“La Sicurezza nell’Era del Cloud”: nuova indagine di NetConsulting per CA Technologies rivela la predisposizione delle aziende italiane a proteggere gli ambienti cloud
Una nuova indagine sulla sicurezza nell’era del cloud, commissionata da CA Technologies a NetConsulting, evidenzia come il 26% delle grandi aziende italiane sia predisposta a un passaggio al cloud, in quanto già dispone degli elementi che abilitano il nuovo paradigma architetturale, ovvero ambienti altamente virtualizzati e soluzioni di sicurezza di Identity & Access Management.
La strategia di Content Aware Identity and Access Management di CA Technologies, leader riconosciuto nella gestione delle identità e degli accessi in area enterprise, garantisce la piena funzionalità delle attività in ambiente cloud, in conformità a una serie di criteri di sicurezza che le aziende ritengono ormai irrinunciabili.
Quali e quante sono le aziende italiane predisposte al cloud? Quante dispongono di infrastruttura virtualizzata e sistemi di sicurezza che possono costituire elementi abilitanti il nuovo paradigma architetturale?
Al fine di comprendere lo stato della sicurezza delle aziende in Italia, e la predisposizione culturale e tecnologica al cloud, CA Technologies ha commissionato a NetConsulting un’indagine conoscitiva presso un campione rappresentativo della grandi aziende che operano nel nostro Paese. Delle 50 società intervistate, l’86% ha una dimensione superiore ai 1.000 dipendenti, con una quota prevalente, 52%, di organizzazioni con un numero superiore alle 5.000 unità.
Per poter classificare le aziende in base al grado di maturità di predisposizione al cloud, sono stati considerati due parametri:
• da un lato, il grado di adozione delle soluzioni di tecnologie considerate fondamentali per abilitare la realizzazione di un’architettura cloud: soluzioni per la gestione di identità (come identity management, user e resource provisioning, strong authentication, ecc.), per il controllo degli accessi (quali Identity Federation, Access Management) e per la protezione dei dati (come data loss prevention);
• dall’altro, il grado di presenza di sistemi virtualizzati, passo fondamentale verso l’adozione del cloud.
L’indagine di NetConsulting ha fatto emergere quattro diverse tipologie di aziende – “ready”, “intermediate”, “not secure”, “not ready” – ciascuna delle quali manifesta una condizione di predisposizione – alta, bassa, media o nulla – al cloud:
• Predisposizione alta – Il 26% delle aziende analizzate sono classificate ready (26% delle aziende analizzate) poiché presentano sia un alto grado di virtualizzazione dei sistemi sia una presenza pressoché assoluta di soluzioni necessarie per l’adozione del cloud in piena sicurezza ed efficienza.
• Predisposizione media – Il 54%, la parte più consistente del campione analizzato, è stata classificata come intermediate, poiché mostra una presenza media sia per quanto riguarda l’adozione di soluzioni di sicurezza abilitanti, sia per quanto riguarda il livello di virtualizzazione dei sistemi.
• Predisposizione bassa – Il 12% del campione è classificato come not secure poiché presenta un alto grado di virtualizzazione cui si accompagna però un grado di adozione di soluzioni abilitanti la sicurezza in area cloud piuttosto basso.
• Non predisposte – L’8% del campione analizzato emerge come not ready, poiché evidenzia una presenza medio-bassa di soluzioni di sicurezza abilitanti e un basso tasso di virtualizzazione dei sistemi.
Cresce l’interesse per il cloud
Come proteggere un ambiente fisicamente disperso? Quali possibilità di controllo esistono su entità esterne, siano esse private o pubbliche? In definitiva la domanda che tutti si pongono è: “ci si può fidare del cloud?” La risposta da parte di CA Technologies è sì, ma a una serie di condizioni. Quali? Essenzialmente la capacità di trasferire in ambiente cloud tutte quelle soluzioni di sicurezza che sono già state applicate a livello centralizzato e che, in particolare, fanno riferimento al controllo e gestione delle identità, degli accessi e delle informazioni in ambienti complessi, fisici e virtualizzati. In questa condizione, come rilevato dall’indagine, si trova il 26% delle grandi aziende italiane.
“Il grado di interesse manifestato dagli utenti verso il nuovo paradigma elaborativo del cloud è in evidente accelerazione e si inserisce all’interno di un percorso di innovazione dove trovano spazio priorità che tendono a soddisfare interventi improntati a un recupero di efficienza, produttività e ottimizzazione dei costi”, ha spiegato Rossella Macinante, Practice Leader di NetConsulting. “Il cloud, pur presentando un livello di adozione ancora limitato, è sotto analisi da parte delle aziende e viene considerato funzionale a logiche di efficientamento e centralizzazione delle infrastrutture”.
Da un’analisi condotta da CA Technologies a livello europeo, è la mancanza di business case che possano aiutare a comprendere le implicazioni della migrazione al cloud a essere il freno principale all’adozione del cloud. Certo, esiste un considerevole numero di aziende che hanno iniziato a utilizzare applicazioni SaaS, basti pensare ai clienti acquisiti finora da Salesforce.com, ma nel complesso si tratta di parziali iniziative che non hanno per il momento modificato il cuore della macchina operativa.
Le condizioni abilitanti il cloud
“Perché il cloud possa essere considerato come una possibile ipotesi futura si dovranno innanzitutto risolvere le cause che determinano una generale incertezza e diffidenza”, ha affermato Elio Monteni, Senior Technology Specialist di CA Technologies. “Alcuni esempi sono il timore di esporsi a una condizione di vulnerabilità e perdita di controllo, l’incapacità di assicurare una gestione accurata e appropriata delle risorse extra-enterprise”.
In questa partita, tesa ad assicurare valori essenziali di protezione che permettano di creare i presupposti per una implementazione trusted del cloud, le soluzioni di sicurezza prioritarie ruotano attorno a tutte quelle tecnologie che fanno riferimento all’Identity & Access Management (IAM). Le esigenze strategiche risiedono nella gestione delle identità, nella tracciabilità e gestione degli accessi e nella protezione delle informazioni.
Si tratta, di fatto, delle stesse soluzioni che consentono di gestire in modo sicuro l’azienda, la sostanza non cambia: user provisioning, single sign-on, identity management, access management, web access management, strong authentication, user provisioning, data loss prevention, compliance management e identity federation. Sono queste, sempre e comunque, le soluzioni che permetteranno di gestire in sicurezza un ambiente di tipo cloud.
Il ruolo e la strategia di CA per il cloud
“La missione di CA Technologies è oggi traslare il valore dell’esperienza enterprise – conseguita con successo nei decenni passati, sia in ambiente mainframe sia in ambiente distribuito – in una dimensione cloud, ovvero nella prospettiva elaborativa che condiziona in misura sempre più forte l’evoluzione delle organizzazioni IT”, spiega Molteni. “CA Technologies è in grado di interpretare un ruolo come partner tecnologico e di business a tutto tondo, sia nei diversi modelli di servizio – IaaS (infrastruttura come servizio), PaaS (piattaforma come servizio) o SaaS (applicazione come servizio) – sia nelle differenti tipologie di implementazione: pubblica, privata o ibrida”.
Obiettivo di CA Technologies è assicurare, così come accaduto in passato, la gestione dell’intero spettro delle architetture esistenti e in divenire – fisica, virtualizzata e cloud – garantendo la massima protezione degli investimenti sinora operati, così come una estensione degli stessi verso le nuove forme di computing prospettate dal cloud.
Sia in ambiente virtualizzato, sia in ambiente cloud, è infatti necessario conoscere e controllare chi accede a cosa, poter decidere quello che i singoli utenti possono o non possono fare, avere soluzioni e strumenti che permettano di tradurre, in modo rapido e agevole, obblighi normativi di sicurezza, siano essi imposti dall’interno o dall’esterno, nazionali o internazionali. Obiettivi che possono essere conseguiti soltanto grazie all’impiego di soluzioni avanzate di Identity and Access Management.
CA Technologies è convinta che la capacità di garantire protezione di un ambiente virtualizzato vada oltre la semplice strategia di difesa perimetrale. Le componenti virtualizzate sono componenti mobili: se il vantaggio dell’utente è poter fare affidamento su un’altissima flessibilità di configurazione, vi è al tempo stesso la necessità di dotarsi di soluzioni che consentano di gestire la mobilità e le implicite e molteplici dinamiche di allocazione, ri-collocazione e dismissioni delle risorse.
Tutto questo significa necessariamente implementare una sicurezza che possa arrivare a controllare le componenti critiche inerenti la specifica architettura. Esigenza che si rivela irrinunciabile in qualsiasi contesto IT dove sia stata implementata una logica di virtualizzazione, e che assume una complessità ancora più elevata in uno dei qualsiasi ambienti in cui può essere declinato il cloud (SaaS, PaaS o IaaS).
In definitiva, per CA Technologies, il cloud corrisponde a una naturale evoluzione di una strategia di virtualizzazione adottata a livello enterprise: necessita di un utilizzo di un insieme di soluzioni di sicurezza – tipicamente di Identity & Access Management (IAM), già ampiamente sperimentate in ambito aziendale – che va oltre i tradizionali criteri di difesa perimetrale e che permette di conseguire la protezione globale degli asset IT del nuovo paradigma elaborativo.
CA Technologies, attraverso un percorso di consolidamento delle soluzioni esistenti, nonché attraverso acquisizioni mirate, ha definito una roadmap di innovazione intesa a soddisfare esigenze sempre più puntuali, aderenti alle richieste che devono essere soddisfatte in ambienti di nuova generazione. A questo proposito è stata adottata una strategia di Content Aware Identity and Access Management che affianca il controllo dell’informazione e della compliance ai livelli di gestione delle identità e degli accessi. Per CA Technologies la definizione e implementazione di questa strategia è un passaggio di grande importanza nell’evoluzione dell’ambiente IAM poiché implementa meccanismi di sicurezza a un livello di dettaglio mai conosciuto prima.
Una logica di protezione end-to-end, quindi, che integra tutti i possibili aspetti inerenti la sicurezza, preservando l’integrità e la riservatezza di dati e informazioni e offrendo garanzia del rispetto delle policy aziendali e degli obblighi normativi cui le aziende devono ottemperare. In questo contesto il valore aggiunto della proposizione Identity and Access Management di CA Technologies si estende a soluzioni di data loss prevention: attraverso la disponibilità di tecnologie dedicate a gestire e controllare come e con quali limitazioni possono essere utilizzati i dati – sia da parte di utenti interni, sia da parte di utenti esterni – CA Technologies è in grado di assicurare una protezione dei dati associata a ruoli e identità.
La strategia di Content Aware Identity and Access Management implementata da CA Technologies per il cloud è rivolta a tutte quelle organizzazioni che intendono avvalersi di soluzioni IAM nello specifico ambito di utilizzo in cui viene adottato il cloud:
• “TO” the cloud: è il modello di riferimento per l’adozione o estensione di tecnologia IAM da parte di tutte quelle aziende che vogliono trasferire applicazioni e dati dal sistema informativo tradizionale al cloud o intendono avvalersi di servizi on-demand (SaaS, IaaS, PaaS). In questo modello la tecnologia IAM è gestita dall’azienda stessa che ne ha il pieno controllo.
• “FOR” the cloud: dedicata a provider di cloud private o pubbliche che vogliono gestire in sicurezza il proprio ambiente di data center. In questo modello il cloud provider può essere una terza parte indipendente che fornisce servizi via public cloud o l’azienda stessa che fornisce servizi ai propri utenti attraverso una private cloud.
• “FROM” the cloud: dedicata a tutte quelle aziende, tipicamente quelle di minori dimensioni, o anche grandi aziende, che vogliono affidarsi a servizi cloud, tipicamente SaaS, senza dovere investire in proprio in tecnologie IAM. Questo è il modello più futuristico e prevede che servizi IAM diventino parte integrante del cloud. Presuppone, quindi, servizi IAM erogabili via SaaS dedicati a gestire in sicurezza una molteplicità di applicazioni e servizi SaaS.
Conclusioni
“La diffidenza delle aziende nei confronti del nuovo paradigma infrastrutturale e di data center del cloud è alimentata da un luogo comune: quello della non affidabilità e incoerenza del cloud rispetto ai requisiti richiesti in ambito enterprise. Gli utenti si chiedono se il cloud è sicuro”, ha sostenuto Macinante.
“Secondo CA Technologies il cloud è sicuro”, ha constatato Molteni. “Al di là di garantire la gestione delle infrastrutture secondo le più moderne tecniche di management, nel cloud appare infatti sempre più evidente che la discriminante al suo utilizzo sia rappresentata dalla sicurezza. La strategia di Content Aware Identity and Access Management di CA Technologies, leader riconosciuto nella gestione delle identità e degli accessi in area enterprise, garantisce la piena funzionalità delle attività in ambiente cloud, in conformità a una serie di criteri di sicurezza che le aziende ritengono ormai irrinunciabili”.