Da Verizon una breve to do list su come affrontare il cammino verso il cloud nella consapevolezza di tutti gli aspetti da prendere in dovuta considerazione.
Nel momento in cui la spinta verso il cloud diventa sempre più pressante, cominciano ad affermarsi anche le best practice, destinate a costituire un modello di riferimento per tutte le imprese che guardano al nuovo modello di fruizione delle informazione e delle risorse It.
Secondo Verizon, che ha recentemente rilasciato un documento a riguardo, ci sono alcuni aspetti fondamentali che le imprese devono prendere attentamente in esame prima di intraprendere un percorso di migrazione, con un occhio di riguardo soprattutto a tutto quanto attiene alla sicurezza.
Vediamoli in sintesi.
Quale Cloud?
Cloud pubblici – Quando si parla di cloud pubblico, uno degli aspetti più interessanti per le imprese è quello dei costi. Tuttavia, l’utilizzo di ambienti condivisi virtuali consente di applicare criteri di sicurezza di base. Diventa importante, in questo caso, prestare attenzione alla selezione del provider, per verificare se questi soddisfi i criteri aziendali di sicurezza e compliance e garantisca una corretta segmentazione e isolamento delle risorse di elaborazione.
Firewall, intrusion protection, monitoraggio e controllo dei log, controllo degli accessi e crittografia dei dati sono requisiti necessari a prescindere dal modello di cloud prescelto.
Cloud privati – Anche in questo caso, e indipendentemente dal fatto che si scelga un servizio on premise o hosted presso il provider, fondamentale è non dare per garantito il fatto che sia un cloud sicuro. Come per il cloud pubblico, è fondamentale verificare che vi sia rispetto delle regole aziendali di sicurezza e di compliance.
Cloud Ibridi – Offrendo il meglio dei due mondi, pubblico e privato, spesso la soluzione ibrida è quella che consente alle aziende di adattare l’evoluzione verso il cloud ai reali obiettivi It e di business. Le applicazioni possono essere ospitate all’interno dell’ambiente più adatto e possono essere spostate da uno all’altro in base alla necessità o all’opportunità.
Infrastrutture sicure
La sicurezza dell’infrastruttura cloud è cruciale e in questo caso è opportuno analizzare cinque aspetti distinti.
Sicurezza fisica – E’ necessario proteggere le strutture con sistemi di climatizzazione, sistemi antincendio, gruppi di continuità, con un controllo garantito 24 ore su 24. Inoltre è importante utilizzare soluzioni biometriche per monitorare anche gli accessi fisici.
Sicurezza di rete e separazione logica – Per affrontare correttamente questo aspetto è necessario utilizzare versioni virtuali di firewall e di sistemi di intrusion prevention e isolare le zone dell’ambiente cloud contenenti sistemi e dati sensibili.
Verifica – A livello di gateway è opportuno implementare applicazioni antivirus, anti-malware e content filtering, così come è opportuno considerare funzionalità di data loss prevention.
Amministrazione – Fondamentale è prestare massima attenzione ai cloud hypervisor e assegnare un accesso altamente limitato alle interfacce virtuali di gestione.
Monitoraggio e controllo dei log – Tutti gli standard di sicurezza richiedono capacità di monitoraggio e controllo degli accessi alla rete, ai sistemi, alle applicazioni e ai dati.
Applicazioni sicure
Macchine Virtuli – Le Virtual Machine dovrebbero essere protette da specifici firewall cloud, sistemi di intrusion prevention e applicazioni anti-virus, oltre a processi di gestione delle patch completi e programmati.
Dati e Applicazioni – E’ opportuno utilizzare database dedicati per le applicazioni, se possibile con accesso limitato e in qualche caso con monitoraggio dei log.
Autenticazione – Per qualsiasi accesso da remoto e per qualsiasi accesso privilegiato è opportuno utilizzare sistemi di autenticazione a due fattori.
Gestione delle vulnerabilità – Le applicazioni sviluppate in un ambiente cloud richiedono controlli regolari delle patch, scansioni delle vulnerabilità, test di sicurezza indipendenti e monitoraggio continuo.
Data Storage – E’ importante non solo sapere quali dati sono archiviati nel cloud, ma anche le loro posizioni fisiche e logiche. Change Management – Le policy di change management devono essere documentate in modo chiaro e comprensibile.
Crittografia – Dati finanziari e informazioni sanitarie personali dovrebbero essere sempre criptati.