FOCUS. Il cloud sicuro è un opportunità. Cloud computing Così virtuale, Così reale... Massima sicurezza Con la testa tra le nuvole

Transcript

1 FOCUS Il cloud sicuro è un opportunità Cloud computing Così virtuale, Così reale... Massima sicurezza Con la testa tra le nuvole Sicurezza in ambienti virtuali a rischio La security nel Cloud? È già qui Open Fabric e virtualizzazione nei data center aprile

2 Il cloud sicuro è un opportunità VALERIO SALVI È ANCORA SCARSA LA COMPRENSIONE NELLE AZIENDE ITALIANE DEL CLOUD E DEGLI AMBIENTI VIRTUALI. MA L ASSOCIAZIONE CSA ITALY INTENDE INFORMARE E FARE CULTURA SU RISCHI E OPPORTUNITÀ. Èstata lo scorso febbraio, la costituzione dell associazione italiana CSA Italy, Capitolo Italiano di Cloud Security Alliance, associazione internazionale che nasce con lo scopo di promuovere l utilizzo di best practice per la sicurezza del cloud computing, insieme alla formazione e sensibilizzazione nell utilizzo sicuro di tutte le forme di computing. Abbiamo intervistato Alberto Manfredi, Presidente di Cloud Security Alliance - Italy Chapter, al quale abbiamo chiesto informazioni sui progetti dell Associazione e un punto di vista sulla percezione del fenomeno, nel nostro Paese. CSA ARRIVA IN ITALIA. QUALE RUOLO INTENDETE RICOPRIRE NEL NOSTRO PAESE? L associazione CSA Italy è nata nell ottobre 2011 per costituire il capitolo italiano dell associazione internazionale Cloud Security Alliance (CSA). La nostra mission è quella di essere il punto di riferimento in Italia per la comunicazione di informazioni sulle attività e produzioni dell associazione internazionale e, soprattutto, svolgere un ruolo attivo nel promuovere e svolgere, con il contributo fondamentale dei soci, attività di ricerca ed approfondimenti sui temi della cloud security. L associazione si propone anche come aggregatore di professionalità innovative nell infor- aprile

3 mation security secondo una modalità associativa nuova che non prevede costi di ingresso e che sfrutta il cloud nelle relazioni ed organizzazione delle attività dei soci. QUALI REALTÀ SARANNO IL VOSTRO PRINCIPALE INTERLOCUTORE? L associazione si propone di coprire un gap esistente tra grandi e piccole-medie imprese italiane nella comprensione ed utilizzo dei modelli innovativi di gestione dell informatica, ma soprattutto utili al business, caratteristici del paradigma cloud. Oggi l Italia non ha ancora una presenza significativa in numero e qualità di provider di servizi cloud, mentre il numero dei consumer è in costante crescita grazie sia alla diffusione di tablet e smartphone che ai servizi innovativi già disponibili dei grandi cloud service provider (Google, Apple, Amazon, Salesforce, ). Crediamo che la piccola e media impresa (PMI), che rappresenta più del 90% del tessuto economico del nostro paese, potrà essere insieme alla Pubblica Amministrazione Locale il primo grande consumer cloud; basti Alberto Manfredi, Presidente di Cloud Security Alliance Italy Chapter pensare che l imprenditore PMI tende già oggi ad utilizzare strumenti e servizi consumer (ipad, google mail, dropbox, ) per il proprio business. Inoltre questa esperienza nell utilizzo di servizi in cloud per il business potrà contribuire allo sviluppo sia di un mercato di servizi per le aziende specifici che di provider medio-piccoli localizzati. QUALI ATTIVITÀ STATE PROGRAMMANDO A BREVE-MEDIO TERMINE? Dall inizio dell anno abbiamo già fornito dei contributi in seminari specifici sul cloud orga- aprile

4 nizzati da Assintel, Clusit (già nostro socio affiliato) ed Oracle (anche nell ambito della Oracle Community for Security). Il 20 marzo c è stata la nostra conferenza annuale ospitata dal Security Summit, aperta al pubblico dei professionisti ed appassionati dell information security, mentre nelle date 2-4 Aprile supporteremo il primo corso CSA in EMEA di certificazione per professionisti in cloud security CCSK (Certificate of Cloud Security Knowledge) con una sessione dedicata alla formazione dei Trainer. A valle di quest ultimo evento sosterremo e promuoveremo l organizzazione di corsi di formazione in italiano. Nei prossimi mesi infine organizzeremo, anche con il contributo dei nostri sponsor, degli eventi dedicati alla pubblicazione delle nostre attività di ricerca tra cui Portabilità, Interoperabilità e Sicurezza Applicativa e Privacy & Cloud. PUÒ PARLARCI DELLA PUBBLICAZIONE DELLA CLOUD SECURITY GUIDANCE 2.1 IN ITALIANO? La Cloud Security Guidance è il documento oggi più importante di CSA. La guida sia dal punto di vista dei contenuti che dell esposizione degli stessi è stata concepita per essere un utile strumento di consultazione sia per professionisti che manager con responsabilità di information security. La guida consente di inquadrare e valutare i rischi iniziali connessi al cloud e per guidare le decisioni riguardanti le misure di sicurezza in questo ambito specifico. L obiettivo che si prefigge è quello di fornire un metodo semplice e rapido per valutare il livello di rischio nello spostamento dei propri dati verso vari modelli di Cloud Computing (Software as a service, Platform as a service, Infrastructure as service). La versione italiana della Cloud Security Guidance versione 2.1 è stata la prima pubblicazione di CSA Italy (CSA ha già pubblicato la nuova versione 3.0 in inglese) ed è CHI È? CSA L associazione, che ad oggi conta a livello mondiale oltre soci individuali, più di 100 aziende e 20 organizzazioni affiliate, ha già attivato diverse iniziative di ricerca sulla sicurezza cloud e ha visto nascere oltre 50 capitoli a livello regionale e nazionale. resa disponibile gratuitamente a tutti gli interessati. Questa versione è molto importante anche perchè e ancora parte del materiale di studio per la certificazione professionale in cloud security CCSK. QUANTO È IMPORTANTE UNA CORRETTA CONOSCENZA E FORMAZIONE SU TEMI COME CLOUD E AMBIENTI VIRTUALI? CSA Italy ritiene la formazione un elemento fondamentale sia per il miglioramento che per l innovazione dell ICT. Fino ad oggi la virtualizzazione è stata spesso applicata nella modalità plug & play, ovvero con poca attenzione alle attività di reingegnerizzazione dei modelli di delivery di infrastrutture e servizi necessarie per raggiungere efficacia, efficienza e risparmi. L esigenza di riprogettazione di architetture ICT virtualizzate riporta in primo piano il tema della sicurezza, ancora più importante dall avvento del paradigma cloud che consente di creare dei cataloghi servizi in grado di essere confrontati con offerte di mercato in cui user experience, sicurezza e privacy diventano elementi fondamentali per il successo del business e guida agli investimenti. Il Cloud, quindi, sta contribuendo a completare la svolta sul virtuale dell ICT. CSA fornisce un contributo importante nella formazione proponendo la prima certificazione professionale sulle competenze di cloud security, la Certificate of Cloud Security Knowledge (CCSK), aprile

5 basata sulla conoscenza dei documenti Cloud Computing: Benefits, Risks and Recommendations for Information Security di ENISA e la Security Guidance for Critical Areas of Focus in Cloud Computing V 2.1 di CSA. Quest ultima dedica un intero capitolo al tema Virtualizzazione (Dominio 13). QUALE LIVELLO DI CONOSCENZA DEL FENOMENO C È ATTUALMENTE NELLE AZIENDE ITALIANE? La conoscenza del fenomeno nelle aziende italiane è oggi, in generale, ancora superficiale. Si tende da un lato a considerare i servizi cloud esistenti come troppo consumer, quindi non adatti ad esigenze aziendali, dall altro a vederlo come una innovazione di prodotto, quindi prettamente tecnologico. In generale quindi non si coglie l opportunità di una riprogettazione infrastrutturale con utilizzo di strumenti software di automazione evoluti per raggiungere il massimo dell efficienza ed allineamento al business dell ICT aziendale. Dei servizi cloud si considera soltanto l aspetto (e i problemi) di pura esternalizzazione senza considerare l innovazione dei servizi offerti, i risparmi e, in alcuni casi, anche la maggiore sicurezza. Questo distacco si avverte maggiormente nelle grandi aziende dove l ICT è ormai consolidato con soluzioni stratificate e in molti casi proprietarie quindi poco avvezzo al cambiamento. Nelle PMI invece si avverte una crescente voglia di informatizzazione, già recepita come abilitatrice del business, ed il cloud può consentire di superare i costi di investimento per nuovi acquisti hw/sw e soprattutto la ricerca di competenze specialistiche per installazioni e manutenzioni. CLOUD E TUTELA DELLA PRIVACY: UNA CONVIVENZA POSSIBILE? In ambito privacy il cloud richiama norme e regolamenti, già applicati per i servizi di outsourcing ed e-commerce. Sicuramente il cloud pone più in evidenza il problema del trasferimento dei dati fuori dal territorio nazionale del cliente/consumer e, quindi, delle responsabilità e controlli applicabili (tipicamente in stati UE, extra UE, US). Un cloud consumer dovrebbe, in generale, prestare attenzione alla sensibilità e/o valore per il suo business delle informazioni/dati che intende trasferire nel cloud, alle misure di sicurezza minime ed opzionali offerte dal provider e alla dislocazione dei data center, che trattano i propri dati. Il consiglio, quindi, è sempre quello di partire con una lettura attenta delle norme contrattuali. Ricordo infine che è stata presentata la riforma globale della normativa UE sulla protezione dei dati che ha l intento di rafforzare i diritti della privacy on-line e stimolare l economia digitale (leggiamo anche Cloud) comunitaria. Il regolamento non dovrà essere recepito dai singoli stati membri, ma sarà pienamente operativo dal momento in cui verrà approvato dal Parlamento europeo e dal Consiglio. CONSIGLI PER UN CORRETTO APPROCCIO ALLA SICUREZZA IN AMBIENTI CLOUD. Non posso che consigliarvi la lettura della Cloud Security Guidance di CSA partendo dalla versione in italiano. aprile

6 Cloud computing Così virtuale, Così reale... A CURA DELLA REDAZIONE GUIDA RAGIONATA ALLA GESTIONE DELLA SICUREZZA IN CONTESTI VIRTUALI E DI CLOUD COMPUTING. GLI ADDETTI AI LAVORI SPIEGANO COSA CAMBIA E I CONSIGLI DA SEGUIRE. Riservatezza dei dati, integrità delle informazioni, disponibilità, accesso ed elaborazione da parte di persone autorizzate, sono solo alcune delle garanzie necessarie negli ambienti virtuali. Fino a pochissimo tempo fa, il cloud e la virtualizzazione rappresentavano un grande punto interrogativo. Ma già oggi, in azienda e presso gli utenti professionali c è più consapevolezza e conoscenza su problematiche, tecnologie e sviluppi. Abbiamo incontrato alcuni esperti di cloud e virtualizzazione, che hanno analizzato con noi temi come: ottimizzazione e gestione dei data center, percezione del cloud e sicurezza in ambienti virtuali, compliance con la privacy. aprile

7 LUCA ZERMINIANI, SYSTEMS ENGINEER DIRECTOR, VMWARE ITALIA LE AZIENDE STANNO INVESTENDO SUI SERVER, PER MIGLIORARE COSTI E GESTIBILITÀ DEI DATA CENTER. QUALI RISVOLTI SULLA SICUREZZA IN AMBIENTI VIRTUALI E CLOUD? La sicurezza è un tema centrale nel percorso di trasformazione del datacenter verso i modelli della virtualizzazione e del cloud. Le aziende hanno a disposizione due strade: usare strumenti e processi di compliance tradizionali, quelli che hanno scelto e utilizzato negli ultimi 15 anni, oppure scegliere una strada nuova, dove la sicurezza è nativamente presente nel servizio IT da erogare. Per fare un esempio: oggi chi ha virtualizzato i suoi server non si sognerebbe mai di farne il backup con le stesse tecnologie usate in ambiente fisico, perché l hypervisor permette un accesso privilegiato allo storage, dove le macchine virtuali vivono e possono essere quindi copiate/salvate/duplicate in modalità nativa dai software di backup. Chi fa la stessa cosa in ambito security, quindi magari mette un firewall o un ips a livello di hypervisor? Oggi ancora troppo pochi. L AUMENTO DELLE PRESTAZIONI E IL CROLLO DEI PREZZI DELL INFRASTRUTTURA SEMBRANO AVVANTAGGIARE IL PRIVATE CLOUD, E QUINDI UNA GESTIONE INTERNA ALL AZIENDA DELLA SICUREZZA. SIETE D ACCORDO? Il private cloud è in questo momento favorito perché si riesce a preservare gli investimenti già fatti in azienda e quindi il percorso dalla virtualizzazione al private cloud è in qualche modo un evoluzione naturale. Questo non vuol dire che sarà l unico modello a sopravvivere; pensiamo per esempio ai vantaggi in termini di TTM nell utilizzo di un public cloud per alcune tipologie di workload. Non per questo si deve rinunciare alla governance dei propri dati pur sfruttando IaaS esterni all azienda. Il modello che VMware propone è proprio quello in cui le policy e la compliance sono garantiti da processi aziendali, agganciati nativamente alle App e quindi non ne è mai demandata la gestione a terze parti. A CHE LIVELLO È OGGI E QUANTO È IMPORTANTE, UNA CORRETTA CONOSCENZA NELLE AZIENDE DI CLOUD E VIRTUALIZZAZIONE? Quella della virtualizzazione è una cultura ormai standard de facto, nei datacenter azien- aprile

8 dali di tante imprese. Il cloud lo diventerà molto presto, non appena i tanti progetti che sono partiti nei mesi scorsi saranno completati e quindi quando non solo gli IT manager, ma anche i CEO delle aziende, si accorgeranno di quanti vantaggi competitivi sono riusciti ad ottenere grazie al nuovo modello. TUTELA DELLA PRIVACY IN AMBIENTI VIRTUALI: UNA CONVIVENZA POSSIBILE? Certo, a patto che si abbiano a disposizione strumenti di automazione che facciano ricerca, protezione report sulla parte di privacy dei dati. Il datacenter nell era della virtualizzazione e del cloud ha dinamiche così veloci che non possiamo pensare di inseguire i dati sensibili un pezzo alla volta, con un policy management dedicato a un solo ambiente. Di nuovo, la chiave è mettere questi strumenti a livello di hypervisor o di storage per avere un accesso privilegiato e una visibilità sull intero datacenter. 3 CONSIGLI PER UN CORRETTO APPROCCIO NEL GARANTIRE LA SICUREZZA IN AMBIENTI CLOUD. Mantenere la governance salda, fare leva sugli investimenti esistenti, specie in termini di skill e policy, scegliere degli strumenti che riducano in maniera sostanziale l effort nel dayby-day e che siano cloud ready. Soprattutto, non aspettare domani. ROBERTO SORTINO, DIRECTOR UNIFIED INFRASTRUCTURE GROUP ITALY, EMC LE AZIENDE STANNO INVESTENDO SUI SERVER, PER MIGLIORARE COSTI E GESTIBILITÀ DEI DATA CENTER. QUALI RISVOLTI SULLA SICUREZZA IN AMBIENTI VIRTUALI E CLOUD? Un rinnovamento significativo dell infrastruttura apre alle aziende la prospettiva di ottenere migliori risultati dai propri investimenti, incrementando flessibilità e agilità di business. L adozione di virtualizzazione e cloud computing pone però alcune problematiche di sicurezza che non è possibile non considerare. Fare sicurezza nell era cloud non può prescindere dall idea di Business Continuity, ovvero dal fatto di avere accesso sempre ed ogni momenti ai dati ed alla applicazioni su cui si basa il proprio business. Si tratta di concetti relativi, in quanto non è detto che tutto sia realmente sempre disponibile. Ma è importate stabilire un trade-off tra dati che debbono essere davvero sempre disponibili, ed altri per cui invece si può accettare una certa latenza. aprile

9 Dal rapporto tra queste variabili - costi e disponibilità dell informazione derivano tutte le scelte relative. L AUMENTO DELLE PRESTAZIONI E IL CROLLO DEI PREZZI DELL INFRASTRUTTURA SEMBRANO AVVANTAGGIARE IL PRIVATE CLOUD, E QUINDI UNA GESTIONE INTERNA ALL AZIENDA DELLA SICUREZZA. SIETE D ACCORDO? Fare cloud non è solamente una questione di costi. Se l elemento economico è importante, a volte è quello gestionale a prevalere. Se configurata e dimensionata in modo efficace, un infrastruttura cloud permette di ottenere un ritorno eccezionale in termini di semplicità d uso e di gestione. Ritorni che vengono ulteriormente amplificati nel caso di frequenti variazioni da apportare all infrastruttura per picchi di lavoro, crescite di business, avvio/espansione di nuovi rami di attività In questo senso, ricorrere ad un fornitore esterno di servizi cloud può apparire ancora più semplice, perché permette di alleggerire la struttura interna da molti task ricorrenti. Ma se si intendono mantenere all interno alcuni carichi di lavoro, piuttosto che se si desidera mantenerne il controllo anche solo per motivi di compliance riteniamo che la scelta del cloud ibrida meriti di essere tenuta in considerazione. A CHE LIVELLO È OGGI E QUANTO È IMPORTANTE, UNA CORRETTA CONOSCENZA NELLE AZIENDE DI CLOUD E VIRTUALIZZAZIONE? E importante, perché la virtualizzazione rappresenta la base del cloud computing, ed il cloud computing consente di operare nella maniera più efficace, ottimizzando gli investimenti e massimizzando le risorse a disposizione. Più importante ancora è comprendere le opportunità collegate al cloud e capire quali sono gli indicatori da considerare, sia in fase di aprile

10 definizione dell infrastruttura che poi durante la sua gestione. In questo senso, riveste un importanza fondamentale un processo di assessment da condurre prima di dare il via al processo. Serve avere ben chiari quali sono i servizi che si intende migliorare, qual è il loro stato attuale e quali gli obiettivi legati a questi. Altrimenti non sarà poi possibile procedere a una corretta valutazione, né dei processi in corso né dei risultati. TUTELA DELLA PRIVACY IN AMBIENTI VIRTUALI: UNA CONVIVENZA POSSIBILE? Si tratta di aspetti che possono convivere tranquillamente, a patto che si prenda in esame l argomento preliminarmente ed in modo esteso. La privacy delle informazioni non viene messa a rischio dalla creazione di un infrastruttura virtuale, ma dalla mancata definizione (o dalla scarsa chiarezza nella definizione) di criteri chiari e condivisi, sulla conservazione e sull accesso ai dati. Se un ambiente virtuale permette di ottenere grande flessibilità negli accessi a dati ed applicazioni, non impedisce di certo di stabilire delle policy che possano (debbano!) essere conformi alle leggi, alle normative ed alle consuetudini. 3 CONSIGLI PER UN CORRETTO APPROCCIO NEL GARANTIRE LA SICUREZZA IN AMBIENTI CLOUD. Sono numerosi gli aspetti da considerare per garantirsi la massima sicurezza in ambiente cloud. Volendo sintetizzarli al massimo per ridurli solamente ai tre principali, potremmo parlare di gestione delle identità federate, di gestione centralizzata dell infrastruttura e di estensione delle policy di sicurezza anche ai dispositivi che si trovano fisicamente al di fuori dell infrastruttura aziendale, indipendentemente dal fatto che si parli di cloud o di on-premise. Intendo sia i desktop virtuali che i dispositivi mobili che oggi sono, a tutti gli effetti, strumenti di elaborazione e quindi sottoposti agli stessi rischi ed alle stesse problematiche degli endpoint tradizionali. ROBERTO SALUCCI, SOLUTIONS CONSULTANT HITACHI DATA SYSTEMS ITALIA LE AZIENDE STANNO INVESTENDO SUI SERVER, PER MIGLIORARE COSTI E GESTIBILITÀ DEI DATA CENTER. QUALI RISVOLTI SULLA SICUREZZA IN AMBIENTI VIRTUALI E CLOUD? La sicurezza è un tema chiave soprattutto nel caso degli ambienti cloud; qui infatti la condivisione delle risorse, che ne è una tipica caratteristica, rende particolarmente importante isolare gli utenti, tra loro facendo sì aprile

11 le aziende abbiano ancora affrontato la trasformazione dell IT da prodotto a servizio. Penso quindi che, sul cloud, ci sia ancora molta strada da fare. che ognuno possa accedere solo alle sue risorse e non a quelle degli altri utenti. In questo senso, tematiche come la multitenancy sono essenziali per garantire la protezione dei dati e delle informazioni delle aziende che condividono un ambiente cloud. L AUMENTO DELLE PRESTAZIONI E IL CROLLO DEI PREZZI DELL INFRASTRUTTURA SEMBRANO AVVANTAGGIARE IL PRIVATE CLOUD, E QUINDI UNA GESTIONE INTERNA ALL AZIENDA DELLA SICUREZZA. SIETE D ACCORDO? Che la sicurezza sia migliore nel private cloud è abbastanza evidente. Non penso però che l aumento delle prestazioni e il crollo dei prezzi avvantaggino in particolare solo il private cloud. Detto questo, ritengo che il private cloud venga preferito quasi esclusivamente proprio perché garantisce un maggior controllo sulla sicurezza, e non per motivi legati ai costi o alle tecnologie. A CHE LIVELLO È OGGI E QUANTO È IMPORTANTE, UNA CORRETTA CONOSCENZA NELLE AZIENDE DI CLOUD E VIRTUALIZZAZIONE? TUTELA DELLA PRIVACY IN AMBIENTI VIRTUALI: UNA CONVIVENZA POSSIBILE? Come già detto, la sicurezza e, di conseguenza, anche l accesso a dati confidenziali e personali è molto importante. Ogni cliente deve poter accedere solo ai suoi dati ed essere schermato dagli altri clienti, che accedono alle stesse risorse IT. La convivenza è sicuramente possibile dove siano stati previsti gli strumenti adatti per garantire sicurezza e privacy. 3 CONSIGLI PER UN CORRETTO APPROCCIO NEL GARANTIRE LA SICUREZZA IN AMBIENTI CLOUD. Ai potenziali clienti di servizi cloud consiglierei principalmente di: Definire contrattualmente i livelli di servizio relativi alla sicurezza Assicurarsi che chi eroga il servizio utilizzi strumenti per la multitenancy Dotarsi di strumenti di monitoraggio per avere la possibilità di monitorare i livelli di servizio stabiliti in tema di sicurezza. Il tema virtualizzazione è sviluppato ovunque, da tutte le tipologie delle aziende, grandi e piccole che siano. Diversa è la situazione del cloud che, a mio parere, viene ancora approcciato soprattutto a livello teorico; infatti, a differenza della virtualizzazione, il cloud non rappresenta solo un cambiamento tecnologico, ma anche e soprattutto di modalità di fruizione, perché prevede che le aziende passino da una modalità di prodotto a una modalità di servizio. In questo senso, non penso che aprile

12 PIER PAOLO BOCCADAMO, PRIVATE CLOUD LEAD DI MICROSOFT ITALIA LE AZIENDE STANNO INVESTENDO SUI SERVER, PER MIGLIORARE COSTI E GESTIBILITÀ DEI DATA CENTER. QUALI RISVOLTI SULLA SICUREZZA IN AMBIENTI VIRTUALI E CLOUD? È innegabile che gli incredibili scenari di evoluzione dell IT abilitati dalle tecnologie cosiddette di Cloud Computing richiedano una peculiare focalizzazione in termini di sicurezza, supportata da specifiche considerazioni e scelte di natura architetturale e tecnologica, quanto di governance ed enterprise risk management. Ad esempio, la virtualizzazione, uno degli elementi chiave del Private Cloud e di offerte Infrastructure as a Service (IaaS), porta insieme ai suoi benefici - come multi-tenancy, miglior utilizzo delle risorse server, consolidamento dei data center sia gli aspetti di sicurezza di un sistema operativo che funziona come guest, sia nuove preoccupazioni inerenti la sicurezza dello strato hypervisor, le minacce specifiche come attacchi inter-vm e blind spots, la complessità a livello di operations derivata dal proliferare delle Virtual Machine, la difficoltà di crittografare le immagini di virtual machine, e la distruzione di dati residui, tanto per citarne alcune. Le possibilità offerte dalle varie possibilità di Cloud, Pubblico, Privato, Ibrido, introducono altre prospettive di sicurezza, tanto interessanti quanto rilevanti da considerare. Ad esempio, i nostri dati ed applicazioni non necessitano di risiedere nello stesso luogo, e possiamo scegliere di spostare solo parte delle funzioni nel cloud. L AUMENTO DELLE PRESTAZIONI E IL CROLLO DEI PREZZI DELL INFRASTRUTTURA SEMBRANO AVVANTAGGIARE IL PRIVATE CLOUD, E QUINDI UNA GESTIONE INTERNA ALL AZIENDA DELLA SICUREZZA. SIETE D ACCORDO? Il Private Cloud gode dell attenzione da parte del mercato perchè da molti visto come la logica evoluzione di architettura di infrastruttura, capace di introdurre i benefici fondamentali del cloud computing, pur mantenendo un maggior controllo a livello perimetrale dei propri asset. Andando più a fondo nel confronto con clienti e operatori di mercato, ci si rende conto che la possibilità di valutare selettivamente le proprie esigenze, e di poter decidere quali risorse e servizi acquisire o rendere disponibili attraverso un cloud privato piuttosto che pubblico, in una architettura sicura e governabile in maniera integrata, con il miglior risultato in termini di affidabilità ed efficienza, rappresenta la vera ambizione di ciascuno. La Soluzione Microsoft per il Private Cloud consentono un percorso di implementazione secondo i termini e i tempi del cliente, valorizzando gli investimenti in tecnologie e risorse già effettuati (ad es. supportando svariate tecnologie di virtualizzazione e sistemi opera- aprile

13 tivi), permettendo economie di scala al crescere delle esigenze, e potendo implementare già oggi le fondamenta per il futuro delle esigenze di servizi IT di un impresa. A CHE LIVELLO È OGGI E QUANTO È IMPORTANTE, UNA CORRETTA CONOSCENZA NELLE AZIENDE DI CLOUD E VIRTUALIZZAZIONE? Credo sia importante che tutte le aziende comprendano in linea di massima le opportunità, le caratteristiche e le peculiarità offerte dal cloud, nelle sue varie opzioni, quantomeno per poter maturare la consapevolezza di come l IT possa già da oggi esser sempre più un servizio misurabile che abilita le strategie aziendali, pretendendolo in quanto tale da fornitori e operatori di mercato. TUTELA DELLA PRIVACY IN AMBIENTI VIRTUALI: UNA CONVIVENZA POSSIBILE? Il cloud computing solleva un numero di importanti questioni in merito a come le persone, le organizzazioni e i governi gestiscono informazioni e interazioni. A riguardo della maggior parte delle tematiche di privacy, come pure delle prospettive degli utenti tipici, il cloud computing riflette l evoluzione delle esperienze nell uso di Internet di cui da tempo godiamo, piuttosto che una rivoluzione. Mentre le sfide per offrire sicurezza e privacy stanno evolvendo con l evolvere e l adozione del cloud, i principi alla base non sono cambiati, e Microsoft continua a ribadire il suo impegno nei confronti di quei principi, collaborando con tutti gli attori istituzionali e di mercato sul tema. 3 CONSIGLI PER UN CORRETTO APPROCCIO NEL GARANTIRE LA SICUREZZA IN AMBIENTI CLOUD. Non sono certo di saper identificare solo 3 consigli, ma sono convinto che, accanto a un approccio risk-based, sia la focalizzazione a livello di design l elemento dal quale non si può prescindere. Per quanto riguarda il private cloud, il principio chiave di sicurezza che orienta e porta a un design efficace è che tale design dovrebbe avere come obiettivo quello di costruire un sistema di controlli, anzichè una collezione di controlli. Questo sistema unificato di controlli assume una valenza evidentemente maggiore delle singole tecnologie e metodologie di sicurezza: ogni parte si integra con le altre al fine di offrire le difese totali. Un approccio unificato di sicurezza dovrebbe coniugare le best practice tradizionali e consolidate sulla sicurezza, insieme a caratteristiche di design peculiari degli scenari di cloud privato e ibrido, come comprendere che la isolation diventa elemento imprescindibile, assumere che un attacco possa arrivare anche da entità autenticate ed autorizzate, pensare tutte le locazioni dati come accessibili, non fare nessuna assunzione a riguardo della sicurezza di qualunque applicazione client che accede ai servizi ospitati nel cloud, automatizzare le operazioni di sicurezza, e considerare la sicurezza come un involucro intorno a tutti gli elementi dell architettura cloud. La possibilità di realizzare un ambiente IT moderno, nel quale possano essere valorizzati tanto gli investimenti già fatti quanto le possibilità offerte dal Cloud mantenendo però i più elevati standard di sicurezza e di privacy, è quello che Microsoft si pone come obiettivo sia attraverso le proprie soluzioni per il Private Cloud, di cui sono elementi portanti Microsoft System Center 2012 e Windows Server già dalla versione 2008 R2, sia con la piattaforma PaaS Microsoft Azure e gli altri servizi Cloud come Microsoft Office365. Il frutto della quotidiana esperienza in scenari IT ad alta virtualizzazione e Cloud, e del confronto con clienti e operatori del settore, è altresì oggetto di approfondimento all interno di risorse come Microsoft Technet e il portale delle Soluzioni Microsoft per il Private Cloud ( o della Microsoft Virtualization e Private Cloud Conference 2012 del prossimo 16 e 17 Maggio a Milano. aprile

14 ANTONIO MARSICO, SECURITY & RISK MANAGEMENT PRACTICE MANAGER TECHNOLOGY SERVICES, HP ITALIANA LE AZIENDE STANNO INVESTENDO SUI SERVER, PER MIGLIORARE COSTI E GESTIBILITÀ DEI DATA CENTER. QUALI RISVOLTI SULLA SICUREZZA IN AMBIENTI VIRTUALI E CLOUD? Gli ambienti virtuali vengono utilizzati ormai da molti anni e i controlli di sicurezza in questi contesti sono avanzati. Ultimamente l interesse sempre crescente verso il cloud che non coincide con il concetto di virtualizzazione ha fatto sì che si ponesse maggiormente l accento su soluzioni orientate a piattaforme virtuali. A nostro parere le conseguenze maggiori possono essere legate ai meccanismi di automatizzazione delle risorse sottese dal cloud, che potrebbero rivelarsi un arma a doppio taglio: comandi e funzioni possono essere utilizzati da hacker per la creazione di botnet ad-hoc. HP inoltre sottolinea di progettare e proporre soluzioni che tengano in conto importanti risvolti sulla privacy e sulla riservatezza dei dati. L AUMENTO DELLE PRESTAZIONI E IL CROLLO DEI PREZZI DELL INFRASTRUTTURA SEMBRANO AVVANTAGGIARE IL PRIVATE CLOUD, E QUINDI UNA GESTIONE INTERNA ALL AZIENDA DELLA SICUREZZA. SIETE D ACCORDO? HP sta delineando per i propri clienti un approccio agli ambienti cloud attraverso una soluzione private, che consente alle aziende di prendere confidenza con questo nuovo modello operativo, capire e conoscere a fondo le sfide in termini di sicurezza e compliance ma soprattutto di fare leva sugli investimenti affrontati per le infrastrutture classiche. A CHE LIVELLO È OGGI E QUANTO È IMPORTANTE, UNA CORRETTA CONOSCENZA NELLE AZIENDE DI CLOUD E VIRTUALIZZAZIONE? Il processo di virtualizzazione delle infrastrutture IT è cominciato ormai da tempo anche se la componente principale rimane comunque quella fisica. A nostro parere il motivo di tale diffidenza all adozione di soluzioni virtuali o ambienti cloud, è legato alla scarsa padronanza di questi temi e al timore di impatti negativi su privacy e riservatezza dei dati. TUTELA DELLA PRIVACY IN AMBIENTI VIRTUALI: UNA CONVIVENZA POSSIBILE? Con i dovuti accorgimenti la tutela della privacy in ambienti virtuali è assolutamente possibile. Cloud e virtualizzazione offrono nuove modalità di gestione e utilizzo delle informazioni, ma creano anche complessità a livello di privacy e sicurezza dei dati. Nell ambiente virtuale, diventa fondamentale concedere aprile