La sicurezza dei servizi cloud: una componente necessaria nella pianificazione della transizione digitale
![](https://www.wisdomtree.eu/-/media/eu-media-files/blog/refresh-images/technology/cloud-computing/technology_10_1151x564.jpg?h=564&iar=0&w=1151&sc_lang=it-ch&hash=B9012C49C37CD3F7F80021AEF92EACE6)
Spinta dai venti di coda dovuti alla pandemia e al lavoro a distanza, l’adozione del cloud è in ascesa e le migrazioni verso il cloud aziendale si sono ampliate, trasformandosi da esperimenti e applicazioni marginali in iniziative fondamentali per le imprese; perciò le capacità in materia di sicurezza si stanno evolvendo per consentire alle aziende di cogliere i vantaggi della transizione al cloud, mantenendo nel contempo il controllo sul loro approccio alla sicurezza, sui loro programmi per la protezione dei dati e sull’integrità delle loro applicazioni.
Fattori trainanti
Il 2020 sarà ricordato come un anno chiave per l’adozione del cloud, poiché le imprese hanno cercato di tagliare i costi, conservare la flessibilità e ridurre la domanda a causa delle turbolenze provocate dalla pandemia. Di fatto, secondo l’indagine del 2021 del direttore di servizi informativi di Team8, la sicurezza dei servizi cloud è l’area di investimento principale per il 2021, seguita dall’automazione della sicurezza e dalla gestione dell’accesso e dell’identità. In retrospettiva, ci aspettiamo che il 2020 venga ricordato non solo come l’anno in cui il cloud è diventato la norma, ma anche come quello in cui le dinamiche che guidano le reti di imprese e le distribuzioni dei carichi di lavoro sono cambiate per sempre. In un mondo in cui i container1 offrono la possibilità di combinare strategie di cloud computing e di memorizzazione ibride, multi-cloud e in sede, gli strumenti e le tecniche di sicurezza dovranno evolversi per ridurre la complessità generata da un gran numero di nuovi servizi all’interno e al di fuori del perimetro aziendale. Per esempio, il passaggio dei carichi di lavoro tra ambienti cloud diversi per ottimizzare la velocità, la scalabilità, i costi e la conformità ha creato un nuovo modello di “responsabilità condivisa” tra l’impresa e i suoi diversi fornitori di cloud computing. Se non viene gestito adeguatamente, questo modello rischia di consentire agli autori di minacce di identificare eventuali errori di configurazione e sfruttarli per ottenere l’accesso.
Impatto - Il cloud sta diventando così complesso che dovrebbe essere percepito come un sistema operativo. Molte delle soluzioni attuali nel campo della sicurezza sono solo equivalenti moderni dell’endpoint security e di altre tecniche attuate in sede che avevano un'efficacia limitata. Non solo gli attacchi continuano a verificarsi, ma sono intensificati dalla pervasività, dalla velocità e dalla connettività del cloud; anziché applicare a quest’ultimo soluzioni tradizionali, le aziende necessitano di soluzioni per la sicurezza architettate per il cloud che coniughino il controllo e l’integrità con la scalabilità e l’agilità.
Soluzioni - Cloud Workload Protection Platform (CWPP), Cloud Security Posture Management (CSPM), Container Security, Cloud Infrastructure Entitlement Management, Cloud Access Security Broker (CASB), Extended Detection and Response (XDR).
Prospettive
La prospettiva dell’anti-hacker - “Il prossimo passo importante per la sicurezza dei servizi cloud sarà la correzione automatica. La maggior parte delle vulnerabilità del cloud può essere risolta automaticamente anziché caso per caso, manualmente. Quando le cose si descrivono con il codice, si possono applicare facilmente ad istanze multiple. Questa caratteristica offre l’opportunità di correggere immediatamente queste vulnerabilità anziché aspettare che lo faccia DevOps.” - Jonathan Jaffe, CISO (direttore dei servizi informativi), Lemonade
La prospettiva dell’hacker secondo Team8 - Di solito la complessità di un ambiente gioca a vantaggio di un hacker e sarebbe difficile trovare un’infrastruttura più complessa del cloud moderno. È un intreccio di servizi, identità, registri, networking, elaborazione e memorizzazione. Per gli hacker è il far west.
Quando passano al cloud, molte imprese perdono la visibilità, la comprensione e il controllo che avevano quando la loro infrastruttura era in sede. Questo è un nuovo “luna park” per gli hacker, soprattutto perché hanno tantissime opportunità per allenarsi a colpire le reti cloud.
Nel nostro prossimo articolo ci occuperemo della sicurezza degli oggetti.
Autori che hanno contribuito a questo articolo: Bob Blakley, partner operativo presso Team8.
Nonostante l'utilizzo della prima persona plurale, le opinioni espresse in questo articolo sono quelle di Team8 e non rispecchiano necessariamente quelle di WisdomTree Europe.
Team8 è un venture group di livello mondiale, con una profonda competenza nel settore, che crea imprese e investe in aziende specializzate in tecnologia imprenditoriale, sicurezza informatica e tecnofinanza. Avvalendosi di un team interno e multidisciplinare di company builder integrato con una comunità dedicata di dirigenti ed esperti qualificati, il modello di Team8 è concepito per trattare grandi problemi, ideare soluzioni e contribuire all’accelerazione del successo attraverso la tecnologia, la preparazione del mercato e l’acquisizione di talenti. Per maggiori informazioni, visitare il sito www.team8.vc.
1 Un container è un’unità standard di software che contiene il codice e tutte le relative dipendenze affinché l'applicazione funzioni rapidamente e in maniera affidabile da un ambiente di cloud computing all’altro.
+ Un’introduzione alla sicurezza informatica, il megatrend del decennio in corso