Proteggere i data center nel percorso verso un ambiente multicloud

Juniper Networks affronta il tema della trasformazione che stanno vivendo le aziende in termini di sicurezza, a partire dalla pratica della microsegmentazione, e delle relative sfide che si trovano ad affrontare in questo campo

A cura di Mike Bushong, Vice President, Enterprise and Cloud Marketing di Juniper Networks

I due trend più significativi nell’IT sono il cloud e la sicurezza. Purtroppo l’uno rende l’altro più complesso.

Come possono le aziende garantire una qualche sicurezza perimetrale quando il concetto stesso di cloud e di multicloud implica che il perimetro dell’infrastruttura sia letteralmente nebuloso e potenzialmente in trasformazione? Come possono le aziende riconciliare una diminuzione di controllo e visibilità quando i workload si spostano fuori dalle mura dell’azienda? Infine, non rappresentano forse il cloud e multicloud un allargamento della superficie di attacco nel momento in cui è difficile già solo gestire l’ombrello di sicurezza esistente?

Ci sono alcuni fattori che l’IT aziendale dovrebbe considerare nel momento in cui si avvia su un percorso multicloud.

La sicurezza perimetrale può non essere sufficiente ma è pur sempre importante

Nel senso classico del data center, il fatto che debba esistere una qualche forma di sicurezza perimetrale è il motivo per cui viene implementata la sicurezza di rete per mezzo di firewall con funzioni di nuova generazione.

Questo modello ha un ruolo anche nel cloud. Nel momento in cui i team implementano pool di risorse è importante proteggerle con un gateway di sicurezza. Un cloud privato virtuale (VPC) dovrebbe essere gestito applicando le stesse best practice di sicurezza applicate in un data center fisico. E ciò significa introdurre un dispositivo di sicurezza – anche virtuale – nel ruolo di gateway.

Naturalmente, oltre a fornire funzioni firewall di nuova generazione, questo dispositivo virtuale è anche un elemento chiave per garantire che tutto il traffico tra data center e cloud sia criptato.

La micro segmentazione ha un ruolo all’esterno del data center

La segmentazione è più che un obbligo del data center. In un mondo multicloud la definizione di traffico est-ovest si allarga a comprendere ogni traffico tra workload in qualunque punto dell’impresa. Ad esempio, il microbursting – l’uso di risorse cloud pubbliche per potenziare temporaneamente la capacità applicativa – implica che i workload possano avviare dinamicamente il traffico tra il data center privato e uno o più cloud pubblici. I requisiti di sicurezza non diminuiscono quando il traffico lascia il data center. E questo significa che strumenti come la microsegmentazione devono estendersi oltre il data center fino al cloud pubblico.

Infatti, con la rapida adozione dell’edge computing le aziende si renderanno conto che i workload gireranno anche alla periferia della rete. Fenomeni come ad esempio l’IoT preferiranno in alcuni casi i cloud distribuiti, per cui le soluzioni di microsegmentazione non saranno nemmeno confinate al data center (privato e pubblico). I siti remoti (campus e filiali) dovranno anch’essi essere inclusi nel mix di sicurezza multicloud.

Dal server tradizionale al container

Non è più sufficiente applicare le policy di sicurezza ai punti di aggregazione come il confine del data center, il gateway VPC o alla porta di accesso di uno switch. Con la diversificazione dei workload, le aziende dovranno disporre di un mezzo per proteggere tutto.

Ciò pone nuovi requisiti a carico delle architetture di sicurezza, ma costringe anche a una razionalizzazione a livello di impresa delle funzionalità di sicurezza. In questo caso la diversità di un ambiente multicloud rappresenta un problema di sicurezza distribuita sempre più complesso.

Il nemico è la diversità

Gli ambienti di sicurezza sono sempre più complessi e i cybercriminali più determinati che mai, eppure le organizzazioni utilizzano soluzioni costruite su strumenti di sicurezza standalone, con conseguente proliferazione dei fornitori e strategie inefficaci. Le organizzazioni ora sanno che la capacità di integrare tecnologie di sicurezza disparate è la sfida principale alla realizzazione di un’architettura efficace di automazione della sicurezza.

Secondo un recente studio condotto con Ponemon Institute, il 59% degli intervistati ritiene che la propria organizzazione debba ridurre il numero di fornitori.

Le aziende dovrebbero guardare, quando possibile, a un metodo comune di amministrazione della sicurezza su ambienti diversi. La spinta verso il multicloud ha trascinato con sé un movimento verso piattaforme di gestione multicloud, permettendo alle imprese di allontanarsi da soluzioni cloud specifiche.

Ciò presenta l’ulteriore vantaggio di unificare le policy di sicurezza su un set di risorse diversificato. I requisiti di sicurezza dovrebbero essere gli stessi, indipendentemente da dove si trovi la risorsa. L’adozione di un approccio di gestione comune porterà sia una maggiore sicurezza sia vantaggi operativi.

Non tutto inizia col multicloud

Se, nella pianificazione inziale, la sicurezza è progettata pensando a un unico cloud, l’azienda si troverà in una posizione difficile quando sarà il momento di scalare. Inoltre, le aziende dovranno considerare gli aspetti operativi della sicurezza fin dalle prime fasi. Se da un lato può essere semplice implementare strumenti e soluzioni incrementali in risposta a nuove sfide, dall’altro la gestione tende a comportarsi come una grossa nave. E’ bene controllare l’orizzonte alla ricerca di ostacoli che necessitano di aggiustamenti rapidi.