Il cloud, per le imprese, è come il nettare per le api, perché dà opportunità di business, facilità di sviluppo e accelerazione del time to market, con grandi vantaggi rispetto al passato. Per questo, ci spiega Antonio Madoglio, Director Systems Engineering di Fortinet per l'Italia: "Le imprese per lanciare un nuovo servizio o rinnovare la manutenzione di un'applicazione residente nel proprio data center, per prima cosa valutano la possibilità di erogare lo stesso servizio nel cloud".
Un'opportunità, dunque, che "però nasconde molte insidie per quanto riguarda la gestione della sicurezza, a cominciare dal sapere chi accede a quel servizio/applicazione", evidenzia l'esperto di Fortinet, aggiungendo: "I cloud service provider, normalmente, forniscono impostazioni per una sicurezza di primo livello, che non ha caratteristiche come quelle che le imprese impostano on premise".
Un'infrastruttura tra le nuvole
In generale, quindi, il sistema di security non è molto elevato e inoltre il tema del multicloud complica molto la situazione, perché le aziende si trovano a dover gestire servizi che sono ubicati in diversi luoghi e presso cloud provider differenti, il che, spesso, non facilita l'ottenimento di una visibilità end to end complessiva e per i Ciso (Chief Security Officer) è complicato dover interagire di volta in volta con diversi cloud service provider.
Il risultato, conclude Magoglio:"è che il perimetro dell'azienda non è più quello delle mura di un castello protetto, ma si allarga tra le nuvole, impedendo la visione omnicomprensiva di tutta l'infrastruttura e quindi, anche per il Ciso o l'IT manager nelle aziende più piccole è difficile gestire e, soprattutto, dimostrare il livello di sicurezza e protezione della propria infrastruttura.
La rete che rischia di imbrigliare il business
Un altro tema caldo è quello delle reti SD-WAN, che ciascuno interpreta in modo un po' diverso a seconda dall'approccio adottato, ma, in sostanza, ci spiega l'esperto di Fortinet, consiste in uno strato software che astrae la gestione delle connessioni geografiche, siano esse su Internet o sul protocollo MPLS usato dalle grandi imprese. L'SD WAN permette di vedere le diverse connessioni a disposizione di un'azienda come se fossero un unico 'tubo', anche se invece sono servizi proprietari e noleggiati presso diversi provider.
Tutti questi insiemi di connettività possono essere astratti anche a livello di gestione e di configurazione e visti come un unico link, che il software gestisce in modo trasparente per l'amministratore. Quest'ultimo deve solo definire delle regole che permettono al software di indirizzare al meglio il traffico aziendale. Per esempio possono esserci delle regole che fanno in modo che il traffico più pregiato per l'azienda sia indirizzato su i link più capienti in termini di velocità o più affidabili in termini di latenza. Per esempio le chiamate Voip rischiano di non essere intellegibili se la latenza è troppo elevata. Le cose si complicano se si considerano le dinamiche di sicurezza e non solo quelle di fruibilità delle applicazioni, perché si dovranno proteggere le connessioni dalle minacce provenienti da Internet.
Un esempio concreto
Madoglio ci spiega in che senso occorre gestire le regole delle SD-WAN e l'uso del multicloud per ottimizzare la connessione, in modo da supportare nel modo più consono i vari servizi e perché una gestione unificata significa maggiore sicurezza, più efficacia e fa risparmiare molti costi.
Pensiamo, tenendo presente che per una media impresa cambia poco o nulla, a una grande azienda distribuita, con molte sedi sul territorio in Italia o all'estero, ciascuna con diverse connessioni, anche presso provider differenti.
Essendoci, come accennato, la propensione delle aziende a spostare i servizi nel cloud, possiamo, per esempio, immaginare un utente che deve accedere alla propria posta elettronica in cloud da una sede remota. La fruizione della posta non avverrà attraverso la connessione che porta alla sede principale, perché il server è in cloud, quindi verrà utilizzata la connessione Internet locale.
In questo caso, l'infrastruttura di SD-WAN e quella per la sicurezza, dovranno capire che quell'applicazione è la posta elettronica e, mentre la SD-WAN deve scegliere il cammino più consono, (che in questo caso sarebbe la connessione a Internet magari sul provider primario) al tempo stesso la struttura di sicurezza, deve proteggere la connessione dagli attacchi che arrivano tipicamente da Internet.
Si tratta di una situazione classica che richiede sia le capacità di una SD-WAN, cioè la capacità di scegliere il cammino migliore, sia le capacità di protezione, che è auspicabile siano quelle di sicurezza next generation firewall, cioè allo stato dell'arte.
Un modo per gestire i due processi è quello di realizzare in azienda centri specializzati NOC/SOC (Network Operation Center e Security Operation Center), come si è spesso fatto in passato. Ma queste strutture costano, ci spiega Madoglio, precisando: "Il costo della gestione nel day by day ha un forte impatto. Tali centri prevedono reperibilità delle persone, risorse competenti, continua formazione, la gestione dell'evoluzione, cioè delle richieste del business, con applicazioni che nascono e muoiono ogni giorno. Quindi vanno gestite in modo dinamico le attività di configurazione dell'SD-WAN, della sicurezza e del cloud.
Un tessuto per un vestito unificato su misura
Afferma il Director Systems Engineering di Fortinet in Italia: "Il nostro approccio permette di avere una gestione unificata della security su situazioni distribuite, come quella esemplificata prima e, ancor più in generale, su situazioni che vedono le imprese avere soluzioni installate e gestite nel data center aziendale e sistemi e servizi acquistati in cloud. Che poi sia cloud singolo o multiplo, ibrido o privato poco importa, riusciamo comunque ad avere una gestione semplice dei diversi ambiti, pur in una situazione molto complessa".
Lo strumento che Fortinet mette a disposizione delle imprese "per raggiungere quanto descritto da Madoglio è il Fortinet Security Fabric.
Fabric, in inglese' tessuto', è il framework che, come un 'tessuto di sicurezza', serve per "costruire un vestito cucito ad hoc per ogni cliente, cui dà visibilità sul traffico di rete e sulla situazione della sicurezza", spiega l'esperto, che aggiunge: "Quindi se un'applicazione è soggetta a un attacco, per esempio sul service provider 1, quello stesso attacco viene notificato alla console di gestione centralizzata che si attrezza per contrastare lo stesso attacco, anche su applicazioni ubicate presso altri provider".
Inoltre, conclude Madoglio, la facilità di gestione permette di definire una policy coerente con le policy di sicurezza aziendali e di attivarla in ogni ambiente, in modo trasparente rispetto all'ubicazione nell'infrastruttura e della situazione frastagliata che potrebbe presentarsi".
La sicurezza del cloud è un tema trattato nella monografia di Reportec su Cloud e Managed Service.