Data:
7 Feb 2024
Autore:
PREO AG
On-Premise vs. Cloud
Potenziali punti deboli spesso trascurati
Quasi tutte le grandi aziende fanno uso del cloud computing e utilizzano i servizi in diversi modi. La maggior parte dei reparti IT lavora già da tempo a strategie cloud complete o le ha all'ordine del giorno. Ma con l'ingresso nel cloud, sia come infrastruttura ibrida che come soluzione cloud totale, aumentano anche i rischi per la sicurezza specifici di questo settore. Per questo motivo, in particolare le grandi multinazionali e i fornitori di servizi cloud di tutto il mondo investono miliardi di dollari nella protezione delle loro infrastrutture. Chi vuole minimizzare efficacemente il rischio per la sicurezza, dovrebbe tenere d'occhio non solo i rischi maggiori, come la disponibilità dell'infrastruttura fisica, gli attacchi informatici mirati o un vendor lock-in, ma anche le vulnerabilità indirette minori.
In questo post del blog esaminiamo quindi i seguenti potenziali rischi per la sicurezza del cloud: terminali digitali, multi-cloud, IT ombra e il fattore di rischio umano. E mostriamo con un esempio pratico perché le aziende non abbandonano completamente o parzialmente il cloud solo per motivi di sicurezza e si affidano invece a comprovate soluzioni on-prem.
Rischio sicurezza cloud terminali digitali
Tutti i dispositivi digitali utilizzati dagli utenti per accedere ai servizi cloud richiedono gli stessi elevati standard di sicurezza dell'infrastruttura cloud stessa, in modo che non diventino inavvertitamente una porta d'ingresso. Soprattutto nelle grandi aziende o organizzazioni che operano a livello locale e internazionale, questa può diventare una sfida continua che richiede molto tempo e risorse. Mantenere il gran numero di terminali in circolazione, come PC, laptop, tablet, smartphone, ma anche server o stampanti di rete, se collegati al cloud, al livello di sicurezza attualmente richiesto è una vera e propria "fatica di Sisifo". Ciò comporta sempre che i reparti IT standardizzano fortemente la sicurezza dei dispositivi e spesso la sottodimensionano, perché i rischi indiretti, ad esempio a causa di problemi di interfaccia, non vengono presi sufficientemente in considerazione.
Rischi per la sicurezza: multi-cloud e IT ombra
Mentre le aziende più piccole spesso utilizzano solo uno o meno servizi cloud, le medie imprese o gruppi aziendali di solito optano per una soluzione multi-cloud come parte della loro strategia cloud. L'obiettivo è mantenere la flessibilità, la disponibilità e la sicurezza delle risorse necessarie al più alto livello possibile. In particolare, dovrebbero essere evitate dipendenze eccessive e unilaterali da un unico fornitore di servizi cloud, cosa che avviene ad esempio con il vendor lock-in. La combinazione di cloud pubblico per carichi di lavoro standardizzabili e facilmente scalabili e cloud privato per dati e applicazioni sensibili è particolarmente popolare. Tuttavia, come per tutte le interfacce sistemiche, anche nel cloud computing si tratta di un obiettivo strategico per gli attacchi e dovrebbe essere data la massima priorità all'interno del reparto IT nell'ambito della gestione dei rischi del cloud.
La situazione è già più difficile con il noto, ma sempre sottovalutato fenomeno dell'IT ombra, che di solito è accompagnato da un altro, il cosiddetto password spray. La diffusione incontrollata di software cloud, ad esempio su account cloud personali di dipendenti o account di reparto presso fornitori di cloud pubblici più o meno ben protetti, rappresenta una porta di accesso ideale per gli hacker. Di norma, il reparto IT interno non è a conoscenza dell'IT ombra esistente, quindi non sono state adottate misure di sicurezza specifiche. Il rischio è quindi particolarmente elevato e, a seconda dello scenario di attacco, può rapidamente minacciare la capacità commerciale dell'intera azienda. Per minimizzarlo efficacemente, è importante che le aziende identifichino e gestiscano continuamente i sistemi IT ombra e li integrino nella strategia IT ufficiale o li sostituiscano con alternative sicure. A tal fine, è necessario aumentare la consapevolezza dei rischi per la sicurezza esistenti in tutte le unità organizzative, ad esempio attraverso corsi di formazione regolari o offerte di autoapprendimento.
Fattore umano come rischio per la sicurezza del cloud
Gli attacchi cloud di solito hanno più successo quando il fattore umano gioca un ruolo particolarmente importante. Esempi tipici sono quindi i punti deboli dovuti a un'amministrazione o a una configurazione dell'interfaccia errata, nonché gli errori nell'applicazione. Una gestione attiva dei rischi del cloud, dai test periodici agli attacchi simulati mirati all'infrastruttura IT esistente, garantisce che queste vulnerabilità vengano scoperte il prima possibile e risolte preventivamente.
Il fattore umano acquisisce un'altra dimensione rilevante per la sicurezza nel campo delle identità digitali. Se viene rilevata o rubata illegalmente, anche i ruoli associati come utente o amministratore possono essere violati. Le macchine virtuali stesse stanno diventando sempre più utenti di servizi cloud. Un Identity and Access Management attivo e integrato nella strategia di sicurezza IT, in breve IAM, è quindi importante per ridurre al minimo i rischi per la sicurezza del cloud.
Abbandono del cloud: perché l'azienda di medie dimensioni Swedex si affida nuovamente a servizi On-Prem
L'azienda di medie dimensioni Swedex di Essen, con circa 300 dipendenti, ha sperimentato che una soluzione Total Cloud non rappresenta solo una sfida in termini di sicurezza, ma può anche comportare una spirale di costi a volte difficile da calcolare. La conseguenza: l'azienda di medie dimensioni, uno dei fornitori leader a livello europeo nel settore della "presentazione di documenti", non voleva più accettare né l'aumento dinamico dei costi né la dipendenza da un unico grande fornitore di cloud e cercava un'alternativa autonoma ed economica. Il risultato: dopo tre anni nel cloud Microsoft, i responsabili hanno nuovamente optato per servizi on-premise. Di conseguenza, è stato possibile ottenere enormi risparmi sui costi di licenza correnti di circa 100.000 euro integrando le licenze software usate di PREO. Ulteriori informazioni su questo e altri casi studio sono disponibili qui.
Ampia gamma di contratti multilicenza usati di Microsoft
PREO offre in qualsiasi momento ad aziende, organizzazioni e amministrazioni pubbliche una vasta gamma di contratti multilicenza usati di versioni attuali e precedenti di software standard di produttori leader del mercato come Microsoft e Adobe. Qualunque sia la domanda di software usato, con PREO le piccole e medie imprese e le grandi aziende hanno tutti i vantaggi dalla loro parte:
- Elevato risparmio sui costi di licenza correnti fino al 70% rispetto alla nuova versione.
- Acquisto di licenze sicuro al 100% dal punto di vista legale e dell'audit con la massima trasparenza in tutte le fasi di elaborazione, compresa la documentazione completa nel portale di licenze PREO "Easy Compliance".
- Esperienza pluriennale nell'integrazione di licenze software usate in strutture di rete classiche o modelli di licenza ibridi.
- Capacità di gestione delle licenze software esistenti per grandi progetti IT con migliaia di postazioni di lavoro e sedi internazionali.
- Contributo attivo alla riduzione dell'impronta di carbonio nel settore IT attraverso l'ingresso in un'economia circolare efficiente sotto il profilo delle risorse che comprende l'estensione dei cicli software e hardware.
- Progetti di punta per numerose aziende rinomate nei più svariati settori.
A tal proposito PREO acquista volentieri software inutilizzati e non più necessari a condizioni interessanti. I nostri esperti di licenze saranno lieti di consigliarti personalmente e di preparare un'offerta gratuita e non vincolante.
