Sicurezza del cloud ibrido

Componenti fisici

L'infrastruttura cloud ibrido è distribuita per sua stessa natura, il che significa che esistono più posizioni fisiche che richiedono sicurezza, a livello aziendale e di terzi. Entrambi gli ambienti necessitano di funzionalità fondamentali che tengano le persone lontane dall'hardware, anche se si tratta di semplici dispositivi o strutture come porte o serrature. La sicurezza di base che contribuisce a regolare chi ha accesso diretto alle risorse fisiche e cloud è una necessità comune per la regolamentazione e la conformità governative e viene trasferita ai fornitori di cloud pubblico.

I componenti fisici includono anche la protezione da incidenti e calamità. Sia le aziende che i fornitori di terzi devono disporre di storage di backup integrato e altre ridondanze, che contribuiscono a prevenire la perdita permanente dei dati in caso di danneggiamento o di guasti imprevisti del sistema. 

Componenti virtuali

I componenti virtuali rappresentano i vantaggi intrinseci e la complessità di un'infrastruttura cloud ibrido, tra cui crittografia, accessibilità, automazione e sicurezza degli endpoint.

• Crittografia: anche se i database vengono compromessi con mezzi dannosi, i componenti di crittografia impediscono la completa visualizzazione delle informazioni. La crittografia può avvenire a diversi livelli: quando i dati vengono archiviati, trasmessi, sono in uso oppure non in uso. I tool di crittografia delle partizioni come Linux Unified Key Setup-on-Disk (LUKS) o Trusted Platform Module (TPM) proteggono l'hardware dagli accessi non autorizzati, mentre le opzioni come Internet Protocol Security (IPSec) crittografano una sessione di rete in tempo reale, impedendo l'intercettazione dei dati.
• Accessibilità: i componenti che limitano chi e cosa dispone dei privilegi per accedere alle risorse riducono esponenzialmente la probabilità di accessi non autorizzati. Basate per la maggior parte sui principi zero trust, le opzioni come l’identificazione a più fattori o la rete privata virtuale (VPN) garantiscono che gli utenti e i programmi approvati abbiano accesso solo alle precise funzioni di cui hanno bisogno.
• Automazione: i componenti automatizzati possono eseguire numerose attività di sicurezza monotone, e meglio degli esseri umani. Azioni come l'applicazione di patch di sicurezza, il monitoraggio dell'ambiente e il controllo della conformità possono essere eseguite tramite il machine learning (ML).
• Sicurezza degli endpoint: poiché i cloud ibridi sono accessibili da qualsiasi numero di dispositivi, inclusi telefoni cellulari e laptop, i potenziali ingressi per altri accessi non autorizzati aumentano. In caso di smarrimento, furto o compromissione, i componenti di sicurezza degli endpoint possono eliminare i dati del dispositivo e/o revocare l'accesso al data center, prevenendo violazioni diffuse.

Meccanismi di trasferimento dei dati sicuri: implementando meccanismi di questo tipo, le aziende possono garantire la privacy e l’integrità dei dati.

• Protocolli di crittografia per i dati in transito: i protocolli di crittografia per la sicurezza, tra cui TLS (Transport Layer Security) e SSL (Secure Sockets Layer), proteggono i dati durante la trasmissione tra il cloud e l’infrastruttura on-premise, garantendone inoltre l’autenticazione e l’integrità.
• VPN (Virtual Private Network) e canali di comunicazione sicuri: le VPN usano canali crittografati per la trasmissione dei dati, impedendo gli accessi non autorizzati e proteggendo le connessioni sulla rete pubblica. Inoltre, i canali di comunicazione come Secure Shell e Secure File Transfer Protocol proteggono il trasferimento dei dati e l’accesso remoto ai sistemi ibridi.
  

Crittografia dei dati e gestione delle chiavi: è fondamentale adottare prassi efficaci di crittografia dei dati e gestione delle chiavi.

• Opzioni di crittografia per i dati inattivi nel cloud storage ibrido: le opzioni di crittografia a livello di disco e database proteggono i dati inattivi archiviati nei dispositivi di storage fisici e nei database all’interno del cloud storage ibrido.
  
• Prassi di gestione e storage sicuro delle chiavi: l’interscambio delle chiavi di crittografia riduce la probabilità di violazioni dei dati restringendo la finestra di esposizione.
  

Prevenzione della perdita di dati (DLP): i tool e le tecniche di prevenzione della perdita di dati garantiscono riservatezza e integrità.

• Prevenzione di fughe di dati accidentali o non autorizzate: la formazione sulle tecniche di gestione dei dati consente agli utenti di comprendere i rischi di fuga e promuove una cultura della sicurezza.
  
• Strategie e tool di DLP per gli ambienti di cloud ibrido: le strategie e i tool di DLP impediscono le fughe di dati accidentali monitorando attentamente i trasferimenti tra le risorse on-premise e nel cloud.
  

Isolamento e segmentazione della rete: l’isolamento e la segmentazione della rete garantiscono la sicurezza di dati e applicazioni implementando quanto segue. 

• Reti virtuali e subnet per l’isolamento: le reti virtuali negli ambienti di cloud ibrido separano i dati e i carichi di lavoro per ridurre al minimo gli accessi non autorizzati. La segregazione delle reti virtuali nelle subnet isola i componenti per una sicurezza superiore. 
  
• Strategie di segmentazione della rete per una sicurezza ottimizzata: queste strategie delineano le zone di sicurezza in base alla sensibilità dei dati e incorporano i controlli degli accessi tra queste per limitare gli spostamenti laterali. 
  

Firewall e gruppi di sicurezza della rete (NSG): componenti essenziali della protezione della rete nelle configurazioni di cloud ibrido. 

• Configurazione di firewall e NSG negli ambienti di cloud ibrido: gli elenchi di controllo degli accessi nei firewall e negli NSG consentono o impediscono il traffico in base ai protocolli e agli indirizzi IP. 
  
• Filtraggio del traffico di rete e applicazione delle policy di sicurezza: il principio “deny by default” blocca il traffico inbound e consente il passaggio di quello legittimo in base ai protocolli di sicurezza predefiniti. 
  

Sistemi di rilevamento e prevenzione delle intrusioni (IDS/IPS): gli IDS/IPS monitorano il traffico di rete, rilevando e impedendo intrusioni significative.

• Monitoraggio e prevenzione delle intrusioni di rete nel cloud ibrido: monitorando il traffico di rete è possibile individuare e tenere traccia di potenziali incidenti di sicurezza. 
  
• Distribuzione di soluzioni IDS/IPS per la sicurezza del cloud ibrido: le soluzioni IDS/IPS con SIEM (security information and event management) migliorano i meccanismi di rilevamento delle minacce e di risposta.
  

Compliance: la conformità normativa è essenziale per mantenere la sicurezza e l’integrità dei dati e delle applicazioni. 

• Rispetto delle normative e degli standard di settore: le normative specifiche del settore devono essere definite, comprese e rispettate. Serve quindi un’analisi completa per individuare le lacune nel rispetto degli standard di compliance, unitamente a un piano correttivo per risolverle.
  
• Audit e generazione di report per la compliance nel cloud ibrido: gli audit interni ed esterni misurano l’efficacia dei controlli di sicurezza, individuano le vulnerabilità e consentono di soddisfare gli standard di compliance. È inoltre consigliabile creare report 
  dettagliati su tecniche di protezione dei dati, processi di risposta agli incidenti e misure di sicurezza. 

Privacy e protezione dei dati: include i seguenti aspetti. 

• Gestione dei requisiti di privacy dei dati negli ambienti di cloud ibrido: è opportuno segregare i dati in base al loro livello di sensibilità e adottare misure appropriate per proteggerli e gestirli. È essenziale adottare policy di governance dei dati e processi per la gestione del consenso degli utenti al fine di garantire la privacy. 
  
• GDPR e altri regolamenti sulla protezione dei dati nel cloud ibrido: le metodologie di trasferimento protetto dei dati garantiscono la conformità con le norme del GDPR. È fondamentale adottare processi che semplifichino il rispetto dei diritti dei soggetti dei dati, tra cui quelli di recupero, modifica ed eliminazione delle informazioni personali. 
  

Framework e best practice per la sicurezza del cloud: framework e best practice che consentono alle organizzazioni di mantenere un ambiente di cloud ibrido protetto e conforme.

• Framework di sicurezza riconosciuti dal settore: i framework di sicurezza come NIST e ISO 27001 offrono una panoramica completa dei sistemi di gestione della sicurezza, tra cui valutazioni del rischio, controlli e compliance. 
• Best practice di sicurezza negli ambienti di cloud ibrido: le valutazioni e la gestione delle patch consentono di risolvere il problema delle vulnerabilità. Il principio del privilegio minimo limita i diritti di accesso degli utenti quando necessario, riducendo il rischio di incidenti di sicurezza.
  

Proteggere gli ambienti cloud ibrido senza un partner affidabile può rivelarsi un'impresa ardua. Le soluzioni HPE come la piattaforma edge to cloud HPE GreenLake offrono un solido portafoglio di informazioni e tool gestiti per efficienza e sicurezza ottimali nel cloud e on-premise, tra cui conformità IT, software asset management, backup e disaster recovery.

HPE GreenLake per la protezione dei dati è la nuova generazione di servizi cloud per la protezione dei dati, che offre flessibilità di modernizzazione (ripristino rapido, protezione dal ransomware, conservazione a lungo termine) sia on-premise sia nel cloud pubblico, con semplicità operativa, rispettando ogni SLA al giusto costo.

HPE Backup and Recovery Service for VMware è progettato appositamente per gli ambienti cloud ibrido. Fornito tramite una console SaaS (software-as-a-service) e orchestrazione e automazione basate su policy, i clienti possono proteggere le macchine virtuali (VM) con tre semplici passaggi in meno di cinque minuti e gestire i backup senza sforzo on-premise e negli ambienti cloud ibrido.

HPE InfoSight e HPE CloudPhysics ampliano e semplificano l'esperienza operativa del cloud. HPE InfoSight offre agli utenti visibilità end-to-end sull'intero stack IT, compreso il livello delle applicazioni, consentendo di mantenere i carichi di lavoro ottimizzati, operare senza interruzioni e continuare a fruire di un'esperienza operativa e di supporto trasformata. Nel frattempo, HPE CloudPhysics aiuta i clienti a simulare la migrazione al cloud, ottimizzare il posizionamento dei carichi di lavoro e scalare l’infrastruttura. I partner di HPE acquisiscono informazioni dettagliate sull'ambiente dei loro clienti, in modo da fornire soluzioni su misura e diventare partner strategici.