Servizi Security as a Service: pro e contro.

Firewall

Secondo un recente report, il tema sicurezza continua ad essere centrale per quanti pianificano e valutano la migrazione di infrastrutture e/o applicazioni nel cloud. In base a quanto affermato dai 1900 esperti interpellati, la sicurezza è il principale freno all’adozione del cloud: tra i vari timori quello di perdere dati importanti (57%), mettere a rischio la privacy dei dati (49%), subire il furto di materiale riservato (47%).

Il modello “as a service” non è ovviamente una novità e prima o poi avrebbe finito con l’interessare anche gli strumenti di sicurezza nativi (web application firewall etc) e non del cloud (antivirus, firewall ed altre soluzioni on premise “rinate” nella nuvola). I servizi Security as a Service (SECaaS da ora in poi) non sono comunque così differenti dai precedenti: invece di stabilire le varie policy di sicurezza da una console di gestione esterna, ci si affida ad un agent (in realtà numerosi) controllato dai servizi SECaaS, sui quali l’admin di turno ha precedentemente impostato i vari parametri. Da quel momento in poi il servizio SECaaS controllerà le attività  all’interno ed all’esterno delle VM, installando inoltre in ciascuna di esse l’agent che fungerà da esecutore delle policy.

I SECaaS sembrano quindi a prima vista estremamente comodi in quanto automatizzano vari processi. Ad uno sguardo più attento, e come avviene per qualsiasi servizio del resto, ci si accorge invece che vi sono tanto vantaggi quanto svantaggi nel loro impiego. Vediamo meglio quali iniziando dai “pro”:

  • minore complessità. Grazie agli agent non occorre effettuare il deploy di ulteriori strumenti di sicurezza nell’ambiente di lavoro, evitando di rendere più complessa la gestione della sicurezza;
  • maggiore agilità. Un termine caro agli addetti ai lavori. L’agilità consente in questo caso di preservare la sicurezza delle VM mano a mano che il loro numero aumento o una o più di esse vengono spostate (tra ambienti cloud e strutture “fisiche”);
  • ambiente intuitivo per staff inesperto o aziende con poco personale. Nel 2016 il 46% delle organizzazioni ha affermato di notare una carenza di cyber security skill nel proprio staff. Le soluzioni SECaaS possono allora essere viste come un utile strumento per aiutare lo staff di sicurezza junior, quindi non ancora esperto, ad avere una più chiara visione d’insieme delle funzioni di sicurezza dell’ambiente. O anche per rendere efficiente l’operato di un organico ristretto;
  • controllo consolidato. La creazione delle policy e la gestione della sicurezza passa ad un punto di gestione consolidato – a sua volta a carico di un partner esterno (provider). Ciò richiede un rapporto di assoluta fiducia e collaborazione tra azienda e provider.

Parlando invece dei “contro” abbiamo:

  • Complessità e numero limitato di opzioni. Sembra quasi un controsenso elencare tra gli svantaggi di una soluzione SECaaS la sua maggiore complessità, eppure è quello che può verificarsi in determinate circostanze. Ad esempio affidandosi a provider multipli, situazione nella quale le VM si trovano ad essere “affollate” da vari agent, il che può aumentare appunto la complessità della soluzione e diminuirne l’agilità. Ed è per via di un secondo “contro” di tali servizi che alcune aziende si ritrovano in questa situazione, ovvero il limitato numero di funzioni di sicurezza controllabili, il che obbliga ad affidarsi a più provider. Il consiglio è ovviamente quello di scegliere il provider in grado di garantire il controllo del maggior numero possibile di funzioni.
  • Supporto assente per le tecnologie più recenti. Anche se il loro impiego non ha coinvolto ogni segmento dell’industria, recenti tecnologie come quella serverless o dei micro servizi risultano attualmente non supportati dai SECaaS. La mancanza sarà probabilmente colmata sul breve termine.

Fonti: 1, 2