C’è voluto un po’ prima di convincere gli ultimi. La sicurezza nel cloud ha rappresentato un freno per lo sviluppo dei servizi cloud. Oggi, finalmente, sembra che anche i manager aziendali si siano convinti ed abbiano capito che nel cloud i dati sono al sicuro.
In verità, la sicurezza nel cloud non la si inventa e non è implicita. Qualsiasi ambiente cloud è sicuro nel momento in cui il Cloud Service Provider ne garantisce la protezione, e questo capita regolarmente. Ma non basta. Il principio di “responsabilità condivisa” di cui si legge nei contratti di fornitura di tutti i cloud provider, delimita chiaramente i confini di responsabilità. Il Cloud Service Provider si fa garante della sua parte, e lo mette nero su bianco, ma a un certo punto si ferma.
Questo perché il Cloud Service Provider non può mettere la mano sul fuoco su come il servizio viene utilizzato dall’azienda cliente e su chi accede e come. Così, la protezione di dati e applicazioni su un ambiente cloud dipende in egual misura dal livello di sicurezza impostato nell’infrastruttura IT.
La sicurezza nel cloud è (anche) affar tuo
L’azienda cliente, dunque, è direttamente responsabile di ciò che succede nel “suo” cloud, al punto di dover pagare per eventuali danni e per non aver adeguatamente rispettato la compliance. In definitiva, la sicurezza nel cloud è un argomento da affrontare con la massima attenzione, se non altro per le conseguenze che vanno a toccare direttamente i budget aziendali. Un argomento da affrontare a 360 gradi, un mindset, come direbbero gli anglosassoni, per dipendenti, manager e team IT.
Vediamo, dunque, come affrontare la questione. Cosa andare a curare in particolare dell’infrastruttura IT, come porsi secondo un approccio moderno. In sintesi, quali sono i 4 principi da considerare per garantirsi la giusta sicurezza nel cloud, che sia pubblico, privato, ibrido o multi.
- Visibilità e compliance
Parola d’ordine zero-trust, non fidarsi di nessuno. Per questo è fondamentale avere una totale visibilità di cosa succede all’interno dell’ambiente cloud aziendale. Un monitoraggio costante e proattivo, secondo cui non è mai troppo tardi per modificare la propria strategia. Visibilità significa avere una piena consapevolezza degli asset hardware e software dell’infrastruttura IT. È fondamentale, poi, seguire dei modelli procedurali di protezione standard, ne esistono tanti, il Cloud Service Provider può indicare il più adeguato. Visibilità, infine, sui dati: da dove arrivano, chi li tratta, dove vanno, per garantire la massima aderenza alla compliance. Gli strumenti CASB (Cloud Access Security Broker) sono l’ideale per il monitoraggio delle attività nel cloud. - Piattaforme, servizi e workload
I sistemi aziendali sono sufficientemente protetti? E i servizi applicativi, i carichi di lavoro? Ogni singola componente che concorre all’elaborazione del dato deve dimostrare di essere sicura. Se si può mettere la mano sul fuoco per la piattaforma in cloud, altrettanto si può dire per la parte di infrastruttura IT che risiede in azienda? Anche in questo caso, mappatura e monitoraggio sono le parole d’ordine. - La rete
L’approccio moderno alla sicurezza non imputa alla rete le responsabilità che le si imputavano anni fa. Ma non per questo una rete colabrodo diventa improvvisamente un problema secondario. Oggi si protegge la rete non tappandone i buchi, cosa peraltro complessa e non totalmente gestibile dall’azienda, ma segmentandone i flussi. L’utilizzo di strumenti di instradamento e orchestrazione dei dati permette di proteggerli meglio. È possibile costruire dei container blindati in cui circolano i dati più sensibili, è anche possibile isolare dalla rete certi asset e certi repository, addirittura in maniera dinamica, alzando e abbassando all’occorrenza il ponte levatoio. - Le persone
La causa principale degli exploit in un ambiente cloud è l’uomo. Il dipendente, ma anche lo sviluppatore. L’imprevedibilità e, spesso, la poca competenza di chi può accedere alle infrastrutture in cloud è il vero problema di sicurezza. Il dipendente abbocca facilmente a un phishing, si becca un malware senza neanche accorgersene e diventa la principale testa di ponte per un attacco. Ma anche lo sviluppatore che ha la libertà di agire sulle configurazioni applicative o dell’hardware è un bocconcino prelibato per gli hacker. Cosa fare? Implementare soluzioni di Identity Management potenti, definire con grande accuratezza i privilegi di accesso dei dipendenti e limitarli al massimo e, infine, imporre una cultura aziendale per la sicurezza.