A cura di Emilio Turani, Managing Director Italia, Spagna, Portogallo e Central Eastern Europe di Qualys
Nel corso dei prossimi anni, secondo Goldman Sachs, gli investimenti in cloud continueranno a crescere del 20% all’anno, fino al 2021. Questo porterà il mercato mondiale ad una crescita totale di $116 milioni l’anno – di cui la maggior parte sarà destinata ai principali fornitori di cloud pubblico, quali: Amazon Web Services, Microsoft, Google e Alibaba. Un sostanziale aumento rispetto ai livelli di spesa sostenuti nel 2018 che si stimano intoro ai $47 miliardi.
La dedizione al cloud risulta sempre più forte per il settore dell’ICT: da un lato, per i CIO che vogliono migliorare le performance aziendali per poter vincere le nuove sfide sul mercato, e dall’altro per i CISO che tentano di garantire un buon livello di sicurezza ai sistemi IT indipendentemente dal fatto che le piattaforme siano interne o esterne. Il passaggio al cloud non si fermerà, quindi cosa stanno facendo le aziende per rendere più semplice e sicure le implementazioni in cloud?
Nel corso del 2018, i tre principali provider di cloud pubblico: Amazon, Microsoft e Google, hanno organizzato varie conferenze, dove la sicurezza è stato uno dei temi chiave. Durante la Google Cloud Next a Londra, Diane Greene, al tempo CEO della Società, ha sottolineato come Google sia impegnata nello sviluppo dei nuovi dispositivi Pixel con i chip personalizzati, ai fini di assicurare prestazioni superiori e una maggiore sicurezza, limitando il numero di informazioni sul singolo telefono per evitare che i dati possano essere spostati o gestiti da personale non autorizzato.
Durante la conferenza Ignite, Satya Nadella ha parlato della sicurezza del sistema operativo di Microsoft, che si basa su più di 6.5 miliardi di data point elaborati ogni giorno. Inoltre, ha spiegato come Microsoft stia investendo negli strumenti di Intelligenza Artificiale ed automazione per far fronte alla crescita degli attacchi all’infrastruttura IT.
Il team di Amazon all’AWS Re:Invent, ha annunciato nuovi sviluppi in termini di sicurezza, dalla tecnologia serverless ai servizi focalizzati sui container come Firecracker, fino a strumenti di più ampio raggio sulla gestione della sicurezza, quali l’implementazione degli hub e l’integrazione con le applicazioni gestite da provider di terze parti. Queste integrazioni, dalle innovazioni su come gli sviluppatori distribuiscono le applicazioni in sicurezza alla supervisione e al controllo su tutto il cloud, dimostrano l’enfasi dei cloud provider in tema di sicurezza.
Cloud e sicurezza: come elaborare strategie che includano entrambi
Con così tanta concentrazione su cloud e sicurezza, cosa ci prospetta il 2019? Ci sono cinque principi chiave da considerare: accuratezza, visibilità, scalabilità, immediatezza ed orchestrazione.
Per le aziende che intendono trasferire più della loro infrastruttura sul cloud, l’obiettivo principale è quello di incrementare l’agilità. I servizi cloud pubblici e i modelli di cloud ibrido possono agevolare in termini di flessibilità, immediatezza e scalabilità, mentre visibilità e accuratezza dovranno essere gestite separatamente. Per i CISO, è essenziale assicurarsi che anche queste ultime siano tenute in considerazione nell’implementazione del cloud.
Vale la pena approfondire cosa si intenda, in termini pratici, per accuratezza e visibilità quando si tratta di cloud. La visibilità implica l’ottenere un’overview completa di tutti gli elementi dell’infrastruttura IT implementati nel cloud, a prescindere dal fatto che siano stati spostati nel cloud dall’IT locale o creati appositamente. L’accuratezza, invece, richiede il mantenimento up-to-date dell’elenco completo degli asset, di tutti i modi in cui li impieghiamo nel corso del tempo. Questo significa ottenere informazioni sia sulle piattaforme interne sia su quelle esterne, compresi quindi gli innumerevoli modi in cui le aziende distribuiscono le applicazioni oggi.
Oltre all’utilizzo di istanze cloud scalabili, gli sviluppatori possono decidere di gestire le applicazioni sui container del software oppure su piattaforme di elaborazione senza server, come AWS Lambda. La gestione, le operazioni e gli strumenti di sicurezza IT tradizionali non sono in grado di tracciare efficacemente queste piattaforme aggiuntive, e non consentono a CIO e CISO di sapere quali asset siano in gioco su ciascuna. A questo si aggiunge l’immediatezza di rotazione e smantellamento dei container per soddisfare i requisiti di scala, e l’intera proprietà IT che cambia continuamente. Qualsiasi approccio allo scanning della sicurezza del cloud sarà accurato per quella particolare scansione ma non aggiornato, neanche a distanza di qualche minuto.
Per i team di sicurezza, questo livello di visibilità continua deve essere pianificato per ogni migrazione ed espansione nel cloud. Ignorando questo step, si può rischiare di compromettere l’intero business dell’azienda. Il vecchio proverbio “non puoi proteggere ciò che non conosci” suona vero anche per il cloud, dove le implementazioni possono cambiare molto rapidamente, e nel giro di un attimo.
Analogamente, è più difficile dimostrare conformità in termini di sicurezza dei dati se le liste degli asset, presentano dei gap. Senza la possibilità di analizzare più piattaforme contemporaneamente e di far rispettare la policy di sicurezza su tutte, e sempre contemporaneamente, per i CISO sarà ancora più complicato applicare tutti i giusti passaggi in un’unica strategia di sicurezza complessiva. Viceversa, ottenere questa chiara strumentazione di sicurezza su tutte le piattaforme, dall’IT interno e dagli endpoint fino alle istanze di cloud ibrido e pubblico, dovrebbe semplificare la gestione della sicurezza su tutta la linea, anche qualora aumentasse il numero delle piattaforme in uso dall’azienda.
Nel 2018, abbiamo assistito ad un’espansione delle implementazioni di infrastruttura cloud e un impegno maggiore nello sviluppo di nuovi approcci al business da parte dei CIO. Perché questi cambiamenti prendano forma, CIO e CISO devono collaborare per implementare la sicurezza nelle migrazioni, cosicché le nuove trasformazioni e sviluppi digitali abbiano successo e perdurino nel tempo. Le aziende puntano molto sul cloud, ed è la sicurezza l’elemento che assicura che queste scommesse ripaghino adeguatamente.