Un numero crescente di organizzazioni sta spostando infrastruttura e servizi nel cloud, spesso adottando strategie multi-cloud e avvalendosi di una serie di servizi di cloud computing e storage su un’unica architettura eterogenea. Se da un lato la distribuzione di risorse, software e applicazioni cloud su diversi ambienti di hosting presenta numerosi vantaggi – tra cui agilità, flessibilità, prezzi competitivi, scalabilità e affidabilità – dall’altro porta con sé numerose sfide.
Ad esempio, a causa della mancanza di visibilità tra host e servizi, può risultare difficile proteggere cloud differenti, facilitando ai malintenzionati il compito di trovare vulnerabilità da sfruttare.
Poiché il cloud non ha perimetri definiti, la sua protezione è fondamentalmente diversa da quella di un ambiente on-premise. Molti ritengono che quest’ultimo sia più sicuro del cloud, in realtà la cloud security non è più o meno efficace di quella on-premise.
Indice degli argomenti
Sicurezza cloud: cosa ha più senso
È necessario iniziare a cambiare il punto di vista degli utenti sulla sicurezza cloud e concentrarsi sui pro e i contro delle alternative. In sostanza, entrambi gli ambienti offrono gli stessi livelli di protezione e si tratta di stabilire cosa sia più sensato per il cliente per soddisfare i suoi requisiti di sicurezza.
Un’altra domanda frequente è chi sia il responsabile ultimo della sicurezza cloud. Gli hyperscaler che forniscono servizi e infrastrutture cloud sono molto espliciti sul fatto che si tratti di una responsabilità condivisa.
Il fornitore è responsabile della sicurezza della rete e dell’hardening della piattaforma, ma non della protezione dei dati, che resta a carico dell’utente o del proprietario dell’applicazione, che deve essere certo di aver adottato protocolli pertinenti e processi di protezione dei dati zero trust.
Quindi, mentre i cloud service provider faranno tutto il possibile per evitare che i cybercriminali accedano all’ambiente, l’onere di proteggere i propri dati spetta indiscutibilmente al cliente.
Controllo dell’accesso
A causa della natura dell’ambiente cloud, è necessario che le organizzazioni controllino l’accesso alla piattaforma da parte di una miriade di utenti, implementando policy zero trust e il principio del minimo privilegio in ogni punto di accesso.
Dovrebbero quindi seguire processi quali la gestione del monitoraggio accessi, l’introduzione di controlli basati su regole o addirittura sui ruoli, e trovare il giusto mix che garantisca il livello di sicurezza necessario.
Allo stesso tempo, le aziende vogliono garantire sicurezza e privacy dei dati critici nel cloud senza interrompere le operazioni, e anche in questo caso le opzioni di scelta sono molteplici.
Si tratta di selezionare quelle in grado di limitare l’accesso, monitorare l’attività e rispondere alle minacce il più rapidamente possibile, salvaguardando in ultima analisi la reputazione dell’azienda.
Le fasi per garantire la privacy dei dati
Una pratica comunemente utilizzata dalle aziende per garantire la protezione della privacy dei dati prevede diverse fasi. La prima è l’identificazione degli stessi dati, seguita dall’implementazione di strumenti di data loss prevention e firewall. Alcuni utenti cloud installano anche soluzioni storage con protezione dei dati integrata, seguite dalla scelta del fornitore di backup più adatto al loro ambiente.
La sicurezza di un ambiente non dovrebbe mai essere incentrata su quale dei due – cloud o on-premise – offra quella in assoluto migliore, ma sulle soluzioni più adeguate alle esigenze di ogni singola azienda.
È fondamentale adottare la giusta tecnologia per rilevare le intrusioni, assicurando al contempo che i dipendenti – spesso la principale minaccia per un’organizzazione – dispongano di conoscenze e formazione adeguate a seguire i protocolli di sicurezza.
