Quanto è sicuro il cloud?

Andres Bang di LinkedIn, Gary Clark di Juniper, Tom Leighton di Akamai, Gordon Ritter di Emergence Capital e Cristina Alesci di Bloomberg

Quanto è sicuro il cloud? Numerosi panelisti al Summit sulla tecnologia aziendale Bloomberg della scorsa settimana hanno parlato di questo problema, in particolare sulla scia delle rivelazioni di Snowden e della violazione di Target. La maggior parte era rialzista riguardo al potenziale dei fornitori di cloud pubblici di offrire una sicurezza migliore rispetto a quasi tutti i servizi di dati interni. Tuttavia, anche il più ottimista ha riconosciuto che molte aziende si sentono più a loro agio con un maggiore controllo sui propri dati.

Ad esempio, Andres Bang, responsabile dei sistemi di vendita e operazioni globali per LinkedIn, ha affermato che la sua azienda era un grande cliente di servizi di cloud pubblico e, in quanto tale, dipendente da tali fornitori. Ma, ha detto, l'azienda ha mantenuto le informazioni dei suoi membri su un cloud privato, quindi aveva un maggiore controllo. Gary Clark, CTO IT di Juniper Networks, ha dichiarato di vedere molti dipartimenti IT evolversi in broker di servizi cloud, con l'80% o più delle loro applicazioni nel cloud e il resto su un cloud privato. In termini generali, ha visto le aziende mantenere internamente le loro informazioni più private.

A seconda della sicurezza nel data center c'è un modello che sta per fallire, secondo Tom Leighton, CEO e co-fondatore di Akamai Technologies. Non è sufficiente difendersi solo con prodotti nel data center; è necessario intercettare ed elaborare prima che entri nel data center.

CIA: Sei "Solo forte come il tuo anello più debole".

Gus Hunt, ex Chief Technology Officer per la CIA

In un'altra sessione, Gus Hunt, ex Chief Technology Officer della Central Intelligence Agency (CIA) e attuale CEO di Hunt Technology, ha osservato che tutti i grandi fornitori di cloud hanno una sicurezza "davvero superba", perché ne hanno bisogno per attirare i clienti. Ha parlato di come la CIA stava usando il cloud di Amazon, anche se in una copia speciale che Amazon gestisce dietro le mura della CIA (che sono a loro volta protette da pistole e altri sistemi di sicurezza fisica).

Ma ha notato che la sicurezza è "forte solo quanto il tuo anello più debole". Ha spiegato che se si dispone di un carico di lavoro con una vulnerabilità su un provider cloud, tali vulnerabilità continuano ad esistere. Ma una vulnerabilità in un carico di lavoro non influisce sugli altri all'interno del cloud. Quindi, ha detto, proteggere i propri carichi di lavoro rimane un compito fondamentale.

Hunt ha affermato che il problema della sicurezza sta diventando una "cosa difficile e intrattabile" e ha affermato che è davvero difficile per ogni singola azienda capire come proteggersi. Così ha visto l'ascesa di società di sicurezza come servizio che strumenteranno la tua rete e controlleranno la sicurezza. Ma ha detto che si trattava di una "corsa agli armamenti senza attrito" con le informazioni condivise quasi istantaneamente su cose come il malware, rendendolo sempre più difficile.

Alla fine, ha detto, ci concentreremo più sulla protezione dei dati che sulle reti. "Sono i dati, stupido", ha detto. Dobbiamo farlo in modo che sia difficile trovare i dati. Ma se qualcuno riesce, deve essere rapidamente rilevato e corretto.

A lungo termine, Hunt ha affermato che le persone otterranno un maggiore controllo sui propri dati e sulla propria privacy, grazie a tecniche come la crittografia e la decrittografia e la capacità di falsificare le posizioni. È fantastico per i cittadini privati, ha detto, ma pone grandi sfide per le forze dell'ordine. "Sarai in grado di controllare i tuoi dati fino a un punto preciso."

Mitigazione del rischio e "effetto neve"

Wade Baker di Verizon Enterprise Solutions, Mike K. Brown di BlackBerry, Dr. Burt Kaliski Jr. di VeriSign, John N. Stewart di Cisco

John N. Stewart, Chief Security Officer di Cisco, ha osservato che un problema è che non abbiamo una buona definizione di buono o cattivo nella sicurezza aziendale, quindi è difficile confrontare la sicurezza da un provider cloud a un cloud aziendale. E Wade Baker, Managing Principal of Research and Intelligence di Verizon Enterprise Solutions, ha affermato che mentre i problemi di sicurezza possono verificarsi nel cloud, spesso non importa, perché raramente è causato dal cloud.

Burt Kaliski, Chief Technology Officer di VeriSign, ha anche sviluppato il concetto di passare a un "approccio incentrato sull'informazione", con molti meccanismi di protezione, ma mantenendo la maggior parte invisibile all'utente finale.

Secondo Stewart, la sicurezza del cloud porta in primo piano "ogni peccato che non abbiamo risolto", citando questioni come il problema dei nomi utente e delle password. Ha detto che le aziende erano troppo concentrate sul perimetro - il "duro esterno croccante" - non sul centro dei loro dati, e che doveva cambiare. Ha osservato che la protezione dei dati ha ottenuto una cattiva reputazione, con DRM, ma potrebbe rivelarsi molto importante. Ma ha avvertito, "la maggior parte degli utenti non si preoccupa dei rischi, si preoccupano di svolgere il proprio lavoro nel modo più efficiente".

Ci sono molti altri fattori importanti nella sicurezza aziendale, ha affermato Kaliski, tra cui una buona gestione delle informazioni, concentrandosi sulla fiducia di tutti gli elementi in un sistema, il controllo e la gestione delle chiavi.

Tutti concordarono sul fatto che l '"effetto Snowden" ha sollevato l'attenzione sui problemi di sicurezza, con molti consumatori internazionali che ora vedono gli Stati Uniti come malvagi, mentre altri pensano che ciò significhi che gli Stati Uniti sanno come risolvere le cose.

Raimund Genes di Trend Micro, Rick Howard di Palo Alto Networks, Cedric Leighton precedentemente della NSA, Michael Riley di Bloomberg News

Seguì un'altra sessione proprio sull'impatto di Snowden, con la preoccupazione principale che ciò stesse portando alla "tribalizzazione di Internet", secondo il colonnello Cedric Leighton, ex vicedirettore per la formazione presso l'NSA e ora CEO di Cedric Leighton Associates. Ha notato che Internet è stato progettato per essere globale, ma ora sentiamo parlare di "cloud tedesco" o "cloud svizzero" oltre al "grande firewall cinese". Le rivelazioni di Snowden sono servite come scusa per rinazionalizzare le cose, ha detto, e questo sta facendo un significativo disservizio al mondo e a Internet, con molte conseguenze non intenzionali.

Raimund Genes, Chief Technology Officer di Trend Micro, ha osservato che Snowden ha anche avviato una discussione sulla sicurezza in generale. "Se Snowden è in grado di ottenere documenti dall'NSA, cosa dice del nostro settore?" chiese. Ha parlato di quanto sia stato difficile fidarsi degli appaltatori interni e della necessità di rendere Internet più sicura in generale, dicendo che pensava che il governo avesse un ruolo.

Ha convenuto che "Internet è stato creato per essere globale" e ha affermato che alcune delle nuove regole europee progettate per mantenere i dati all'interno del suo paese o regione di origine sono ridicole.

Mentre lui e Leighton erano entrambi d'accordo sul fatto che il governo avesse un ruolo nel rendere Internet più sicuro, Rick Howard, Chief Security Officer di Palo Alto Networks, ha dichiarato che l'intero incidente ha dimostrato che l'industria ha fatto un buon lavoro nel fornire sicurezza, e ha affermato che bene deve essere meglio costruire sicurezza in più soluzioni. "I clienti dovranno essere assicurati indipendentemente da ciò che fa il governo", ha detto.