La cloud data protection è un tema che nessuna azienda può permettersi di trascurare. L’impiego del cloud è infatti sempre più pervasivo e, per quanto ci siano diversi livelli di adozione, la stragrande maggioranza delle imprese ha a che fare quotidianamente con uno o più applicativi erogati via cloud, tra cui l’ERP, le piattaforme UCC (Unified Communications & Collaboration), il software dipartimentale (come il CRM o i tool di marketing automation) e le soluzioni di analisi dei dati.
Cloud data protection e la sfida del cloud
Proteggere l’integrità e la confidenzialità dei dati è sempre stata una priorità di qualsiasi azienda. Questo dipende da molteplici fattori, ma soprattutto dall’esigenza di conformità con diversi impianti normativi, tra cui l’onnipresente GDPR, e dallo stretto legame tra la confidenzialità dei dati e il vantaggio competitivo (si pensi ai dati dei clienti, o ai segreti industriali) e l'ormai imminente adozione della direttiva NIS2.
L’adozione del cloud non ha variato l’importanza dei dati, ma ha reso più complessa la loro protezione. Un po’ a causa del modello di responsabilità condivisa adottato dai provider di public cloud, un po’ per via dell’adozione di paradigmi cloud sempre più ibridi, complessi e multicloud, oggi è oggettivamente complesso capire in quale infrastruttura risiedano le informazioni e, quindi, quali strategie adottare per difenderle come fare per difenderle. Inoltre, l’aumento esponenziale di complessità dei modelli ibridi introduce – quanto meno potenzialmente – nuove vulnerabilità che rendono più semplice il lavoro dei malintenzionati.
Se interpretato in senso lato, il concetto di resilienza del data center dipende anche dalla sua capacità di ridurre al minimo le vulnerabilità che possono essere sfruttate dai cyber criminali. Solitamente, però, la capacità di difendersi dal cyber risk plasma un’altra espressione, che può essere considerata indipendente o, più comunemente, un sottoinsieme della resilienza: la sicurezza del data center.
All’interno di architetture IT sempre più distribuite, fluide e flessibili, affrontare il tema della cloud data protection significa interessarsi (almeno) di tre aspetti:
1. Protezione degli accessi
Il tema è molto più complesso da affrontare rispetto a un tempo, visto che i servizi cloud sono accessibili ovunque e con qualsiasi dispositivo. Non esiste più il concetto di protezione perimetrale di una volta. Oggi è necessario identificare con precisione gli utenti così da applicare adeguate policy di accesso ai dati.
2. Controllo dei dati
Il modello di responsabilità condivisa del public cloud preclude un controllo totale di tutti gli elementi che determinano la sicurezza dei dati.
3. Visibilità
Come detto, in ambienti IT distribuiti, ibridi e multicloud non è semplice comprendere dove risiedano effettivamente le informazioni e su quali direttrici informatiche vengano inviate durante il loro utilizzo.
Il vantaggio del private cloud
Uno dei vantaggi del paradigmi cloud ibridi è la coesistenza di componenti pubbliche (public cloud) e private (private cloud e/o on-premises) nello stesso ecosistema tecnologico.
Il cloud privato, anche in versione hosted (ovvero con infrastruttura gestita da provider dedicati), è un passo avanti molto interessante in chiave di data protection, poiché garantisce il medesimo controllo del dato degli ambienti on-premises, unito alla scalabilità del cloud. Non a caso, le imprese che adottano modelli ibridi e multicloud tendono ad affidare i propri processi e dati core all’infrastruttura privata, sfruttando quella pubblica soprattutto per la sua scalabilità pressoché illimitata.
Strategie vincenti di cloud data protection
Tutelare i dati in cloud è più complesso di un tempo, ma è certamente possibile. Dopo aver identificato quelli meritevoli della massima tutela (non tutti hanno le stesse esigenze di protezione), occorre per prima cosa identificare l’ambiente capace di minimizzare il rischio di perdita o di manomissione.
Come detto, ci si può orientare verso la componente privata di un paradigma ibrido, ma solo qualora essa dia sufficienti garanzie di protezione: se si tratta di un modello hosted, ovvero erogato da un partner tramite i suoi data center, entrano in gioco considerazioni circa gli strumenti di protezione fisica e logica, le ridondanze, gli strumenti di monitoraggio e di protezione dei dati (fino al SOC), nonché le certificazioni infrastrutturali (i cosiddetti Tier) e dei processi.
Infine, per quanto concerne i tool e le tecnologie a supporto della cloud data protection, possiamo segnalarne quattro:
- Backup. È lo strumento principe della data protection. In cloud, ci si può avvalere di appositi servizi BaaS, ovvero di Backup as-a-service.
- Crittografia. È la tecnologia standard per proteggere i dati in transito e at-rest da occhi indiscreti. La protezione è efficace anche nei casi di furto dei terminali di lavoro come i PC e/o gli smartphone.
- Sistemi moderni di autenticazione basati sul principio della MFA, ovvero sulla multi-factor authentication.
- Data Loss Prevention. Sono sistemi che monitorano, rilevano e proteggono i dati sensibili, prevenendo perdite accidentali o intenzionali attraverso il blocco proattivo delle attività sospette.
Insieme, queste tecniche contribuiscono a creare una robusta strategia di cloud data protection, assicurando che i dati aziendali siano sempre protetti contro minacce interne ed esterne. Così, l’azienda può godere dei benefici di innovazione, scalabilità e performance del cloud nella certezza di gestire al meglio tutti i rischi connessi.