Molte aziende stanno affrontando un ulteriore passaggio della digital transformation, quello in cui le risorse informatiche vengono trasferite dai data center fisici verso il cloud, che prende il nome di digital cloud transformation. Questa trasformazione assume diverse forme: trasferimenti verso cloud privati come Dell o VMware, oppure verso provider pubblici quali Azure o Google. Nella maggior parte dei casi, si predilige una soluzione mista, quello che viene chiamato un ambiente ibrido. Un modello di questo tipo consente alle aziende di mantenere all’interno dei data center applicazioni cruciali difficili da dislocare e di beneficiare dei vantaggi di compliance, scalabilità e flessibilità offerti dal cloud.
Nonostante questi punti a favore, però, un ambiente cloud ibrido presenta anche alcune sfide per le aziende. Tra queste, una delle più significative è quella legata al tema della protezione dei dati.
Con le informazioni che ora si diramano fra infrastrutture fisiche e virtuali, le aziende devono avere un quadro chiaro di dove sono generati e conservati i dati sensibili. Devono, inoltre, anche saper ricostruire come sono condivisi e se tale condivisione supera i confini sotto il proprio controllo. Solo in questo modo sono in grado di definire una strategia di data protection che rifletta realisticamente le proprie esigenze di business.
Sempre più frequentemente questa strategia comprende qualche forma di crittografia. Sarà poi una scelta dell’organizzazione decidere se applicarla a tutte le informazioni o solo ad alcuni dati specificatamente individuati, in ogni caso dovrà stabilire come gestire le proprie chiavi.
Più facile a dirsi che a farsi, perché più chiavi di cifratura vengono create per proteggere i dati diffusi, maggiori sono le sfide che l’azienda dovrà gestire. Molte, al giorno d’oggi, hanno silos dedicati alla conservazione delle diverse chiavi per diverse risorse operative come file server, database e web server. Ma una simile rete distribuita di chiavi non è la soluzione ideale per ottenere l’efficienza e il soddisfacimento dei requisiti del GDPR e di altri standard.
Quindi, cosa possono fare le aziende in risposta a queste difficoltà? Come possono implementare una gestione delle chiavi di cifratura che sia adeguata a un ambiente IT distribuito?
È importante comprendere le più recenti strategie e tendenze in materia di crittografia. Una volta che un’azienda cifra i propri dati, l’intera sicurezza aziendale dipende dalla gestione delle chiavi di cifratura, dalla capacità di generare, distribuire, conservare, ruotare e revocare/distruggerle così come necessario per un’adeguata protezione delle informazioni sensibili cui sono associate.
Un approccio centralizzato alla gestione delle chiavi è cruciale. Le aziende dovrebbero gestire e conservare centralmente ed efficacemente le chiavi di crittografia e le politiche di gestione lungo tutto il loro ciclo di vita e trasversalmente a tutta l’azienda.
Le soluzioni Gemalto, ad esempio, consentono di gestire le proprie chiavi su piattaforme di cifratura eterogenee, offrendo soluzioni proprietarie così come anche supporto nell’uso dello standard KMIP (Key Management Interoperability Protocol).
In questo modo, le funzioni preposte alla sicurezza possono monitorare, controllare e gestire chiavi e politiche di crittografia per tutti i dati sensibili, ovunque siano archiviati: cloud, archivi fisici, database o virtualmente ovunque.
Sergio Sironi