Il Cloud Computing è la piattaforma IT ormai più diffusa al mondo, la grande maggioranza delle aziende gestisce ambienti multi-cloud, e i generici timori per la sicurezza dei dati sono stati superati: oggi prevale un atteggiamento “di seconda generazione”, secondo cui i benefici del Cloud superano i rischi, che vanno gestiti e non temuti. Questi in sintesi i messaggi della quarta edizione del Cloud Security Summit, organizzato da Assintel, CSA Italy e Clusit a Milano pochi giorni fa.

Clusit non ha presentato l’aggiornamento semestrale del suo Report (lo farà tra pochi giorni a Verona), per cui è stato Fabio Rizzotto, Head of Research and Consulting di IDC Italia, a parlare delle tendenze della Cloud Security. “In Italia la spesa per l’IT Security ha sfiorato 1,2 miliardi di euro nel 2018, con una crescita significativa negli ultimi anni: fattori importanti di spinta sono le nuove esigenze di protezione di data center, endpoint, e Edge/IoT, ma soprattutto il Cloud”.

Tre aziende su 4 che devono implementare nuove applicazioni o workload infatti pensano al Cloud (prima di tutto al cloud 37%, anche al cloud 38%), e il valore del mercato Cloud nel nostro paese ha superato 1,6 miliardi di euro nel 2018, con crescite annue previste intorno al 25%, che lo porteranno oltre i 2,5 miliardi nel 2020.

Un’azienda su 2 ha almeno 4 fornitori cloud

“La maturità di atteggiamento emerge dalle motivazioni di investimento in applicazioni e infrastrutture Cloud: il business che richiede più velocità e agilità, l’esigenza di modernizzare piattaforme, applicazioni, e data center, mentre la necessità di tagliare costi non è più nelle prime priorità”.

Inoltre Cloud e Security non sono più visti in contrapposizione – in Italia alla domanda se i benefici del cloud superano i rischi oggi quasi il 70% si dice d’accordo o molto d’accordo – e l’ambiente tipico è multicloud: l’82% delle aziende usa servizi di almeno due fornitori cloud, il 46% almeno di quattro: “Entro il 2020 quattro imprese europee su 10 avranno meccanismi consolidati di hybrid cloud management”.

A completare il quadro, Andrea Lanzi dell’Università Statale di Milano ha poi citato alcuni dati della SANS 2019 Cloud Security Survey, svolta dalla community SANS.org e da CSA su centinaia di aziende in tutto il mondo. Ne emerge che le applicazioni in cloud aumentano del 40% all’anno, e il 7,4% ha in cloud tutte le applicazioni, anche mission-critical.

La differenza tra rischi percepiti e reali vulnerabilità

Inoltre c’è notevole discrepanza tra le preoccupazioni più forti verso il cloud, e i problemi che effettivamente si verificano. Tra le prime ci sono l’accesso non autorizzato a informazioni sensibili, la sottrazione di dati da parte del personale del cloud provider, l’impossibilità di verificare (audit) accessi e violazioni. Invece i problemi reali nascono da scarsa visibilità di dove siano i dati, indisponibilità di applicazioni, cattiva qualità della configurazione e sicurezza di componenti allestiti in fretta (per esempio container).

Quanto alle violazioni, nel 2017 un’azienda su 5 ha denunciato di aver subito un data breach in applicazioni cloud, ben il doppio dell’anno prima. Una crescita dovuta alla maggior capacità delle aziende di rilevare i breach (costrette anche da normative sempre più esigenti, come il GDPR), ma soprattutto dal successo del cloud, che garantisce sempre più ritorni anche a chi attacca le piattaforme “as a service”. I tipi di attacchi più frequenti sono DOS (denial of service), exploit di cattive configurazioni di applicazioni e interfacce, sottrazione di credenziali e account, exploit di vulnerabilità dei provider.

Altre evidenze dell’indagine SANS 2019 sono poi la crescita del security as a service (SecaaS), che per tecnologie come vulnerability scanning, antimalware, multifactor authentication supera ormai il 10% delle implementazioni, e la difficoltà di molte aziende di analizzare breach e attacchi per problemi di accesso ai file di log e dati di sistema necessari, e di comprensione di quali dati dei cloud provider servano per queste analisi.

Le domande per il multi-cloud management

L’intervento di Jim Reavis, CEO di CSA, ha esaminato le sfide attuali della Cloud Security dal punto di vista delle aziende utenti. “Il Cloud è oggi la principale piattaforma IT nel mondo, ed è maturo in termini di tecnologie, framework (es. Cloud Reference Architecture), metodologie, procedure di controllo e di certificazione. “Exponential cloud security” significa accettare la sfida della sicurezza informatica in uno scenario di digital transformation in continua crescita, e quindi di aumento inevitabile di attacchi e breach, ampliamento del perimetro di vulnerabilità delle aziende, crescente necessità di presidiare la data protection dei dati sensibili (vedi GDPR), e di gestire ambienti multi-cloud”.

Tutte le organizzazioni saranno multi-cloud, continua Reavis: il punto è farsi le domande giuste. “Le policy di sicurezza sono applicate in modo uniforme su tutte le piattaforme cloud? I workload sono spostabili da una piattaforma all’altra? Quanto ci vuole per chiudere con un vendor e attivarne un altro? Quanto è aggiornata la strategia di risk management?”

In generale, le risposte delle organizzazioni delineano alcune macro-tendenze: passaggio dall’approccio information security a quello cybersecurity (cioè da protezione dei dati a prevenzione e reazione alle vulnerabilità di reti e sistemi); ricerca di competenze specialistiche di cybersecurity; ricorso sistematico a machine learning, modelli API-driven, DevOps e Containerizzazione; forte attenzione alle strategie di Identity Management; ricerca della massima visibilità con strumenti come cloud access security broker, logfile management, cloud SOC, e così via.

“CSA ha una grande fiducia nella blockchain: occorre unire cloud e blockchain, e rivoluzionare la cybersecurity. Pensiamo che ci sarà una convergenza su alcuni standard pubblici di blockchain che i vendor di cybersecurity accetteranno di adottare”.

Infine tra gli altri momenti del Cloud Security Summit segnaliamo anche la testimonianza di un’azienda utente, il Gruppo Giochi Preziosi, attraverso il Responsabile Infrastruttura IT Stefano Carnelli: “Da molti anni l’azienda è caratterizzata da una forte dinamica di riorganizzazioni e acquisizioni, per cui una importante criticità è la continua omogenizzazione dei sistemi, anche dal punto di vista della sicurezza, tenendo conto che la struttura IT interna è ridottissima. Il Cloud ci ha permesso di risolvere questo problema, centralizzando la gestione e standardizzando la sicurezza su tutto il gruppo. Al momento una criticità importante è che ci sono talmente tanti strumenti cloud che occorre qualcuno che si occupi specificamente di gestione interna di questi servizi e dei relativi fornitori, mentre uno dei più grandi punti di forza della Cloud Security è la parte di identificazione e autenticazione”.