A cura di Equinix
La sicurezza in ambito cloud è sempre stata un argomento importante tra le aziende e, dato che oltre il 90% delle imprese utilizza una forma di cloud computing pubblico, continua a essere dibattuta tra i professionisti della sicurezza. La sicurezza nel cloud pubblico e privato è una tecnologia in evoluzione e vogliamo approfondire alcuni dei principali insegnamenti che abbiamo appreso in questo settore nel 2017.
Il cloud è ancora più intelligente e sicuro rispetto ai data center
Nonostante le molteplici violazioni aziendali alla sicurezza informatica avvenute nel 2017, le principali piattaforme cloud pubbliche hanno mostrato una promettente capacità nel mantenere sicure le applicazioni e i dati aziendali. L’intelligenza artificiale (AI) e il machine learning (ML) sono al centro di molte delle nuove funzionalità che i principali fornitori di servizi cloud stanno utilizzando per offrire un servizio di sicurezza più intuitivo e dinamico ai loro clienti. Ad esempio, durante la sua recente conferenza Re:Invent, Amazon Web Services (AWS) ha annunciato funzionalità di sicurezza che sfruttano l’intelligenza artificiale per identificare indirizzi IP dannosi e rilevare anomalie. Questa utilizza inoltre la tecnologia ML per riconoscere attività o comportamenti che indicano minacce, ad esempio un malintenzionato che esegue una scansione di server web in cerca di vulnerabilità di applicazioni conosciute. Assistiamo al fatto che AI e ML continuano a svolgere un ruolo importante nella lotta proattiva alla sicurezza informatica nel cloud e lavoreremo con più provider di servizi cloud (CSP) per implementare l’interconnessione diretta e sicura per le comunicazioni M2M (machine-to-machine) e le loro interazioni con gli utenti del sistema di sicurezza tramite il nostro ECX Fabric globale.
La gestione delle chiavi d’identità tra cloud ibridi e multicloud
La maggior parte dei CSP offre soluzioni di gestione delle chiavi d’identità ai propri clienti per aiutare a coordinare l’accesso ad applicazioni e dati all’interno di un’unica soluzione di piattaforma cloud. Tuttavia, il crescente numero di infrastrutture aziendali ibride e multicloud ha posto l’esigenza di avere soluzioni di gestione delle chiavi che forniscano copertura su più cloud e/o infrastrutture on-premise. In Equinix, abbiamo recentemente annunciato una beta pubblica per la nostra soluzione SmartKey HSM-as-a-Service, un modulo di sicurezza hardware (HSM) indipendente dal cloud. SmartKey offre servizi di gestione delle chiavi sicuri e scalabili per soddisfare i requisiti di prestazione e governance, di rischio e di conformità (GRC) tra più provider cloud e infrastrutture cloud ibride, come le soluzioni di storage privato Azure Stack e NetApp.
Il perimetro di sicurezza si è spostato al confine e oltre, richiedendo che i controlli di sicurezza siano più vicini alle cose che è necessario proteggere
Mentre il perimetro IT aziendale si offusca e diventa più distribuito e di ampia portata, le aziende devono modificare il proprio approccio all’implementazione dei diversi controlli di sicurezza, e non solo per il cloud. Detto questo, il confine digitale di un’azienda, un luogo in cui il commercio, le persone e gli ecosistemi digitali si incontrano, deve essere preparato per applicazioni multicloud e flussi di dati che servono utenti e cose su più reti globali e servizi cloud. Adottando politiche di sicurezza cloud al confine e abbracciando una strategia di sicurezza del tipo “non fidarsi di nessuno”, assicura che le protezioni critiche possano essere implementate laddove sono più efficaci e non abbiano alcun impatto sulle prestazioni o sulla qualità dell’esperienza dell’utente.
Come le regole di Governance, Rischio e Conformità stanno guidando le strategie di sicurezza nel cloud
Il termine “governance, rischio e conformità”, o GRC, descrive un insieme di attività o una piattaforma che pervade tutti i dipartimenti e le funzioni di un’organizzazione, consentendo a un’azienda di raggiungere i propri obiettivi aziendali, affrontare l’incertezza e agire con integrità. E il GRC non si ferma qui. Può anche includere funzionalità di garanzia e gestione delle prestazioni rispetto a tali obiettivi di business. Secondo Scott Wisniewski, managing director presso la società di consulenza globale Protiviti, lo straordinario aumento della quantità di dati che le organizzazioni devono analizzare, insieme all’adozione diffusa delle tecnologie cloud e mobile, indica che una maggiore raccolta, condivisione e collaborazione delle informazioni porta le organizzazioni a “ripensare la loro intera infrastruttura GRC”. ServiceNow, cliente di Equinix, è un esempio di un’azienda che fornisce una piattaforma di automazione IT basata su cloud che sfrutta l’analisi predittiva e dinamica per monitorare e gestire la governance, i rischi e la conformità nella propria attività, e anche in quella dei suoi clienti, tra cui Equinix.
La violazione dei dati è una questione di “quando”, non di “se”
Quest’anno ha impartito dolorose lezioni senza precedenti sulla sicurezza. Letteralmente miliardi di account online sono stati violati e sono stati esposti dati personali sensibili per centinaia di milioni di persone. Anche gli animali di peluche “intelligenti” sono stati complici nel perdere milioni di registrazioni audio tra bambini e genitori. Le persone e le aziende devono essere consapevoli che qualsiasi tecnologia online è soggetta a compromessi. Applicare ciò che abbiamo appreso dai primi quattro insegnamenti si rivelerà più importante che mai nel 2018.
