Oggi, la transizione a infrastrutture software defined, il passaggio da server fisici a virtuali, l’utilizzo di servizi cloud-based e la complessità di gestione, dovuta alla compresenza di ambienti eterogenei, stanno ponendo numerose sfide ai responsabili della sicurezza. Per proteggere il dinamismo e la scalabilità del cloud, serve il disegno di un’architettura di protezione adeguata. Ne parliamo in questa intervista con Marcello Fausti, VP IT Security Engineering & Application Management, TIM.
TIG. Quale strategia di trasformazione delle infrastrutture, verso ambienti software defined, ibridi, convergenti, cloud, state seguendo?
Marcello Fausti. La nostra situazione è quella oggi tipica delle grandi organizzazioni: possiamo definirla “60 – 20 – 20”. Nei nostri datacenter stimiamo che circa il 60% dei sistemi siano server Linux virtualizzati e quindi immediatamente trasferibili nel cloud. Un ulteriore 20% è trasferibile con minimo adeguamento o ricorrendo a dei cloud provider, che essendo anche vendor delle tecnologie da migrare sono in grado di trovare la soluzione più idonea per posizionare questi ambienti nel proprio cloud. Infine, il restante 20% delle risorse è costituito da sistemi legacy che vanno mantenuti in casa e sui quali si potrà attivare un programma di trasformazione. Noi stiamo costruendo un cloud interno, e ci orientiamo a selezionare cloud service provider pubblici. Per far questo è importante però essersi dotati a priori di un modello di sicurezza, tema piuttosto ampio e complesso a cui stiamo lavorando in dettaglio.
TIG. Quali complessità avete individuato nel governare questa transizione in modo sicuro?
Marcello Fausti. Si tratta in realtà di un problema non semplice, e non soltanto per motivi legati alla tecnologia. Le scelte che faremo avranno anche una forte rilevanza aziendale. Trasferire i workload sul cloud comporta notevoli benefici: un più basso TCO, una maggiore flessibilità operativa e una minore occupazione di spazi fisici; ma comporta come conseguenza la necessità di ripensare la struttura e l’organizzazione dei datacenter.
Per affrontare la trasformazione in modo sicuro, riducendo i rischi che possono insorgere in questo cambiamento, la priorità va alla capacità di governance complessiva: l’operazione può assicurare forti vantaggi alle aziende ma richiede un severo controllo a livello operativo, altrimenti il rischio è di avere una situazione per cui si ripropone nel cloud la stessa situazione di un’informatica dipartimentale non gestita. Esponendosi su internet senza nessun controllo, il rischio è semplicemente traslato sul cloud.
TIG. Il cloud permette di mettere in piedi dei controlli di sicurezza come oggi ci sono on-premises?
Marcello Fausti. Paradossalmente, dal punto di vista della possibilità di sviluppare controlli di sicurezza, la situazione è migliore nel cloud rispetto all’on-premise nel senso che nel cloud è possibile dotarsi di soluzioni più flessibili e configurabili. Mi spiego con un esempio: prendiamo la procedura di risk management classica e vediamo come cambia con il cloud. In passato, il rischio era calcolato sulla base di un algoritmo risolvibile compilando delle check-list. Venivano identificate delle classi di rischio, dal più basso al più alto, quest’ultimo relativo ad esempio a dati di carte di credito, dati di traffico, o dati sensibili. Poi si procedeva a creare varie zone nel datacenter, partizionate per i diversi livelli di protezione richiesta. Questo tipo di modello è molto rigido: una volta implementata una soluzione, è difficile riconfigurarla. Nel cloud, questo tipo di problemi viene meno; le strategie di sicurezza possono essere facilmente ridefinite al variare dei bisogni. Per fare un esempio, nelle architetture on premise tradizionali è molto difficile controllare adeguatamente il traffico EST – OVEST tra i singoli server all’interno di una zona di datacenter omogenea per livello di protezione e dunque per caratteristiche di sicurezza. Per fare ciò sarebbe necessario costruire una complessa ragnatela di firewall e relative regole di filtraggio difficile da mantenere nel tempo. Negli ambienti Cloud, invece, la micro-segmentazione e la capacità di orchestrare le policy di sicurezza consentono di risolvere il problema.
TIG. Come cambia il ruolo del Responsabile della Sicurezza una volta che le risorse e i dati sono posizionati in cloud, e quali misure vanno previste?
Marcello Fausti. Non si deve affrontare il passaggio cloud con lo stesso atteggiamento che si ha quando si acquista un prodotto off-the-shelf. Il cloud provider non può risolvere da solo tutti gli aspetti di sicurezza ma, anzi, è ancora più importante ragionare molto in dettaglio sull’architettura della soluzione che si intende realizzare. Ad esempio, è molto importante assicurarsi che tutte le comunicazioni verso il cloud provider passino esclusivamente da punti predefiniti (DMZ on-premise e in cloud) in modo da posizionare qui i controlli di sicurezza essendo sicuri di poter agire sull’interezza del traffico da e verso il cloud. Allo stesso modo, in ambiente multi-cloud la comunicazione tra i vari CSP deve essere ammessa solo tramite la DMZ on-premise.
Tra le principali misure da prevedere:
- Piattaforme CASB (cloud access security broker) di controllo del traffico, gestendo i flussi in modo puntuale verso singole applicazioni;
- Encryption con chiavi gestite on-premise, in modo da dotarsi di una propria modalità di cifratura dei dati e non affidandosi solo a quella del cloud provider;
- Gestione centralizzata delle identità e controllo accessi, punto fondamentale specialmente in progetti multi-cloud provider.
Il cloud, poi, impone alle aziende di ragione in termini di Shared Responsibility Model, ovvero, del modo in cui azienda cliente e CSP si suddividono le responsabilità, dei livelli di servizio attesi e di come il cliente può controllare il fatto che gli SLA concordati siano effettivamente rispettati.
TIG. Quale impatto sta avendo il nuovo Regolamento EU sulla Privacy (GDPR) su tutto questo?
Marcello Fausti. Mi sembra che il GDPR ponga molta attenzione alla possibilità per le aziende di esternalizzare la gestione dei dati aumentando le responsabilità del “data processor” con particolare riguardo a misure di sicurezza, chiarezza e formalizzazione degli obblighi relativi al trattamento dei dati, trasparenza e controllo degli accordi di servizio. Ovviamente, è anche possibile disegnare soluzioni che migliorino il livello di controllo dei clienti ad esempio selezionando una serie di log che trasferiti on premise possono fornire informazioni utili a valutare l’andamento della gestione tecnica. Anche se oggi alcuni cloud provider stanno diventando più disponibili e aperti verso i clienti, altri continuano ad essere molto rigidi nella standardizzazione delle loro proposte. In generale, credo che una buona scelta sia avere più di un CSP e assicurarsi che la portabilità dei dati sia sempre garantita.
TIG. Quale sono infine le raccomandazioni per dotarsi di un modello di security funzionale al cloud?
Marcello Fausti. Oltre alle regole macro a livello architetturale, è necessario definire livelli di sicurezza differenziati per i singoli tenant in base alla criticità dei dati che dovranno contenere, ovvero, bisogna ragionare in modalità risk-based. Se ad esempio avremo delle VM in tenant con applicazioni più critiche, certamente le regole di sicurezza saranno più stringenti prevedendo cifratura delle VM e micro-segmentazione. VM in tenant a priorità più bassa potranno avere regole più rilassate. Una volta definiti i modelli sarà possibile definire tipologie di VM da istanziare nei tenant a seconda dei casi attraverso gli strumenti di orchestrazione.
INTERVISTA A:
MARCELLO FAUSTI,
VP IT Security Engineering & Application Management, TIM
A cura di:
Elena Vaciago, @evaciago