La scelta di spostare in cloud almeno parte dei carichi di lavoro, dati e app, viene vista con favore da un numero sempre maggiore di aziende, perché il cloud consente un’agilità, nella disponibilità e nella gestione delle risorse necessarie per lo sviluppo dei nuovi progetti, difficilmente eguagliabile lavorando solo on-premise.
Questo approccio, senza dubbio virtuoso, non deve però far perdere di vista che la sicurezza delle informazioni e delle applicazioni merita lo stesso livello di attenzione e il medesimo livello di protezione che si è imparato a garantire alle risorse on-premise. Ne parliamo con Marco Fanuli, Security Engineer Team Leader, Channel & Territory di Check Point, in un botta e risposta con focus specifico sulla sicurezza in cloud, partendo proprio da questo tema.
Quali sono i rischi sottovalutati della sicurezza in cloud?
I rischi della sicurezza in cloud sono i medesimi cui si va incontro quando non ci si dota dei corretti strumenti di sicurezza all’interno del perimetro aziendale. Si tratta però di prendere coscienza delle effettive differenze tra i due mondi. All’interno del perimetro aziendale nessuno sottovaluta di ricorrere a strumenti quali NextGeneration firewall, antivirus, sandbox. Se ne è compresa la necessità. Nel cloud questo spesso non avviene, pensando che l’ambiente sia già protetto. Questo messaggio a volte è veicolato dallo stesso cloud provider che ovviamente lo relaziona a quelli che sono gli ambiti di sua competenza. Da questo punto di vista il bisogno di “evangelizzare” resta, volto a far comprendere la protezione che si “perde” nel momento in cui si spostano DB, CRM, posta, etc. sul cloud e i rimedi necessari.
Le differenze nascono proprio dalla diversa concezione del cloud provider sulla sicurezza in cloud: per i provider un cloud sicuro deve consentire accesso resiliente e ridondato alle applicazioni (per esempio tramite cifratura del DB, ridondanza, affidabilità dei sistemi, access management), ma quello che si è costruito on-premise – ad esempio la protezione dagli attacchi esterni tramite un sistema IPS – in cloud viene a mancare se non si provvede in modo adeguato. Il più importante dei rischi sottovalutati quindi è proprio la mancanza di strumenti di sicurezza dedicati, gli stessi che on-premise vengono considerati oramai scontati. E’ opportuno invece pensare al cloud proprio come estensione logica del proprio data center, anche perché la responsabilità del dato e della protezione di un ampio stack di risorse resta a carico dell’azienda e gli strumenti di protezione quindi devono essere applicati sia sulle risorse IaaS sia in quelle PaaS con i relativi strumenti di governance.
Le aziende però si trovano in difficoltà quando si tratta di “rimodellare” la sicurezza per proteggere gli asset in cloud. Che aiuto può dare Check Point in questo ambito?
E’ vero, a volte la nuvola è ancora vista come un “elemento oscuro” e fa paura perché porta a cambiare il modo di pensare l’architettura, anche quella della sicurezza. Però se per alcuni aspetti si dà per scontato che la sicurezza in cloud sia garantita di default, dall’altro, ed in senso positivo, proprio la sicurezza come è proposta da Check Point rappresenta un acceleratore. Perché agevola il ‘salto quantico’, con una serie di strumenti che offrono un continuum di protezione a tutte le sfaccettature del cloud Iaas, Saas, Paas e FaaS (Function As a Service) fornendo agli amministratori di sistema i tool di cybersecurity, governance, security posture, DLP, Identity Protection, attraverso piattaforme del tutto automatizzate ed orchestrabili con le API. L’automazione e l’adattività di queste soluzioni sono elementi essenziali per garantire l’operatività ai DevOps.
Un lavoro fondamentale per traguardare la sicurezza in cloud nel migliore dei modi è proprio quello svolto dal canale. Check Point vanta un’eccellente rete partner qualificati in grado di portare valore attraverso servizi professionali consulenziali per accompagnare i clienti in un percorso che può far paura, ma solo prima di averlo compiuto.
Il salto porta effettivamente poi solo benefici. Non si tratta di proporre semplicemente la soluzione: l’approccio di Check Point prevede sempre lo studio di un progetto e l’ingegnerizzazione delle soluzioni nei diversi casi d’uso. Il passaggio al cloud va pensato, e Check Point aiuta in questo senso perché consente di “portarsi” tutta una serie di strumenti utilizzati on-premise anche sulla nuvola, con le specifiche necessarie del caso, come l’elevata automazione citata in precedenza.
La security proposta da Check Point quindi funge da acceleratore anche perché permette di migrare senza preoccupazioni consapevoli di aver reso il proprio cloud sicuro tanto quanto l’ambiente on-premise. Certo, l’aspetto consulenziale resta centrale. L’approccio shift and lift, infatti, non sempre paga, mentre in cloud si può fare meglio lavorando sulle architetture ed i processi. Anche in questo caso canale e partner sono fondamentali per ripensare il design architetturale e sfruttare al meglio la tecnologia Check Point.
Quali sono i punti di forza differenzianti della proposta Check Point?
La protezione cloud è focus principale della strategia Check Point, oramai da diversi anni, lo documentano le tecnologie acquisite (Dome9, Logic, Protego, per citarne alcune) come quelle sviluppate internamente come CloudGuard IaaS, CloudGuard SaaS e CloudGuard Connect. La forza principale però e, per visione, unica sul mercato, è la proposta di una piattaforma del tutto centralizzata che permette di consolidare non solo le tecnologie Check Point presenti in cloud ma anche l’on-premise, il mobile, gli endpoint, gli ambienti OT e IoT (componenti Scada inclusi). Architetture eterogenee e molto diverse tra loro ma da proteggere tutte con la stessa attenzione.
Ecco, l’approccio Infinity – ovvero un’architettura di security integrata e centralizzata per ambienti cloud, mobile, IoT, network ed Endpoint, permette di consolidare la security in modo semplice in tutti gli ambienti. Check Point è da sempre un’azienda 100% software, questo ha agevolato senz’altro l’ingegnerizzazione delle nostre tecnologie nei vari ecosistemi senza alcun bisogno di sviluppare su hardware specifici. Lo stesso software garantisce lo stesso livello di protezione e affidabilità in tutti i contesti citati con un’unica console di gestione ad elevata visibilità, e automazione che aiuta ad abbattere sensibilmente anche i costi di gestione.
Infinity si propone quindi come architettura di security che permette di mettere in sicurezza ambienti eterogenei con un’unica consolle. L’integrazione nativa tra i vari componenti garantisce anche una più alta efficacia degli strumenti per bloccare il malware, superando i limiti di altre scelte puntuali in cui il dialogo tra diversi componenti si rivela non virtuoso per l’obiettivo finale.
La sicurezza by design in cloud come negli scenari ibridi e on-premise è un traguardo alla portata di tutte le realtà? Come possono muoversi le aziende?
In questo momento di maturità del cloud pensare alla migrazione verso un ambiente cloud ibrido è assolutamente alla portata di qualsiasi tipologia di azienda. Per tutti i vantaggi che abbiamo evidenziato (riduzione tempi di go-to-market, miglioramento dei processi e dei servizi etc.), serve però aggiornare le competenze e disporre di quelle adeguate. Alcune Pmi che gestiscono internamente la propria infrastruttura si sono attrezzate per farlo. Hanno avvicinato il cloud a piccoli passi e a piccoli passi sono maturate anche per competenze, per esempio certificando le risorse a seconda di servizi e soluzioni scelti. Spesso però chi dispone di poche risorse interne però ha bisogno di rimanere focalizzato sul business. Ecco che allora è importante (e succede sempre più spesso) affidarsi a professionisti che gestiscono infrastruttura e security per conto dell’azienda.
Torna l’importanza del canale: chi ha aiutato nella migrazione spesso può offrire servizi gestiti anche per la security. I servizi dei partner rappresentano un valore aggiunto per il cliente finale che sfrutta le risorse assicurandosi una gestione corretta della security affidata a personale qualificato. Senza il rischio di “perdere il controllo”. La console di management Check Point offre infatti la possibilità di segregare accessi e privilegi per sfruttare servizi co-gestiti che permettono ai clienti di non perdere il controllo su infrastruttura e security, in cloud, ma mantenere piena visibilità su processi e cambiamenti e superare ugualmente lo scoglio della mancanza di competenze. Non è il partner che gestisce a scatola chiusa ma sono cliente e system integrator che collaborano, con vantaggi per entrambe le parti.
Leggi tutti i contributi della Room “Le sfide della sicurezza cloud“, a cura di Lutech e CheckPoint
© RIPRODUZIONE RISERVATA
