Sicurezza e cloud computing

E’ fuori da ogni dubbio che siano soprattutto le preoccupazioni legate alla sicurezza a rappresentare un forte ostacolo alla diffusione del cloud computing nelle aziende.

A cura di Bruno Melandri, EMC EMEA Practice Manager

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

Recenti ricerche e studi commissionati e condotti da molti vendor differenti – tra gli altri HP, CA, McAfee, Colt – paiono convergere su questo concetto di base.

A mio parere, rappresenta un punto di partenza fondamentale definire cosa significhi Cloud, o meglio quali siano le aspettative di utilizzo del cloud da parte dei suoi potenziali utilizzatori. Come mi piace dire, chiedete a dieci esperti nel settore IT cosa sia il Cloud e avrete dodici risposte diverse. Io consiglio di usare un modello di definizione come quello del National Institute of Standards and Technology (NIST) almeno per avere una base univoca di discussione.

Certo che, a prescindere dallo specifico contesto di cui sopra, fa un po’ sorridere che ci si fasci la testa su temi “cloud sicuro, cloud insicuro” quando le maggiori porte di attacco alle applicazioni sul web sono ancora ad oggi l’ “SQL injection” e il “Cross scripting”.

Sicuramente concordo sul fatto che la sicurezza sul cloud sia una delle aree su cui porre la massima attenzione. Infatti sono degne di nota sia iniziative “collegiali” quali ad esempio la CSA (Cloud Security Alliance) che quelle spinte dai fornitori e relativi ecosistemi come ad esempio VMsafe di Vmware, nostra consociata. Entrambe sono importanti, anche se in modi differenti: mentre le prime si focalizzano sul definire e/o regolamentare framework comuni coi quali sviluppare metodi e strumenti condivisi, nelle seconde si assiste alla realizzazione di framework che vengono da subito utilizzati dallo specifico ecosistema per realizzare soluzioni reali, quali ad esempio le integrazioni per la DLP (Data Lost Prevention) di RSA, la Security Division di EMC.

Leggi anche:  Non solo hyperscaler: il valore dei Regional Cloud Provider

Il cloud non necessariamente significa per le imprese una nuova forma di outsourcing dell’infrastruttura in modalità “pay per use”. Il grosso interesse da parte di molti clienti è posto sul paradigma di economicità, flessibilità, agilità e velocità tipiche del “cloud” coniugate con le possibilità di pianificare, prevedere e controllare dell’ IT classico.

Questo sfocia nel concetto di “Internal cloud” che per entità industriali complesse può spingersi al livello superiore, quello di “Federated cloud” (nel modello NIST è riferito a una community) realizzato appunto da una federazione di entità IT (varie aziende) appartenenti alla stessa corporate (un gruppo industriale) dove le varie realtà IT si organizzano con la doppia identità di Cloud provider e Cloud customer per minimizzare i costi mantenendo il più possibilmente segregati i rischi, nel caso specifico legati a sicurezza e/o a criteri di compliance ad essa legati.

Solo una chiara identificazione e catalogazione di applicazioni e processi aziendali porta a definirne tra l’altro le modalità di reazione all’evento (al singolo incidente) ad esempio sfruttando le capacità disponibili in federazione. Ancora una volta, tecnologie di virtualizzazione tipiche del cloud, coniugate a controlli di DLP, possono partecipare a rafforzare la compliance della movimentazione delle applicazioni a specifiche esigenze di sicurezza.

Ultimo ma non meno importante: Di sicurezza sul cloud se ne sta anche parlando per tre giorni al Security Summit organizzato dal Clusit qui a Milano

A cura di Bruno Melandri, EMC EMEA Practice Manager