Fortinet ha reso noti i risultato di un recente sondaggio, da cui si evince che l’infrastruttura, le applicazioni e i dati si spostano in due direzioni fra on premise e cloud pubblico o privato.
Questo avviene mentre le aziende stanno ancora cercando di capire in quali aree e con quale modalità adottare questo strumento.
Delle 350 aziende analizzate dalla società di sicurezza informatica, il 74% ha spostato un’applicazione nel cloud pubblico e poi, per una molteplicità di ragioni e circostanze, ha deciso di ritornare all’infrastruttura cloud privata oppure on-premise.
Questo non vuol dire che abbiano invertito tutte le implementazioni cloud, ma soltanto che si stanno trovando ad affrontare determinate situazioni che richiedono una flessibilità bidirezionale. Per fare un esempio, il 40% degli intervistati ha evidenziato come, in alcuni casi, i cloud deployment che sono stati trasferiti nell’infrastruttura aziendale erano stati inizialmente pianificati come temporanei. Questo potrebbe essere dovuto a diversi fattori, come ad esempio la necessità di creare un’infrastruttura momentanea durante la transizione IT che nasce da una fusione oppure da un’acquisizione. Ci sono tuttavia molte altre motivazioni che potrebbero essere alla base di tale trasferimento: le preoccupazioni per la sicurezza, la necessità di gestire i costi, le scarse prestazioni nel cloud, il cambiamento delle normative, lo sviluppo di nuove applicazioni e le evoluzioni tecnologiche.
È un dato di fatto che i continui cambiamenti e le evoluzioni stiano mettendo la maggior parte delle aziende nelle condizioni di operare in un ambiente multi-cloud dinamico. Le imprese che spostano applicazioni e altre risorse nel cloud, nonchè i provider tecnologici che le supportano fornendo infrastrutture, management e security, devono fare i conti con questa realtà. Ne deriva che debbano pertanto creare prodotti e servizi tenendo conto di questa flessibilità e dinamicità. Insomma, come Fortinet ha indicato, un cloud a due direzioni.
La prima sfida è rappresentata dal fatto di dover identificare chi si occupa della sicurezza, nel caso in cui l’infrastruttura sia vittima di un attacco cyber.
Quando è stato chiesto agli intervistati quali fossero i fattori che li hanno spinti a spostare nuovamente le applicazioni nelle proprie infrastrutture, le due risposte più comuni – date dal 52% del campione rappresentativo del sondaggio – sono state la performance e la security. Le prestazioni miglioreranno probabilmente nel tempo man mano che la pratica di creare applicazioni nel cloud si andrà affinando e le aziende definiranno meglio le proprie aspettative. La sicurezza, invece, è un punto a cui è necessario prestare più attenzione, perché molte realtà non hanno il polso delle responsabilità in capo alle diverse figure che operano al loro interno.
Un’alta percentuale di intervistati ha erroneamente ritenuto il proprio provider cloud responsabile di minacce di livello superiore (come gli APT) che colpiscono i sistemi vulnerabili che hanno implementato, mentre in realtà è l’impresa stessa a esserne responsabile.
La regola migliore è quella di consultare le best practice relative a ogni servizio cloud di cui si sta usufruendo e aspettarsi dal provider la semplice fornitura di un ambiente di lavoro isolato e disponibile per eseguire questi servizi.
Il cloud è un’infrastruttura condivisa e, quando si tratta di eventi che riguardano la sicurezza, è importante distinguere la responsabilità dell’azienda verso il fornitore del servizio al fine di far fronte in modo efficace al rischio.
L’altra sfida è data dal fatto che gli strumenti, le funzioni, le policy e i protocolli di sicurezza non funzionano in modo simile tra diverse piattaforme di cloud pubblici, privati e infrastrutture fisiche.
Secondo Fortinet Il passaggio al cloud è stato un processo tutt’altro che semplice e in un futuro non troppo lontano, le applicazioni e i servizi si muoveranno continuamente in due direzioni verso fino a quando le imprese non troveranno la combinazione giusta tra soluzioni pubbliche, private e on-premises più adeguata per le loro necessità.
E, persino allora, continueranno a esserci molte ragioni per cui possa essere necessario spostare di nuovo applicazioni, infrastrutture e altre risorse. In un ambiente dinamico, la sicurezza non può permettersi di essere trascurata solo perchè vengono implementati differenti tool.
Questo approccio porta inevitabilmente a criticità quali ritardi da parte dei fornitori o nella distribuzione e lacune nella security dovute a incompatibilità di configurazione e differenze di funzionalità, policy tra le diverse soluzioni di sicurezza distribuite in ambienti differenti.
Punti fondamentali nella nuova economia digitale sono la necessità di adottare una strategia di sicurezza integrata, visualizzare e gestire i dispositivi e le policy di sicurezza nell’intera rete distribuita.
