Cloud Ibrido e Sicurezza
I piani del cloud ibrido sono in crescita e aumenta l’interesse verso le possibili strategie per mettere in sicurezza gli ambienti che integrano le proprie risorse e i propri sistemi e infrastrutture IT nei cloud privati e con quelli disponibili sui cloud pubblici.
Uno dei degli studi internazionali in questo momento più citati da chi segue l’evoluzione del modello ibrido è il report Building Trust in a Cloudy Sky realizzato dal brand security McAfee agli inizi di quest’anno.
Secondo questa ricerca, nel 2016 la percentuale di aziende che hanno adottato il cloud ibrido è triplicato rispetto al 2015, passando dal 20 al 60% circa. Nello stesso lasso di tempo, le realtà che sono rimaste a una strategia di cloud privato sono scese dal 50 al 20%.
Dallo studio emerge però chiaramente come una delle criticità più rilevanti nell’implementazione di un cloud ibrido consista nell’adozione di metodi di controllo della sicurezza di questi ambienti che permettano di adempiere a requisiti di compliance a normative e a policy aziendali.
Il problema delle compliance
Una volta che due ambienti cloud hanno stabilito un modo sicuro per scambiarsi i dati, è indispensabile individuare e implementare i corretti controlli di sicurezza che permettono di dimostrare che un tale ambiente ibrido sia compliant con normative settoriali e/o nazionali/internazionali o a requisiti di sicurezza specificati all’interno dei contratti siglati fra aziende utenti e provider.
L’obiettivo di creare e mettere in atto questi controlli di sicurezza è considerato particolarmente complicato, anche perché i set di soluzioni necessarie sia on premises sia in cloud può variare molto da una situazione all’altra, anche solo per soddisfare le esigenze di compliance agli standard e alle certificazioni di sicurezza richieste da ciascuna singola industry.
A tutto ciò si aggiunge la difficoltà a trovare (fra le aziende che gestiscono i propri cloud privati e i provider che mettono a disposizione le loro infrastrutture in cloud pubblico) identità di vedute circa l’efficacia di soluzioni di sicurezza di diversa tipologia, e per di più acquisite da diversi vendor.
Può darsi il caso di un’azienda che, nel proprio private cloud, abbia ritenuto necessario implementare una tecnologia che protegga contro gli Advanced Persistent Threat (APT), unitamente a sistemi di intrusion detection (IDS) e intrusion prevention (IPS), ma che si trovi a negoziare con un provider il quale, invece, ritiene sufficienti solo gli ultimi due.
