N. Novembre 2018
a cura di Elena Vaciago
Associate Research Manager, The Innovation Group
Intervista a Nicla Diomede, Responsabile della Sicurezza ICT dell’Università degli Studi di Milano.
Oggi le infrastrutture sono soggette a una veloce trasformazione verso ambienti software-defined, ibridi, cloud, convergenti: la sicurezza ha però un ruolo fondamentale nell’assicurare la sostenibilità nel tempo e abilitare una trasformazione che preservi l’affidabilità dei workload e protegga i dati critici dell’organizzazione. Quali sono le principali criticità da considerare e i punti di attenzione per i Security Manager che abilitano la trasformazione in chiave digitale del business? Ne parliamo in questa intervista con Nicla Diomede, Responsabile della Sicurezza ICT dell’Università degli Studi di Milano.
Quali sono le principali problematiche per la sicurezza che accompagnano l’evoluzione delle infrastrutture di datacenter?
Oggi la sicurezza deve accompagnare il passaggio del datacenter verso la virtualizzazione e la realizzazione di nuovi modelli quali ad esempio cloud interno. Per farlo si studiano le soluzioni più opportune a seconda del singolo progetto, puntando però a un modello che consenta di gestire la security in modo centralizzato e orchestrato. Con riferimento alla messa in sicurezza delle risorse interne, è necessaria una diversa strutturazione del network: reti, sistemi e sicurezza devono infatti muoversi in sintonia per accompagnare il processo di virtualizzazione in ambito privato.
La virtualizzazione comporta una vulnerabilità spesso trascurata, quella dell’hypervisor …
Sì, gli hypervisor possono essere afflitti da vulnerabilità tali da consentire a sistemi operativi guest di avere permessi e privilegi riservati. Per questo motivo è fondamentale avere una strategia di protezione complessiva e che prenda in considerazione l’intera infrastruttura. Non va trascurata neppure l’utilità del servizio di Early Warning e la tempestività nell’applicare contromisure immediate appena nota la vulnerabilità: nella finestra di tempo che intercorre tra la disponibilità della patch e l’applicazione sui sistemi in produzione (dopo averne valutato l’impatto) è necessario adottare le opportune contromisure per ridurre il rischio. Nel nostro caso, la virtualizzazione è a supporto ad esempio dell’erogazione delle aule didattiche. Grazie alla virtualizzazione del datacenter, questa avviene virtualmente nei vari laboratori dislocati in tutte le sedi.
In generale assistiamo ad una trasformazione dell’erogazione dei servizi, e quindi è necessario un ripensamento dei vari processi di security su più livelli: la sicurezza deve seguire i dati e le risorse che li ospitano, perciò essere integrata nel datacenter e sulle macchine ospitate sui vari blade, in modo da essere a stretto contatto con chi eroga le macchine virtuali. Per raggiungere questo però è necessario da un lato pensare a delle soluzioni che siano fortemente automatizzabili, dall’altro lato, che ci sia una sinergia tra la parte sistemistica, il network e la security. Nel caso di dati ospitati su cloud esterni, le soluzioni di protezione dei dati e di compliance devono essere integrate con i provider cloud, in modo da poter garantire la stessa protezione che avrebbero i dati se fossero in locale e analizzando i vari livelli di servizio offerti dai fornitori cloud.
Con una molteplicità di ambienti eterogenei da mettere in sicurezza, la complessità di gestione aumenta moltissimo: qual è oggi la principale sfida per il Responsabile della Sicurezza?
I dati possono avere diversi tipi di requisiti, essere sia internamente che in cloud, e condivisi tra una molteplicità di utenti appartenenti ad Enti diversi che devono accedere in mobilità. La sfida è quella di riuscire a garantire standard elevati di sicurezza in un contesto dinamico, complesso, articolato e flessibile. Un elemento fondamentale e vincente è lavorare in fortissima sinergia tra tutte le componenti. Un progetto interessante potrebbe essere consistere nel fornire una regia centrale a livello di Sicurezza per sedi distribuite sul territorio, interconnesse tra loro, ciascuna caratterizzata da diverse esigenze e modalità di fruizione dei servizi. In questo caso si potrebbe pensare di consentire l’accesso alle risorse attraverso il sistema di autenticazione centrale per l’accesso alla rete e utilizzando per il repository dei dati, uno storage ibrido cioè con alcuni dati memorizzati su risorse del cloud interno ed altre su cloud esterno a seconda della sede, dell’utente e delle sue necessità. L’innovazione ovviamente vede coinvolti diversi attori: gli utenti ma anche il network, i sistemi e la sicurezza che possono avere punti di vista diversi, per cui vanno individuate soluzioni che rappresentano la giusta mediazione tra le diverse esigenze. Il problema oggi è che la complessità aumenta ma, allo stesso tempo, i servizi devono essere scalabili e facilmente erogabili agli utenti. Questo requisito comporta lo spostamento del modello di security da quella prettamente di rete ad un modello basato sulla sicurezza del datacenter ed endpoint.
Considerando la numerosità dei nuovi ambienti da proteggere, come deve evolvere la sicurezza?
Gli aspetti di integrazione sono molto importanti. Bisogna scegliere soluzioni integrate: in questo modo si arriva più facilmente ad una semplificazione. L’integrazione facilita il flusso di informazioni, e quindi semplifica il lavoro di gestione e monitoraggio della sicurezza. Pensiamo ad esempio alla parte di integrazione di NSX su VMware con le tecnologie di Firewalling: questo consente di creare la microsegmentazione, abilitando una forte sinergia tra le varie macchine virtuali e la parte di security che consente di analizzare il traffico EST – OVEST e la gestione automatizzata delle policy di Sicurezza.
La trasformazione in corso fa sì che anche per la sicurezza si debbano quindi sviluppare nuove architetture e nuovi modelli, che vedono protagonisti le diverse componenti di Sicurezza (dalla network security all’endpoint protection). Anche considerando l’uso del cloud esterno, questa convergenza è una necessità, perché è ovvio che uno dei requisiti fondamentali è l’integrazione tra cloud e security, con quindi una componente di sicurezza che deve posizionarsi anche sulla risorsa esterna. Naturalmente, resta da valutare qual è l’impatto di tutto questo in termini di licensing e quindi di costi complessivi …
Quali altre problematiche comporta un utilizzo sempre più esteso del cloud?
Non è sempre semplice capire come dimensionare la parte di security su un modello molto flessibile e dinamico come è quello del cloud. Se le mie risorse non sono più nel datacenter interno, e i miei utenti fanno ampio uso di storage in cloud esterno, è naturale dover spostare la sicurezza, quindi considerare la data protection, l’antimalware, l’intrusion detection, sul cloud. Una prima possibilità è scegliere soluzioni di security che si integrino con le soluzioni dei cloud provider (ad es. Amazon, Azure), ma la parte di dimensionamento non è banale, richiede un cambio di ragionamento. Siamo stati abituati a prendere hardware ben dimensionato, ora invece siamo di fronte a un’enorme elasticità e flessibilità nell’erogazione delle risorse. I server nascono e muoiono in ogni momento, ma per ogni nuovo server è richiesto un virtual firewall. Se la sicurezza non riesce ad accompagnare questo passaggio, possono sorgere nuovi rischi. Inoltre, non va sottostimato l’impatto che tutto questo ha sul fronte degli endpoint, che tendono a diventare un anello estremamente vulnerabile della catena: anche a questo livello è richiesta quindi una revisione della sicurezza.
Qual è la strada da percorrere per tenere tutto sotto controllo dal punto di vista della sicurezza?
Ci troviamo a dover affrontare la compresenza di diversi modelli, con l’erogazione di vari servizi, da cloud privato e in futuro anche da cloud esterno. Abbiamo una compresenza del nuovo con situazioni tradizionali, con risorse ancora fisiche e dislocate in periferia, e la sicurezza deve stare dietro ad una compresenza di ambienti, deve adattarsi alle varie situazioni, far quindi fronte ad una maggiore complessità.
È oggi quindi fondamentale dotarsi di un layer di intelligence e monitoraggio, sia quello offerto dai vari vendor (che mettono a disposizione delle piattaforme di gestione indipendenti, anch’esse sul cloud, su cui veicolare tutte le informazioni prese dai vari punti), sia il SIEM interno, che consente di integrare e di vedere quello che rileva la soluzione di endpoint protection, cosa sta accadendo sul network e sui sistemi per ridurre a fattore comune tutto quello che si vede e per orchestrare una reazione. Oggi è quindi fondamentale dotarsi di una regia interna e di una capacità di azione proattiva, in modo da essere pronti a prevenire e a reagire, anche con forti automatismi, in presenza di varie tipologie di attacco. Questo è particolarmente importante per un’Università, che non essendo un’azienda, non può applicare a priori dei blocchi e delle policy particolarmente stringenti. Dunque è utile avvalersi di soluzioni che consentano di avere una visione centralizzata e di fare una sintesi di quanto rilevato dalle diverse soluzioni che agiscono ciascuna su un layer diverso.
È indispensabile avere una sorta di regia che a sua volta deve essere integrata con le componenti in modo da scatenare una reazione proattiva e altrettanto investire sulla parte di Threat Intelligence e sulla prevenzione. Dunque l’architettura descritta vede in campo una soluzione di Threat Intelligence, di Soluzioni di Sicurezza distribuite, di vari punti di osservazione, con il SIEM che fa da regia, individua le anomalie, e in automatico è in grado di riconfigurare vari dispositivi sparsi in giro e quindi bloccare l’attacco. In aggiunta, un servizio di SOC analizza le anomalie e incrementa il know how interno, per essere sempre pronti a rispondere a nuove minacce.
Ricevi gli articoli degli analisti di The Innovation Group e resta aggiornato sui temi del mercato digitale in Italia!