Negli ultimi 15 anni, il cloud deployment ha richiesto la convergenza tra tecnologie e forme di comunicazione. Oltre a offrire alle aziende agilità e scalabilità senza precedenti – e un immediato accesso alle informazioni e alle transazioni per i singoli individui – il cloud ha trasformato l’economia globale in modo simile a quanto già successo con l’avvento degli smartphone e dei dispositivi IoT. Secondo un recente sondaggio IHS Markit sponsorizzato da Fortinet, l’infrastruttura, le applicazioni e i dati si spostano di continuo dai network fisici on-premises al cloud pubblico/privato. Ciò avviene mentre le aziende stanno ancora cercando di capire in quali aree e con quale modalità adottare questo strumento.
Il multi-cloud è già realtà
Delle 350 aziende analizzate, il 74% ha spostato un’applicazione nel cloud pubblico e poi, per una molteplicità di ragioni e circostanze, ha deciso di ritornare all’infrastruttura cloud privata oppure on-premises. Questo non vuol dire che abbiano invertito tutte le implementazioni cloud, ma soltanto che si stanno trovando ad affrontare determinate situazioni che richiedono una flessibilità bidirezionale.
Per fare un esempio, il 40% degli intervistati ha evidenziato come, in alcuni casi, i cloud deployment che sono stati trasferiti nell’infrastruttura aziendale erano stati inizialmente pianificati come temporanei. Questo potrebbe essere dovuto a diversi fattori, come ad esempio la necessità di creare un’infrastruttura momentanea durante la transizione IT che nasce da una fusione oppure da un’acquisizione. Ci sono tuttavia molte altre motivazioni che potrebbero essere alla base di tale trasferimento: le preoccupazioni per la sicurezza, la necessità di gestire i costi, le scarse prestazioni nel cloud, il cambiamento delle normative, lo sviluppo di nuove applicazioni e le evoluzioni tecnologiche.
Pianificare per cambiare
È un dato di fatto che i continui cambiamenti e le evoluzioni stiano mettendo la maggior parte delle aziende nelle condizioni di operare in un ambiente multi-cloud dinamico. Le imprese che spostano applicazioni e altre risorse nel cloud, nonchè i provider tecnologici che le supportano fornendo infrastrutture, management e security, devono fare i conti con questa realtà. Ne deriva che debbano pertanto creare prodotti e servizi tenendo conto di questa flessibilità e dinamicità.
“Per sfruttare appieno tutte le potenzialità del cloud, le aziende devono assicurarsi che gli strumenti e le tecnologie che utilizzano siano adeguati, garantiscano la capacità di automatizzare le operazioni e una buona visibilità in tutti gli ambienti. Questo significa che le imprese dovrebbero poter operare in una varietà di ambienti cloud pubblici e privati, oltre che nei network fisici on-premises. Mentre lo spostamento di applicazioni e servizi DevOps tra ambienti cloud è semplice e diretto, la sicurezza può rappresentare certamente una sfida” afferma Filippo Monticelli, Regional Director Italy di Fortinet.
Chi è responsabile della sicurezza?
La prima sfida è rappresentata dal fatto di dover identificare chi si occupa della sicurezza, nel caso in cui l’infrastruttura sia vittima di un attacco cyber. Quando è stato chiesto agli intervistati quali fossero i fattori che li hanno spinti a spostare nuovamente le applicazioni nelle proprie infrastrutture, le due risposte più comuni – date dal 52% del campione rappresentativo del sondaggio – sono state la performance e la security. Le prestazioni miglioreranno probabilmente nel tempo man mano che la pratica di creare applicazioni nel cloud si andrà affinando e le aziende definiranno meglio le proprie aspettative. La sicurezza, invece, è un punto a cui è necessario prestare più attenzione, perché molte realtà non hanno il polso delle responsabilità in capo alle diverse figure che operano al loro interno.
Nel migliore dei casi, ovvero quello in cui è chiaro chi è responsabile delle varie attività e criticità, solo metà dei partecipanti sono stati in grado di attribuire la causa principale alla società che ha implementato la tecnologia. Al contrario, un’alta percentuale di intervistati ha erroneamente ritenuto il proprio provider cloud responsabile di minacce di livello superiore (come gli APT) che colpiscono i sistemi vulnerabili che hanno implementato, mentre in realtà è l’impresa stessa a esserne responsabile. La regola migliore è quella di consultare le best practice relative a ogni servizio cloud di cui si sta usufruendo e aspettarsi dal provider la semplice fornitura di un ambiente di lavoro isolato e disponibile per eseguire questi servizi. Il cloud è un’infrastruttura condivisa e, quando si tratta di eventi che riguardano la sicurezza, è importante distinguere la responsabilità dell’azienda verso il fornitore del servizio al fine di far fronte in modo efficace al rischio. L’altra sfida è data dal fatto che gli strumenti, le funzioni, le policy e i protocolli di sicurezza non funzionano in modo simile tra diverse piattaforme di cloud pubblici, privati e infrastrutture fisiche.
Per concludere
Il passaggio al cloud è stato un processo tutt’altro che semplice e lineare. Tuttavia, in un futuro non troppo lontano, le applicazioni e i servizi si muoveranno continuamente tra ambienti diversi fino a quando le imprese non troveranno la combinazione giusta tra soluzioni pubbliche, private e on-premises più adeguata per le loro necessità. E, persino allora, continueranno a esserci molte ragioni per cui possa essere necessario spostare di nuovo applicazioni, infrastrutture e altre risorse. In un ambiente dinamico, la sicurezza non può permettersi di essere trascurata solo perché vengono implementati differenti tool. Questo approccio porta inevitabilmente a criticità quali ritardi da parte dei fornitori o nella distribuzione e lacune nella security dovute a incompatibilità di configurazione e differenze di funzionalità, policy tra le diverse soluzioni di sicurezza distribuite in ambienti differenti. Punti fondamentali nella nuova economia digitale sono la necessità di adottare una strategia di sicurezza integrata, visualizzare e gestire i dispositivi e le policy di sicurezza nell’intera rete distribuita.