Luigi Scappin, Solution Engineering Senior Director Oracle per Italia, Francia, Spagna e Russia/Cis, ci parla di sicurezza e compliance in un mondo che cambia di continuo.
– 5G, IoT e Cloud sono le tecnologie imperanti e possono realmente abilitare la trasformazione delle imprese. Non bisogna però dimenticare la componente “sicurezza” quando si abilitano queste piattaforme in azienda. Come osservatore privilegiato, quali considerazioni potete fare?
Sono tre tecnologie importanti, ma per abilitare la trasformazione delle imprese occorre integrare diversi livelli di sicurezza, di “end-point” (IoT), di “rete” (5G), e dei “dati” (Cloud), e occorre farlo da subito. Infatti le nuove tecnologie dovrebbero essere sicure “by design” (progettate già sicure), non solo perché lo richiedono le normative, ma perché applicare criteri di sicurezza ex-post sarebbe troppo costoso, oltre che estremamente rischioso.
– Reti e infrastrutture, come tutte le tecnologie moderne, devono essere progettate “secure-by-design” e rispondere a criteri di sicurezza elevati per soddisfare le odierne esigenze di business. Cosa è possibile fare per garantire il più elevato tasso di sicurezza possibile?
Tutti parlano di “security by design”, ma per realizzarla veramente bisogna avere il coraggio e la capacità di ripensare alla tecnologia rovesciando alcuni paradigmi.
Ad esempio per realizzare un Cloud di “seconda generazione”, adatto ai carichi di lavoro mission-critical delle grandi aziende soggette a rigorose normative di sicurezza, abbiamo dovuto ripensare completamente l’architettura di rete del nostro cloud.
Infatti la virtualizzazione della rete non avviene più a livello software (nell’hypervisor che gestisce anche la virtualizzazione dei sistemi) ma è spostata a livello hardware (nel firmware all’interno delle schede di rete dei server). Questa tecnologia, detta anche “off-box firmware security”, assicura un livello di sicurezza enormemente maggiore rispetto a quella offerta da qualsiasi altro cloud provider, oltre a permettere tempi di latenza estremamente più bassi e predicibili, e a introdurre l’interessante “effetto collaterale” di poter fornire ai clienti non solo macchine virtuali ma anche macchine fisiche, ovvero i cosiddetti sistemi “bare metal”.
Altro esempio di rovesciamento di paradigma per incrementare la “sicurezza-by-design” è il concetto stesso di servizio “autonomo”, in cui la gestione viene assicurata da sistemi esperti che sfruttano intelligenza artificiale e machine learning, evitando gli errori umani e automatizzando le patch di sicurezza: si diminuisce quindi drasticamente il rischio di errore umano e il periodo-finestra di esposizione alle vulnerabilità.
– Mobility e accessibilità permanente ai dati portano a un aumento esponenziale dei confini delle imprese e all’incremento della possibile superficie d’attacco? Quali suggerimenti potete dare per innalzare la security senza vanificare i vantaggi delle moderne piattaforme tecnologiche?
Da tempo il cosiddetto perimetro aziendale è sfumato, fino a scomparire quasi del tutto. Ormai il nuovo perimetro è rappresentato dall’ “identità”.
Un sofisticato e pervasivo sistema di identità sta diventando lo strumento attraverso il quale gestire la sicurezza e monitorare chi fa cosa, come e quando.
Ma questo solleva un nuovo problema: è risaputo che la maggior parte delle violazioni di sicurezza è causata da errori umani. Per questo diventano fondamentali strumenti di automazione per ridurre l’errore umano, ovvero sistemi “autonomi” che sfruttano AI e machine learning per identificare anomalie e misconfigurazioni e per applicare correttivi e azioni in tempo reale.
– Sicurezza e supporto proattivo al cliente hanno caratterizzato anche l’ultima edizione di Oracle OpenWorld 2019. Quali sono i punti salienti dell’evento che ritenete di voler sottolineare?
Intendendo la sicurezza sempre di più come funzione intrinseca “by design” del servizio/prodotto e sempre meno come prodotto/tecnologia a sé stante da aggiungere in seguito, direi che quest’anno ad Oracle Open World non c‘è stato un intervento, una sessione o una keynote che non toccasse anche aspetti legati alla sicurezza.
Sono stati anche presentati molti nuovi servizi specifici, come ad esempio DataSecure per aiutare a monitorare le configurazioni dei database individuando eventuali anomalie, o CloudGuard per monitorare le configurazioni dei servizi Cloud, fino a sofisticatissimi sistemi di “anti-distributed-denial-of-service”. La lista sarebbe veramente lunghissima, ma la cosa più importante è che tutte queste funzionalità di sicurezza avanzata sono integrate “by design” all’interno delle soluzioni che devono “difendere”, perché abbiamo imparato che integrarle in seguito sarebbe comunque troppo tardi.