Perché le soluzioni private significano meno problemi per i CIO. Articolo a cura di Maxwell Cooter
Condividere i dati non è mai stato così facile come oggi. Servizi come Google Drive, OneDrive e Dropbox offrono agli utenti un modo semplice per memorizzare file e condividerli con altri.
Anche se questi servizi sono stati originariamente pensati per un utilizzo di tipo consumer, le aziende li hanno considerati sempre più utili, dal momento che sono sganciati dai vincoli dei rispettivi dipartimenti IT. Tutto è stato semplificato: niente più necessità di apparecchiature costose, niente più comandi complessi da imparare, basta un click per rendere immediatamente disponibili i file desiderati.
Ma, come abbiamo visto alla fine del 2015, mettersi nelle mani dei provider può essere una questione assai rischiosa. L’hacking su vasta scala subìto dai clienti Yahoo ha dimostrato che, una volta che i dettagli vengono condivisi oltre il firewall, i dati sono immediatamente a rischio.
L’incidente di Yahoo è stato solo l’ultimo di una serie di casi relativi ad attacchi, lanciati contro Dropbox e altri servizi SaaS, basati su cloud pubblici. Tutto questo ha provocato alcune preoccupazioni circa il passaggio verso il cloud. Per quanto vi sia un crescente interesse verso l’uso della tecnologia, rimangono dubbi circa la relativa sicurezza – tuttora il principale ostacolo da superare quando si tratta di portare le aziende sul cloud.
Esistono, in particolare, preoccupazioni riguardanti i cloud pubblici; dubbi che frenano la diffusione dei servizi. “Una sola vulnerabilità o configurazione errata può portare a compromettere l’intero cloud di un provider”, avverte un report del 2016 pubblicato dalla Cloud Security Alliance. Si tratta di perplessità che supportano quelle aziende che non sono favorevoli al passaggio al cloud.
Questa convinzione è stata sostenuta da un sondaggio effettuato da Ponemon Institute, nel quale oltre metà degli intervistati ritiene che, avvalendosi di servizi cloud pubblici, aumenti la probabilità di essere colpiti da una violazione dei dati. In ultima analisi, con un servizio SaaS pubblico i vostri dati risiedono da qualche parte al di là del vostro firewall.
Servizi diffusi
Siamo di fronte a un paradosso: tutti questi dubbi mal si conciliano con la crescente diffusione dei provider di servizi cloud pubblici come Box e Dropbox. Come è possibile che questi riescano ad attirare clienti quando esistono preoccupazioni così significative?
Innanzitutto questi servizi sono partiti come proposte consumer, e la sicurezza non è sempre la prima priorità, non avendo il controllo insistente dei dipartimenti IT. I professionisti IT conoscono, infatti, i pericoli dello spostarsi al di là del firewall, mentre gli utenti finali non hanno sempre questa consapevolezza.
Le società che si occupano di cloud lo sanno e, per provare ad alleviare le preoccupazioni dei clienti, si soffermano a parlare di misure di sicurezza. Tutti i cloud provider spiegano in particolare dettaglio quanto investono in controlli di sicurezza, quanto siano tecnicamente avanzati i propri esperti e in qual misura siano aggiornate le proprie apparecchiature. E spiegano anche come utilizzare la migliore crittografia possibile, quella di livello militare: tutto per tranquillizzare i propri clienti.
Ma questo quadro non è completo: quello che questi service provider non dicono è che controllano anche le chiavi crittografiche su cui si basa tale sicurezza. E questo è l’aspetto cruciale.
I dati residenti su Box o Dropbox sono ovviamente cifrati, ma in questi casi la chiave viene generata e conservata dal provider. È chiaro che questo sottopone i dati ad un certo tipo di rischio, considerando che un dipendente insoddisfatto del provider potrebbe accedere a una copia della chiave e, con quella, ottenere la decodificazione delle informazioni
I provider SaaS sono consapevoli di questo rischio e hanno intrapreso delle azioni per limitarlo. Box, per esempio, ha sviluppato un prodotto chiamato KeySafe proprio allo scopo di eliminare questa preoccupazione. Con KeySafe le chiavi crittografiche sono in mano sia a Box che al cliente, il quale mantiene il pieno controllo sulle chiavi, mentre Box ha bisogno del suo permesso per potervi accedere.
Ci si può fidare dei provider?
Ma nemmeno i servizi cloud pubblici come Box KeySafe forniscono tutte le risposte. Questi servizi, in verità, generano le chiavi crittografiche dell’utente, il che significa dover continuare a fidarsi del fatto che il provider non ne faccia una copia, o che non possieda dispositivi di auditing che registrano tutte le chiavi e i dati. Si tratta, dunque, di una situazione che non soddisfa l’esigenza di sicurezza dei clienti più attenti. Potrebbero, inoltre, sorgere anche domande sulla robustezza del metodo crittografico adottato, e su questo l’utente non ha alcun controllo.
Ma la proprietà delle chiavi non è l’unico elemento di cui le aziende devono considerare per il controllo crittografico. La maggioranza dei servizi SaaS pubblici decifra i dati una volta che sono stati trasportati su cloud, affinché il service provider possa attivare funzionalità come deduplica, indicizzazione per le ricerche, scansione antivirus e altre ancora. Una volta che questi processi sono completi, i file vengono nuovamente cifrati per essere memorizzati su cloud. Ma per molte aziende attente alla sicurezza e contrarie al rischio, l’esposizione dei dati – non importa quanto piccola sia la finestra temporale – non è accettabile.
E non si tratta solo della crittografia: bisognerebbe avere anche la possibilità di scegliere il luogo dove vengono custoditi i dati. Si può essere soddisfatti del fatto che i dati risiedano in un datacenter a chilometri di distanza dal proprio ufficio o persino in un altro Paese, ma in caso contrario si può fare ben poco al riguardo.
Ciò che occorre è un sistema che permetta di conservare i dati memorizzati in totale privacy. Un sistema che permetta totale libertà di allocare i dati dove si preferisce; un sistema che garantisca all’utente di non perdere mai il controllo e che consente di condividere documenti mantenendoli al sicuro.
Il mercato relativo a questi prodotti è noto come EFSS (Enterprise File Sharing and Synchronization) privato, dal momento che consente al personale di un’azienda di condividere file, attraverso una gamma completa di dispositivi. Pur assicurando che ogni cosa – dati, metadati, chiavi crittografiche, autenticazione utente – passi attraverso i firewall e le VPN – sia quelle basate su cloud piuttosto che quelle on-premise – del cliente e non di un provider esterno.
I vantaggi per i settori regolamentati
I sistemi EFSS privati offrono concreti vantaggi a tutte quelle aziende che operano all’interno di settori sottoposti a severe regolamentazioni, come per esempio enti pubblici o società Fortune 2000, che prevedono rigidi controlli su chi è in grado di consultare quali informazioni e, elemento altrettanto importante, dove è essenziale mantenere una traccia di verifica (audit trail) correttamente implementati.
Queste organizzazioni possono avvalersi dell’infrastruttura cloud storage privata che preferiscono, sia mediante un sistema storage a oggetti on-premises che attraverso un VPC (Virtual Private Cloud) gestito da un provider di infrastrutture cloud storage come Amazon Web Services, Microsoft e altri.
Gli amministratori IT gestiscono l’accesso ai file per mezzo di policy, definendo chi può condividere file con chi, in modo che le aziende possano accertarsi che le persone giuste dialoghino tra loro.
Un sistema EFSS privato può funzionare particolarmente bene anche con gli utenti remoti, come quelli che lavorano nelle sedi distaccate, che vorrebbero adoperare servizi cloud ma si sentono vincolati dalla carenza di connessioni di rete affidabili. Per definizione, le sedi distaccate possono essere situate in zone dove le connessioni WAN veloci sono rare e, di conseguenza, hanno bisogno di implementare i propri file server localmente.
Quando si mantiene un ambiente nel quale gli utenti installano applicazioni su cloud, pur facendo riferimento a server locali, si crea qualche problema agli amministratori di sistema: la domanda è come gestire questa situazione. Il modo migliore è un apparato che permetta al cliente di garantire l’accesso unificato ai file attraverso tutti i file server, endpoint e il cloud, il che significa che non vi è bisogno di creare silos separati per la gestione dei file, su piattaforme differenti, come Sharepoint o Dropbox. Nel contempo, vengono conservate le modalità con cui gli utenti sono già abituati a lavorare, con i file che risultano ugualmente accessibili localmente e nel cloud.
Ma il vero risultato si realizza quando la sicurezza viene considerata come fondamentale. Viene dato per scontato che tutte le aziende assegnino una priorità elevata alla sicurezza, ma ci sono alcuni settori nei quali la sicurezza è assolutamente vitale per il modo di gestire l’attività. Due di questi comparti sono quello finanziario e quello della difesa: qui, dove la sicurezza è la linfa vitale, finora c’è stata una particolare riluttanza a implementare soluzioni cloud.
Più flessibilità
Sussistono tuttavia molte realtà in questi settori che desiderano, comunque, passare al cloud per migliorare la propria flessibilità. Per fare un esempio, la banca spagnola Santander è una delle aziende che hanno voluto implementare il cloud per promuovere la produttività e, nel contempo, garantire i più alti livelli di sicurezza. L’istituto aveva bisogno di una proposta EFSS altamente scalabile, capace di assicurare questo genere di protezione. Pur desiderando la flessibilità del cloud, Santander voleva garantirsi anche la massima sicurezza; per questo ha implementato una soluzione residente dietro il firewall aziendale, che offre al cliente una molteplicità di controlli di sicurezza.
Ma non si tratta solo di istituti finanziari. Vi sono probabilmente pochi clienti più esigenti in tema di sicurezza rispetto a quelli che operano nel comparto della difesa. La statunitense DISA, Defense Information Systems Agency, è passata al cloud per aumentare la propria flessibilità e ridurre i costi ma, soprattutto, ha implementato una soluzione EFSS privata per mantenere il completo controllo dei dati dietro il proprio firewall.
Santander e DISA sono solo due esempi di organizzazioni che hanno optato per i numerosi vantaggi di una impostazione cloud-based, tanto che questo approccio è diventato un loro modo essenziale di lavorare. Entrambe sono in grado di dimostrare come il deployment del cloud non significa sacrificare la sicurezza: tutte le aziende, infatti, vogliono essere considerate sicure e agili allo stesso tempo.