Parlare di cloud security significa parlare di privacy del dato, conformità ai regolamenti e di una variegata serie di attività preposte alla protezione degli asset (vedi per esempio la crittografia). Come suggeriscono i principali fornitori di servizi cloud, come per esempio Aruba, i principi fondamentali possono essere riassunti in tre grandi macro-aree. La cloud security passa da un mix di soluzioni end-to-end, che include processi di identity management e l’autenticazione dei servizi (anche di terze parti). Abilitando processi di identity security è dunque possibile irrobustire l’integrità dei dati, mantenendo protetti gli asset confidenziali, e più importanti per il business dell’azienda, pur lasciandone pieno accesso agli utenti che ne hanno facoltà.
Proprio la gestione delle identità risulta cruciale, sia a livello di utente, sia di infrastruttura; si tratta di una componente che deve essere messa a punto per generare una reale protezione del cloud. In ottica di sviluppo dei servizi cloud, l’autenticazione si sta evolvendo per risolvere le criticità tipiche dell’attuale modello basato su user/password. Ciò significa innescare meccanismi coordinati che includono strong authentication, risk-based authentication, l’analisi del comportamento degli utenti e l’aggregazione di più fattori. Abilitando invece attività di stronger authorization è possibile irrobustire l’intero processo di accesso ai dati, una procedura che permea l’infrastruttura cloud e il dato stesso. In termini di data security è poi possibile ipotizzare l’abilitazione di più gradi di protezione, come richiesto nel caso di dati sensibili, da mettere al sicuro parametrizzando le architetture a livello di file, di campo e di blocco.
Altri parametri importanti per assicurare una cloud security realmente efficace includono l’isolamento dei dati (data isolation), essenziale quando più utenti si trovano a dover accedere a risorse condivise. Per migliorare la sicurezza in questi casi si possono abilitare differenti gradi di protezione sfruttando tecniche di cifratura, controllo degli accessi e virtualizzazione degli ambienti.
Per garantirsi la massima sicurezza durante il processo di migrazione e utilizzo del supporto cloud è bene tenere presente una serie di procedure standard, che possono certamente accelerare l’adozione di nuovi servizi e assicurarne il regolare funzionamento nel tempo. Oltre a solidi e dettagliati SLA, previsti nel contratto di gestione, è necessario validare l’intera architettura di security, con particolare scrupolo per ciò che compete la protezione di rete (firewall e accessi), ma anche a livello di rilevamento intrusioni e protezione da malware/virus. È bene considerare specifici piani per la business continuity e il disaster recovery, tasselli vitali per l’operatività d’impresa.
Più in dettaglio è essenziale avere sotto controllo il percorso effettuato dai dati e le policy di gestione, archiviazione e distruzione del dato stesso. Scegliendo un servizio cloud è bene valutare quali componenti risulteranno condivise con altri clienti ed è opportuno abilitare una soluzione con cifratura, dove la chiave crittografica sia adeguatamente protetta e nelle mani del service provider (dettaglio che ne riduce possibili furti o manomissioni).
Tra i fornitori di servizi cloud che vantano certificazioni internazionali e un gran numero di storie di successo, Aruba pone grande attenzione agli aspetti legati alla security. I data center adottano infatti infrastrutture ridondate sotto ogni punto di vista, per garantire una business continuity anche nel caso di mancanza parziale di alimentazione o connettività.
Non solo, i servizi di Private Cloud, Public Cloud, Cloud Backup e Cloud Object Storage sono conformi al Codice di Condotta CISPE e sono identificati da un marchio di garanzia che offre ai clienti e ai cittadini la libertà di archiviare ed elaborare i propri dati all’interno dello Spazio Economico Europeo. Aruba sostiene inoltre una visione collettiva che va a vantaggio della comunità e del singolo cliente. L’azienda si impegna infatti a sviluppare una cultura di “Information Security” e lo fa mettendo in campo le necessarie misure finalizzate a garantire la riservatezza, l’integrità e la disponibilità delle informazioni immagazzinate e veicolate, sulla base della loro criticità, sensibilità e valore. Anche questo aspetto può dirsi cruciale e di basilare importanza, un elemento che fortifica la sicurezza delle infrastrutture e, di conseguenza, dei dati immagazzinati.
