• DigitalWorld
    • Data intelligence
      • Applicazioni Big Data
      • Big Data Analytics
      • Infrastruttura Big Data
      • Intelligenza Artificiale
    • Hardware
      • PC Windows
      • Apple Mac
      • Notebook
      • PC Linux
      • Chrome OS
      • Server
      • Periferiche PC
      • Dischi SSD
      • Processori PC e server
      • Stampa 3D
      • Internet of Things
      • Mobile & Wireless
        • Computer indossabili
        • 5G
        • Android
        • App Mobile
        • Apple iOS
        • BlackBerry
        • BYOD
        • Mobile Device Management (MDM)
        • Pagamenti Mobile
        • Sicurezza Mobile
        • Smartphone
        • Tablet
        • TLC e Internet Provider
        • Windows Phone
      • Multimedia Pro
        • Audio
        • Grafica
        • Video editing
      • Tecnologia personale
    • SOFTWARE
      • Blockchain
      • Realtà Virtuale
      • App Desktop
      • Office
      • Architettura Enterprise
      • Database
      • Gestionali
      • Business Intelligence (BI)
      • CRM
      • ERP
      • Content/Document Management
      • Unified Communications (UC)
      • Open Source
      • Software as a Service (SaaS)
      • Software di Collaborazione
      • Integrazione di servizi
      • Sviluppo App
      • Sviluppo software
        • App
        • DevOps
        • Enterprise
        • Intranet
        • Software Desktop
        • Web
      • Sistemi operativi
        • Windows
        • Windows 11
        • macOS
        • Linux
        • Chrome OS
      • Gamification
    • Infrastruttura
      • Cloud Computing
        • Cloud ibrido
        • Cloud Privato
        • Cloud Pubblico
        • Cloud Storage
        • Sicurezza Cloud
        • Edge Computing
      • Data Center
        • Disaster Recovery
        • Gestione infrastruttura
        • Green IT
        • High Performance Computing (HPC)
        • Mainframe
        • Storage
        • Virtualizzazione
        • Quantum Computing
      • Networking
        • Broadband
        • Hardware di Rete
        • LAN & WAN
        • Reti Wireless
        • Sicurezza di Rete
        • Software Defined Networking
        • Software di Rete
        • Wi-Fi 6
    • INTERNET
      • Applicazioni Web
      • Browser Web
      • E-commerce
      • Marketing Online
      • Ricerca
      • Social Media
      • Servizi di localizzazione
      • Metaverso
    • SICUREZZA
      • Trusted Cybersecurity
      • Cifratura
      • Compliance e Regolamenti
      • Cybercrimine & Hacking
      • Cyberwarfare
      • Disaster Recovery e Business Continuity
      • Endpoint Security
      • Malware & Vulnerabilità
      • Privacy
      • Sicurezza Applicazioni
      • Sicurezza dei Dati
  • Digital Manager
    • Management IT
      • Organizzazione IT
      • Carriere IT
      • Personale IT
      • Project Management IT
      • Skill IT e Formazione
    • Procurement
      • Outsourcing
    • Digital Transformation
      • Trasformazione nell’IT
    • Leadership
      • Il ruolo del CIO
      • CIO Club Italia
    • Tecnologie
  • DigitalPartner
    • Canale it
      • Canale Cloud
      • Distribuzione
      • VAR e system integrator
    • Eventi
    • Certificazioni
    • Industria IT
      • Nomine
    • Mercato
    • Strategie di canale
  • CWI Digital Health – Home
    • Software
      • App per la sanità
      • Ricerca medica e big data
    • Hardware
      • Protesi
      • Robotica operatoria
      • Robotica riabilitativa
      • Sensori e Wearable sanitari
    • Bioingegneria
      • Genomica
    • Diagnostica
    • Terapia
      • Medicina Personalizzata
      • Telemedicina
DigitalWorld Italia
  • Newsletter
  • Webinar
  • Video
  • White Paper
  • Attualità
  • Settori industriali
  • Aziende citate
Oppure
Registrati
home » digitalpartner

Configurazioni errate nel cloud: di chi sono le responsabilità?

cloud security configurazioni responsabilità exclusive networks fortinet
Contenuto sponsorizzato
Nell'era del DevOps a volte la sicurezza è considerata un freno. Invece allineando team, strumenti e processi, può diventare una parte automatizzata e integrante del ciclo di sviluppo

La corsa verso l’adozione del cloud pubblico presenta nuovi rischi per la sicurezza. Il più grande è probabilmente l’errata configurazione del cloud.

L’aspetto più critico del cloud pubblico è forse il più ovvio: il fatto che sia “pubblico”. Se un’organizzazione commette un errore durante la migrazione o durante la creazione del cloud, i dati potrebbero diventare immediatamente di dominio pubblico e costare molto caro.

Ma quali sono gli elementi più critici e quelli più comunemente mal configurati del cloud pubblico? Chi è responsabile della configurazione e della protezione del cloud pubblico, l’organizzazione o il provider cloud? Quali strumenti e/o misure di sicurezza dovrebbero essere poste in atto per evitare questo tipo di rischio nel cloud?

Occorre partire dalla comprensione del cloud e dei processi seguiti dagli sviluppatori. I team di sviluppo devono affrontare una forte pressione aziendale per effettuare rilasci velocemente. E spesso si parte dal presupposto che la sicurezza rallenterà il rilascio. Ma la vera sfida è che siamo in un mondo software-defined, in cui una semplice riga di codice può rappresentare il punto di svolta per gli hacker per ottenere l’accesso al più prezioso degli asset – i dati. Se a ciò aggiungiamo che i team di sviluppo riutilizzeranno, replicheranno e automatizzeranno il codice, se passa una configurazione errata il rischio è che venga replicata su altri sistemi, amplificando la superficie di attacco e il potenziale per una violazione.

Malintesi e confusione sulle responsabilità

Ecco che in questo scenario emerge la questione della responsabilità. Chi è responsabile della configurazione e della protezione del cloud pubblico, l’organizzazione o il provider cloud? I fornitori di cloud sono molto chiari a riguardo – si tratta di un modello di responsabilità condivisa.

Tuttavia rimangono molti malintesi e confusione su cosa significhi tutto questo, dove si trova effettivamente il confine di responsabilità e “chi” è responsabile di “cosa”. I team interni rischiano di esacerbare ulteriormente questo malinteso legato alle responsabilità a causa della mancanza di competenze in materia di sicurezza da parte di alcuni team di sviluppo e della mancanza di esperienza nel cloud da parte di alcuni team di sicurezza. Ciò può comportare che il team di sviluppo non capisca i rischi e il team di sicurezza non comprenda come difendere efficacemente un ambiente software-defined agile. Questi silos di conoscenze e competenze stanno creando sfiducia e riluttanza per una vera collaborazione tra i team di sicurezza e sviluppo.

Specialisti di cybersecurity nel team DevOps

Una soluzione per ricucire queste rotture nelle organizzazioni è quella di creare un ruolo specialistico di cybersecurity all’interno di ogni team DevOps, passando così a team “DevSecOps“. Lo specialista della sicurezza DevOps può guidare gli sviluppatori di applicazioni verso un modello di responsabilità condivisa, aiutandoli a rispettare sia i requisiti di sviluppo che di sicurezza. Può anche fornire strategie per semplificare e automatizzare la sicurezza per questi team agili che lavorano su ambienti cloud diversi.

Ad esempio, un approccio basato su tag può astrarre la sicurezza, abilitando policy di sicurezza coerenti ma su misura per ogni ambiente cloud, preservando al contempo la missione DevOps di raggiungere prestazioni e velocità. È un bel cambiamento di cultura e richiede un approccio collaborativo, ma il risultato sono team che sfruttano l’esperienza di ogni individuo per raggiungere un obiettivo condiviso, abbattendo così i silos.

Security by design come standard

Anche la sicurezza stessa deve evolversi e abbracciare la collaborazione per far fronte a questa nuova dinamica. Le soluzioni di cybersecurity software-defined progettate per il funzionamento nativo del cloud devono sfruttare il cloud e i servizi a disposizione per il deploy, la protezione e la scalabilità automatizzati sulla base dei carichi di lavoro dinamici che stanno difendendo. Possono identificare in modo proattivo e correggere automaticamente i rischi in modo che un errore venga risolto automaticamente, anziché compromettere l’intero ambiente.

E incorporando tecnologie avanzate come machine learning (ML) e intelligenza artificiale (AI) la sicurezza è più intelligente e più facile per i team delle operation già stressati al limite. Ad esempio, man mano che le app cambiano, il ML consente alle soluzioni di sicurezza di apprendere automaticamente il nuovo comportamento, in modo che le nuove funzionalità non vengano bloccate e il ciclo di deployment proceda senza intoppi, senza richiedere un intervento manuale.

engineered-for-dynamic-cloud-600x300 copiaL’intelligenza artificiale consente di rilevare automaticamente l’attività e il comportamento anomali in tutta la gamma di diversi ambienti cloud che un’organizzazione può avere, e quindi di essere riparato istantaneamente. Questo è particolarmente importante nel cloud pubblico in cui le configurazioni errate possono avere enormi conseguenze e in modo estremamente veloce.

La verità è che siamo passati dallo sviluppo tradizionale a team DevOps agile in uno qualsiasi dei vari ambienti cloud. Gli strumenti di sicurezza sono spesso considerati ingombranti e old-school ma la realtà è che, allineando team, strumenti e processi, la progettazione della sicurezza può essere una parte agile, automatizzata e integrante del ciclo di vita dello sviluppo, consentendo alle organizzazioni di innovare alla velocità che desiderano e accelerare la loro strada verso un futuro digitale.

Exclusive Networks e Fortinet, una partnership consolidata per la cybersecurity

Per vincere le nuove sfide alla sicurezza servono tecnologie e competenze. Fortinet ed Exclusive Networks sono alleate da anni per sbarrare le porte ai criminali informatici.

Fortinet logoFortinet con la sua Fortinet Security Fabric offre soluzioni integrate e automatizzate che consentono un accesso alla rete zero-trust, sicurezza dinamica del cloud e sicurezza basata su intelligenza artificiale (IA).

Exclusive networks logo Exclusive Networks grazie al suo PowerLab consente di vedere e toccare con mano queste soluzioni in azione ed è al fianco dei propri partner per individuare, caso per caso, le tecnologie più efficaci, ma anche per offrire formazione, consulenza e la propria esperienza di polo di eccellenza della distribuzione specialistica a valore aggiunto.

devopsExclusive NetworksFortinet
// Data pubblicazione: 26.04.2021
Condividi
Condividi:
  • Chi siamo
  • White Paper
  • Advertising
  • Webinar e Video
  • Privacy
  • Newsletter
  • Cookie policy
  • DigitalWorld
  • TechPlus
  • DigitalManager
  • InnovareWeb
  • Quine Formazione
  • SM Strumenti Musicali
  • DigitalPartner
Quine LSWR Group
CWI è una testata giornalistica di Quine Srl, registrata presso il Tribunale di Milano al n. 5582/2022
Direzione, amministrazione, redazione, pubblicità
Via Spadolini 7 - 20141 MilanoTel. +39 02 864105Fax +39 02 72016740P.I.: 13002100157
Contatti: media.quine.itwww.quine.itquineformazione.it
Privacy
Follow Us
  • Facebook
  • Twitter
  • Linkedin
  • YouTube
© 2024 - Tutti i diritti riservati