Cloud Security, le best practice e la protezione dei dati

Cloud Security, le best practice e la protezione dei dati

Le tecnologie cloud offrono oggi la possibilità di cambiare in modo tangibile i consueti paradigmi operativi, aprendo scenari altamente sfidanti per le imprese.
Mentre il periodo di “scoperta del cloud” può dirsi concluso, è ora il momento di sfruttarne appieno i vantaggi, declinati in molteplici forme e possibilità.

Si tratta quindi, non tanto di decidere se utilizzare il cloud o meno, ma piuttosto di scegliere la strategia migliore per adottarlo e come prepararsi a questa transizione.
In molti casi si è parlato di strategie “cloud first”, una visione olistica proposta da molte aziende e fornitori di servizi, ma anche un approccio efficace per la risoluzione di molti problemi che affliggono le imprese. Secondo questo modo di vedere, tutti i nuovi servizi passano necessariamente dal cloud, secondo un processo continuo di migrazione di tutti i service esistenti.
Il progressivo spostamento delle attività sulla “nuvola” passa dall’abbandono delle applicazioni tradizionali basate su suite di software, sostituite da architetture SaaS. Analogamente, la digitalizzazione delle imprese può essere accelerata adottando service software già predisposti per l’installazione cloud (PaaS), ma anche software tradizionale, in modalità IaaS.

In una logica di dismissione delle infrastrutture, i servizi offerti dai cloud provider possono essere considerati come tasselli che vanno a comporre l’architettura delle imprese moderne, per creare ambienti ad alta tolleranza, resilienti, interoperabili e pronti per automatizzazione delle attività.

La sicurezza del cloud. Per molto tempo si è parlato delle caratteristiche del cloud e ci si è interrogati sulla sicurezza che questo ambiente può offrire. Oggi più che in passato, questo argomento è di primaria importanza, soprattutto in una logica multi-cloud (pubblico, privato, ibrido).
La transizione al cloud rappresenta un passaggio essenziale della strategia di trasformazione di imprese e della PA ma, se da un lato è necessario contenere i costi e garantire efficienza, non possono certamente passare in secondo piano aspetti chiave come la sicurezza e la protezione dei dati.

Anche in questo caso, l’aspetto disruptive del cloud porta a un cambiamento dei consueti canoni di security. Di fatto, il raggiungimento di un’esperienza cloud soddisfacente e sicura non è più solamente una questione di apparati di protezione posti in essere in azienda; questi aspetti sono infatti in buona parte demandati al cloud provider (che deve naturalmente garantirli e certificarli).
Se, da un lato, questo è vero, dall’altro è bene considerare alcuni aspetti che consentono una migrazione e un uso sicuro del cloud. Il trasporto dei dati e la connessione ai servizi rimangono in gestione alle aziende, che devono garantire una trasmissione sicura (tipicamente tramite VPN), oltre a processi di autenticazione affidabili. L’adozione del cloud non solleva le aziende dalle proprie responsabilità, non è dunque opportuno fidarsi ciecamente delle sole garanzie di sicurezza e conformità dichiarate dal fornitore. Come specificato anche nel GDPR, le imprese devono mantenere un alto tasso di attenzione in ambito security, sia per le risorse on premise, sia per tutto ciò che è stato migrato sul cloud. Di fatto, chi gestisce direttamente l’applicazione in cloud è il responsabile della protezione dei dati personali salvati sulla “nuvola”.


Parlare di cloud security significa parlare di privacy del dato, conformità ai regolamenti e di una variegata serie di attività preposte alla protezione degli asset (vedi per esempio la crittografia).
Come suggeriscono i principali fornitori di servizi cloud, come per esempio Aruba, i principi fondamentali possono essere riassunti in tre grandi macro-aree. La cloud security passa da un mix di soluzioni end-to-end, che include processi di identity management e l’autenticazione dei servizi (anche di terze parti). Abilitando processi di identity security è dunque possibile irrobustire l’integrità dei dati, mantenendo protetti gli asset confidenziali, e più importanti per il business dell’azienda, pur lasciandone pieno accesso agli utenti che ne hanno facoltà.

Proprio la gestione delle identità risulta cruciale, sia a livello di utente, sia di infrastruttura; si tratta di una componente che deve essere messa a punto per generare una reale protezione del cloud.
In ottica di sviluppo dei servizi cloud, l’autenticazione si sta evolvendo per risolvere le criticità tipiche dell’attuale modello basato su user/password. Ciò significa innescare meccanismi coordinati che includono strong authentication, risk-based authentication, l’analisi del comportamento degli utenti e l’aggregazione di più fattori.
Abilitando invece attività di stronger authorization è possibile irrobustire l’intero processo di accesso ai dati, una procedura che permea l’infrastruttura cloud e il dato stesso. In termini di data security è poi possibile ipotizzare l’abilitazione di più gradi di protezione, come richiesto nel caso di dati sensibili, da mettere al sicuro parametrizzando le architetture a livello di file, di campo e di blocco.

Cloud Security, le best practice e la protezione dei dati

Altri parametri importanti per assicurare una cloud security realmente efficace includono l’isolamento dei dati (data isolation), essenziale quando più utenti si trovano a dover accedere a risorse condivise. Per migliorare la sicurezza in questi casi si possono abilitare differenti gradi di protezione sfruttando tecniche di cifratura, controllo degli accessi e virtualizzazione degli ambienti.

Per garantirsi la massima sicurezza durante il processo di migrazione e utilizzo del supporto cloud è bene tenere presente una serie di procedure standard, che possono certamente accelerare l’adozione di nuovi servizi e assicurarne il regolare funzionamento nel tempo.
Oltre a solidi e dettagliati SLA, previsti nel contratto di gestione, è necessario validare l’intera architettura di security, con particolare scrupolo per ciò che compete la protezione di rete (firewall e accessi), ma anche a livello di rilevamento intrusioni e protezione da malware/virus.
È bene considerare specifici piani per la business continuity e il disaster recovery , tasselli vitali per l’operatività d’impresa.

Più in dettaglio è essenziale avere sotto controllo il percorso effettuato dai dati e le policy di gestione, archiviazione e distruzione del dato stesso. Scegliendo un servizio cloud è bene valutare quali componenti risulteranno condivise con altri clienti ed è opportuno abilitare una soluzione con cifratura, dove la chiave crittografica sia adeguatamente protetta e nelle mani del service provider (dettaglio che ne riduce possibili furti o manomissioni).

Tra i fornitori di servizi cloud che vantano certificazioni internazionali e un gran numero di storie di successo, Aruba pone grande attenzione agli aspetti legati alla security. I data center adottano infatti infrastrutture ridondate sotto ogni punto di vista, per garantire una business continuity anche nel caso di mancanza parziale di alimentazione o connettività.

Non solo, i servizi di Private Cloud, Public Cloud, Cloud Backup e Cloud Object Storage sono conformi al Codice di Condotta CISPE e sono identificati da un marchio di garanzia che offre ai clienti e ai cittadini la libertà di archiviare ed elaborare i propri dati all'interno dello Spazio Economico Europeo.
Aruba sostiene inoltre una visione collettiva che va a vantaggio della comunità e del singolo cliente. L’azienda si impegna infatti a sviluppare una cultura di “Information Security” e lo fa mettendo in campo le necessarie misure finalizzate a garantire la riservatezza, l’integrità e la disponibilità delle informazioni immagazzinate e veicolate, sulla base della loro criticità, sensibilità e valore.
Anche questo aspetto può dirsi cruciale e di basilare importanza, un elemento che fortifica la sicurezza delle infrastrutture e, di conseguenza, dei dati immagazzinati.

Sommario