In tutti i sondaggi sull'adozione del cloud, la sicurezza compare quasi sempre al primo posto quale elemento frenante. Preoccupa la gestione dei dati aziendali e la conformità alle leggi sulla privacy. Per esempio, nel report del 2016 "Cloud e l'imperativo digitale", realizzato dall'associazione no profit Cloud Industry Forum, viene evidenziato che le discussioni nascono solitamente proprio intorno al tema della sicurezza informatica. Il report, inoltre, mette inevidenza come il 61% dell'intero campione raccolto sul forum, abbia dichiarato che la sicurezza era una preoccupazione significativa circa l'adozione del Cloud, con il 54 % di intervistati preoccupati per la privacy dei dati.
Preoccupazioni legittime, considerato che la cronaca, con una cadenza pressante, pone all'attenzione di tutti i dirigenti d'azienda il rischio di un attacco informatico, eppure s'investe ancora troppo poco in sicurezza. Di fatto si ha paura delle responsabilità legali in caso di una violazione, ma non si considerano a fondo i rischi e i costi di un sistema di sicurezza realmente efficace.
Del resto è piuttosto normale credere che le cose fuori dal nostro controllo siano intrinsecamente meno sicure. Però, nella vita di tutti i giorni siamo abituati ad affidarci a un fornitore di servizi, per esempio quando prendiamo un mezzo di trasporto pubblico, quando pranziamo in un ristorante, quando depositiamo denaro in un conto corrente bancario.
La realtà è che il cloud, piuttosto che porre un problema di sicurezza, fornisce la soluzione. Lo sostengono, in particolare, gli analisti dell'Industry Forum Nube, la cui indagine "Cloud and the Digital Imperative", condotta nel 2016 ha rilevato che il 98 % di intervistati segnalano di non aver mai sperimentato una violazione della sicurezza quando usano un servizio Cloud.
Certamente non tutti i servizi in cloud possono dirsi sicuri allo stesso modo e, del resto, alcuni di essi, tipicamente destinati a un utente privato e gratuiti, declinano buona parte delle responsabilità, obbligando l'abbonato ad accettare il rischio.
Chiaramente diverso è il caso di servizi a pagamento di taglio professionale, soprattutto se destinati alle imprese. Anche qui, però, occorre verificare quanta fiducia è possibile riporre nel cloud provider.
Cosa chiedere al vostro provider
Un provider che prenda sul serio la sicurezza dei propri servizi, non può semplicemente attivare sistemi di crittografia e di ICT security, ma deve mettere in atto un approccio proattivo per proteggere i contenuti degli utenti, sia quando sono salvati su supporti storage sia quando vengono scambiati, per mitigare tutte le forme di rischio legate alle minacce virtuali, dai virus al social engineering, alle frodi online.
Ecco perché è opportuno conoscere le strategie attuate dal provider, cui va chiesto:
- in che modo approccia e previene minacce alla sicurezza virtuale come virus, malware e furti di informazioni;
- se è soggetto a controlli indipendenti e se è pronto a condividere i risultati con i propri clienti;
- come verranno usati i vostri dati e se verranno analizzati per motivi pubblicitari o altri;
- il livello d'accesso ai vostri dati che avrete una volta caricati nel Cloud;
- se potrete portare con voi i vostri dati in caso vogliate disdire il servizio;
- con quali autorità lavora per la conformità a norme e regolamenti cui siete soggetti come azienda e se sia impegnato ad aderire a diversi standard internazionali;
- se fornisce trasparenza su dove sono archiviati i vostri dati e come potrete accedervi;
- se sia possibile effettuare analisi con una terza parte di vostra fiducia.
Un provider sicuro
Se consideriamo gli investimenti necessari per realizzare un sistema di sicurezza avanzato e per mantenerlo sempre ad alti livelli, possiamo facilmente immaginare che un cloud provider sia in grado di sostenere tale sforzo più "facilmente" di una singola impresa. È questo il motivo per cui tali provider offrono servizi gestiti di sicurezza tra i più disparati.
Microsoft, oltre a questo e a molteplici soluzioni di sicurezza integrate direttamente nei propri servizi, mette a disposizione un'architettura progettata per la sicurezza. A tal proposito, vale la pena ricordare l'affermazione di Satya Nadella, CEO, Microsoft: "quale uno tra i più grandi operatori di cloud in tutto il mondo, Microsoft ha investito oltre 15 miliardi di dollari nel costruire una rete solida per servizi di infrastruttura cloud, che offrono elevata disponibilità e sicurezza, riducendo al contempo i costi complessivi".
La sicurezza di Azure
In particolare, Microsoft fornisce una governance di livello enterprise sull'accesso, la sicurezza di rete, la protezione dei dati e la privacy.
Un po' più in dettaglio, Microsoft Azure abilita un controllo completo sull'accesso da parte dell'utente. Inoltre, monitora i modelli di accesso per identificare e ridurre potenziali minacce e aiuta a prevenire gli accessi non autorizzati con Azure Multi-Factor Authentication.
Per quanto riguarda la rete (partizionata e protetta da firewall), in Microsoft sottolineano che le macchine virtuali e i dati di Azure sono isolati da utenti e traffico indesiderati, ma vi si può accedere tramite una connessione privata o criptata. Azure Virtual Network, inoltre, fornisce un accesso sicuro al proprio on-premise o su un singolo computer.
In termini di protezione dei dati, Microsoft garantisce che questi siano crittografati sia in transito sia fermi e l'utente può scegliere una crittografia addizionale. Inoltre i dati cancellati e ridondanti sono gestiti in base a rigorosi standard industriali che impongono precisi passaggi prima delle sovrascritture e del riutilizzo, mentre gli hardware dismessi sono fisicamente smaltiti.
Con Azure è possibile controllare dove risiedono i dati e chi ne ha accesso. Sono poi garantite tutte le conformità ai requisiti regolatori.
La protezione dalle minacce
La protezione da minacce conosciute ed emergenti richiede una vigilanza costante, e un insieme di difese. I sistemi di distribuzione integrata gestiscono gli aggiornamenti di sicurezza per i software di Microsoft, e permettono di applicare processi di gestione aggiornati alle macchine virtuali dei clienti.
Azure Security Center fornisce elevata visibilità e controllo sulla sicurezza dei deployment.
Inoltre, Microsoft fornisce specifici servizi, quali:
- Windows System Center (il registro eventi può essere utilizzato per tracciare gli eventi legati alla sicurezza attraverso la rete).
- Microsoft Threat Detection Service (MTDS), per rilevare gli errori e verificare la presenza di attività maligne mentre avvengono così da regolare e gestire gli errori in modo efficiente.
- Persistent Adversary Detection Service (PADS), un servizio che prende in esame un asset di alto valore o un campione di sistemi per determinare proattivamente se sussiste una minaccia alla sicurezza.
- Microsoft Advanced Threat Analytics (MATA), che realizza analisi comportamentali e rilevamenti di attacchi noti, per identificarli prima che causino danni.
Azure supporta, inoltre, alcune caratteristiche di sicurezza incluse nelle soluzioni Microsoft Dynamics online. In particolare, di un più alto livello di sicurezza relativo ai dati sensibili, del supporto per i protocolli di autenticazione (WS, SAML, Oauth), del supporto per 2-Factor Authentication in e per un'autenticazione ibrida sia on-premise sia online.
Azure ExpressRoute per Dynamics CRM, infine, consente di ottenere connessioni più rapide, affidabili e sicure. Per esempio, è possibile stabilire una connessione privata a CRM Online, ottenendo prestazioni analoghe all'installazione in locale, evitando di utilizzare le connessioni pubbliche a Internet e mantenendo un elevato livello di protezione per i dati.