Il cloud computing è sicuro? E’ quello che continuano a chiedersi le aziende, sempre più numerose, interessate a migrare parzialmente o totalmente la propria infrastruttura nella nuvola. A confermare la centralità del tema i consueti report di analisti ed addetti ai lavori: lo spostamento di dati, asset e/o infrastrutture nel cloud comporta inevitabilmente una serie di inedite sfide e la cybersecurity è una di queste. Come è possibile proteggersi adeguatamente quando non si ha più il controllo diretto dell’infrastruttura tecnologica?
I timori, sicuramente comprensibili, delle imprese finiscono tuttavia per avere un impatto negativo sull’esperienza di utilizzo del cloud e la messa in atto delle policy di sicurezza, come suggerisce il vice presidente di Gartner Jay Heiser:
[questi timori] stanno distraendo CIO e CISO [Chief Information Officer e Chief Information Security Officer ndr] dall’individuazione di processi organizzativi e di sicurezza che possano evitare errori correlati alla sicurezza nel cloud [ed all’applicazione delle policy].
A detta degli esperti l’errore umano sembra infatti un elemento ricorrente nel mondo della cybersecurity: “in molti casi i dati sono stati messi a rischio da asset cloud e controlli di sicurezza impropriamente gestiti/configurati dall’utente piuttosto che da criticità correlate all’infrastruttura cloud o ai servizi cloud”. A rafforzare l’analisi interviene nuovamente Gartner che per il 2020 si aspetta come causa del 95% degli episodi di sicurezza critici nel cloud proprio gli errori dei clienti – non dei provider.
Quindi la responsabilità è solo delle aziende? Ovviamente no: credere che il perimetro di sicurezza delle infrastrutture cloud sia sicuro al 100% è sbagliato. Nessuna difesa è perfetta e quelle adoperate dai provider non fanno eccezione: tutto rientra perfettamente nelle dinamiche della sfida continua tra esperti ed hacker – quando i primi giungono ad un’inedita soluzione i secondi si mettono al lavoro per eluderla ed aggirarla, e viceversa. L’inseguito può diventare l’inseguitore in qualsiasi momento.
Le nuove priorità della nuvola
Pensare di rinunciare al cloud ed ai suoi vantaggi pur di non affrontare le problematiche menzionate è una soluzione improponibile. L’efficienza, la flessibilità e la convenienza dei servizi rappresentano qualcosa di irrinunciabile per qualsiasi business che desideri restare competitivo sul mercato. Come è possibile allora assumere il controllo della propria sicurezza nel cloud, si chiede l’editorialista di InformationWeek? Un punto di partenza potrebbero essere le consuete raccomandazioni degli esperti:
- adottare modelli operativi DevOps o DevSecOps per lo sviluppo del software e procedure varie nel cloud;
- automatizzare la sicurezza e gli strumenti di configurazione per adattarsi meglio alla dinamicità degli ambienti cloud;
- monitorare costantemente la sicurezza e l’applicazione delle policy al fine di verificare lo stato generale della sicurezza;
- utilizzare tecnologie di cifratura ed instaurare una efficace “catena di fiducia” (chain of trust, in sintesi una procedura di verifica dei certificati digitali che prevede il controllo e l’autenticazione di ogni componente hardware e software chiamato in causa dall’operazione che si intende effettuare);
- utilizzo di appropriati metodi di offuscamento per i dati in transito e non.
Nella lista è però assente un punto molto importante, addirittura fondamentale secondo l’editorialista: una volta sbarcati nella nuvola bisogna adottare un punto di vista differente dal “passato on premise”, occorre cambiare modo di pensare.
E’ risaputo [come l’approdo nel cloud comporti ed una perdita di controllo sull’infrastruttura IT sottostante e parte dei modelli di sicurezza]. Quel che le aziende continuano a non comprendere è che il passaggio al cloud astrae completamente l’idea di controllo e proprietà – non solo per dati, asset ed infrastruttura […] ma anche per la loro organizzazione interna.
Il paradigma controllo degli assett = sicurezza non è più valido, sottolinea. L’attenzione deve ora spostarsi sui dati e sulla loro sicurezza:
La domanda non è più dove si trovano [i miei asset ma bensì come sono protetti i miei dati]? […] Focalizzarsi sui dati [mission critical per l’azienda piuttosto che sugli asset e l’infrastruttura a supporto di questi ultimi consente una transizione verso un modello di sicurezza cloud efficiente come – o addirittura superiore ai – i tradizionali modelli che si focalizzano principalmente sulla gestione degli asset […]. [Domandarsi dove si trovino i dati, chi possa accedervi e come siano protetti] permette [non solo di dare più facilmente priorità alla spending security nel cloud ed alle dependencies] che non gestiscono direttamente i dati ma possono influire sulla [loro posizione], ma anche di gestire e rispondere in modo più accurato [alle situazioni di rischio che si manifesteranno eventualmente nel cloud].