Scegliere il giusto approccio al cloud

Le soluzioni in cloud portano evidenti vantaggi in termini di sicurezza informatica e dei dati, ma allo stesso tempo introducono nuove minacce dovute all’espansione della superficie di attacco.

Se da una parte l’adozione di un ambiente cloud riduce l’onere operativo della gestione della propria infrastruttura con maggiore semplicità a livello di aggiornamenti e la relativa sicurezza diventa di pertinenza del CSP (Cloud Service Provider), d’altra parte il cloud modifica drasticamente il perimetro difensivo delle aziende, che evidentemente non può più essere circoscritto a un unico dominio interno: questo costringe le aziende a rivedere e aggiornare le proprie strategie difensive. Diventa quindi un imperativo definire la sicurezza e la protezione dei dati in cloud diviene un modello di responsabilità condivisa tra il CSP e il cliente.

I CSP forniscono generalmente la sicurezza fisica dell’infrastruttura cloud, mentre il cliente e nello specifico il reparto IT dell’azienda è responsabile della configurazione dei controlli degli accessi, della gestione dei criteri di sicurezza e della protezione dei dati all’interno della nuvola. Una responsabilità che dipende anche dal tipo di servizi offerti che possono essere erogati sfruttando infrastrutture cloud distinte tra IaaS, PaaS e SaaS (vale a dire Infrastrutture, Piattaforme e Software “as-a-Service”, cioè come servizio). Va da sé che la corretta applicazione del modello di responsabilità condivisa tra service provider e clienti consente di sfruttare al meglio i vantaggi della cloud security e, di conseguenza, mitigare i rischi di un ambiente cloud non correttamente configurato.

Lavorando a stretto contatto da quasi vent’anni con tante realtà aziendali pubbliche e private, in HiSolution – un MSP (Managed Service Provider) specializzato in soluzioni tecnologiche in ambito VoIP, UCC, networking, security e IT, che eroga servizi end-to-end con supporto NOC (Network Operations Center) al cliente – si nota sempre più spesso che le strutture IT delle organizzazioni con cui si collabora non sono adeguate né in termini numerici né in termini di competenze per poter gestire in autonomia la sicurezza, dal controllo  degli accessi, ai criteri di sicurezza fino alla protezione dei dati. La difficoltà non è tanto nell’individuare i prodotti più idonei, quanto nell’avere il tempo e le risorse per poterlo fare in forma continuativa e costante; ed è qui che emerge la necessità per le organizzazioni di affidarsi a un partner tecnologico esperto in grado di affiancare il cliente nel soddisfare queste esigenze.

Le aziende con cui capita più spesso di collaborare stanno sempre più approcciando servizi di hybrid cloud, relativi soprattutto al disaster recovery e alla business continuity nonché alla protezione del dato (backup immutabile del dato) ridondato su vari livelli.

Per godere appieno dei vantaggi offerti dal cloud computing, e al tempo stesso mitigare i rischi di una sua integrazione nelle infrastrutture aziendali, è necessario rispettare alcuni principi base che permettono di raggiungere gli obiettivi principali della cloud security: protezione, rilevamento, contenimento e ripristino. Questi principi si possono riassumere in: protezione dei dati, gestione delle identità e degli accessi, adozione di strumenti e misure di continuità operativa e disaster recovery, definizione di policy da integrare nei processi di sviluppo di prodotti e servizi, configurazione corretta degli asset del cloud, gestione centralizzata della cloud security, monitoraggio continuo.

È inoltre necessario prevedere un piano di manutenzione, che garantisca la ridondanza e il backup dei dati e preveda anche una politica di patching, ricordando che è a carico dei service provider la gestione degli aggiornamenti e delle patch di sicurezza del software, mentre spetta ai reparti IT delle organizzazioni l’aggiornamento dei propri servizi.

In HiSolution ci si avvale di skill tecnici ad alta specializzazione e, tramite Business Unit dedicate, si è in grado di gestire completamente le esigenze di sicurezza e protezione del dato delle aziende, con strumenti specifici e servizi di gestione e monitoraggio correlati disegnati in modo da adattarsi perfettamente a ogni tipologia e dimensione del cliente. Inoltre, considerando di fondamentale importanza il servizio di controllo e monitoraggio dei sistemi, l’azienda si è dotata di un NOC proprietario, che eroga servizi in continuità anche 24 ore al giorno per 7 giorni con personale altamente qualificato e certificato. Vengono utilizzati strumenti operativi centralizzati molto avanzati, che permettono un controllo completo dei sistemi infrastrutturali del cliente e una gestione automatica per l’apertura di ticket, la gestione degli incidenti e le richieste di change management. A livello di sicurezza, il servizio NOC offre la garanzia di continuità operativa dopo le fasi di delivery di nuovi progetti di migrazione parziale o totale e si può integrare con sistemi SOC (Security Operations Center) di terze parti.

– a cura di Francesco Vigiani, Sales Account Manager di HiSolution