, la sicurezza della rete è garantita fino alla macchina virtuale. Da quel punto in poi diventa di responsabilità del cliente. Il cloud provider metterà a disposizione un’immagine blindata e patchata del sistema operativo. Ma una volta messa in esecuzione, la responsabilità di applicare le patch o di dare diritti autorizzativi su quella macchina sarà del cliente finale. «Detto questo, Oracle mette a disposizione dei propri clienti una serie di strumenti di configurazione che facilitano l’amministrazione e il monitoraggio della rete. Personalizzabili e integrati con l’ecososistema dell’azienda».
Compliance
La capillarità della rete di datacenter Oracle in Europa (Amsterdam, inaugurato di recente, Londra, Zurigo e Francoforte) offre maggiore disponibilità, bassa latenza e la possibilità di scelta per i clienti vincolati al rispetto di normative nazionali o di settore sulla destinazione geografica dei dati. «Un vantaggio per le aziende europee, alle quali il Gdpr impone vincoli stringenti circa il trasferimento e lo storage dei propri dati. L’OCI infatti oltre a rispondere all’esigenza sempre più sentita della sicurezza dei dati, rispetta tutte le normative internazionali e nazionali».
