La migrazione delle applicazioni e dei dati dell'organizzazione nel cloud è solo il primo passo del processo di cloud computing. Perché il compito di mantenere la sicurezza di queste applicazioni e dei dati è appena cominciato.
In questo articolo, saranno illustrate quali tecnologie e processi devono essere avviati, controllati e resi sicuri, dopo un'implementazione di cloud computing. Ma gli stessi concetti valgono anche se presso la vostra azienda il cloud è già attivo e funzionante.
Identity Access Management
Il cloud computing trasforma tutti i dipendenti e collaboratori in lavoratori remoti, il che rende l'Identity
and Access Management (IAM) una delle principali sfide, una volta che è
avvenuta la transizione al cloud.
E' importante avere una solida amministrazione degli utenti e dei loro accessi in modo che gli account, le credenziali e i diritti di accesso siano sempre pertinenti e aggiornati, senza ovviamente trascurare la disattivazione dell'account quando un dipendente lascia l'azienda.
Cercate anche di avviare una strategia IAM che possa fare pieno uso della gestione delle identità "federate", la quale consente agli utenti di accedere in modo sicuro ai dati o ai sistemi di sicurezza tra domini autonomi.
Più in dettaglio, considerate l'introduzione del Single Sign-On (SSO) nelle applicazioni aziendali e sfruttate questa architettura per semplificare le implementazioni del fornitore di cloud.
La migrazione verso il cloud apparirà molto più trasparente agli utenti se stanno già utilizzando il SSO e questo renderà meno onerosa la gestione della "fiducia" tra i diversi tipi di servizi cloud. Dovrete anche disporre di un archivio dei dati essenziali che vi aiuti a monitorare e valutare i cambiamenti causati dall'attività di cloud.
Un prodotto SSO dovrebbe usare uno degli standard comuni per l'implementazione della federazione, come per esempio Security Assertion Markup Language (SAML) e Liberty Alliance ID-FF. Questi standard estendono le policy esistenti, inerenti l'accesso e l'identità, dalla rete interna fino al cloud, pur continuando a far valere l'appropriata forza di autenticazione richiesta dalle vostre policy di protezione delle informazioni e di classificazione dei dati.
Larghezza di banda
Il maggiore utilizzo di Internet che comporta il cloud computing aumenta
anche il rischio di congestione della rete. Le applicazioni web-based sono estremamente
sensibili alla latenza, molte stentano a funzionare se la rete è troppo
occupata.
I tempi di inattività o di lenta esecuzione sono frustranti per i dipendenti e possono portare a violare le policy. I lenti trasferimenti di file o di dati, per esempio, possono indurre i dipendenti a utilizzare metodi alternativi che possono essere molto meno sicuri e che infrangono le regole di sicurezza.
Una soluzione a questo problema è di utilizzare un prodotto per l'ottimizzazione della WAN progettato per alleggerire il traffico delle applicazioni aziendali in rete: si ottiene così un miglioramento della gestione del traffico delle applicazioni e si eliminano le trasmissioni ridondanti. Prodotti come NetScaler di Citrix offrono un firewall per le applicazioni Web e combinano la gestione del traffico attraverso il load balancing Layer 4-7. Tra gli altri fornitori di ottimizzazione WAN, evidenziamo Riverbed Technology e Blue Coat Systems.
Firewall
Le connessioni tra la rete interna e il cloud dovrebbero ovviamente essere cifrate;
inviare qualsiasi dato sensibile o mission-critical in chiaro su Internet è
come offrire un invito a rubare il dato stesso.
Come network engineer, assicuratevi che i dispositivi di rete siano in grado di gestire algoritmi di crittografia a chiave pubblica che fanno un uso intensivo del processore e che permettono la comunicazione cifrata SSL.
Alla vostra infrastruttura potete aggiungere schede di accelerazione SSL o proxy, che gestiscono tutte le operazioni SSL. Tuttavia, la crittografia da sola non fermerà i malware e gli altri attacchi di rete. È importante, quindi, per proteggere la rete interna aggiornare il firewall in modo che possa ispezionare il traffico SSL.
La cifratura dovrebbe idealmente lavorare in congiunzione con i prodotti per il Data Loss Prevention (DLP), che classificano e minitorano i dati e rafforzano le policy.
Audit
Dopo l'implementazione del cloud computing, un altro compito importante è
quello di effettuare una verifica di tutte le policy di sicurezza per
garantire che siano attuali e consistenti.
Inoltre, è necessario rivedere, aggiornare e verificare i piani e le procedure di disaster recovery e business continuity.
I processi e, soprattutto, i ruoli delle persone muteranno una volta che l'infrastruttura di cloud computing è parte della gestione quotidiana dei sistemi. Il team IT interno avrà sicuramente bisogno di lavorare a stretto contatto con il provider cloud in modo che ognuno abbia ben chiare le responsabilità dell'altro all'interno di un piano di continuità, compresi quali aspetti di un eventuale recovery saranno trattati e da chi. Essere preparati alle interruzioni del servizio ridurrà l'entità di qualsiasi evento.
Infine, non date per scontato nessuno statement nel SLA del vostro provider. Verificate che esegua entro i tempi concordati il backup dei sistemi e l'installazione delle patch. Dovreste poi richiedere al provider una copia dei risultati dei suoi audit per assicurarvi che tutte le raccomandazioni siano state attuate.
Impegnarsi in un dialogo costruttivo permetterà a entrambe le parti di affrontare i problemi di sicurezza molto più semplicemente, verificando che sia regolarmente rispettato il contatto, in particolare durante gli aggiornamenti delle applicazioni e del sistema. Questa comunicazione aiuterà a prevenire che le modifiche alterino le conformità con le regolamentazioni industriali o governative.
*fondatore e direttore generale di Cobweb Applications Ltd, società di consulenza IT
