giovedì 18 marzo 2010

Il futuro sarà "Nuvoloso"... sicuramente

Sul roseo futuro del Cloud Computing ormai scommettono tutti. C'è chi addirittura si sbilancia e paragona la rivoluzione del Cloud a quella dell'avvento di Internet. Più o meno tutti, però, si pongono il problema della sicurezza delle Cloud. Perché, fare riferimento ad una infrastruttura, magari gestita da terzi, dove non sai dove sono i dati, chi, cosa e come li accede, quali sono le policy e le garanzie... può essere considerato un grande azzardo anche se fa risparmiare molti soldi.

E quindi, come abbiamo ricordato qualche giorno fa, si organizzano convegni tematici e non passa giorno che qualche autorevole esperto non proponga la sua visione del problema.

Personalmente ho trovato molto interessante la posizione espressa da Art Coviello, presidente di RSA, nel suo keynote durante la RSA Security Conference appena conclusa. Coviello invita a riproporre anche nel mondo del Cloud Computing le stesse policy sull'identità, sulle informazioni, sulle infrastrutture che ci sono nel mondo fisico e cominciare a trattare il problema della sicurezza partendo dalle basi: le persone, i processi e la tecnologia. Coviello inoltre ipotizza un percorso virtuoso verso il Cloud Computing, composto da quattro fasi ben definite, che le aziende possono intraprendere, realizzando vantaggi tangibili ad ogni passo.
Il percorso inizia con la virtualizzazione di infrastrutture non mission-critical come le infrastrutture di test e sviluppo e di sistemi e applicazioni a basso rischio. I requisiti di sicurezza sono relativamente pochi per questa fase, data la natura "non-critical" delle applicazioni, ma è in questa fase che le organizzazioni cominiciano ad acquisire competenze e skill con gli strumenti di virtualizzazione e iniziano il processo di "hardening" dell'infrastruttura virtuale. 
Nella seconda fase le organizzazioni virtualizzano le applicazioni business-critical. Qui l'infrastruttura deve diventare molto più scalabile ed elastica, con i requisiti di sicurezza che scalano in proporzione. Ed è a questo punto che le organizzazioni devono a spingere la sicurezza all'interno degli strati virtuali. 
Nella terza fase del percorso le organizzazioni cominciano a sviluppare veri e propri sistemi di Cloud Computing interni e a gestire le loro infrastrutture sotto forma di servizio. Per raggiungere quest'obiettivo le organizzazioni devono disporre di processi di Governance, Risk e Compliance, molto più maturi e che si estendano fino alle loro infrastrutture virtuali. 
Infine, nella quarta fase, le organizzazioni iniziano a esternalizzare le loro infrastrutture a fornitori esterni. A patto che i fornitori siano in grado di dimostrare la loro capacità di applicare in modo efficace le policy anche nella condizioni di gestione multi-dominio. Per mantenere il controllo di ciò che avviene nelle Cloud, l'obiettivo è di dotarsi di opportuni strumenti per generare un insieme di dati circa i fatti rilevanti che si verificano nelle infrastrutture e alimentare direttamente in un cruscotto che visualizzi in tempo reale lo stato di conformità. 

Questa visione positiva è importante perché solo con un approccio propositivo sarà possibile uscire dall'attuale stato di promesse per entrare in un mondo fatto di opportunità... da sfruttare in sicurezza.

Nessun commento:

Posta un commento

http://www.wikio.it