La sicurezza informatica e la resilienza operativa vanno di pari passo. Le organizzazioni hanno investito ingenti risorse nella difesa contro violazioni, ransomware e interruzioni del servizio, creando difese a più livelli progettate per tenere lontani gli aggressori e garantire il funzionamento dei sistemi. Tuttavia, i recenti sviluppi geopolitici stanno portando a una consapevolezza più ampia e scomoda: una prossima grave interruzione potrebbe avere origine nel mondo fisico piuttosto che nel codice.
Man mano che l’infrastruttura cloud diventa sempre più integrata nel tessuto delle economie globali e dei sistemi nazionali, non è più solo una piattaforma per le operazioni, ma un’estensione della superficie di attacco. Ed è proprio questo cambiamento a introdurre una categoria di rischio completamente nuova. Invece di servizi che falliscono mentre l’infrastruttura rimane intatta, le organizzazioni devono ora considerare scenari in cui l’infrastruttura stessa può essere danneggiata o bloccata.
L’infrastruttura cloud come bersaglio fisico
Questo cambiamento è emerso chiaramente nel marzo 2026. Durante un periodo di accresciute tensioni geopolitiche, l’infrastruttura cloud hyperscale è stata direttamente colpita.
Ciò che ha reso significativo questo momento non è stata solo l’entità del danno, ma ciò che ha rivelato sulla resilienza. Le architetture cloud si sono a lungo basate su modelli di ridondanza costruiti partendo dal presupposto che i guasti sarebbero stati isolati e contenuti. Le zone di disponibilità sono state progettate per funzionare in modo indipendente, in modo che se una si fosse guastata, le altre sarebbero subentrate automaticamente e, fortunatamente, il modello di ridondanza ha tenuto.
Questo esempio non è un caso isolato. Si inserisce in un modello più ampio e in rapida accelerazione. Nel 2025, le interruzioni dei cavi sottomarini nel Mar Rosso hanno interessato circa il 17% del traffico Internet globale, dimostrando quanto possa essere fragile la connettività globale quando l’infrastruttura fisica è compromessa. Nello stesso anno, importanti malfunzionamenti delle infrastrutture web legate ai principali fornitori hanno causato interruzioni di servizio su vasta scala, mettendo in evidenza quanto Internet dipenda da un numero relativamente esiguo di sistemi centralizzati.
Il fallimento dei presupposti tradizionali sulla resilienza
Nel loro insieme, questi eventi indicano un cambiamento fondamentale. I punti di presenza, la connettività della dorsale e l’infrastruttura cloud non sono più solo fattori abilitanti delle operazioni digitali: ora sono diventati bersagli. E indipendentemente da come si verifichi l’interruzione, il risultato è lo stesso. I modelli tradizionali di resilienza del cloud vengono messi alla prova in modi per cui non sono stati progettati.
Per decenni, l’architettura cloud si è basata su una serie di principi impliciti. Ci si aspettava che i guasti fossero contenuti e localizzati. Si presumeva che l’infrastruttura stessa rimanesse intatta, anche quando i servizi che vi giravano sopra fallivano, e che una ridondanza attentamente progettata tra zone e regioni assorbisse le interruzioni e mantenesse la continuità. Queste ipotesi sono ora sempre più in contrasto con la realtà. Gli scenari di guasto odierni sono più ampi e complessi. Intere aree geografiche possono diventare irraggiungibili. I percorsi di rete possono scomparire senza preavviso. Più zone di disponibilità possono fallire contemporaneamente, non a causa di bug software o configurazioni errate, ma perché l’infrastruttura sottostante è fisicamente compromessa.
In questo contesto, l’alta disponibilità non è più sufficiente. La resilienza deve tenere conto della possibilità di perdere interi segmenti di infrastruttura. Quando ciò accade, l’architettura diventa il fattore determinante tra continuità e blocco totale.
Ripensare la resilienza alla luce degli scenari di rischio moderni
Ciò che la resilienza richiede oggi è un cambiamento di mentalità. Anziché puntare all’ottimizzazione dell’efficienza in condizioni stabili, le organizzazioni devono progettare la propria struttura in modo da garantire la sopravvivenza in contesti instabili.
Un’architettura distribuita a livello globale diventa fondamentale. La resilienza non riguarda più la densità all’interno di una singola regione, ma la capacità di operare in più regioni quando una o più di esse diventano indisponibili. Ciò richiede una vera distribuzione globale dei punti di presenza, combinata con la capacità di reindirizzare il traffico in modo istantaneo e intelligente in base alla capacità e alla disponibilità in tempo reale. In tali scenari, la vicinanza diventa secondaria. Ciò che conta è se l’infrastruttura da cui si dipende è ancora raggiungibile.
Altrettanto importante è il concetto di politica unificata e portatile. Durante un’interruzione, gli utenti possono essere reindirizzati attraverso diverse regioni, i percorsi del traffico possono cambiare dinamicamente e i punti di applicazione possono variare in tempo reale. La sicurezza non può dipendere da configurazioni specifiche per una determinata posizione. Le politiche devono seguire l’utente e i dati, applicandosi in modo coerente indipendentemente dal punto in cui il traffico entra nella rete. Qualsiasi divario tra la definizione e l’applicazione delle politiche introduce un rischio proprio quando la stabilità è più fragile.
L’applicazione distribuita è un altro elemento essenziale. Le architetture che si basano su punti di ispezione centralizzati creano vulnerabilità intrinseche. Se tali punti diventano indisponibili, l’applicazione crolla con essi. Un modello resiliente distribuisce l’applicazione su tutto il tessuto di rete, garantendo che l’ispezione e la protezione continuino indipendentemente dal percorso del traffico. Ciò elimina i singoli punti di errore e consente al sistema di adattarsi dinamicamente in condizioni di stress.
Allo stesso tempo, le organizzazioni devono affrontare i limiti dei modelli puramente basati sul cloud. Le architetture SASE che dipendono interamente da una connettività cloud costante e di alta qualità presuppongono condizioni ideali che non sempre esistono. In realtà, la connettività può deteriorarsi. La latenza può aumentare. Intere regioni possono diventare irraggiungibili. In queste condizioni, la resilienza dipende dalla capacità di continuare a operare anche quando il cloud non è completamente accessibile.
È qui che gli approcci ibridi diventano essenziali. Estendendo l’applicazione delle politiche agli endpoint e alle sedi distaccate, le organizzazioni possono mantenere la continuità delle politiche anche durante interruzioni parziali. Invece di fallire completamente, il sistema subisce un degrado graduale, preservando le funzioni di sicurezza fondamentali fino al ripristino della piena connettività.
Progettare per le interruzioni, non per la stabilità
È proprio questa realtà in continua evoluzione ad aver plasmato la filosofia di progettazione alla base dell’architettura SASE di Check Point. Anziché presupporre condizioni infrastrutturali perfette, essa è stata concepita partendo dal presupposto che si verificheranno delle interruzioni. I nostri punti di presenza distribuiti a livello globale garantiscono la resilienza geografica, mentre un piano di policy unificato assicura un’applicazione coerente in tutti gli ambienti. L’applicazione distribuita elimina la dipendenza da un singolo punto di controllo, mentre le funzionalità ibride consentono alla protezione di continuare anche quando la connettività cloud è compromessa.
Il risultato è un’architettura progettata non solo per garantire prestazioni in condizioni normali, ma anche per garantire la continuità in condizioni avverse. Ciò riflette un cambiamento più ampio nel modo in cui deve essere intesa la resilienza: non come la capacità di prevenire completamente i guasti, ma come la capacità di operare nonostante essi.
Il cloud è stato originariamente progettato per gestire i guasti entro parametri controllati. Tali parametri si stanno ora espandendo. L’infrastruttura stessa può diventare indisponibile. Le regioni possono perdere la connettività. I percorsi di rete possono frammentarsi in modi imprevedibili. Questi non sono più casi limite, ma realtà emergenti.
La resilienza deve essere definita come la capacità di mantenere le operazioni anche in caso di perdita parziale dell’infrastruttura. Le organizzazioni che continuano a basarsi sul presupposto di un’infrastruttura stabile e sempre disponibile si espongono a rischi crescenti. Quelle che puntano sulla distribuzione, sull’adattabilità e sulla coerenza architettonica sono in una posizione migliore per affrontare le interruzioni.
La domanda non è più se l’infrastruttura subirà un guasto, ma se i sistemi che vi poggiano sopra saranno pronti quando ciò accadrà.
