Lori MacVittie, Distinguished Engineer, F5: l’IT ibrido è al centro dell’attenzione. Cosa significa per la sicurezza aziendale, in particolare di app e API?
Per anni il settore IT ha cercato di defilarsi dall’affrontare la realtà (e le sfide) dell’IT ibrido, chiamandolo “multi-cloud”. Questo – mi preme specificarlo – non significa che le aziende non operino su più cloud, anzi sicuramente lo fanno. Tuttavia, penso che il termine “multi-cloud” non riesca a cogliere appieno un fatto. Ovvero che il cloud sia in realtà un modello operativo non solo peculiare dei provider pubblici di infrastrutture as a service. I nostri dati hanno dimostrato, anno dopo anno, che le organizzazioni utilizzano il cloud anche on-premises e non solo nelle sue versioni pubbliche.
IT ibrido e la sicurezza aziendale
La realtà dell’IT ibrido è sotto i nostri occhi da quando il cloud è apparso sulla scena e ha letteralmente preso d’assalto le aziende. Anche quando le organizzazioni hanno adottato il cloud, la maggior parte di esse – operando da venti, trenta o addirittura cinquant’anni – aveva ancora a che fare con ambienti tradizionali on-premises. Disponendo di un portafoglio consolidato che abbracciava (e abbraccia tuttora) ogni generazione delle principali architetture di app, dai monoliti ai microservizi, dal client-server al mobile.
L’analisi degli ambienti on-premises
Per questo, nell’ultima edizione dello State of Application Strategy Report abbiamo voluto analizzare nello specifico gli ambienti on-premises. Desiderosi di capire la realtà che i nostri clienti stanno affrontando. I dati parlano chiaro: le aziende sono state e continuano a essere ibride. E non è solo il report SOAS ad affermarlo. Indovinate cosa è emerso dal sondaggio di F5 NGINX rivolto alla sua community open source? Che l’ibrido è qui per restare.
Uno scenario inedito
Ora, senza che siano rivelati nel dettaglio tutti i risultati del nostro prossimo rapporto State of Application Strategy, desidero affermare che anche se la tendenza verso le applicazioni moderne è indubbiamente forte. Ci sono indicatori che ci fanno pensare che alcune organizzazioni non saranno disposte a sostituire tutte le loro applicazioni tradizionali con versioni più moderne. Ergo, le aziende rimarranno ibride per molti anni a venire. Questo scenario ci porta anche a chiederci: cosa significa questo per la sicurezza, e in particolare per la sicurezza delle app e delle API?
Le implicazioni per la sicurezza di app e API
Se partiamo dal presupposto che le organizzazioni siano ibride sia per quanto riguarda il portfolio stesso delle applicazioni, sia per quanto riguarda i loro ambienti operativi, le implicazioni per la sicurezza di app e API sono piuttosto critiche quanto profonde. Questo perché alcuni ambienti applicativi, come i container, hanno esigenze di sicurezza uniche che non possono essere soddisfatte dalle soluzioni di sicurezza tradizionali. Ciò significa anche che, se le applicazioni rimangono anche on-premises, le organizzazioni faranno fatica a trovare soluzioni di sicurezza coerenti in grado di proteggere congiuntamente il deployment dei carichi di lavoro sul core, sul cloud e all’edge.
La sicurezza ibrida
Ma non è tutto: il persistere di applicazioni tradizionali nell’ambito dei datacenter on-premises, comporta il mantenimento di soluzioni tradizionali esistenti. Soprattutto di quelle che si concentrano sulla protezione di applicazioni e API dalle minacce degli exploit e dell’abuso dei protocolli. Sfortunatamente, per le aziende oggi avere un IT ibrido non implica – e non potrebbe farlo – avere una sicurezza ibrida.
Con “sicurezza ibrida” intendo “mescolare” i servizi di sicurezza delle app e delle API di un provider con un altro, e un altro ancora. Sebbene lo spostamento della sicurezza a sinistra nel ciclo di vita delle app sembri un’ottima soluzione, troppo spesso conduce alla via di minor resistenza. Una moltitudine di servizi di sicurezza per app e API incompatibili che complicano e vanificano gli sforzi per proteggere tutte le app e le API.
Le considerazioni di F5 su IT ibrido e la sicurezza delle aziende
Stiamo già sperimentando l’impatto della complessità degli strumenti cloud e delle API sulle organizzazioni nell’incapacità di applicare la sicurezza in modo coerente su tutte le applicazioni. Un approccio “mix-and-match” alla sicurezza di app e API non funziona per la maggior parte delle organizzazioni. Lo dimostra l’aumento sostanziale delle violazioni nell’ultimo anno, attribuite a vulnerabilità ed exploit di app e API. La realtà dell’IT ibrido in materia di sicurezza app e API è che l’approccio frammentario e “à la carte” non sarà strategico a lungo termine. Abbiamo bisogno di un approccio migliore, che riconosca che l’IT e l’azienda sono, e saranno nel prossimo futuro, ibridi.