Data: 

18 Nov 2024

Autore: 

PREO AG

On-Premise vs. Cloud


Ecco perché molte aziende si affidano ad infrastrutture ibride e soluzioni on-premise

Gli sviluppi globali nel cloud computing sono enormi. Nessuna azienda di successo potrà trascurare le tendenze attuali a lungo termine. In particolare, le soluzioni software guidate dal grande trend dell'intelligenza artificiale e i loro campi di applicazione apparentemente illimitati rendono sempre più complessa la gestione dei fornitori e dei servizi cloud.


Una delle conseguenze: anche i responsabili IT o i software asset manager di piccole e medie imprese a partire da 100 dipendenti di solito devono gestire più fornitori con diversi prodotti SaaS. Per le aziende o i gruppi più grandi, i numeri e le sfide si moltiplicano. Oltre all' aumento dinamico dei costi di licenza, dovrebbero tenere d'occhio soprattutto i rischi per la sicurezza associati ad infrastrutture cloud complesse. Più applicazioni software all'interno di un'organizzazione, come codici sorgente, dati aziendali sensibili, processi di produzione e ordine, chat e riunioni si svolgono nel cloud, maggiori sono i rischi associati. Inoltre, i diversi standard di sicurezza dei singoli fornitori SaaS per le rispettive applicazioni, come i modelli di autorizzazione, i formati di log degli eventi e i repository degli utenti locali, pongono ulteriori sfide alla gestione del rischio.


Poiché con le dinamiche attuali i rischi per la sicurezza cambiano con la stessa rapidità degli ambienti cloud delle aziende, in questo post del blog tratteremo i principali. E mostriamo, con un esempio pratico, perché molte aziende sono ancora riluttanti a passare completamente al cloud sia per motivi di sicurezza che di costi, preferendo invece ambienti ibridi o addirittura soluzioni completamente on-premise.


Panoramica sui grandi rischi per la sicurezza

Rischio sicurezza 1: identità

L'essere umano ha un'identità fisica e un numero infinito di dati digitali. Ciò è particolarmente evidente negli ambienti cloud complessi, in cui ogni nuova applicazione crea anche nuove identità utente. Guidati dai principali fornitori di cloud, come Amazon, Microsoft o Google, le identità private e aziendali stanno diventando sempre più confuse. Ad esempio, è probabile che molti dipendenti delle aziende utilizzino Microsoft 365 da soli, sia a livello personale che aziendale, con identità, diritti e livelli di sicurezza diversi. Inoltre, per le aziende, il problema delle identità sconosciute è dovuto al fenomeno dello shadow IT, perché le soluzioni software sono disponibili per quasi tutti in qualsiasi momento, anche senza la supervisione dei responsabili IT e quindi vengono perse di vista. In questo modo, diventa sempre più difficile per i responsabili della sicurezza mantenere una visione d'insieme e proteggere efficacemente l'accesso ai dati aziendali.


Importanti misure per ridurre al minimo i rischi sono quindi principalmente una gestione delle risorse software incentrata sulla sicurezza, l'introduzione dell'autenticazione a più fattori (MFA), rigide specifiche di password nell'ambito delle linee guidadi conformità, l'uso di sistemi per documentare tentativi di accesso e accessi e un processo di onboarding e off-boarding basato sull'identità, in particolare nelle unità organizzative che lavorano molto con supporto esterno o postazioni di lavoro remote.

Rischio sicurezza 2: vulnerabilità sistemiche ed errori di configurazione

Le vulnerabilità sistemiche sul lato del fornitore, come bug, zero day o errori di codice, sono ovviamente difficili da controllare. Di norma, l'unica cosa da fare è assicurarsi che gli errori vengano corretti immediatamente e che vengano fornite le patch. Gli audit regolari aiutano inoltre a identificare comportamenti insoliti degli utenti al fine di rilevare i possibili errori in una fase più precoce. D'altra parte, il rischio di una configurazione errata di servizi o infrastrutture cloud che creano lacune di sicurezza indesiderate può essere ridotto al minimo in modo molto più efficace. A questi rischi sono soggetti ad esempio, database non protetti, spazi di archiviazione pubblicamente accessibili o gruppi di sicurezza di rete configurati in modo errato.


Per ridurre efficacemente i rischi, è fondamentale avere sempre una panoramica aggiornata di chi può accedere a un'applicazione cloud, attraverso quali percorsi e in quale misura. A tal fine, dovrebbero essere effettuati controlli di sicurezza regolari e il personale responsabile dovrebbe essere formato sui più recenti standard di sicurezza.


Una grande leva per evitare errori è rappresentata dagli standard di configurazione definiti sulla base dei rischi noti per la sicurezza e delle best practice esistenti. Su questa base, anche gli ambienti multi-cloud complessi possono essere monitorati con l'aiuto dei cosiddetti strumenti di Cloud Security Posture Management (CSPM) e le configurazioni errate, le vulnerabilità delle applicazioni o le violazioni della conformità possono essere rilevate automaticamente e persino risolte direttamente. Secondo la società di ricerca IT Gartner, un CSPM personalizzato può ridurre fino all'80% i problemi relativi alla sicurezza dovuti a configurazioni errate nel cloud.

Rischio per la sicurezza 3: applicazioni cloud

Le applicazioni cloud di terze parti possono trasformarsi rapidamente in vettori di attacco se non ne viene testata sufficientemente la sicurezza. Le rispettive applicazioni di solito interagiscono tra loro per semplificare i processi di lavoro esistenti. Poiché le app di terze parti sottovalutano costantemente il rischio per la sicurezza, gli utenti spesso concedono loro troppi diritti senza che il reparto IT se ne accorga. In questo modo, le falle di sicurezza esistenti creano efficaci porte di accesso per i criminali informatici, che non solo mettono a rischio l'intero ambiente cloud, ma possono anche paralizzarlo completamente.


Controlli di sicurezza regolari e aggiornamenti di applicazioni esistenti e note sono altrettanto importanti per ridurre al minimo i rischi quanto un esame di selezione secondo standard di sicurezza e certificazione prestabiliti, ad esempio la norma DIN ISO 27001. In poche parole, si consiglia di gestire la selezione e le autorizzazioni di accesso come per i singoli dispositivi o account utente.

Rischio sicurezza 4: disponibilità

Un fattore di rischio esistenziale è la disponibilità di servizi cloud non appena vengono eseguite le applicazioni, i flussi di lavoro o i processi di produzione necessari per le operazioni aziendali quotidiane. Tuttavia, gli scenari di rischio sono molto diversi, dalla fornitura tecnica delle risorse hardware e software da parte dei fornitori, alle connessioni hardware, come i cavi in fibra ottica, agli attacchi DDoS dei criminali informatici fino all'errore umano.


Le principali misure di mitigazione dei rischi includono lo sviluppo di piani di disaster recovery e di emergenza, l'uso di sistemi ridondanti, la distribuzione dei servizi cloud su più data center distribuiti geograficamente, cicli di backup giornalieri e adeguate misure di protezione DDoS che rilevano tempestivamente gli attacchi e quindi prevengono la compromissione della disponibilità sistemica.


Altri potenziali punti deboli che sono spesso trascurati

Oltre ai grandi rischi nel cloud computing, le aziende dovrebbero fare attenzione, nell'ambito di una strategia di sicurezza olistica, che anche a prima vista fattori di rischio meno significativi non diventino la porta d'accesso per i criminali informatici . Questi includono terminali digitali, multi-cloud e shadow IT, così come le persone con il loro comportamento spesso troppo spensierato nel mondo del lavoro digitale, come mostra questo post sul blog.


I rischi per la sicurezza nel cloud computing promuovono infrastrutture ibride e soluzioni on-premise

Soprattutto nei settori con elevati standard di conformità e protezione dei dati, come l'energia, la salute, i trasporti e la logistica o lo smaltimento, ma anche nel settore delle pubbliche amministrazioni, i rischi delle soluzioni completamente cloud sono ancora troppo elevati per molti responsabili IT. Invece, gli ambienti cloud ibridi o le soluzioni completamente on-premise continuano a godere di grande popolarità. Ciò consente di ridurre i rischi per la sicurezza nel cloud computing, almeno per alcune aree. Inoltre, in questi scenari si apre la possibilità di ridurre in modo sostenibile i costi di licenza correnti attraverso l'integrazione su richiesta del software usato, come dimostra il seguente esempio di LMT Group:


L'azienda di ingegneria meccanica specializzata con 2.200 postazioni voleva ottenere le licenze necessarie in base alle sue esigenze. Stiamo parlando di un'azienda con 10 sedi in tutto il mondo. La soluzione combinava, tra le altre cose, un piano Office 365 E1 con licenze usate di PREO per Office 2016 e Windows 2016 Server CAL. E così ha ottenuto la funzionalità di un piano E3, ma senza Office ProPlus.


Risultato: senza alcuna perdita di produttività, l'azienda ha realizzato un risparmio per un importo a sei cifre. L'intero investimento è stato quindi ammortizzato già nel secondo anno. Interessante vero? L'intero caso studio è disponibile qui.



Vantaggi sicuri – Software usato di PREO per il funzionamento on-prem

Siamo uno dei pionieri nella compravendita a livello europeo di licenze software usate e offriamo ad aziende, organizzazioni e amministrazioni pubbliche una vasta gamma di contratti multilicenza usati per server, sistemi operativi o software applicativi, in particolare da Microsoft o Adobe, con i quali possono ottimizzare in modo sostenibile i loro costi di licenza e trarne molteplici vantaggi:


  • Elevato risparmio sui costi di licenza correnti fino al 70% rispetto alla nuova versione.
       
  • Acquisto di licenze sicuro al 100% dal punto di vista legale e dell'audit con la massima trasparenza in tutte le fasi di elaborazione, compresa la documentazione completa nel portale di licenze PREO "Easy Compliance".

  • Esperienza pluriennale nell'integrazione di licenze software usate in strutture di rete classiche o modelli di licenza ibridi.

  • Maggiore sostenibilità nel settore IT attraverso la promozione di un'economia circolare attiva e la riduzione dell'impronta di carbonio aziendale. PREO è il primo rivenditore di software usato con una valutazione su EcoVadis, il più grande fornitore al mondo di rating di sostenibilità.

  • Conoscenza dettagliata del mercato e vasta esperienza attraverso il trasferimento sicuro di oltre un milione di licenze software usate.

  • Capacità di gestione delle licenze software esistenti per grandi progetti IT con migliaia di postazioni di lavoro e sedi internazionali.

  • Progetti di punta per numerose aziende di medie e grandi dimensioni dei settori più disparati.