Secondo una survey IDG del 2018 sul cloud computing, il 73% delle imprese ha già almeno un’applicazione della propria infrastruttura informatica, o una parte di essa, sul cloud, con un ulteriore 17% che pianifica di fare lo stesso nel prossimi 12 mesi. In linea con questo dato, il 42% delle organizzazioni sta utilizzando il multi cloud. Non solo, le aziende hanno previsto nel proprio budget una spesa media di 3.5 milioni di dollari per investimenti nel cloud per il prossimo anno, un aumento di circa il 36% rispetto al precedente.
Inoltre, più di un terzo degli intervistati (38%) ha fatto presente che il proprio dipartimento IT sente la necessità di migrare al 100% sul cloud; questo vale soprattutto per le realtà operanti nei settori manifatturiero, IT e Telco, già all’opera per raggiungere questo obiettivo.
Questo significa inoltre che, con l’esclusione delle startup nate di recente che hanno già un’infrastruttura basata interamente sul cloud, il 90% delle organizzazioni sta migrando attivamente le proprie infrastrutture e/o applicazioni sul cloud. Le aziende stanno cercando di connettere i processi aziendali, le applicazioni e i flussi di lavoro tra la loro rete fisica locale e le filiali WAN-based con una o più reti che risiedono nel cloud pubblico.
La sfida consiste nell’assicurarsi che dati, flussi di lavoro ed applicazioni possano spostarsi velocemente e senza soluzione di continuità tra gli ambienti fisici e virtuali. Dal punto di vista della sicurezza, ciò richiede la realizzazione di una “security posture” che comprenda le risorse disponibili in locale e cloud-based, in modo che la policy e l’enforcement possano seguire e proteggere queste transazioni.
Sfortunatamente, considerato il fatto che molto spesso le implementazioni relative alla security sono create ad hoc, diverse policy di sicurezza non possono essere attivate in un ambiente multicloud, specialmente quando vengono utilizzati strumenti di differenti vendor. Anche le poche aziende che utilizzano un singolo set di strumenti standard per la sicurezza informatica, devono affrontare due ulteriori sfide. Primo, le funzionalità spesso sono incompatibili quando un tool per la security non opera nativamente in ambiente cloud. E se anche così fosse, non sono in grado di operare in modo coerente tra i differenti ambienti cloud. Dal momento che i flussi di lavoro e le applicazioni oscillano tra diversi ambienti cloud, possono verificarsi lacune di sicurezza e blind spot che potrebbero essere sfruttati dai cybercriminali.
Come rendere sicuro il cloud
Affrontare tutte queste sfide richiede un’attenta preparazione, che inizia con lo stabilire una comunicazione chiara tra le linee di business e i team IT e sicurezza. Per stabilire un singolo framework di sicurezza che copra l’intera infrastruttura multicloud, ogni azienda dovrebbe considerare i sei punti seguenti come parte della propria strategia di migrazione:
- Stabilire un framework di sicurezza comune
I dispositivi di sicurezza isolati, la gestione decentralizzata e l’espansione dei vendor sono solitamente il risultato di un’architettura di sicurezza ad hoc o “accidentale”. Prima di creare una strategia di sicurezza che sia coerente su più reti e che consideri il cloud deployment, sarà necessario imporre un piano di security a livello centrale. Una volta avviata, sarà necessario porsi tre domande fondamentali: quali sono gli obiettivi a breve e lungo termine per la rete? Quali sono i rischi associati a questi obiettivi? Come affrontare queste sfide?
- Accertarsi che l’infrastruttura sia pronta
Qualsiasi siano i requisiti della larghezza di banda, quasi sicuramente saranno stati stimati al ribasso. Si dice che nel lontano 1981 Bill Gates abbia detto “640K [di RAM] dovrebbero essere sufficienti per chiunque”, da allora il nuovo standard ha guidato lo sviluppo e l’adozione di applicazioni che richiedevano un’ampia larghezza di banda. Quindi, per iniziare, sarà necessario stabilire e comprendere i requisiti per quanto riguarda il flusso dei dati e la larghezza della banda, per garantire che le soluzioni di sicurezza soddisfino le prerogative a livello di performance, in particolare per i servizi latency-sensitive e le nuove applicazioni immersive che dovranno viaggiare attraverso i tunnel VPN. 3. Cosa fare a proposito della compliance? Si può partire cercando di comprendere quali requisiti debbano essere soddisfatti per i dati elaborati e archiviati nel cloud, nonché per quelli che migrano tra diversi ambienti di rete fisici e cloud. Tuttavia, data la recente introduzione del GDPR e il nuovo California Consumer Privacy Act, è solo una questione di tempo prima che tali prerogative cambino. Pertanto, qualsiasi strategia di compliance deve essere abbastanza flessibile da adattarsi ai nuovi requisiti. È fondamentale consultare il team legale prima di mettere in opera o adottare un qualsiasi tipo di programma in tema cloud, ma anche di consultare esperti che operino in aree in cui siano già state introdotte nuove e più severe regolamentazioni in modo da non essere presi alla sprovvista quando ci sono dei cambiamenti. 4. L’alta disponibilità e il disaster recovery sono solo soluzioni temporanee Il più grande timore per la maggior parte delle imprese che sono alla ricerca di una soluzione cloud, dopo la necessità di affrontare i problemi legati alla sicurezza, è la disponibilità continua di risorse cloud-based. Si tratta di uno dei principali driver di una strategia multi-cloud. Oltre ad analizzare le funzioni su diversi cloud, è importante considerare anche la ridondanza di funzioni e dati critici. È inoltre necessario prendere in considerazione criticità come la necessità di scaling dinamico e se le soluzioni di sicurezza siano in grado di soddisfare nuovi requisiti a livello di performance. Infine, è importante valutare aspetti quali la simmetria del flusso, il bilanciamento del carico e la correzione degli errori per mantenere disponibilità, prestazioni e protezione elevati quando si utilizzano servizi basati su cloud altamente dinamici.
- Lifecycle Management
La consistenza degli strumenti utilizzati nelle policy di sicurezza e la loro applicazione, specialmente quando si estendono su più ambienti, è di fondamentale importanza. In aggiunta alla capacità di operare nativamente sul cloud, questi strumenti devono essere scelti per la loro capacità di interoperare senza soluzione di continuità attraverso l’intero ciclo di vita delle policy di sicurezza con soluzioni implementate in altri ambienti.
Questo include un supporto costante per le modifiche nelle policy in ambito security, provisioning e scaling dinamici costanti, single point of management, compresa l’integrazione con una soluzione ITSM centralizzata e una raccolta centralizzata dei log. Affinché ciò avvenga senza compromettere la funzionalità e l’efficacia della sicurezza, le imprese devono prendere in considerazione l’adozione di standard aperti, API e tecnologia di connessione in grado di spostarsi rapidamente tra le soluzioni distribuite nei diversi ambienti cloud.
Non cedere alla tentazione di scegliere la soluzione più rapida
Adottare un servizio cloud è relativamente semplice. In molti casi, basta solo fare clic su un link. Allo stesso modo, aggiungere una nuova infrastruttura basata su cloud è molto più semplice del dover creare la sua controparte fisica. Tuttavia questa semplicità può essere ingannevole, perché va considerato il fattore “sicurezza”.
Un’attenta preparazione, basata sulla valutazione dei cinque punti chiave precedentemente illustrati, può far risparmiare tempo, denaro e reputazione nel lungo termine. Prendersi del tempo prima di iniziare a costruire un’infrastruttura, permetterà di competere in modo efficace e sicuro nel mercato digitale, ora e in futuro.
A cura di Filippo Monticelli, Regional Director Italy di Fortinet
