Per Bruno Melandri, Emc Emea Practice Manager, virtualizzazione e Dlp danno solidità.
Per Bruno Melandri, Emc Emea Practice Manager è fuori di dubbio che siano soprattutto le preoccupazioni legate alla sicurezza a rappresentare un ostacolo alla diffusione del cloud computing nelle aziende.
A suo parere utile sarebbe definire quali siano le aspettative di utilizzo del cloud da parte dei suoi potenziali utilizzatori. Utile, allo scopo, usare un modello di definizione come quello del National Institute of Standards and Technology (Nist) almeno per avere una base univoca di discussione.
A prescindere dallo specifico contesto, però prima di parlare di cloud sicuro o insicuro bisogna essere consapevoli che le maggiori porte di attacco alle applicazioni sul Web, a oggi sono ancora l’Sql injection e il cross scripting.
Melandri concorda sul fatto che la sicurezza sul cloud sia una delle aree su cui porre la massima attenzione. Infatti sono degne di nota sia iniziative “collegiali” quali la Csa (Cloud Security Alliance), sia quelle spinte dai fornitori e relativi ecosistemi, come Vmsafe di Vmware. Entrambe sono importanti, anche se in modi differenti: mentre le prime si focalizzano sul definire e/o regolamentare framework comuni coi quali sviluppare metodi e strumenti condivisi, nelle seconde si assiste alla realizzazione di framework che vengono da subito utilizzati dallo specifico ecosistema per realizzare soluzioni reali, quali ad esempio le integrazioni per la Dlp (Data Lost Prevention) di Rsa.
Il cloud, per Melandri, non necessariamente significa per le imprese una nuova forma di outsourcing dell’infrastruttura in modalità “pay per use”.
Il grosso interesse da parte di molti clienti è posto sul paradigma di economicità, flessibilità, agilità e velocità tipiche del cloud coniugate con le possibilità di pianificare, prevedere e controllare dell’ It classico.
Questo sfocia nel concetto di “Internal cloud” che per entità industriali complesse può spingersi al livello superiore, quello di “Federated cloud” (nel modello Nist è riferito a una community) realizzato appunto da una federazione di entità It (varie aziende) appartenenti alla stessa corporate (un gruppo industriale) dove le varie realtà It si organizzano con la doppia identità di cloud provider e cloud customer per minimizzare i costi mantenendo il più possibilmente segregati i rischi, nel caso specifico legati a sicurezza e/o a criteri di compliance ad essa legati.
Solo una chiara identificazione e catalogazione di applicazioni e processi aziendali, per Melandri, porta a definirne tra l’altro le modalità di reazione all’evento (al singolo incidente) ad esempio sfruttando le capacità disponibili in federazione.
Ancora una volta, tecnologie di virtualizzazione tipiche del cloud, coniugate a controlli di Dlp, possono partecipare a rafforzare la compliance della movimentazione delle applicazioni a specifiche esigenze di sicurezza.
