I progetti di transizione digitale delle aziende oggi fanno leva sul cloud, come facilitatore tecnologico. Anche per quanto riguarda la cybersecurity, il cloud computing può rappresentare un elemento abilitante, soprattutto nella semplificazione dei processi e nella messa in sicurezza degli asset infrastrutturali e nel controllo degli accessi. Questo ha determinato anche un’importante evoluzione del ruolo del cloud provider che OVHcloud sa interpretare mettendo a disposizione del cliente le competenze necessarie affinché, davvero, la sicurezza, anche in cloud, sia frutto di un lavoro di squadra. Ne parliamo con Marco Scognamiglio, Conformity Manager di OVHcloud
La transizione al cloud rappresenta ormai un trend consolidato in tutti i settori, come emerso anche dal Barometro Cybersecurity. Cloud e cybersecurity devono quindi essere gestiti congiuntamente. In che modo OVHcloud aiuta le aziende ad affrontare il tema della cybersecurity, qual è a suo avviso il “ruolo” del cloud provider? E come lo interpreta OVHcloud?
Il cloud è un’opportunità che moltissime aziende fortunatamente stanno cogliendo. Parlare di cloud oggi implica necessariamente parlare di cybersecurity ed entrambi questi nuovi ambiti presuppongono nuove competenze. Il ruolo del cloud provider è apparentemente semplice: fornire un’infrastruttura che sia stabile, sicura e resiliente. Ma OVHcloud fa un passo in più garantendo ai propri clienti la libertà di mettere in sicurezza i propri progetti e dati. Noi strutturiamo la sicurezza informatica su tre livelli:
1- il primo livello è quello che potremmo definire obbligatorio: il cloud provider deve garantire alti livelli di sicurezza sull’infrastruttura, sull’interfaccia di gestione dei servizi, e altre funzioni similari. A prescindere da quale sia il servizio sottoscritto e quale sia il suo costo, il cliente si aspetta che i propri dati siano protetti e non siano accessibili a soggetti non autorizzati.
OVHcloud garantisce questo livello attraverso strumenti come l’uso di elementi di network per la sicurezza (Firewall e Bastion), Monitoring costante delle risorse e del traffico, security review sull’architettura. Queste sono solo alcune delle soluzioni che, insieme a regole e policy interne, applichiamo a tutti i servizi. Queste aspettative di un livello di sicurezza di base devono, o dovrebbero, essere soddisfatte al 100% da qualunque cloud provider.
2- il secondo è un livello con responsabilità condivisa tra provider e cliente: il provider mette a disposizione del cliente funzioni, configurazioni, strumenti che il cliente può usare o meno, è una sua scelta, per garantire un livello di sicurezza più alto. Ne sono un esempio il 2FA (two Factor Authenticator) o i backup attivabili inclusi in alcuni servizi. Sono tutte quelle azioni che possono essere messe in campo senza costi aggiuntivi, ma che mettono il cliente in condizione di avere un livello di sicurezza più alto. Il provider si fa carico di fornire tali strumenti, sulla base delle esigenze di mercato, e di fornire formazione e materiale informativo a riguardo. OVHcloud è alla continua ricerca di strumenti da fornire in questo senso, stringendo partnership con i maggiori provider mondiali di tali soluzioni.
3- il terzo livello è costituito, da due aspetti:
uno è cosa il cloud provider offre come servizi extra in opzione quindi dare la possibilità di avere prodotti aggiuntivi che il provider stesso può fornire, come OVHcloud ad esempio fornisce ZERTO, per il business recovery, o Veeam Backup, due servizi universalmente riconosciuti come eccellenti;
l’altro è la garanzia per il cliente di avere la possibilità e la libertà di gestire rischi specifici. Sembra scontato dirlo, ma in OVHcloud ogni sforzo è fatto per far sì che i nostri sistemi siano interoperabili con altre tecnologie: ad esempio forniamo Open API per interagire con altri strumenti di sicurezza o lasciamo la possibilità di installare un proprio sistema operativo. Tutto questo lascia il cliente libero di adottare ogni misura di sicurezza che ritiene opportuna senza vincoli dettati dal servizio cloud sottoscritto. Inoltre, OVHcloud aiuta i propri clienti ad entrare nell’ottica che passare al cloud non sia solo replicare la propria infrastruttura on-premise, ma anche adottare misure di sicurezze adeguate e l’utilizzo di una politica di zero trust. OVHcloud si pone più come un partner tecnologico che come mero fornitore.
Normativa in evoluzione, sovranità sui dati, complessità multicloud. Tre ambiti che rendono “complessa” la cybersecurity alle aziende cui spesso mancano le competenze interne. Quali sono le tecnologie che abilitate dal cloud aiutano di più la cybersecurity?
Il cloud consente di esternalizzare gli investimenti e le operazioni di manutenzione del sistema. Noi lavoriamo su grandi volumi, il che consente di mettere in comune competenze rare, di industrializzare operazioni costose e di ottimizzare la gestione della capacità. I nostri clienti hanno accesso quasi immediato a infrastrutture complesse pronte all’uso, distribuite su scala globale, sicure, con capacità di crescita ed evoluzione impensabili nei modelli tradizionali.
Quello che prefiggiamo è fare in modo che i nostri servizi siano compatibili e diano la possibilità al cliente di integrare i nostri sistemi nei suoi, capitalizzando strumenti e competenze che già possiede, come i sistemi di gestione credenziali e accessi, il sistema di log, i sistemi di configurazione stile Terraform, il tutto senza il rischio di vendor lock-in, utilizzando standard tecnologici. Ne è un esempio la possibilità di utilizzare la propria Active Directory sul nostro Hosted Private Cloud. Questo aspetto spesso viene sottovalutato rendendo di fatto il cliente “ostaggio” dei propri fornitori perchè vincolato a soluzioni proprietarie.
Inoltre, naturalmente, non tutti i progetti sono uguali e richiedono lo stesso livello di sicurezza. OVHcloud si impegna a fornire soluzioni adeguate a ciascun livello di sicurezza, dal quello per progetti più semplici a quelli per progetti più critici. È per questo, ad esempio, che è nato da poco un nuovo perimetro, il Trusted Cloud, volto a garantire un livello di sicurezza altissimo per il trattamento di dati sensibili, fornendo tutele eccellenti per il rispetto del GDPR e garantire il mantenimento dei dati in territorio europeo.
Quali le strategie future?
Oggi, la maggior parte delle imprese dipende dagli hyperscaler americani o asiatici, almeno indirettamente. Al di là delle questioni di sovranità, c’è un rischio sistemico.
OVHcloud è l’alternativa europea per le aziende che vogliono sia beneficiare dei vantaggi del cloud sia ridurre questa dipendenza. La nostra missione è sviluppare l’ecosistema cloud europeo, rispettando in particolare le norme sulla privacy e sulla concorrenza.
OVHcloud vuole promuovere la creazione di un nuovo concetto di cloud definendo linee guida chiare e condivise sulla sicurezza e sugli standard di funzionamento. Ormai parlare di cybersecurity è d’obbligo, quello che farà la differenza sarà arrivare ad un concetto di cloud etico, che tuteli il cliente e i suoi progetti e dati, ma in fondo in OVHcloud è un concetto fondante da sempre.
Non perdere tutti gli approfondimenti dello Speciale Barometro Cybersecurity 2022
© RIPRODUZIONE RISERVATA