E’ il consiglio che si trae dalle parole di John Churchhouse, Direttore Smb Emea di VMware, il quale propone un’analisi di come virtualizzazione e cloud consentano di gestire sia la sicurezza sia il rispetto delle politiche aziendali.
Nell’ambito informatico, la sicurezza è una preoccupazione per qualsiasi
organizzazione, grande o piccola che sia. “Ma è anche un tema storicamente utilizzato per attaccare la virtualizzazione e, più recentemente, il cloud computing – sottolinea John
Churchhouse, Direttore Smb
Emea di VMware –. Infatti, siamo abituati a un panorama IT fatto di macchine fisiche, le persone sono molto più a proprio agio quando possono
vedere e ‘toccare con mano’ la sicurezza.
Tuttavia, queste persone dimenticano che
la virtualizzazione offre la possibilità di utilizzare diversi approcci alla sicurezza, potendo fornire un controllo maggiore
e più flessibile”.
In un ambiente virtualizzato, la sicurezza assume
una dimensione differente rispetto alla “tradizionale” protezione
fisica delle risorse IT: gli asset che bisogna realmente proteggere – dati,
applicazioni e ambienti operativi – sono contenuti all’interno
di macchine virtuali (VM) che, in
modo flessibile e trasparente, si
muovono sull’infrastruttura fisica sottostante. Secondo
Churchhouse, “le politiche di sicurezza devono essere associate con l’entità virtuale (macchina, applicazione o data center) e hanno bisogno di rimanere immutate con la migrazione di dati
e applicazioni attraverso l’ambiente fisico. La
virtualizzazione rende tutto
questo possibile non solo con le
applicazioni cloud, ma anche con
le applicazioni pre-esistenti che
sono cruciali per il business. In
primo luogo, le VM sono istanze
‘ncapsulate’ di un’applicazione,
dei dati e dell’ambiente
operativo in cui vengono
eseguite. In secondo luogo, la virtualizzazione è implementata facendo scorrere uno strato software aggiuntivo tra l’hardware fisico e
le stesse VM”.
“Ai livelli più
alti di astrazione – prosegue Churchhouse -, le Virtual Machine sono aggregate in applicazioni
virtuali che a loro volta possono
essere aggregate in un data
center virtuale. Queste entità
possono avere caratteristiche
di sicurezza assegnate in modo tale che, cambiando le
politiche necessarie, la sicurezza non verrà in alcun
modo modificata. Lo strato software aggiuntivo menzionato prima permette agli ambienti
virtualizzati di portare benefici
e livelli di efficienza non facilmente ottenibili nel mondo fisico”.
Ci potrebbe fornire un esempio pratico? “Prendiamo la
sicurezza anti-virus/end-point
per ambienti PC. In
un ambiente virtuale, un anti-virus può essere implementato come una singola appliance
di sicurezza virtuale per molti ambienti virtualizzati
di utenti finali, piuttosto che avere un
software antivirus installato su ogni macchina. Inoltre, questo dispositivo di sicurezza
virtuale non è visibile alle reti esterne e
quindi non rappresenta un
bersaglio per i malware. Lo
stesso approccio può essere
utilizzato con la compliance: potrebbe essere applicato
infatti alla protezione dei dati sensibili, ad esempio, utilizzando le tecniche di prevenzione della perdita dei dati”.
Questo per quanto riguarda gli ambienti virtualizzati. Ma cosa ci può dire in relazione al cloud computing?
“La maggioranza delle
persone pensa
ancora al cloud riferendosi alle grandi offerte di cloud pubblico, un settore che attualmente ricorda il selvaggio West: costi elevati a fronte della protezione e della sicurezza offerte”.
Quali soluzioni proporrebbe per la sicurezza e la compliance
nel cloud pubblico? “In primo luogo – afferma Churchhouse –, i fornitori di servizi cloud devono costruire l’infrastruttura cloud
su una solida piattaforma virtualizzata con il
miglioramento della sicurezza virtuale. Secondariamente, l’organizzazione
stessa può stabilire il proprio cloud
privato, fatto con tecnologie compatibili e basato su standard aperti, gestione aperta e interfacce di controllo. Dato che questi ambienti sono intrinsecamente compatibili, le macchine virtuali possono
essere spostate facilmente, con i loro attributi di sicurezza e conformità, dal privato al pubblico dominio, e viceversa”.
Cosa significa questo per le PMI? “Oltre a fornire notevoli
vantaggi economici – sostiene Churchhouse
-, la
virtualizzazione consente alle organizzazioni
di aumentare i livelli di sicurezza
in modo più flessibile ed efficiente.
Inoltre è la tecnologia abilitante
per il cloud computing. Ne consegue che
tutte le preoccupazioni legate alla
sicurezza di abbracciare un cloud
pubblico possono essere fugate da fornitori selezionati,
che hanno costruito la propria offerta tenendo conto della sicurezza a ogni livello. Tal i fornitori offrono le interfacce di
gestione compatibili che consentono
alle organizzazioni di vedere e
gestire i propri cloud end-to-end
(privati e pubblici) come se fossero un unico punto”.
Sappiamo quanto sia importante la protezione dei dati e la
sicurezza dell’infrastruttura IT.
“Se il cloud computing è il selvaggio West – conclude Churchhouse -,
ci piacerebbe pensare che le nostre soluzioni agiscano come lo ‘sceriffo’, mantenendo l’ordine pubblico e
consentendo di sfruttare in sicurezza i
vantaggi notevoli che questa nuova frontiera ha da offrire”.
