Ne è convinto John Churchhouse, Direttore SMB EMEA di VMware, che propone uno spunto per l’analisi di come virtualizzazione e cloud consentano di gestire sia la sicurezza sia il rispetto delle politiche aziendali.
Nell’ambito informatico, la sicurezza è una preoccupazione per qualsiasi organizzazione, grande o piccola che sia. “Ma è anche un tema storicamente utilizzato per attaccare la virtualizzazione e, più recentemente, il cloud computing – sottolinea John Churchhouse, Direttore SMB EMEA di VMware –. Infatti, siamo abituati a un panorama IT fatto di macchine fisiche, le persone sono molto più a proprio agio quando possono vedere e ‘toccare con mano’ la sicurezza. Tuttavia, queste persone dimenticano che la virtualizzazione offre la possibilità di utilizzare diversi approcci alla sicurezza, potendo fornire un controllo maggiore e più flessibile”.
In un ambiente virtualizzato, la sicurezza assume una dimensione differente rispetto alla “tradizionale” protezione fisica delle risorse IT: gli asset che bisogna realmente proteggere – dati, applicazioni e ambienti operativi – sono contenuti all’interno di macchine virtuali (VM) che, in modo flessibile e trasparente, si muovono sull’infrastruttura fisica sottostante. Secondo Churchhouse, “le politiche di sicurezza devono essere associate con l’entità virtuale (macchina, applicazione o data center) e hanno bisogno di rimanere immutate con la migrazione di dati e applicazioni attraverso l’ambiente fisico. La virtualizzazione rende tutto questo possibile non solo con le applicazioni cloud, ma anche con le applicazioni pre-esistenti che sono cruciali per il business. In primo luogo, le VM sono istanze ‘ncapsulate’ di un’applicazione, dei dati e dell’ambiente operativo in cui vengono eseguite. In secondo luogo, la virtualizzazione è implementata facendo scorrere uno strato software aggiuntivo tra l’hardware fisico e le stesse VM”.
“Ai livelli più alti di astrazione – prosegue Churchhouse -, le Virtual Machine sono aggregate in applicazioni virtuali che a loro volta possono essere aggregate in un data center virtuale. Queste entità possono avere caratteristiche di sicurezza assegnate in modo tale che, cambiando le politiche necessarie, la sicurezza non verrà in alcun modo modificata. Lo strato software aggiuntivo menzionato prima permette agli ambienti virtualizzati di portare benefici e livelli di efficienza non facilmente ottenibili nel mondo fisico”.
Ci potrebbe fornire un esempio pratico? “Prendiamo la sicurezza anti-virus/end-point per ambienti PC. In un ambiente virtuale, un anti-virus può essere implementato come una singola appliance di sicurezza virtuale per molti ambienti virtualizzati di utenti finali, piuttosto che avere un software antivirus installato su ogni macchina. Inoltre, questo dispositivo di sicurezza virtuale non è visibile alle reti esterne e quindi non rappresenta un bersaglio per i malware. Lo stesso approccio può essere utilizzato con la compliance: potrebbe essere applicato infatti alla protezione dei dati sensibili, ad esempio, utilizzando le tecniche di prevenzione della perdita dei dati”.
Questo per quanto riguarda gli ambienti virtualizzati. Ma cosa ci può dire in relazione al cloud computing? “La maggioranza delle persone pensa ancora al cloud riferendosi alle grandi offerte di cloud pubblico, un settore che attualmente ricorda il selvaggio West: costi elevati a fronte della protezione e della sicurezza offerte”.
Quali soluzioni proporrebbe per la sicurezza e la compliance nel cloud pubblico? “In primo luogo – afferma Churchhouse –, i fornitori di servizi cloud devono costruire l’infrastruttura cloud su una solida piattaforma virtualizzata con il miglioramento della sicurezza virtuale. Secondariamente, l’organizzazione stessa può stabilire il proprio cloud privato, fatto con tecnologie compatibili e basato su standard aperti, gestione aperta e interfacce di controllo. Dato che questi ambienti sono intrinsecamente compatibili, le macchine virtuali possono essere spostate facilmente, con i loro attributi di sicurezza e conformità, dal privato al pubblico dominio, e viceversa”.
Cosa significa questo per le aziende, specie le PMI? “Oltre a fornire notevoli vantaggi economici – sostiene Churchhouse -, la virtualizzazione consente alle organizzazioni di aumentare i livelli di sicurezza in modo più flessibile ed efficiente. Inoltre è la tecnologia abilitante per il cloud computing. Ne consegue che tutte le preoccupazioni legate alla sicurezza di abbracciare un cloud pubblico possono essere fugate da fornitori selezionati, che hanno costruito la propria offerta tenendo conto della sicurezza a ogni livello. Tal i fornitori offrono le interfacce di gestione compatibili che consentono alle organizzazioni di vedere e gestire i propri cloud end-to-end (privati e pubblici) come se fossero un unico punto”.
Sappiamo quanto sia importante la protezione dei dati e la sicurezza dell’infrastruttura IT. “Se il cloud computing è il selvaggio West – conclude Churchhouse -, ci piacerebbe pensare che le nostre soluzioni agiscano come lo ‘sceriffo’, mantenendo l’ordine pubblico e consentendo di sfruttare in sicurezza i vantaggi notevoli che questa nuova frontiera ha da offrire”.
