06 NOV 2017

La sicurezza informatica all’epoca del cloud

Il cloud computing può essere immaginato come un nuovo modo di pensare le applicazioni, un’opportunità di svincolarsi dalle logiche di gestione dei sistemi dei propri ambienti IT per pensare solo al business, un insieme di servizi (forniti da terzi) pronti da usare per gestire i processi aziendali senza essere costretti ad installare gli applicativi sui propri sistemi.

Questo si traduce in una schematizzazione consolidata che descrive le modalità di approccio al tema adottate dai maggiori Provider Cloud:

  • Infrastructure as a Service (IaaS): Il cloud viene visto come un datacenter esterno alla propria azienda o un’estensione di esso, su cui creare degli ambienti operativi (tipicamente macchine virtuali) su cui installare il proprio stack software di riferimento. L’infrastruttura HW è gestita e supportata dal singolo Provider, ma l’operation è a carico dell’utilizzatore del servizio cloud.
  • Platform as a Service: Il Cloud fornisce delle piattaforme “middleware” che possono essere usate come base per la realizzazione delle proprie applicazioni. In questo caso è a carico del Provider la gestione infrastrutturale Software (es. sistema operativo ed installazione e manutenzione del middleware), mentre la configurazione della piattaforma e l’inserimento del software finale è a carico dell’utilizzatore del servizio cloud.
  • Software as a Service: In questo caso il Provider fornisce delle applicazioni complete che l’utilizzatore del cloud può personalizzare o usare direttamente per le proprie esigenze. La gestione dell’intero stack applicativo e sistemistico è a carico del Provider.

La distinzione appena elencata vale sia che si voglia usare il cloud per costruire un servizio da fornire ai propri clienti, sia per gestire applicazioni e servizi funzionali al proprio It.

 

Il Cloud, quali vantaggi?

L’approccio “as a service” del cloud ha dei vantaggi incrementali, man mano che si ha la possibilità di avvicinarsi al modello SaaS, poiché alla possibilità di scalare il proprio ambiente operativo cloud senza preoccuparsi di eventuali acquisizioni Hardware (IaaS), si associa una sempre maggiore indipendenza dalle incombenze operative che semplificano e rendono più economica la gestione dei sistemi (PaaS), fino ad arrivare a demandare la gestione stessa completamente al Provider (SaaS).

Un altro vantaggio sostanziale è fornito dalla politica “pay per use” tipicamente adottata dai Provider, che, grazie alla velocità di attivazione/disattivazione/scaling dei sistemi cloud, consente di sfruttare (e pagare) i propri ambienti nelle loro effettive ore di utilizzo (un tipico esempio è un’applicazione usata solo in orario di ufficio).

Se consideriamo il proprio server aziendale come un’auto propria, possiamo associare:

  • un’auto in leasing ad un server acquisito in modalità IaaS (pago la benzina e la guido io, ma non pago la manutenzione dell’auto ed i ricambi).
  • un’auto car sharing ad un ambiente PaaS (pago il servizio per il tempo che la uso, la guido io, ma non mi preoccupo di altro).
  • un taxi ad un ambiente SaaS (chiedo all’autista di portarmi da un punto ad un altro e lo pago per il tempo di utilizzo).

Cloud, quali sono i principali rischi per la sicurezza aziendale

Uno dei principali rischi connessi all’utilizzo del cloud è che i dati non sono più sotto il controllo diretto dell’azienda, né in un contesto che risponde alle logiche aziendali, quindi esposti alle vulnerabilità di terzi.

Il secondo rischio è connesso alla cessione e all’utilizzo dei dati. La normativa europea, però, si è mossa verso una legislazione comparata e valida in tutti i Paesi con la GDPR  General Data Protection Regulation.

Un terzo rischio è connesso all’utilizzo delle API, interfacce di tipo applicativo che possono essere utilizzate per costruire altri servizi su quelli esistenti. Poiché le API sono un punto di ingresso per accedere ai dati, devono essere sicure.

 

Ultime news

Send this to a friend