Taglio dei costi e scudo anti lock-in, le parole d’ordine nell’era del multicloud. Controllo delle condizioni, capacità di rilevamento, limitazione e gestione della superficie d’attacco. Dopo il phishing e le minacce Internet, la configurazione errata del cloud è tra le principali preoccupazioni dell’IT
Sotto la spinta delle potenti sollecitazioni dettate dalla pandemia e prima ancora dalla trasformazione digitale, aziende e organizzazioni scelgono di affidarsi a più di un cloud provider. Tendenza questa che si innerva dalla ricerca di maggiore efficienza, flessibilità e continuità del servizio. Il multicloud in teoria, portando al limite la possibilità per aziende e organizzazioni di scegliere molteplici risorse e provider diversi in base alle proprie esigenze, oltre ad assicurare maggiore agilità e competitività, eliminerebbe ancora di più sprechi e inefficienze. Di certo, l’affermazione delle varie tipologie di cloud quali leve per lo sviluppo digitale del business cambiano la struttura e i contenuti dell’offerta, apportando vantaggi tangibili per gli acquirenti in termini di concorrenza e – vizi del mercato permettendo – riduzione dei prezzi. Elemento che insieme a pochi altri, determina i criteri con in quali si sceglie il fornitore di servizi cloud. La sicurezza è uno di questi. Nello scenario attuale – come osserva Cesare D’Angelo, general manager Italy di Kaspersky – con un numero sempre più elevato di dipendenti che lavorano da remoto, diventa ancora più importante per gli amministratori garantire che i dati aziendali e quelli dei dipendenti rimangano sicuri e privati. «L’uso del modello SaaS – continua D’Angelo – aiuta le aziende e i dipendenti a lavorare da remoto e a rimanere in contatto anche quando non si trovano in ufficio. Oltre ai servizi autorizzati dall’azienda, i dipendenti possono scegliere di utilizzare altre applicazioni di propria iniziativa o semplicemente di intervallare le abitudini aziendali ad attività personali generando quello che in gergo viene chiamato Shadow IT.
È difficile quantificare il livello di sicurezza di applicazioni come i servizi di messaggistica, di file sharing o di qualsiasi tipo di strumento addizionale di lavoro, così come quello dei dispositivi aziendali utilizzati per esigenze personali. Anche se le intenzioni dei dipendenti sono buone, quando vengono utilizzate queste applicazioni senza l’approvazione dei reparti IT, il risultato può essere la compromissione dei dati aziendali o persino un’infezione da malware che potrebbe minacciare la reputazione dell’organizzazione. Kaspersky Endpoint Security Cloud è in grado di aiutare gli amministratori IT a mantenere una maggiore trasparenza sull’IT aziendale e a garantire che all’interno della propria organizzazione vengano utilizzati solo servizi cloud affidabili. La funzione di rilevamento del cloud consente di definire la lista dei servizi in-the-cloud autorizzati che soddisfano i criteri di sicurezza aziendali e di garantire, inoltre, che questo elenco venga rispettato».
Il termine lock-in ha solitamente un’accezione negativa a causa del rapporto di dipendenza che crea tra un vendor e un cliente e che va a discapito di quest’ultimo. Per quanto riguarda la cybersecurity – spiega Alessandro Fontana, head of sales di Trend Micro Italia – «dobbiamo però anche considerare il fatto che utilizzare i prodotti di un vendor unico, laddove la scelta non sia fatta per ragioni economiche ma ovviamente di efficacia, può migliorare la capacità di difesa di un’azienda. Questo perché le soluzioni saranno in grado di comunicare meglio e scambiare dati sulle minacce che arrivano dai diversi ambienti, facilitando la reattività dell’organizzazione, allo stesso modo è importante prevedere soluzioni che sono in grado di integrarsi con terze parti, garantendo la creazione di un ecosistema omogeneo». L’affidabilità e il livello di sicurezza garantito da parte del fornitore del servizio è uno dei principali fattori che le aziende considerano quando devono decidere a quale cloud provider affidarsi.
«La sicurezza è considerata parte integrante e inscindibile del servizio, garantita anche contrattualmente» – spiega Diego Pandolfi, research manager di IDC Italia. Naturalmente, ci sono altri elementi che indirizzano i criteri di scelta tra le offerte dei vari provider. Tra questi secondo una recente ricerca di IDC, spiccano un ampio portfolio di servizi IaaS e PaaS, l’esperienza del cliente – in termini di semplicità di installazione, configurazione, operatività – ma anche il livello di supporto e le SLA garantite. «L’openness dei servizi cloud – continua Pandolfi – ossia la possibilità di ridurre il vendor lock-in attraverso una completa portabilità dei workload su differenti servizi cloud e la possibilità di integrazione con infrastrutture on-premises – è un altro fattore che le aziende italiane stanno valutando con sempre maggiore attenzione».
DIMENSIONI DEL RISCHIO LOCK-IN
La dinamicità dell’IT è proverbiale. Cambiare significa anche offrire servizi sempre più flessibili e aderenti alle richieste del mercato. Indotte o spontanee che siano. Le aziende sono sempre più disposte a sperimentare nuove piattaforme e servizi, nella spasmodica ricerca del miglior compromesso tra prezzo e prestazioni, riduzione del TCO e aumento della produttività. «Prestazioni, affidabilità e costo, sono elementi da porre sul piatto della bilancia» – afferma Federica Maria Rita Livelli, membro del comitato scientifico di CLUSIT. «Allo stesso modo, è bene prestare attenzione a quelli che sono i vincoli contrattuali o tecnologici imposti al cliente che possono generare un vero lock-in per chi acquista un servizio». Vale a dire la scelta, più o meno consapevole, da parte del cliente, di legarsi alla tecnologia e ai servizi di un singolo fornitore. Scelta che spesso viene effettuata sulla scorta di considerazioni economiche al ribasso. Nel corso del tempo, quelle stesse condizioni iniziali possono rivelarsi più onerose rispetto ad altre e condurre alla cristallizzazione di vincoli dai quali è difficile liberarsi. Un vero e proprio rischio che si annida tra clausole contrattuali, tecnologia impiegata e scarsità di competenze. Non riuscire a cambiare fornitore cloud alla scadenza del periodo contrattuale può assumere i contorni di un disastro. Ma succede. Per esempio, perché al momento dei saluti, il cliente non dispone delle informazioni sui sistemi in uso necessarie al subentro rapido del nuovo fornitore. La contrattualistica cloud ha fatto parecchi passi avanti rispetto ai primi contratti proposti ad aziende e organizzazioni. Tuttavia, in tema di lock-in permangono alcune lacune generali. In molti casi, ci sono contratti in cui manca la clausola relativa al piano di uscita dal contratto con il fornitore oppure l’indicazione dei possibili costi associati. In altri gli “switching costs” sono troppo alti, le tempistiche di recesso e migrazione inadeguate, così come la restituzione e la cancellazione dei dati (troppo brevi). O ancora, è evidente l’asimmetria delle condizioni tra le parti, con penali, spese di liquidazione e compensazione al cambio di fornitore, imposizioni unilaterali di modifiche contrattuali e così via, che evidenziano uno sbilanciamento a favore del provider tale da rendere l’exit strategy del cliente problematica ed eccessivamente onerosa.
I vincoli tecnologici possono ostacolare in molti modi. L’acquisto di beni e servizi da pochi fornitori o addirittura da un solo provider limita le possibilità di attivare nuovi servizi. Un problema da più parti segnalato è la fornitura a pacchetto dei servizi che rende tutt’altro che conveniente per l’azienda sostituire parte dell’applicativo con tecnologie di un altro fornitore. Più nello specifico della gestione dei dati, il lock-in è evidente quando latitano le informazioni relative al formato, l’accessibilità (per esempio, rischi legati alla cessazione di servizi/attività da parte del fornitore, cifratura e possesso delle chiavi di crittografia) e la proprietà degli stessi dati. Il basso livello di trasparenza delle informazioni di fatto impedisce al cliente di documentarsi sulle alternative presenti sul mercato. Finendo per incistarsi nella cronica mancanza di competenze IT propria del nostro Paese. Il confronto trasparente tra i differenti operatori permetterebbe di verificare in modo diretto la presenza di possibili lock-in e, nel caso, di valutarne eventuali costi di uscita. I cloud service provider, da parte loro, dovranno garantire queste caratteristiche se non vogliono pregiudicare l’enorme potenziale di creazione di valore offerto dai paradigmi del cloud. Una via d’uscita – secondo Livelli – è l’adozione di codice e standard aperti, che permettono di rafforzare l’interoperabilità e creare valore per le organizzazioni, la cui esigenza è di poter migrare i carichi di lavoro verso le infrastrutture e le localizzazioni più adatte alle loro esigenze di business.
OPEN PLATFORM
Hybrid cloud e multicloud sono termini ricorrenti e spesso interscambiabili quando si parla di evoluzione e integrazione degli ambienti informativi. Tuttavia, si tratta di due approcci strategici differenti. Nel primo caso si intende un ambiente che utilizza cloud pubblico, privato e soluzioni on-premises, con l’obiettivo di trarre il meglio delle varie modalità di erogazione delle tecnologie a seconda delle esigenze aziendali. Nel secondo caso, rientrano le situazioni in cui un’azienda utilizza e coordina servizi public cloud di due o più provider per rispondere al meglio alle proprie esigenze economiche, tecniche o funzionali. Secondo l’Osservatorio Cloud Transformation del Politecnico di Milano, il 68% delle imprese italiane utilizza più di un cloud provider (in media, tre provider per azienda), tuttavia soltanto il 24% dichiara di gestire in modo sinergico e integrato servizi public cloud di più fornitori, applicando logiche e strumenti di orchestrazione propriamente multicloud. Per le aziende italiane più mature, cloud significa flessibilità, agilità e velocità di esecuzione. «Tutte caratteristiche che sono in netta contrapposizione con le pratiche di lock-in che molti service provider vorrebbero applicare ma che il mercato impedisce loro di mettere in atto in modo più ampio» – spiega Sergio Patano, associate director di IDC Italia.
Secondo quanto emerge dalle ultime ricerche condotte a livello italiano, l’openness ovvero la garanzia di portabilità dei workload tra cloud e/o l’integrazione con l’infrastruttura IT on-premise è considerata una delle tre principali funzionalità che indirizzano la scelta del cloud services provider». Il lock-in da sempre viene considerato dagli operatori IT una sorta di “garanzia” per mantenere il cliente. «In realtà, si sta rivelando un’arma a doppio taglio» – avverte Patano. In un’ottica di hybrid e multicloud sono sempre di più le aziende che richiedono la portabilità dei workload di fatto eliminando dal panel di alternative i provider che non vogliono o non possono garantirla. «La portabilità dei workload non sembra essere una delle priorità più importanti per un CISO – mette in evidenza Nicolas Casimir, CISO EMEA di Zscaler – mentre d’altra parte, essere consapevoli della natura dei dati, della loro criticità, della loro posizione, dell’accesso e della protezione dei dati (a riposo/in uso/in transito) è fondamentale per i CISO. Una visione che potrebbe essere soddisfatta da una varietà di offerte: CASB (Cloud access security broker), prevenzione della perdita di dati, rilevamento delle configurazioni errate, tecniche di elusione e valutazione della superficie di attacco. Per noi, l’elemento più importante sono i risultati conseguiti. Essere in grado di fornire SLA chiari ed essere impegnati in un miglioramento continuo del programma di sicurezza con un audit di certificazione di terze parti è anche molto utile per prendere decisioni consapevoli ma, nel complesso, il punto più critico è come viene eseguito il servizio. Se ci concentriamo sui cloud security services, è interessante capire quanto riducono i rischi e valutare il loro impatto». Per un’azienda affidarsi a un solo provider almeno sulla carta presenta più di un vantaggio. Tuttavia, la presenza di eventuali lock-in, oltre a costituire un impedimento notevole all’efficienza dei sistemi alla lunga, rischia di minare il rapporto tra le parti.
Nel quadro di una trasformazione più ampia che offre scalabilità, velocità, flessibilità e spinge ad adottare paradigmi innovativi per lo sviluppo di applicazioni come container, microservizi e architetture cloud-native – «il cloud dispiega il suo valore se cambia il modo di fare le cose» – afferma Lanfranco Brasca, technology director – head of cloud engineering di Oracle Italia. «In questo contesto, come Oracle abbiamo scelto l’approccio del “Cloud Native Computing Foundation” di cui siamo membri, puntando a sostenere un ecosistema indipendente dai fornitori e open source; per questo offriamo in Oracle Cloud un servizio gestito di Container Engine per Kubernetes (OKE) senza personalizzazioni proprietarie e ad alta scalabilità, con servizi e funzioni a contorno che garantiscono la massima portabilità su qualsiasi piattaforma».
COME MITIGARE IL RISCHIO LOCK-IN
Aziende e organizzazioni possono adottare tecniche differenti per prevenire il lock-in o per venirne fuori. Sulla base di numerosi fattori, a seconda di quella che è la loro situazione. «È doveroso ricordare – riprende Federica Livelli di CLUSIT – che le organizzazioni dovranno conoscere sé stesse per capire le proprie esigenze e vulnerabilità e risolvere la problematica lock-in. Per questo, prima di scegliere un cloud service provider, l’organizzazione dovrà effettuare una due diligence, comparando le offerte». Ovviamente – come osserva Casimir di Zscaler – per testare un’offerta cloud è ancora necessario che ogni reparto dell’azienda (IT, Legale, Business e Sicurezza) vi dedichi tempo e impegno. «Ma non è paragonabile agli investimenti datati, legati alle soluzioni basate su appliance e a tutti i problemi che ne derivano. Poiché un numero sempre maggiore di applicazioni vengono ospitate in ambienti multicloud – continua Casimir – è fondamentale essere in grado di fornire servizi ovunque. Come overlay di rete, Zscaler offre quella situazione ideale che consente di proteggere le comunicazioni dei workload sia che siano dirette verso Internet, altri workload o altro cloud service provider e anche internamente da un processo all’altro». Una efficace strategia di mitigazione del rischio lock-in non può prescindere dall’analisi approfondita delle clausole contrattuali. Né dalla capacità di negoziare con il provider accordi che privilegino interoperabilità, flessibilità e libertà di scelta. Accordi estesi non solo ai servizi principali ma a tutte le opzioni disponibili. «Si tratta di valutare attentamente l’architettura nativa del cloud» – spiega Federica Livelli di CLUSIT. «Soppesando i rischi e le priorità dell’organizzazione in modo da stabilire se adottare un’architettura nativa del cloud o considerare una dipendenza ridotta». E in quest’ottica, includere un piano di uscita che ricomprenda i costi potenziali nella strategia di implementazione. «Una sorta di accordo prematrimoniale che possa meglio tutelare l’azienda e quantificare preventivamente i costi, assicurandosi di aver compreso tutte le clausole di risoluzione del contratto e i costi di migrazione dei dati fuori dal cloud».
MASSIMIZZARE LA PORTABILITÀ
Un recente sondaggio IDC mostra che solo il 50% delle applicazioni dovrebbe rimanere in un’unica posizione di deployment nel prossimo anno. «È fondamentale quindi che i provider di cloud pubblico forniscano strumenti e servizi sempre più sofisticati per rendere la migrazione di applicazioni e dati, fuori e dentro la loro piattaforma, un’esperienza senza interruzioni» – spiega Patano di IDC. Inoltre, sul fronte tecnologico da più parti si sollecita l’implementazione di strumenti e processi DevOps per massimizzare la portabilità del codice. «La tecnologia dei container aiuta a isolare il software dal suo ambiente e ad astrarre le dipendenze dal provider cloud» – spiega Federica Livelli di CLUSIT. I dati rappresentano uno dei maggiori punti critici nelle migrazioni cloud, se si considera che formati e modelli diversi possono causare problemi di portabilità. «Pertanto – continua Federica Livelli – sarebbe meglio evitare la formattazione proprietaria e descrivere i modelli di dati nel modo più chiaro possibile, utilizzando gli standard di schema applicabili per creare una documentazione dettagliata e comprensibile dall’utilizzatore. Inoltre, è opportuno assicurarsi che il cloud service provider offra modalità di estrazione dei dati semplici ed economiche in grado di facilitare la transizione dei dati da un provider all’altro. In quest’ottica, è possibile sondare la possibilità che un provider possa supportare le attività di migrazione dei dati in caso di cambio fornitore». Le aziende tendono a adottare soluzioni open source, proprio perché sono considerate – fa notare Sergio Patano di IDC Italia – «uno dei principali strumenti per prevenire futuri vincoli con il portafoglio di servizi cloud di qualsiasi singolo provider».
Una linea sposata anche dall’European Interoperability Framework – che descrive una serie di raccomandazioni per potenziare l’interoperabilità dei servizi pubblici nell’Unione europea. «Fare scelte tecnologiche che non compromettano portabilità, generalità d’uso e performance dei carichi di lavoro – spiega Lanfranco Brasca di Oracle Italia – sono la chiave per gli IT manager per aprire le porte in qualsiasi momento a scenari multicloud e mantenere al contempo ottima capacità negoziale con i singoli cloud vendor». Oracle Database e le piattaforme cloud come Exadata Cloud Services o Autonomous Database sono percepite come chiuse – «ma considerando le caratteristiche “convergenti” dell’Oracle Database, e considerato il livello di diffusione della tecnologia, non ha senso parlare di lock-in di tipo software» – continua Brasca. E allo stesso modo – «con una piattaforma che garantisce la portabilità dei workload su innumerevoli piattaforme, scegliere una infrastruttura preferenziale non deve essere considerato un lock-in hardware. Seppur proprietaria in origine, la tecnologia Oracle è infatti pur sempre una garanzia rispetto ad altre tecnologie di nicchia che possono essere in auge oggi, ma che potrebbero sparire nel giro di pochi anni». Il multicloud offre la possibilità di scegliere le migliori tecnologie per il tipo di carico di lavoro e un rapido accesso all’innovazione ma va adottato – avverte Brasca – con un rigoroso processo di analisi di rischi e benefici in termini di costi, capacità di gestione, aspetti tecnologici. «Il fattore dirimente è la capacità di assicurarsi la disponibilità di una piattaforma dati che possa diventare un centro di gravità – si parla infatti di “data gravity”, ossia della relativa “pesantezza” di far muovere il dato rispetto all’applicazione – intorno cui sviluppare applicazioni e integrazioni. Il cloud di Oracle, seppur attrezzato con uno stack completo ed estremamente performante di servizi e tecnologie sia proprietarie sia open-source, offre una vocazione naturale verso il multicloud, grazie a una serie di partnership con altri cloud vendor, fornitori di connettività, software di terze parti, ISV».
I VANTAGGI DEL MULTICLOUD
Pianificare una vera strategia multicloud è probabilmente la strategia migliore contro i lock-in. Strategia che tuttavia richiede un livello di maturità superiore da parte di aziende e organizzazioni. «Pensare che tutte le piattaforme cloud funzionino allo stesso modo è il più grande errore che si possa fare» – mette in guardia Alexandru Balan, director security research di Bitdefender. «Ogni piattaforma viene fornita con le proprie impostazioni e deve essere gestita individualmente per assicurarsi che sia configurata nel modo giusto, che l’accesso degli utenti e i privilegi siano definiti correttamente e che i dati personali non siano esposti pubblicamente. Ecco perché l’errata configurazione è la più grande sfida per la sicurezza quando si lavora con più di un fornitore di servizi cloud. Finora, basandoci sulla nostra esperienza, ci sono stati innumerevoli casi di violazione dei dati causati o da una moltitudine di dati lasciati incustoditi, o da utenti che avevano più privilegi del necessario. L’interazione con il fornitore di servizi cloud è vitale per capire le esigenze e i rischi sulla sicurezza e per poter prendere le decisioni migliori». La sicurezza del cloud è una responsabilità condivisa tra il fornitore e l’utente e per questo – continua Balan – «occorre definire correttamente i propri obiettivi di sicurezza, verificarli con ciò che i fornitori hanno da offrire e scegliere ciò che conviene maggiormente. Lavorare con una realtà più grande può significare disporre di maggior know-how, tecnologie e procedure, ma questo non si traduce necessariamente nell’assicurarsi una migliore sicurezza se i servizi sono configurati in modo errato da parte dell’utente. Questo è uno dei motivi principali per cui la gestione e il supporto dovrebbero giocare un ruolo importante nella propria scelta, poiché spesso è più probabile che sia l’errore umano a causare un incidente o un attacco informatico».
La strategia multicloud oltre a contribuire a tenere sotto controllo i costi della struttura cloud abilita l’accesso a un più vasto portafoglio di risorse IT, permettendo di mitigare gli effetti più deleteri del lock-in praticati dai cloud service provider. «Il multicloud consente un’ampia flessibilità, scalabilità e soprattutto può maggiormente garantire la business continuity» – aggiunge Alessandro Fontana di Trend Micro Italia. «Questo deve essere tenuto in considerazione anche per la componente di security. È ormai chiaro per tutti che la cybesecurity deve essere by design e by default seguendo specularmente l’architettura scelta anche in termini di multicloud management. In Trend Micro, abbiamo ormai da tempo definito la nostra strategia di security platform company, fornendo una rosa di prodotti dedicati proprio al mondo hybrid e multicloud, come per esempio Cloud One Conformity dedicato al Well-Architected Framework che prevede una serie di principi guida utilizzabili per migliorare la qualità dei workload e delle applicazioni. I solution architect cloud possono in questo modo creare infrastrutture sicure, ad alte prestazioni, resilienti ed efficienti».
Le migrazioni rapide nel cloud possono lasciare le organizzazioni esposte a un più alto rischio di subire attacchi informatici. Secondo Trend Micro sono quattro le principali sfide che le organizzazioni devono affrontare nel momento in cui si sono spostate o pensano di spostarsi in ambienti cloud: mancanza di competenze, operation, aumento dei costi e responsabilità in materia di sicurezza. «La mancanza di competenze, perché la carenza di competenze è una barriera persistente alla migrazione verso le soluzioni di sicurezza in cloud» – spiega Fontana. «L’operation, perché le maggiori sfide per la protezione dei workload in cloud sono impostare e gestire le policy, applicare le patch per gestire le vulnerabilità e la costante analisi per la correzione delle configurazioni errate. L’aumento dei costi, in quanto dal momento della migrazione, si riscontra una spesa maggiore soprattutto nella fase iniziale, per esempio per l’erogazione di servizi esterni, una maggiore spesa per i costi operativi e per la formazione. E infine, la responsabilità della sicurezza, in quanto molte aziende temono di non assolvere al proprio compito all’interno del modello di responsabilità condivisa del cloud».
La configurazione errata del cloud (per esempio, una condivisione Google aperta al pubblico) e le tecniche di secret evasion (chiave API / chiave privata / certificato violato) sono, dopo il phishing e le minacce internet, tra le principali preoccupazioni dei responsabili dell’information security. «Ogni CISO penserebbe immediatamente ai seguenti punti: consapevolezza della sicurezza, controllo amministrativo, errore è umano, limitazione e gestione della superficie d’attacco» – spiega Casimir di Zscaler. «Con lo spostamento delle applicazioni dal datacenter al cloud, la responsabilità della sicurezza è ora condivisa tra il cloud solution provider e il cliente, e in qualche modo implicitamente trasferita dal dipartimento IT/sicurezza a chi gestisce il business. Questo chiarisce perché un buon programma di consapevolezza della sicurezza è fondamentale per evitare il verificarsi di questi eventi. Inoltre, dovrebbero essere stabilite e comunicate agli utenti regole chiare su come gestire in modo sicuro le informazioni. Poiché l’errore è umano, la tecnologia dovrebbe fornire la giusta capacità di rilevamento, per ridurre la superficie d’attacco. La capacità di nascondere i servizi che non dovrebbero essere esposti a Internet, lasciandoli aperti solo per gli utenti autorizzati, è un ottimo modo per ridurre i rischi. Per il resto delle applicazioni, che devono rimanere visibili a Internet, è fondamentale avere un buon programma di sorveglianza».
Il multicloud favorisce altresì la resilienza di sistemi e infrastrutture. Un aspetto sul quale aziende e organizzazioni nei prossimi mesi torneranno a lavorare, e sul quale i vendor saranno sempre più in competizione. «La resilienza delle infrastrutture è sicuramente uno dei principali obiettivi degli investimenti IT» – conferma Diego Pandolfi di IDC Italia. «Investimenti che devono orientarsi verso ambienti in grado di adattarsi in modo dinamico ai cambiamenti imprevisti della domanda degli utenti, ma anche ad eventuali picchi di traffico, ad attacchi informatici in corso o all’interruzione improvvisa dei servizi».
Il cloud: una medaglia ha sempre due facce
Come spiega Alberto Brera, country manager di Stormshield Italia, il carattere di urgenza assunto dall’esigenza di rendere più flessibile la fruizione di applicazioni e l’accesso ai dati aziendali tramite cloud non compensa il peso dei timori legati alla compliance, all’effettiva ubicazione dei dati e delle applicazioni, alla perdita di controllo sugli stessi e al potenziale aumento di data leak e violazioni riconducibili al cloud. Secondo Stormshield, il player europeo di riferimento per la cybersecurity, due elementi potrebbero rendere quanto meno più serena la scelta dell’operatore e/o del servizio: nell’IaaS, la possibilità di avvalersi di firewall virtuali propri, di cui l’azienda utente o l’MSSP deve poter mantenere il pieno controllo indipendentemente dal cloud provider; nella PaaS o SaaS, la possibilità di cifrare i dati con una soluzione propria, rendendoli illeggibili per qualsiasi non addetto ai lavori. Le soluzioni Stormshield SNS e SDS, pienamente conformi alle normative europee e studiate per scenari cloud, assolvono tali compiti.