{"id":95098,"date":"2018-11-24T01:00:24","date_gmt":"2018-11-24T09:00:24","guid":{"rendered":"https:\/\/www.paloaltonetworks.com\/blog\/?p=95098"},"modified":"2018-11-23T07:36:53","modified_gmt":"2018-11-23T15:36:53","slug":"la-top-10-dei-miti-sulla-sicurezza-cloud","status":"publish","type":"post","link":"https:\/\/www2.paloaltonetworks.com\/blog\/2018\/11\/la-top-10-dei-miti-sulla-sicurezza-cloud\/?lang=it","title":{"rendered":"LA TOP 10 DEI MITI SULLA SICUREZZA CLOUD"},"content":{"rendered":"

Tim Prendergast, Chief Cloud Officer<\/em> e Sean Duca, Vice President & Chief Security Officer Asia Pacific di Palo Alto Networks, sfatano alcuni luoghi comuni sul tema sicurezza e cloud.<\/em><\/p>\n

 <\/p>\n

L\u2019accelerazione dell\u2019adozione del cloud non ha ridotto le preoccupazioni relative alla sicurezza. In base al Cloud Security Report 2018<\/a>, nove professionisti di cybersecurity su dieci si dichiarano preoccupati, con un incremento dell\u201911% rispetto all\u2019anno precedente.<\/p>\n

Se i professionisti sono turbati, quale sar\u00e0 lo stato d\u2019animo dei membri del consiglio amministrativo e degli altri dirigenti? \u00c8 tempo di affrontare la sicurezza cloud in modo smart, per essere pi\u00f9 consapevoli della situazione. Oggi, ci\u00f2 che non si conosce pu\u00f2 essere pericoloso, ma anche ci\u00f2 che si conosce in modo non troppo accurato potrebbe essere altrettanto dannoso. \u00a0Palo Alto Networks ha identificato 10 miti principali su cloud e sicurezza:<\/p>\n

 <\/p>\n

1: Il cloud ha costi inferiori <\/strong><\/p>\n

A molti dirigenti aziendali viene venduta la promessa che il cloud sia meno costoso delle infrastrutture on-premise. In teoria potrebbe essere vero, ma nella realt\u00e0 le aziende spendono sempre di pi\u00f9. \u201cNon \u00e8 pi\u00f9 economico perch\u00e9 le aziende non sanno trarre beneficio dai vantaggi dell\u2019elasticit\u00e0 del cloud, perch\u00e9 non hanno la governance adeguata e non vi dedicano tempo per approfondire e renderlo davvero pi\u00f9 economico\u201d, sottolinea Prendergast.<\/p>\n

\u201cLe aziende dovrebbero informarsi su pro e contro del cloud. Molte non riescono a ottenere l\u2019efficienza desiderata e iniziano a tirarsi indietro. Serve conoscenza, esperienza e impegno per rendere questo mito reale\u201d, spiega Sean Duca.<\/p>\n

 <\/p>\n

2: Il cloud pubblico non \u00e8 sicuro <\/strong><\/p>\n

Il modello di business dei provider di cloud pubblico dipende in modo completo dalla sicurezza. Hanno investito milioni di dollari in protezione, dispongono delle pi\u00f9 aggiornate tecnologie, di centri operativi sofisticati, si affidano a threat intelligence condivisa e data center regionali. Il problema di molte aziende \u00e8 la non comprensione del modello di responsabilit\u00e0 condivisa del cloud.<\/p>\n

\u201cOrganizzazioni e responsabili di sicurezza hanno paura di perdere il controllo. Se non comprendono il modello di responsabilit\u00e0 condivisa, non possono capire quale tipologia di sicurezza sia disponibile per loro\u201d, continua Duca.<\/p>\n

 <\/p>\n

3: Il cloud pubblico protegge tutto<\/strong><\/p>\n

Questa \u00e8 l\u2019altra faccia della medaglia del modello di responsabilit\u00e0 condivisa. \u201cSe si considera il cloud intrinsecamente sicuro, una volta che \u00e8 stato implementato, la situazione sar\u00e0 stabile\u201d. Il problema \u00e8 che il provider cloud \u00e8 responsabile solo della protezione dell\u2019infrastruttura, mentre l\u2019azienda ha il dovere di mettere in sicurezza dati e applicazioni ospitati nell\u2019infrastruttura.<\/p>\n

\u201cI cloud provider proteggeranno ci\u00f2 che forniscono,\u201d spiega Duca, \u201cma quello che vi sar\u00e0 inserito dalle aziende, sar\u00e0 sotto la loro responsabilit\u00e0. Gli obiettivi dei cybercriminali sono le applicazioni e il furto di credenziali. \u00c8 necessario essere in grado di identificare queste minacce e controllare gli accessi alle informazioni.\u201d<\/p>\n

Prendergast paragona la sicurezza cloud alla sicurezza domestica. \u201cLe case hanno porte, finestre, forse anche un allarme. Ci sono gli strumenti, ma perch\u00e9 siano efficaci \u00e8 necessario chiudere porte, finestre e inserire l\u2019allarme. Bisogna mettere in pratica le misure di cybersicurezza. Il cloud \u00e8 sicuro se lo si rende tale.\u201d<\/p>\n

 <\/p>\n

4: Non si pu\u00f2 scegliere il cloud per sicurezza, compliance, sovranit\u00e0 dei dati o altre ragioni<\/strong><\/p>\n

Ogni dirigente o responsabile di sicurezza che afferma di non poter utilizzare il cloud pubblico a causa dei rischi di sicurezza o privacy, ha gi\u00e0 probabilmente alcuni dati e applicazioni importanti nel cloud pubblico.<\/p>\n

\u201cOgni volta che ci confrontiamo con aziende che affermano che i loro dati sono troppo importanti per inserirli nel cloud, chiediamo loro quali soluzioni utilizzino per le HR o il CRM,\u201d spiega Prendergast. \u201cLa risposta \u00e8 sempre la stessa: Workday, Salesforce.com o entrambi. Chiediamo poi se utilizzano Office 365 o altre applicazioni software-as-a-service e rispondono in modo affermativo. Spieghiamo loro che informazioni relative ai clienti e asset importanti sono gi\u00e0 nel cloud pubblico:\u201d<\/p>\n

 <\/p>\n

5: Una volta creato l\u2019ambiente cloud pubblico, la situazione \u00e8 sotto controllo. \u00a0<\/strong><\/p>\n

\u201cNon sarebbe bello vivere in un mondo senza nuove vulnerabilit\u00e0. Se nulla cambia, se nessuno effettua login, s\u00ec, la situazione sarebbe ferma. Nel mondo reale, il cloud richiede cura e manutenzione come ogni altro ambiente IT,\u201d spiega Prendergast.<\/p>\n

Le aziende e i leader IT hanno bisogno di una \u201cmentalit\u00e0 di cloud security\u201d afferma Duca. L\u2019utilizzo del cloud non \u00e8 statico. \u201cBisogna evolversi. I provider cloud stanno realizzando cambiamenti, e le aziende dovranno modificare i propri software e il personale che accede ai dati, etc. Anche le minacce cambiano. Una delle vulnerabilit\u00e0 pi\u00f9 comuni \u00e8 rappresentata dalle persone. Quello che oggi si considera sicuro, domani potrebbe non esserlo pi\u00f9.\u201d<\/p>\n

 <\/p>\n

6: La conformit\u00e0 \u00e8 pi\u00f9 complessa nel cloud<\/strong><\/p>\n

Oggi, una delle ragioni che conduce all\u2019utilizzo del cloud pubblico \u00e8 la minore complessit\u00e0 nel raggiungere conformit\u00e0 e sovranit\u00e0 dei dati. \u201cI cloud provider hanno a disposizione pi\u00f9 strumenti e capacit\u00e0 per controllare e misurare ci\u00f2 che accade,\u201d spiega Duca. \u201cCon la sovranit\u00e0 dei dati, \u00e8 possibile conservare le informazioni in un\u2019area specifica. \u00c8 pi\u00f9 semplice assicurare tutto questo nel cloud rispetto a una rete interna, in cui dati e applicazioni potrebbero essere ovunque.\u201d<\/p>\n

I cloud provider hanno svolto un buon lavoro unendo i framework per rispondere ai requisiti di compliance. \u201cSi possono avere molti di questi controlli,\u201d spiega Prendergast. \u201cIl cloud \u00e8 programmatico, se si coglie il vantaggio degli strumenti disponibili \u00e8 possibile utilizzare script e software per gestire la conformit\u00e0. \u00c8 fondamentale comprendere quanto sia importante lavorarci in modo continuo, perch\u00e9 la conformit\u00e0 \u00e8 continuit\u00e0.<\/p>\n

 <\/p>\n

7: La sicurezza cloud si pu\u00f2 gestire come quella on-premise <\/strong><\/p>\n

\u201cCon il cloud pubblico, non \u00e8 necessaria un\u2019infrastruttura tradizionale che comprenda rack server, cavi, energia, etc.,\u201d spiega Prendergast. \u201c\u00c8 come camminare in un data center in cui un giorno ci sono 500 server e il giorno seguente 10. Ci si sente derubati. \u00c8 un giorno normale nel cloud. Se il data center viene colpito da un attacco DDoS, \u00e8 complicato aggiungere 100 server fisici. Nel cloud, \u00e8 sufficiente cliccare un bottone e scalare fino a 1.000 server, bloccare il DDoS e subire il disguido per quel giorno. \u00c8 possibile scalare in soli due minuti.\u201d<\/p>\n

 <\/p>\n

8: Tutto viene esposto su Internet<\/strong><\/p>\n

Ancora una volta, torniamo a un modello reale di sicurezza condivisa, non al mito in cui dati e applicazioni vengono esposti in modo automatica su Internet. \u201cQuello che viene mostrato dipende dalla nostra volont\u00e0,\u201d spiega Duca. \u201c\u00c8 il perimetro aziendale e si pu\u00f2 sfruttare il cloud solo per ospitare le applicazioni, senza inserirvi dati.\u201d<\/p>\n

Secondo Prendergast questo mito potrebbe derivare dalla parola \u201cpubblico\u201d riferito al cloud. \u201cPubblico \u00e8 riferito al fatto che chiunque pu\u00f2 utilizzarlo, non ai dati resi pubblici. Gli elementi esposti sono solo quelli scelti da un\u2019azienda. Ci sono opzioni per utilizzare reti virtuali private, cloud virtuali privati, server senza accesso a Internet. Si ha il controllo completo, \u00e8 solo una questione di set up e gestione.\u201d<\/p>\n

 <\/p>\n

9: L\u2019innovazione non \u00e8 rapida perch\u00e9 la sicurezza \u00e8 sempre in ritardo <\/strong><\/p>\n

\u00c8 un mito perpetrato da una dinamica in cui i team DevOps hanno scelto il cloud pubblico perch\u00e9 non potevano attendere i processi di acquisto e di implementazione legacy. Questo ha accelerato il time to market, ma ha anche introdotto falle di sicurezza. Non deve pi\u00f9 accadere.<\/p>\n

\u201cCon DevSecOps la sicurezza pu\u00f2 essere parte dei team, inclusa negli approcci di sviluppo, sia in cloud che on premise,\u201d continua Prendergast. \u201cIl punto chiave \u00e8 considerare la sicurezza come una funzionalit\u00e0. Il mito risiede nel fatto che non si possano realizzare sviluppo e sicurezza rapidamente nel cloud. La realt\u00e0 \u00e8 che il cloud \u00e8 attualmente un abilitatore di tecnologia per DevSecOps.\u201d<\/p>\n

\u201cIl cloud supporta in modo facile le innovazioni DevOps come containerizzazione e micro servizi. \u00c8 possibile disaccoppiare lo sviluppo di un codice, realizzare modifiche, gestirne i processi attraverso uno sviluppo agile. Tutto questo pu\u00f2 accelerare innovazione, time to value e controllo qualit\u00e0.\u201d<\/p>\n

 <\/p>\n

10: <\/strong>\u00c8 necessario un nuovo team per la sicurezza cloud <\/strong><\/p>\n

Nel Cloud Security Report sono state indicate le principali limitazioni alla migrazione al cloud. La prima risposta \u00e8 stata \u201cesperienza e formazione del personale\u201d, con il 56%, seguita da privacy dei dati (41%) e mancanza di integrazione con la sicurezza on-premise (37%).<\/p>\n

Il mito \u00e8 che le stesse persone che hanno costruito e gestito i data center locali non possono adattarsi all'era del cloud. \u201cQuesto non gli d\u00e0 abbastanza credito,\u201d spiega Prendergast. \"Abbiamo sempre visto molte persone operative nell\u2019IT entusiaste di affrontare nuove sfide tecnologiche. Il cloud \u00e8 l\u2019elemento nuovo e molte delle risorse migliori progrediranno in modo naturale. Non bisogna sostituirle, ma incoraggiarle e supportarle.\"<\/p>\n

La buona notizia \u00e8 che molte organizzazioni stanno gi\u00e0 seguendo questo consiglio. Alla domanda \"Quando si migra al cloud, come vengono gestite le esigenze di sicurezza in evoluzione?\" Quasi il 60% degli intervistati ha risposto: \"Formare e\/o certificare lo staff IT attuale.\" Ancora una volta, \u00e8 stata la risposta principale.<\/p>\n

 <\/p>\n

Conclusioni<\/strong><\/p>\n

Quando si parla di cloud, le opportunit\u00e0 per le aziende sono troppe, e troppo importanti per essere ignorate: agilit\u00e0, contenimento dei costi, time to value e digital transformation. Anche i problemi di sicurezza non possono essere ignorati, ed \u00e8 per questo che i team IT devono focalizzarsi sui problemi reali, non sui miti. Quando si parla di sicurezza cloud, si parla di realt\u00e0.<\/p>\n","protected":false},"excerpt":{"rendered":"

Tim Prendergast, Chief Cloud Officer e Sean Duca, Vice President & Chief Security Officer Asia Pacific di Palo Alto Networks, sfatano alcuni luoghi comuni sul tema sicurezza e cloud.   L\u2019accelerazione dell\u2019adozione …<\/p>\n","protected":false},"author":40,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_jetpack_memberships_contains_paid_content":false,"footnotes":""},"categories":[5085],"tags":[],"coauthors":[716],"class_list":["post-95098","post","type-post","status-publish","format-standard","hentry","category-non-categorizzato"],"jetpack_featured_media_url":"","jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/posts\/95098","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/users\/40"}],"replies":[{"embeddable":true,"href":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/comments?post=95098"}],"version-history":[{"count":3,"href":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/posts\/95098\/revisions"}],"predecessor-version":[{"id":95101,"href":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/posts\/95098\/revisions\/95101"}],"wp:attachment":[{"href":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/media?parent=95098"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/categories?post=95098"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/tags?post=95098"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/coauthors?post=95098"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}