Tim Prendergast e Sean Duca di Palo Alto Networks sfatano alcuni luoghi comuni, per aumentare la conoscenza e affrontare il tema in modo smart

12 miti da sfatare sulla sicurezza del cloud

Secondo il Cloud Security Report 2018, a seguito dell’accelerazione nell’adozione del cloud nove professionisti di cybersecurity su dieci si dichiarano preoccupati per la sicurezza, con un incremento dell’11% rispetto all’anno precedente. Per dissipare questi timori, è necessario affrontare la sicurezza cloud in modo smart, per essere più consapevoli della situazione. Ecco perché Palo Alto Networks ha identificato e sfatato i 10 miti principali su cloud e sicurezza.

  1. Il cloud ha costi inferiori

    A molti dirigenti aziendali viene venduta la promessa che il cloud sia meno costoso delle infrastrutture on-premise. In teoria potrebbe essere vero, ma nella realtà le aziende spendono sempre di più. “Non è più economico perché le aziende non sanno trarre beneficio dai vantaggi dell’elasticità del cloud, perché non hanno la governance adeguata e non vi dedicano tempo per approfondire e renderlo davvero più economico”, sottolinea Tim Prendergast, Chief Cloud Officer di Palo Alto Networks.

    “Le aziende dovrebbero informarsi su pro e contro del cloud. Molte non riescono a ottenere l’efficienza desiderata e iniziano a tirarsi indietro. Serve conoscenza, esperienza e impegno per rendere questo mito reale”, spiega Sean Duca, Vice President & Chief Security Officer Asia Pacific di Palo Alto Networks.

  2. Il cloud pubblico non è sicuro

    Il modello di business dei provider di cloud pubblico dipende in modo completo dalla sicurezza. Hanno investito milioni di dollari in protezione, dispongono delle più aggiornate tecnologie, di centri operativi sofisticati, si affidano a threat intelligence condivisa e data center regionali. Il problema di molte aziende è la non comprensione del modello di responsabilità condivisa del cloud.

    “Organizzazioni e responsabili di sicurezza hanno paura di perdere il controllo. Se non comprendono il modello di responsabilità condivisa, non possono capire quale tipologia di sicurezza sia disponibile per loro”, continua Duca.

  3. Il cloud pubblico protegge tutto

    Questa è l’altra faccia della medaglia del modello di responsabilità condivisa. “Se si considera il cloud intrinsecamente sicuro, una volta che è stato implementato, la situazione sarà stabile”. Il problema è che il provider cloud è responsabile solo della protezione dell’infrastruttura, mentre l’azienda ha il dovere di mettere in sicurezza dati e applicazioni ospitati nell’infrastruttura.

    “I cloud provider proteggeranno ciò che forniscono”, spiega Duca, “ma quello che vi sarà inserito dalle aziende, sarà sotto la loro responsabilità. Gli obiettivi dei cybercriminali sono le applicazioni e il furto di credenziali. È necessario essere in grado di identificare queste minacce e controllare gli accessi alle informazioni.”

    Prendergast paragona la sicurezza cloud alla sicurezza domestica. “Le case hanno porte, finestre, forse anche un allarme. Ci sono gli strumenti, ma perché siano efficaci è necessario chiudere porte, finestre e inserire l’allarme. Bisogna mettere in pratica le misure di cybersicurezza. Il cloud è sicuro se lo si rende tale.”

  4. Non si può scegliere il cloud per sicurezza, compliance, sovranità dei dati o altre ragioni

    Ogni dirigente o responsabile di sicurezza che afferma di non poter utilizzare il cloud pubblico a causa dei rischi di sicurezza o privacy, ha già probabilmente alcuni dati e applicazioni importanti nel cloud pubblico.

    “Ogni volta che ci confrontiamo con aziende che affermano che i loro dati sono troppo importanti per inserirli nel cloud, chiediamo loro quali soluzioni utilizzino per le HR o il CRM,” spiega Prendergast. “La risposta è sempre la stessa: Workday, Salesforce.com o entrambi. Chiediamo poi se utilizzano Office 365 o altre applicazioni software-as-a-service e rispondono in modo affermativo. Spieghiamo loro che informazioni relative ai clienti e asset importanti sono già nel cloud pubblico:”

  5. Una volta creato l’ambiente cloud pubblico, la situazione è sotto controllo

    “Non sarebbe bello vivere in un mondo senza nuove vulnerabilità. Se nulla cambia, se nessuno effettua login, sì, la situazione sarebbe ferma. Nel mondo reale, il cloud richiede cura e manutenzione come ogni altro ambiente IT,” spiega Prendergast.

    Le aziende e i leader IT hanno bisogno di una “mentalità di cloud security” afferma Duca. L’utilizzo del cloud non è statico. “Bisogna evolversi. I provider cloud stanno realizzando cambiamenti, e le aziende dovranno modificare i propri software e il personale che accede ai dati, etc. Anche le minacce cambiano. Una delle vulnerabilità più comuni è rappresentata dalle persone. Quello che oggi si considera sicuro, domani potrebbe non esserlo più.”

  6. La conformità è più complessa nel cloud

    Oggi, una delle ragioni che conduce all’utilizzo del cloud pubblico è la minore complessità nel raggiungere conformità e sovranità dei dati. “I cloud provider hanno a disposizione più strumenti e capacità per controllare e misurare ciò che accade,” spiega Duca. “Con la sovranità dei dati, è possibile conservare le informazioni in un’area specifica. È più semplice assicurare tutto questo nel cloud rispetto a una rete interna, in cui dati e applicazioni potrebbero essere ovunque.”

    I cloud provider hanno svolto un buon lavoro unendo i framework per rispondere ai requisiti di compliance. “Si possono avere molti di questi controlli,” spiega Prendergast. “Il cloud è programmatico, se si coglie il vantaggio degli strumenti disponibili è possibile utilizzare script e software per gestire la conformità. È fondamentale comprendere quanto sia importante lavorarci in modo continuo, perché la conformità è continuità.”

  7. La sicurezza cloud si può gestire come quella on-premise

    “Con il cloud pubblico, non è necessaria un’infrastruttura tradizionale che comprenda rack server, cavi, energia, etc.,” spiega Prendergast. “È come camminare in un data center in cui un giorno ci sono 500 server e il giorno seguente 10. Ci si sente derubati. È un giorno normale nel cloud. Se il data center viene colpito da un attacco DDoS, è complicato aggiungere 100 server fisici. Nel cloud, è sufficiente cliccare un bottone e scalare fino a 1.000 server, bloccare il DDoS e subire il disguido per quel giorno. È possibile scalare in soli due minuti.”

  8. Tutto viene esposto su Internet

    Ancora una volta, torniamo a un modello reale di sicurezza condivisa, non al mito in cui dati e applicazioni vengono esposti in modo automatica su Internet. “Quello che viene mostrato dipende dalla nostra volontà,” spiega Duca. “È il perimetro aziendale e si può sfruttare il cloud solo per ospitare le applicazioni, senza inserirvi dati.”

    Secondo Prendergast questo mito potrebbe derivare dalla parola “pubblico” riferito al cloud. “Pubblico è riferito al fatto che chiunque può utilizzarlo, non ai dati resi pubblici. Gli elementi esposti sono solo quelli scelti da un’azienda. Ci sono opzioni per utilizzare reti virtuali private, cloud virtuali privati, server senza accesso a Internet. Si ha il controllo completo, è solo una questione di set up e gestione.”

  9. L’innovazione non è rapida perché la sicurezza è sempre in ritardo

    È un mito perpetrato da una dinamica in cui i team DevOps hanno scelto il cloud pubblico perché non potevano attendere i processi di acquisto e di implementazione legacy. Questo ha accelerato il time to market, ma ha anche introdotto falle di sicurezza. Non deve più accadere.

    “Con DevSecOps la sicurezza può essere parte dei team, inclusa negli approcci di sviluppo, sia in cloud che on premise,” continua Prendergast. “Il punto chiave è considerare la sicurezza come una funzionalità. Il mito risiede nel fatto che non si possano realizzare sviluppo e sicurezza rapidamente nel cloud. La realtà è che il cloud è attualmente un abilitatore di tecnologia per DevSecOps.”

    “Il cloud supporta in modo facile le innovazioni DevOps come containerizzazione e micro servizi. È possibile disaccoppiare lo sviluppo di un codice, realizzare modifiche, gestirne i processi attraverso uno sviluppo agile. Tutto questo può accelerare innovazione, time to value e controllo qualità.”

  10. È necessario un nuovo team per la sicurezza cloud

    Nel Cloud Security Report sono state indicate le principali limitazioni alla migrazione al cloud. La prima risposta è stata “esperienza e formazione del personale”, con il 56%, seguita da privacy dei dati (41%) e mancanza di integrazione con la sicurezza on-premise (37%).

    Il mito è che le stesse persone che hanno costruito e gestito i data center locali non possono adattarsi all’era del cloud. “Questo non gli dà abbastanza credito,” spiega Prendergast. “Abbiamo sempre visto molte persone operative nell’IT entusiaste di affrontare nuove sfide tecnologiche. Il cloud è l’elemento nuovo e molte delle risorse migliori progrediranno in modo naturale. Non bisogna sostituirle, ma incoraggiarle e supportarle.”

    La buona notizia è che molte organizzazioni stanno già seguendo questo consiglio. Alla domanda “Quando si migra al cloud, come vengono gestite le esigenze di sicurezza in evoluzione?” Quasi il 60% degli intervistati ha risposto: “Formare e/o certificare lo staff IT attuale.” Ancora una volta, è stata la risposta principale.

Conclusioni

Quando si parla di cloud, le opportunità per le aziende sono troppe, e troppo importanti per essere ignorate: agilità, contenimento dei costi, time to value e digital transformation. Anche i problemi di sicurezza non possono essere ignorati, ed è per questo che i team IT devono focalizzarsi sui problemi reali, non sui miti. Quando si parla di sicurezza cloud, si parla di realtà.