Nonostante il ruolo di primaria importanza che riveste, per molto – troppo – tempo la cybersecurity è stata presa in considerazione solo alla fine del processo di migrazione al cloud. Nella prassi comune, infatti, prima si sviluppava un’applicazione e poi si analizzavano tutte le eventuali vulnerabilità attraverso i vari momenti di assessment.
Questo approccio, oggi, è superato: la “Nuvola” richiede un modello più agile, in linea con la maggiore flessibilità richiesta dalle aziende. Per questo, è ormai più che doveroso parlare di cloud security by design, con l’integrazione di modelli di sicurezza evoluti già al momento della pianificazione di un percorso di migration.
Per garantirsi massima sicurezza fin da subito, quindi, le organizzazioni devono ragionare su come difendere un perimetro aziendale che, dopo il journey, risulterà inevitabilmente molto più ampio. È necessario, quindi, adottare immediatamente delle logiche di sicurezza avanzate, perché un problema di cybersecurity è un problema di business: dare priorità alla sicurezza, con un approccio by design, mette al riparo l’azienda da rischi potenzialmente letali.
Cloud security: le 4 “chiavi” per garantirla by design
La cloud security richiede una prospettiva nuova, che possa allinearsi a logiche più agili e flessibili. Per riuscire a configurare un approccio integrato alla migrazione, è necessario che le organizzazioni predispongano una strategia chiara, che abiliti un modello operativo più efficace ed efficiente e sposi i dettami del DevSecOps.
1. Pensare alla cyber security da subito
Per garantire la sicurezza by design per il cloud, è fondamentale servirsi delle competenze del reparto di cybersecurity in fase di progettazione del journey. Ciò significa che la sicurezza informatica dev’essere un parametro fondamentale già in fase di selezione delle soluzioni in cloud, in modo che la scelta ricada su una proposta rispondente alla governance aziendale, orientata a proteggere ogni asset di valore. In altre parole, la cloud security by design comincia prima ancora che l’azienda abbia intrapreso il suo viaggio verso la “Nuvola”.
2. Individuare un modello condiviso di responsabilità
Dopo aver individuato la soluzione adeguata, l’organizzazione deve istituire un modello di responsabilità condiviso, cioè deve identificare chiaramente quali responsabilità spettano all’azienda e quali invece al cloud vendor. Inoltre, è consigliabile stilare delle linee guida da rispettare in fase di monitoraggio, per valutare che le responsabilità siano seguite correttamente e che i modelli di prevenzione delle minacce siano coerenti con lo sviluppo del cloud.
3. Il ruolo del DevSecOps
L’approccio DevSecOps (Development, Security, Operations) prevede che la sicurezza sia parte integrante in ogni fase dello sviluppo del software, anziché esserne l’elemento finale: è in questo modo che viene garantita la sicurezza “by design”. Dalla prospettiva della cloud security, ciò significa poter disporre di competenze nuove in linea con i più recenti modelli operativi, che sposino lo sviluppo di applicazioni cloud-native, basate su container e microservizi, attraverso cui superare le limitazioni dei vendor e i problemi di interoperabilità.
4. Logica “zero trust”
Affinché la sicurezza del cloud venga garantita by design, è necessario configurare delle barriere, dei limiti che restringano il modo in cui l’azienda userà il cloud per tutelare la cybersecurity. In altre parole, l’organizzazione dovrà predisporre delle regole, che possono riguardare sia l’infrastruttura, sia i processi, per esempio prevedendo vari step autorizzativi prima di poter effettuare operazioni critiche.
In tal senso, una delle tendenze è l’implementazione del modello “zero trust” per verificare ogni accesso con ricadute positive sulla gestione della superficie di attacco, degli aggiornamenti di sicurezza e sul controllo della supply chain. Secondo le stime di Deloitte1, infatti, nel 2024 il mercato delle soluzioni zero trust varrà 38,6 miliardi, con un incremento del 20% rispetto al 2019. Un segnale forte della crescita di questo approccio.
Cloud security by design: non solo strumenti, ma una vision aziendale
La natura distribuita delle piattaforme cloud impone nuove logiche per difendere il perimetro aziendale, che storicamente non è mai stato così esteso. Le organizzazioni devono, quindi, ribaltare il paradigma: la sicurezza dev’essere fin da subito un elemento centrale delle strategie cloud-driven, in modo che l’azienda possa configurare la migrazione senza esporre la propria infrastruttura a eventuali intrusioni o data breach. Innovare i modelli operativi, aumentare le competenze e soprattutto adottare un approccio integrato fra cloud e sicurezza garantiscono benefici significativi nella protezione del cloud e del business.
1 Fonte: Deloitte
Scritto da Michele Onorato – Chief Information Security Officer & BU Manager 
{{cta(’66a193c2-898e-43fb-9c05-fb541fb58c72′,’justifycenter’)}}
