Check Point: “la protezione del cloud deve essere automatica”

Nov 30, 2017 Marco Schiaffino Approfondimenti, Prodotto, RSS, Scenario, Tecnologia 0

La rivoluzione cloud ha cambiato il modo stesso di gestire la sicurezza. La soluzione? Dialogare direttamente con i fornitori di servizi.

L’esperienza lo insegna: ogni cambiamento porta con sé qualche problema. E il cloud, come abbiamo verificato negli ultimi mesi, non fa eccezione.

Se da una parte l’adozione dei servizi cloud permette alle aziende di muoversi con una rapidità impressionante, la cronaca recente ha dimostrato che il rovescio della medaglia è rappresentato dalla gestione della sicurezza: violazioni ed errori nelle configurazioni sono infatti aumentati esponenzialmente.

I tanti casi di database “dimenticati” online senza alcuna protezione (a volte anche da agenzie che dovrebbero avere a cuore il tema della sicurezza più di altri) sono solo la punta dell’iceberg di un problema decisamente più ampio.

“Le tecnologie cloud offrono una flessibilità inimmaginabile fino a qualche tempo fa” spiega Massimo Angiulli di Check Point. “Al tempo stesso, però, stare dietro alla velocità con cui possono essere riconfigurati i servizi è estremamente difficile.”

Il problema, in effetti, è che la maggior parte delle soluzioni di sicurezza tradizionali sono pensate per adattarsi a un ambiente… tradizionale. Server fisici collegati alla rete locale, indirizzi IP che di solito devono essere modificati manualmente dagli amministratori, infrastrutture che hanno una geografia ben precisa e che cambia raramente.

I servizi cloud hanno cambiato tutto questo e le modifiche che un tempo richiedevano tempi piuttosto lunghi (si pensi per esempio all’aggiunta di un server o di un nuovo servizio) richiedono oggi pochi minuti o addirittura secondi.

“È impossibile adattare gli strumenti di sicurezza tradizionali a un panorama del genere” conferma Massimo Angiulli. “I tempi del cloud sono velocissimi, quello degli amministratori IT che devono garantire la sicurezza invece non sono cambiati”.

“Il fulcro di tutto questo non è più la macchina ma l’applicazione. Non dobbiamo più guardare a dove viene fatto qualcosa, ma a come e per quale scopo”.

L’approccio a una sicurezza pensata per il cloud, però, richiede anche altri cambiamenti di prospettiva. Per esempio per quanto riguarda la struttura dei sistemi e le modalità di controllo.

“Se si ragiona ancora con la vecchia logica di difendere il perimetro, con i servizi cloud si va incontro a un disastro. In condizioni simili il rischio è che il 70% del traffico (quello scambiato tra le diverse applicazioni sul cloud – ndr) non sia controllato. Bisogna micro-segmentare l’ambiente cloud ed eseguire i controlli lì, seguendo in tempo reale i cambiamenti che vengono apportati”.

La segmentazione della rete locale una delle basi per garantire la sicurezza delle infrastrutture. Per ottenere lo stesso risultato sulla cloud, però, servono funzioni specifiche.

Come fare allora per garantire la sicurezza? Angiulli spiega l’approccio di CheckPoint. “L’unica soluzione è quella di automatizzare le procedure, facendo in modo che le impostazioni di sicurezza siano modificate immediatamente quando viene cambiato qualcosa a livello di servizi o struttura”.

“Abbiamo sviluppato partnership con tutti maggiori fornitori di servizi cloud per creare un sistema di comunicazione tra i nostri sistemi e i loro” prosegue Angiulli. “In questo modo l’intervento umano è ridotto al minimo e i tempi di risposta sono quelli che consentono di garantire una protezione efficace in qualsiasi situazione”.

Per farlo, Check Point si affida al sistema vSEC, che grazie alla partnership con i maggiori fornitori di servizi cloud (VMWare, Amazon, Microsoft Azure, Nuage, Google e simili) è in grado di controllare quello che succede sulla piattaforma e dialogare con essa per automatizzare le funzioni di sicurezza.

Nella pratica, il meccanismo è il seguente: quando l’amministratore IT apporta una qualsiasi modifica (cambio di server, aggiunta di servizi o un loro ampliamento) tramite cloud, il sistema comunica all’infrastruttura di sicurezza le modifiche e questo reagisce di conseguenza, applicando le policy adeguate a ogni tipo di servizio.

Lo stesso vale per i segmenti dei servizi cloud interni all’azienda. Il passaggio di alcuni server da una sezione all’altra, per esempio, non richiede più di modificare le regole del firewall o qualsiasi altro sistema di controllo: il sistema utilizzerà automaticamente le stesse che usava per quelle stesse funzioni.

“Sul lato utente non si nota nulla” conclude Angiulli. “Ma il sistema di comunicazione garantisce che tutte le modifiche siano effettuate in tempo reale, evitando che rimangano servizi scoperti.”

Condividi l'articolo