Sicurezza e Cloud, cosa cambia davvero?

by Lucio

Niente. Lo voglio dire subito.
O meglio, poco. Api e strumenti “human configurable” sostituiscono gli apparati di rete di base, si chiamano Security Group, VPC etc.. ma son tutti lì, che attendono di essere studiati e usati nel migliore dei modi. Antivirus, firewall, backups.. son tutti lì che aspettano di essere configurati, aggiornati e i piani di recovery son lì che aspettano di essere scritti ed applicati. Ripeto, cosa è cambiato?
Come la sicurezza era al centro dei pensieri dell’IT assennato in azienda, così lo deve essere quando si parla di cloud nelle sue varie salse IaaS, SaaS.
Un errore comune è demandare la sicurezza all’infrastruttura online, confondendo le SLA e le certificazioni di sicurezza d’infrastruttura come reassicurazioni di essere al sicuro by default.
Anche i vendor ce la metono tutta a volte per distrarre l’attenzione.

“Microsoft Study: Cloud Improves Security for Small Business”

The varied benefits cloud computing offers SMBs have been cited many times by many people: increased flexibility, reduced overhead, extended accessibility of applications and data. However, a new survey of SMBs in the US and Asia by Microsoft shows another benefit cloud services can deliver to SMBs: improved security
[..]
35 percent of U.S. companies surveyed have experienced noticeably higher levels of security since moving to the cloud. In addition, 32 percent say they spend less time worrying about the threat of cyberattacks. U.S. SMBs using the cloud also spend 32 percent less time each week managing security than companies not using the cloud and are five times more likely to have reduced what they spend on managing security as a percentage of overall IT budget.

Quindi un sondaggio sulle sensazioni dovrebbe rassicurarci sull’effettiva sicurezza delle infrastrutture cloud, e dovremmo sentirci al sicuro perchè si spende meno? Non credo che un CIO dovrebbe sentirsi al sicuro per questo. Ah dimenticavo, siamo contenti di spendere il 35% in meno in sicurezza, come se anche gli strumenti di sicurezza in cloud non si paghino nel fee del servizio.

Survey results indicate that among SMBs that use the cloud, 41 percent were able to employ more staff in roles that directly benefit sales or business growth.

Se fosse possibile la questione prende una piega ancora più commerciale.. ma ce lo aspettavamo a questo punto…

MSPs should even feel confident enough to cite the Microsoft study to prospective SMB clients, explaining how security is one more advantage managed cloud services can provide. And by obtaining their cloud services from an MSP focused on the small-to-mid-sized market, SMBs can be sure their cloud needs will be considered a high priority, and that cloud services will be effectively scaled and priced down to their sphere of operation. There are many different types of “security” SMBs seek when obtaining managed cloud services. Protection against cyberattacks, malware and other IT dangers is one type of security, but the comfort of knowing they are a valued customer whose needs are fully understood is another.

L’uso del cloud (o di risultati di un survey sul cloud) come referenza citabile per far capire quanto si è committati in ambito sicurezza, raggiungimento degli obiettivi di business, creazione del valore al prezzo più basso possibile. Ok siamo al massimo della fantasia.
I benefici del cloud nell’ambito del “Lean Startup” li conosciamo, ma non lasciamoci distrarre dallo sbandieramento di percentuali di crescita e guadagno. La sicurezza non è percezione, non solo. Significativo questo speech sull’argomento, di Bruce Schneier, The security mirage.

E quando un servizio, un’Istanza non è nel proprio datacenter il Security Assessment piò essere più astratto e complesso, gli strumenti nuovi e mutevoli possono essere usati anche in modo scorretto, o cambiare le loro caratteristiche a breve termine. Monitorggio, recovery, backup non sono sicuramente più complessi che nei data-center aziendali, ma sicuramente più delicati a casua della non presenza fisica che nega l’uso della console e tool diagnostici avanzati direttamente sulle macchine.
Mi fido di chi mi dice di aver trovato insieme al Cloud una nuova spinta per il proprio business, una rivalutazione dei prodotti, l’apertura di mercati… ma se insieme al cloud mi viene a raccontare che per questo si sente al sicuro sulla sicurezza? Non so come reagirei.