L’adozione del Cloud risente di motivazioni legate alla sicurezza informatica, ma imparando dagli errori pregressi si possono scegliere soluzioni ibride e multicloud appropriate ad esigenze aziendali e ai nuovi requisiti finanziari e di privacy
Se dopo tanti annunci il “go to cloud” sta accelerando, la fiducia nella sicurezza del cloud sembra ancora merce rara. Eppure le lezioni apprese durante il 2017 possono stimolare ulteriormente l’adozione delle buone prassi, già esistenti e preparare il terreno ai trend 2018 attinenti all’adozione del Cloud Computing in un contesto di minacce crescenti.
Stime di crescita del Cloud Computing
Su base mondiale è stato stimato che circa il 90% delle imprese utilizza una forma di cloud computing pubblico (Fonte Equinix) mentre per aziende come Esker che offrono soluzioni cloud, questo ambito vale oggi l’85% del business aziendale con la previsione di aumentare del 20% nel 2018. Lo studio di mercato dal titolo Indice di Interconnessione Globale, evidenzia come le imprese che si connettono ai cloud provider possano generare una crescita annuale del 160% della capacità di interconnessione di larghezza di banda installata, entro il 2020, con una ricaduta di produttività ovvero crescita del PIL mondiale stimata da Accenture Strategy e Oxford Economics, pari a 1,36 miliardi di dollari in output aggiuntivo nelle 10 maggiori economie entro il 2020.
Lezioni di sicurezza dal 2017
Ma nonostante le rosee aspettative, la sicurezza nel cloud continua a essere un argomento dibattuto. Rispetto alle violazioni subìte dalle aziende nel 2017, all’incidenza e ai danni è stato possibile stilare un lista di cinque lezioni sulla sicurezza che costituiscono un “dato di fatto” e che possono influenzare l’adozione del Cloud sfruttando le garanzie di sicurezza offerte in questi ambienti, sebbene nell’ambito del “modello di responsabilità condivisa” (politica adottata sia dal cloud provider, sia dall’organizzazione che lo utilizza, ciascuno per le proprie spettanze, per garantire che i dati dei clienti siano archiviati e gestiti in modo sicuro nel cloud n.d.r.).
1) Il cloud arricchito di Ai e ML è più sicuro rispetto ai data center
Malgrado le molteplici violazioni aziendali alla sicurezza informatica avvenute nel 2017 e nonostante alcuni incidenti specifici all’ambiente cloud, come il caso UBER, le principali piattaforme cloud pubbliche hanno dimostrato di mantenere al sicuro le applicazioni e i dati aziendali in misura maggiore rispetto ai data center locali. In parte si deve anche all’adozione di Intelligenza Artificiale (AI) e il Machine Learning (ML) finalizzate a gestire la sicurezza in modo più accurato e proattivo. Ad esempio, Amazon Web Services (AWS) adotta funzionalità di sicurezza che sfruttano l’intelligenza artificiale per identificare indirizzi IP dannosi e rilevare anomalie e la coniuga con il ML per riconoscere attività o comportamenti che indicano minacce. Un obiettivo dei Cloud Provider per il futuro in questo ambito riguarda l’interconnessione diretta e sicura per le comunicazioni M2M (machine-to-machine) e le loro interazioni con gli utenti del sistema di sicurezza. Equinix lo adotterà nel suo Equinix Cloud Exchange™ Fabric.
2) La gestione delle chiavi d’identità deve essere gestita per cloud ibridi e multicloud
Nonostante siano offerte soluzione di gestione delle identità dai maggiori Cloud provider, per supportare l’accesso ad applicazioni e dati all’interno di un’unica soluzione di piattaforma cloud, la diffusione e crescita di infrastrutture aziendali ibride e multicloud richiede soluzioni di gestione delle chiavi che forniscano copertura su più cloud e/o infrastrutture on-premise. Azure, AWS ed Equinix, offrono soluzioni di SmartKey HSM-as-a-Service, costituiti da un modulo di sicurezza hardware (HSM) indipendente dal cloud per offrire servizi di gestione delle chiavi sicuri e scalabili per soddisfare i requisiti di prestazione e governance, di rischio e di conformità (GRC) tra più provider cloud e infrastrutture cloud ibride, quali ad esempio soluzioni di storage privato Azure Stack e NetApp.
3) Il perimetro di sicurezza si sposta oltre il confine fisico del singolo data center, richiedendo che i controlli di sicurezza siano più vicini alle cose da proteggere
L’adozione di soluzioni implementate in cloud aumenta e in parte sembra “offuscare” il perimetro di sicurezza. Tuttavia, si tratta solo di cambiare l’approccio fra la sicurezza perimetrale originaria e quella centrata su dati e servizi che oggi è maggiormente consigliata anche se l’infrastruttura resta on-premise. L’adozione di applicazioni cloud o multicloud che causa flussi di dati fra utenti e servizi su più reti globali e servizi cloud, richiede l’adozione di politiche di sicurezza in cui i privilegi autorizzativi rispondano all’asserto “nega tutto se non diversamente autorizzato” e “non fidarsi di nessuno”, per gestire protezioni ad asset giudicati critici mantenendo efficacia, prestazioni e qualità dell’esperienza utente.
4) Governance, Rischio e Conformità guidano le strategie di sicurezza nel cloud:
Il termine “governance, rischio e conformità” (GRC), descrive un insieme di attività o una piattaforma che pervade tutti i dipartimenti e le funzioni di un’organizzazione, consentendo a un’azienda di raggiungere i propri obiettivi aziendali, per affrontare l’incertezza e agire con integrità. La GRC può anche includere funzionalità di garanzia e gestione delle prestazioni rispetto a tali obiettivi di business. Secondo Scott Wisniewski, managing director presso Protiviti, il ripensamento dell’intera intera infrastruttura GRC è necessario in funzione dell’aumento della quantità di dati che le organizzazioni devono analizzare, insieme all’adozione diffusa delle tecnologie cloud e mobile, per la maggiore entità di raccolta, condivisione e collaborazione delle informazioni.
5) La violazione dei dati è una questione di “quando” non di “se”
I dati degli attacchi con la violazione di miliardi di account online e l’esposizione di dati personali sensibili per centinaia di milioni di persone nel 2017 hanno reso evidente che qualsiasi tecnologia online è soggetta a compromessi e a contromisure di sicurezza da adottare, per realizzare un assetto verso la sicurezza che consenta, non tanto di non essere mai attaccati, ma di poter restare operativi anche sotto attacco e nonostante l’evento (Design to resilience).
Prospettive e trend 2018
La tendenza al multicloud causerà l’esigenza di scegliere e adottare una piattaforma ibrida. Se fino a due anni fa l’ultimo sondaggio IDC prevedeva una adozione al multicloud per l’86% delle aziende entro il 2017, la più recente dichiarazione di Gartner in proposito ha ridimensionato i numeri prevedendo che “la strategia multicloud diventerà la strategia comune per il 70% delle imprese entro il 2019, contro meno del 10% di oggi”. In ogni caso, non appena si affermerà il multicloud, le imprese avranno il bisogno crescente gestire una piattaforma IT ibrida, distribuendo le loro applicazioni su più cloud e scegliendo il Cloud Provider più adatto secondo il processo aziendale. Inoltre la Business Continuity e il Disaster Recovery possono essere affrontati utilizzando soluzioni ridondate su più Provider secondo una strategia multicloud che possa essere distribuita su un’infrastruttura IT ibrida (in loco e sul cloud “on ramp”).
Le aziende cercano una piattaforma globale di data center per soddisfare i requisiti emergenti in materia di sovranità e revisione dei dati. L’entrata in vigore delle normative in materia finanziari e di privacy dei dati e sicurezza comporteranno delle implicazioni per le imprese: il Regolamento generale sulla protezione dei dati (General Data Protection Regulation, o GDPR) limita il trasferimento dei dati all’interno dell’UE ai paesi che si conformano al regolamento e potrebbe quindi influenzare i trasferimenti tra aziende dell’UE e altri partner internazionali. La Direttiva sui mercati degli strumenti finanziari (Markets in Financial Instruments Directive, o MiFID II) in Europa impone nuovi obblighi di segnalazione e prove sulle imprese di investimento; mentre il reporting denominato Consolidated Audit Trail (CAT) negli Stati Uniti richiede alle aziende di registrare ogni transazione di titoli e assicurare l’accuratezza dei servizi di timing a livello di un nanosecondo. Le conseguenze del GDPR riguardano la necessità di avere data center in più regioni per conservare i dati a livello locale. Leggi come la MiFID II e il CAT richiedono invece di registrare le transazioni finanziarie a livello granulare, quindi le organizzazioni dovranno dotarsi di un sistema interno di timing finemente sincronizzato attraverso più data centercapaci di fornire servizi di timing coerenti in tutto il mondo.
