La
sicurezza cloud è la nuova sfida per la cyber security. L'emergenza sanitaria ha obbligato le aziende a spostare molti asset in cloud per agevolare il
lavoro da casa, è necessario proteggerli. Un compito non facile. Il cloud è un enorme cappello sotto a cui si può inserire di tutto: delle app ai repository, per arrivare ai servizi di sicurezza. Decidere che cosa mettere in cloud e che cosa no è più difficile di quanto possa sembrare, perché da quello dipendono molti aspetti della sicurezza informatica.
È fuor di dubbio che le risorse in cloud offrano il vantaggio di non costringere chi vi accede a passare dai
colli di bottiglia delle VPN. Lato azienda, quasi tutto quello che si può avere in cloud è scalabile, quindi si possono gestire i costi con relativa agilità. Il
punto di attenzione è che il cloud va protetto, di più e meglio delle risorse on-premise. E, nonostante l'uso di più servizi anche molti differenti fra loro, occorre una
visibilità unica di tutte le risorse in cloud, perché ogni punto cieco è una falla che i cyber criminali sfrutteranno.
Le soluzioni che si propongono per gestire questa delicata fase della trasformazione digitale sono molte. In questa sede parliamo dell'opzione
SASE (Secure Access Service Edge). È un termine coniato dagli analisti di Gartner che identifica
l'unione fra cyber security e connettività. L'idea risale al 2019, quando il COVID non esisteva, ma la migrazione cloud aveva già connotati importanti. Tanto da far prevedere che trasferire in cloud applicazioni e risorse aziendali avrebbe richiesto un analogo trasloco anche della sicurezza. L'estrema sintesi è che connettività e sicurezza devono risiedere dove sta tutto il resto, altrimenti le cose non funzionano.
Che la previsione fosse particolarmente azzeccata ce ne siamo resi conto nell'ultimo anno. Molte aziende hanno spostato in cloud dati e applicazioni ma hanno mantenuto on-premise gli stack di sicurezza. Si sono così creati quelli che
Alessandro Biagini, Regional Sales Manager Forcepoint Italia, definisce due "mondi paralleli" in cui il flusso di dati per tutti gli utenti (anche quelli remoti) continua a passare attraverso un data center centrale, regolato da misure di sicurezza completamente diverse da quelle adottate da alcune applicazioni cloud. Il risultato è una
carenza delle prestazioni, latenze elevate ed errori di connessione.
Davanti a questa situazione, e con l'urgenza di far lavorare i dipendenti da casa, molte aziende hanno dovuto permettere ai dipendenti di collegarsi alle risorse direttamente tramite Internet e applicazioni cloud, affidandosi a
tecnologie come SD-WAN. Un'opzione interessante, sicuramente da valutare.
SASE è vista da alcuni come la soluzione per soddisfare le nuove esigenze in termini di prestazioni e sicurezza. Consiste nell'implementare un modello di architettura di rete e di sicurezza coerente ma radicale, che prevede il trasloco in cloud di
connettività di rete, web, dati, applicazioni e sicurezza. In quest'ambito dev'essere declinato in cloud tutto quello che prima era fisicamente in azienda e che ne costituiva il perimetro: Secure Web Gateway, Firewall as a Service, Cloud Access Security Broker, Data Loss Prevention/ Data Leakage Prevention.
Una particolarità del SASE è che
funziona se il controllo degli accessi funziona. Da qui il matrimonio virtuoso fra SASE e Zero Trust. Non Zero Trust inteso come un prodotto o come un componente, ma come filosofia. Consiste nell'applicare il noto paradigma di sicurezza che rimpiazza la fiducia implicita con livelli di rischio/fiducia espliciti, valutati continuamente in base al contesto nel quale ogni singola operazione e interazione viene analizzata per applicare eventuali mitigazioni, controlli e interventi in tempo reale.
Non è quindi una banale questione di controllo degli accessi, ma una valutazione continua e sulla comprensione del rischio, che si esegue continuativamente verificando tutti i segnali di attività di ogni singolo utente. Questa passa per il monitoraggio degli endpoint oltre che per i sistemi di controllo degli accessi. Integrando lo stack SASE, il monitoraggio e il controllo degli endpoint, è possibile fornire in tempo reale l'output di tali analisi, rispondendo ai rischi man mano che emergono.
Qual è l'opzione più adatta
dipende dalla struttura aziendale, dalle necessità peculiari di ciascuna impresa e da molti altri aspetti tecnici ed economici. L'importante è condurre valutazioni accurate che tengano in conto di tutti gli aspetti nella loro complessità, e
affidarsi per la progettazione e la realizzazione a personale altamente qualificato. Può essere un vendor, oppure un provider, che oltre a realizzare l'infrastruttura la gestisca poi fornendo un servizio esterno di alto livello.