Non c\u2019\u00e8 bisogno di spiegare quali sono i vantaggi del cloud. Tuttavia, la migrazione su cloud pubblico delle applicazioni aziendali complica sempre la vita del dipartimento che si occupa della sicurezza informatica. Inoltre, la fusione tra cloud pubblico e privato (come risultato del passaggio a una strategia di cloud ibrido) rende nervoso sia il dipartimento sicurezza sia quello IT. Le preoccupazioni sono comprensibili: i sistemi e i dati fondamentali per la stabilit\u00e0 del business d\u2019improvviso vengono spostati all\u2019esterno, dove non si pu\u00f2 avere un controllo diretto. Tuttavia si tratta davvero di un\u2019ansia giustificata?<\/p>\n
La maggior parte delle aziende di grandi dimensioni, in un modo o nell\u2019altro, utilizzano gi\u00e0 le tecnologie di virtualizzazione, per lo meno sotto forma di cloud privato (con lo scopo di consolidare le risorse e distribuirle tra macchine e server virtuali). Ultimamente, per\u00f2, l\u2019interesse verso il cloud pubblico si fa sempre pi\u00f9 presente, perch\u00e9 \u00e8 un sistema che consente di ridurre i costi di manutenzione, ottimizzare gli accordi di livello di servizio (SLA) e agevolare la scalabilit\u00e0.<\/p>\n
Perch\u00e9 l\u2019uso del cloud rappresenta una sfida per gli specialisti in sicurezza informatica in termine di protezione dei dati e perch\u00e9 si tratta di una sfida che li rende nervosi? Pensiamo ad esempio alla migrazione di un\u2019infrastruttura aziendale ad Amazon Web Services (AWS), leader nel settore del cloud pubblico.<\/p>\n
Innanzitutto i dipendenti del dipartimento di sicurezza informatica si preoccupano di affidare il controllo all\u2019esterno. Grazie al cloud privato, possono controllare tutto, dall\u2019hardware alle attrezzature di rete o le piattaforme di virtualizzazione (hypervisor) passando per i sistemi operativi e le applicazioni. Con il cloud pubblico possono solo controllare la macchina virtuale, i sistemi operativi e le applicazioni installati. Avendo ceduto un potere di tale portata, il client si limita a gestire gli strumenti di sicurezza specifici.<\/p>\n
Tale sistema prende il nome di modello di responsabilit\u00e0 condivisa e non dovrebbe costituire motivo di preoccupazione. Al fornitore del servizio spetta garantire la disponibilit\u00e0 dell\u2019infrastruttura su cloud e l\u2019implementazione dei livelli di protezione base. AWS dispone di diverse tecnologie di sicurezza integrate sul proprio cloud, come la cifratura del disco delle macchine virtuali, VPN sicure etc. Tuttavia, questo sistema di sicurezza integrato non pu\u00f2 sempre valutare adeguatamente il contesto in cui lavorano le macchine virtuali e non \u00e8 quindi completamente efficace nel prevenire minacce avanzate, vulnerabilit\u00e0 zero-day comprese. Perci\u00f2 spetta al client proteggere sistema operativo e applicazioni (e, di conseguenza, i dati all\u2019interno delle macchine virtuali).<\/p>\n
Altro aspetto da tenere in considerazione: agli specialisti di sicurezza informatica non piacciono i cambiamenti. Prassi IT, meccanismi di monitoraggio e cybersicurezza sono solitamente ben integrati nei sistemi aziendali e nessuno vuole perdere tutto ci\u00f2 con la migrazione su cloud pubblico, il che comporta inevitabilmente l\u2019esistenza di nuovi rischi per la sicurezza. Inoltre, poich\u00e9 l\u2019uso di console multiple per la gestione e il monitoraggio rende pi\u00f9 difficile individuare le minacce, il cloud ibrido divento un obiettivo facile per attacchi di una certa portata. Per questo un\u2019opzione concreta \u00e8 avvalersi di soluzioni per la gestione della sicurezza.<\/p>\n