Proof, not Promises: Creating the Trusted Cloud
Transcript
Proof, not Promises: Creating the Trusted Cloud
LA POSIZIONE DI EMC RISPETTO ALL'AFFIDABILITÀ DEL CLOUD Prove, non promesse: come creare un cloud affidabile EXECUTIVE SUMMARY I cloud e la virtualizzazione offrono nuovi e potenti mezzi di gestione e impiego delle informazioni digitali, ma creano al contempo delle complessità per le organizzazioni, desiderose di mettere le informazioni giuste nelle mani delle persone giuste all'interno di un'infrastruttura del tutto affidabile. Perché? Perché i cloud e la virtualizzazione modificano radicalmente la natura del controllo e della visibilità. L'infrastruttura diventa virtuale, non è più fisica e le persone possono accedervi da dispositivi che sfuggono al controllo diretto dell'IT. Nei cloud e nelle reti le informazioni si muovono a velocità vertiginose, impedendo di riconoscere l'ubicazione dei dati sensibili. Se l'infrastruttura IT è virtuale e condivisa nel cloud, le organizzazioni devono apprendere nuovi modi per ottenere il massimo della visibilità su rischi, minacce e prestazioni della conformità. La buona notizia è che le aziende lungimiranti hanno oggi la possibilità di superare questi ostacoli. La formula vincente per creare la fiducia nel cloud risiede nel controllo e nella visibilità su infrastruttura del cloud, identità e informazioni. Le tecnologie necessarie a stabilire nel cloud un tale livello di controllo e visibilità esistono già. Ci sono organizzazioni che le applicano in modo creativo per costruire cloud affidabili, in grado di rispondere a stringenti requisiti di sicurezza e conformità e offrire al contempo i livelli di flessibilità, fluidità e scalabilità che rendono il cloud una scelta promettente per le organizzazioni di tutto il mondo. Prospettiva EMC LA SFIDA Negli anni, le architetture IT e le strategie delle piattaforme si sono evolute passando dal mainframe al client-server, al web. In questa trasformazione, uno degli obiettivi fondamentali delle organizzazioni IT continua però a resistere: mettere le informazioni giuste nelle mani delle persone giuste attraverso un'infrastruttura affidabile per sfruttarle a fini commerciali. Raggiungere questo obiettivo è diventato man mano più difficile e complesso da verificare poiché: •Le informazioni digitali aumentano di valore e hanno ormai pervaso ogni processo aziendale •L'ampiezza di banda cresce e i punti di accesso proliferano •I rischi aziendali si moltiplicano, considerato che i dipendenti intensificano l'uso dei dispositivi di accesso consumer ai servizi IT aziendali •L'infrastruttura si è evoluta nel nuovo mondo della tecnologia di virtualizzazione e del cloud computing Il risultato di tutto ciò è l'apertura di una pericolosa voragine che mina l'affidabilità, un vuoto che divide le organizzazioni dalla loro capacità effettiva di cogliere i documentati vantaggi del cloud: efficienza, flessibilità e risparmio sui costi. Oggi, team di gestione, revisori ed enti normativi esigono prove che attestano l'adesione delle aziende ai requisiti di sicurezza e conformità, nel rispetto della libertà e velocità del flusso di informazioni digitali. Fornire sicurezza e conformità negli ambienti virtualizzati, e quindi nel cloud, implica un profondo ripensamento di pratiche e opinioni sulla sicurezza ormai consolidate. Il motivo di questa necessità è dato da due mutamenti fondamentali, entrambi incentrati su visibilità e controllo. Una grossa casa farmaceutica che deve condurre alcuni test sulla produzione si affida alle risorse IT interne, affrontando un'operazione che richiede centinaia di server, svariati mesi di configurazione e un costo operativo che si aggira sui 150.000 dollari al secondo. Per il successivo test la società farmaceutica decide di provare ad utilizzare IaaS. Affitta pertanto un'infrastruttura informatica nel cloud e dedica alcuni giorni alla configurazione del test e delle misure di sicurezza richieste per i dati. L'esecuzione del test ha un costo di circa $ 50 e viene completata nel giro di un pomeriggio. 1.La virtualizzazione ha modificato irrevocabilmente il modo in cui le organizzazioni ottengono controllo e visibilità sugli elementi chiave del loro ambiente IT. •L'infrastruttura diventa logica, non è più fisica, aspetto che vanifica gli approcci statici alla sicurezza e all'applicazione di policy, basati sul perimetro. I confini logici e dinamici presentano nuove sfide (ma anche nuove opportunità) per il controllo e la visibilità del cloud. •Le identità (di persone, dispositivi e sistemi che accedono ai servizi basati sull'IT) sono più complesse da verificare, non fosse altro per il fatto che sono molte di più. Le interazioni tra le identità informatiche superano quelle che avvengono tra le identità umane, inoltre il cloud accelera l'esposizione alle minacce rappresentate da dispositivi mobili e strumenti di social media, che le organizzazioni IT di fatto non controllano e da cui non riescono a proteggersi fino in fondo. Una solida procedura di autenticazione diventa un requisito essenziale, data la continua aggiunta di servizi di cloud esterni all'IT aziendale. •Le informazioni si duplicano e si spostano nel cloud a velocità elevatissime, complicando la protezione dei carichi di lavoro sensibili e la capacità di dimostrare che la loro gestione avviene in linea con le policy. 2.Le organizzazioni cedono in misura sempre maggiore controllo e visibilità a provider esterni della catena di approvvigionamento dei servizi cloud. Ciò avviene nei casi di IaaS per l'hosting di hybrid e private cloud, PaaS per lo sviluppo di applicazioni o SaaS per applicazioni quali Salesforce.com. In controtendenza rispetto alla proprietà, alla gestione e all'ispezione totali di tutti i componenti dei servizi IT perseguiti dai data center tradizionali, le organizzazioni devono adesso affidarsi a fornitori esterni per poter implementare i controlli e garantire la conformità. 2 La realtà è che le organizzazioni non sono ancora in grado di reagire a questi passaggi sostanziali nel controllo e nella visibilità e non hanno ancora capito come trarre vantaggio dalle opportunità che essi rappresentano. Ma non dovrebbe essere così. A loro disposizione ci sono oggi la visione, le competenze, l'esperienza e la tecnologia adatte ad architettare solide fondamenta per l'affidabilità del cloud. LA SOLUZIONE DELL'EQUAZIONE DELL'AFFIDABILITÀ: CONTROLLO + VISIBILITÀ2 = AFFIDABILITÀ Nessuno può negare che l'affidabilità del cloud si basi su controllo e visibilità. Garantire l'affidabilità richiede innanzi tutto il controllo e, secondariamente, un livello di visibilità interna da cui partire o da ampliare ad opera di fornitori di servizi esterni. Appurato che la formula controllo più visibilità porti all'affidabilità, come possiamo applicarla? Ottenere l'affidabilità nei private cloud interni è meno complesso rispetto agli ambienti cloud di tipo public e hybrid, dato che l'organizzazione ha il pieno controllo delle risorse IT e dell'ubicazione geografica dei dati. Nei cloud interni il controllo e la visibilità si ottengono adattando i processi esistenti all'ambiente virtuale e sfruttando appieno i nuovi vantaggi della virtualizzazione. Per quanto riguarda i public e hybrid cloud invece, le organizzazioni procedono con cautela, eseguendo la migrazione delle funzioni a basso rischio (livello 2) e delegando l'affidabilità a contratti, salde relazioni con i vendor e reputazione del marchio. Sebbene le promesse di alte prestazioni e le sanzioni contrattuali possano fornire un adeguato standard di affidabilità in alcune applicazioni, per le funzionalità di importanza strategica (livello 1) è necessario ricorrere ad uno standard superiore. Una società globale di elaborazione di pagamenti desidera virtualizzare la propria infrastruttura IT, ma nutre delle perplessità sul controllo della sicurezza e sulla capacità di dimostrare la conformità negli ambienti virtuali, in special modo per le applicazioni regolamentate. RSA e l'alleanza VCE risolvono i dubbi espressi dall'azienda su sicurezza e conformità, grazie ad una console di gestione centrale che offre la visione integrata sull'ambiente IT dell'elaboratore di pagamenti, sia virtualizzato che convenzionale. Le funzionalità mission critical richiedono controllo e visibilità sulle prestazioni del cloud. Richiedono anche misure cautelative aggiuntive che garantiscano la protezione delle informazioni del cloud da perdite o mancata availability del sistema, nonché da minacce esterne e violazioni della privacy. Solo un livello di controllo e visibilità potenziato è in grado di offrire le prove dell'affidabilità: •La prova che l'infrastruttura del cloud risponde alle specifiche di sicurezza e che le informazioni sono gestite in linea con le policy •La prova che gli utenti autorizzati sono esattamente quelli che dichiarano di essere •La prova che prestazioni e conformità soddisfano sia la gestione interna che revisori ed enti normativi. È essenziale dimostrare la capacità di ispezionare e monitorare direttamente condizioni effettive, senza doversi affidare alle sole dichiarazioni esterne, specie per le applicazioni che maneggiano informazioni regolamentate o carichi di lavoro sensibili. Le organizzazioni devono poter contare sulla trasparenza degli ambienti dei fornitori di servizi per garantire la conformità a policy e SLA. Hanno bisogno di una visione integrata degli ambienti IT, interni ed esterni, per individuare i rischi e le minacce e coordinare l'implementazione di misure cautelative adatte. Poiché le organizzazioni faticano già abbastanza per ottenere il controllo e la visibilità negli ambienti IT fisici, il cloud non deve inasprire ulteriormente questi sforzi. La buona notizia è che la tecnologia di virtualizzazione crea le condizioni adatte a migliorare visibilità e controllo, ampliandoli notevolmente rispetto alle potenzialità oggi offerte dagli ambienti fisici. 3 VIRTUALIZZAZIONE: VISIBILITÀ E CONTROLLO SONO PILASTRI IRREMOVIBILI La sicurezza e la conformità ridefiniscono le possibilità del cloud, esattamente quanto il cloud ridefinisce le possibilità di sicurezza e conformità. Se le tecnologie moderne permettono di ottenere cloud affidabili, ulteriori innovazioni in arrivo sul mercato renderanno i cloud persino più protetti e sicuri degli ambienti IT convenzionali e non virtualizzati. Data la scarsa fiducia accordata al cloud per le applicazioni di importanza strategica, questa affermazione può sembrare fuorviante. Cosa rende possibile una simile prospettiva? La virtualizzazione. La protezione dei dati PCI può raggiungere livelli superiori di dinamicità e potenza negli ambienti virtualizzati. La rilevazione automatica di dati riservati, unita alla capacità di abbinare policy e controlli alle informazioni, consente di creare in modo dinamico aree PCI ogni qualvolta viene riscontrata un'informazione PCI. Le policy e i controlli di sicurezza vengono trasferiti assieme ai dati PCI, per ottenere una protezione mobile, fluida e incentrata sulle informazioni. I servizi cloud che adottano misure cautelative flessibili e basate sui rischi sono in forte ascesa e ben presto saranno ampiamente diffusi. Il settore dei servizi finanziari si pone all'avanguardia in questa trasformazione. Più di 2.600 istituti finanziari si affidano oggi al modello SaaS di RSA per l'autenticazione basata sui rischi, proteggendo oltre 225 milioni di utenti in tutto il mondo. LA VIRTUALIZZAZIONE È UN CATALIZZATORE DI AFFIDABILITÀ La virtualizzazione alimenta la capacità del cloud di superare il livello di visibilità e controllo offerto dall'ambiente IT fisico. Consolidando più sistemi su un'unica piattaforma, le organizzazioni ottengono un punto di controllo centralizzato per la gestione e il monitoraggio di tutti i componenti dell'infrastruttura virtuale. La virtualizzazione offre visibilità e controllo consolidati e impareggiabili su tutto l'ambiente virtuale, trasformando l'IT in una risorsa vitale che contribuisce al potenziamento di sicurezza e conformità attraverso tre aspetti decisivi. 1. Logicità e centralità delle informazioni La sicurezza del cloud risulta superiore quando le organizzazioni proteggono le informazioni e non l'infrastruttura. In un ambiente virtualizzato, i perimetri fisici e statici sono rimpiazzati da confini logici e dinamici, che delineano i nuovi perimetri dell'affidabilità; le macchine virtuali adattano i livelli di protezione a carichi di lavoro specifici, trasportando di volta in volta le policy e i privilegi necessari man mano che si spostano nel cloud. 2. Integrazione e automazione Negli ambienti cloud, dove informazioni, macchine virtuali e reti interamente virtualizzate si ridispongono in pochi attimi, le misure di sicurezza devono essere altrettanto dinamiche. Per ottenere una situazione simile, occorre integrare la sicurezza nei componenti virtualizzati e, per estensione, distribuirla a tutto il cloud. Inoltre, l'automazione diventa essenziale per fare in modo che sicurezza e conformità operino alla stessa velocità e portata del cloud. Policy, normative e best practice vengono codificate in misura sempre maggiore nei sistemi di gestione della sicurezza e implementate automaticamente, riducendo la necessità di intervento dello staff IT. 3. Importanza dei rischi e alta flessibilità Un approccio alla sicurezza statico basato su regole e firme non è in grado di difendersi da minacce avanzate, siano esse interne o esterne. Le organizzazioni devono piuttosto sviluppare nuove funzionalità di rapida valutazione dei rischi e prendere provvedimenti immediati a riguardo. In futuro, i cloud affidabili impiegheranno analisi predittive basate sulla conoscenza di stati normali, comportamenti degli utenti e schemi delle transazioni, al fine di individuare eventi ad alto rischio e aiutare le organizzazioni a variare la difesa in modo proattivo. Questi tre principi fondamentali modificano l'applicazione della sicurezza e la dimostrazione della conformità negli ambienti cloud e virtualizzati. Le soluzioni che si basano su questi tre principi stanno trasformando il cloud da ambiente IT limitato alle funzionalità a basso rischio in uno più propriamente adatto ai processi aziendali più importanti dell'organizzazione. 4 EMC E VMWARE FANNO LA DIFFERENZA: PROVE NON PROMESSE Una maggiore sicurezza (controllo) dimostrata da un monitoraggio diretto (visibilità) rappresenta lo standard più elevato di un cloud affidabile. Questo standard comprovato è ciò che rende uniche le soluzioni oggi offerte da EMC e VMware. Abbiamo fiducia nel potere della virtualizzazione, al punto che abbiamo sviluppato una nostra strategia di sicurezza del cloud, un portafoglio di soluzioni e iniziative di sviluppo mirati a rendere la sicurezza e la conformità nel cloud 1) logiche e incentrate sulle informazioni, 2) integrate e automatiche, 3) basate sui rischi e flessibili. La nostra adesione a questi tre principi ci permette di offrire alle organizzazioni soluzioni cloud adattabili a qualunque tipo di carichi di lavoro, anche a quelli di importanza critica per l'azienda. Ciò significa che le organizzazioni possono distribuire cloud affidabili che rispondono ai criteri di sicurezza e conformità di qualunque processo aziendale attualmente eseguito nei data center convenzionali. Significa anche che le organizzazioni possono ispezionare e monitorare direttamente le condizioni degli ambienti virtuali, avvalendosi di osservazioni dirette e non solo basandosi su dichiarazioni esterne. Infine, significa che le organizzazioni possono sfruttare piattaforme di virtualizzazione condivise per consolidare il controllo dei cloud. EMC non si limita a professare i vantaggi del cloud; li vive ogni giorno. Ad oggi, EMC ha raggiunto il 75% della virtualizzazione nel proprio percorso verso il private cloud che contiene attualmente più di sette petabyte di informazioni, tra cui i dati EMC e il contenuto di backup di oltre 20 servizi cloud esterni. Per anni EMC, la sua divisione di sicurezza RSA e VMware hanno lavorato all'integrazione dei controlli di sicurezza, gestione e conformità nella piattaforma di virtualizzazione. Stiamo inoltre sfruttando la virtualizzazione per potenziare la sicurezza, la gestione e la conformità del cloud. Tutte le nostre soluzioni cloud sono progettate per ottenere il massimo dei vantaggi dalle potenti funzionalità di indagine e controllo inerenti alla piattaforma di virtualizzazione VMware, leader del settore, oggi responsabile dell'84% delle applicazioni virtualizzate. Per ulteriori informazioni su come EMC sia in grado di fornire prove reali, e non promesse, sull'affidabilità del cloud computing, consultare l'appendice dal titolo “Come fornire controllo e visibilità per ottenere cloud affidabili”. CONCLUSIONE Numerosi studi individuano nello scetticismo rispetto a sicurezza e conformità le motivazioni principali per la mancata adozione dei cloud, nonostante la straordinaria efficienza, la flessibilità e i risparmi offerti da questo tipo di ambiente. È giunto il momento che il mondo IT superi le proprie paure e rivaluti le supposizioni sulla sicurezza del cloud, per poter progredire e destinare al cloud anche le funzionalità aziendali strategiche. Per accelerare questo processo, EMC si è mobilitata per fornire il massimo standard di affidabilità del cloud, uno standard che si basa su prove evidenti, non su semplici promesse. 5 Informazioni sugli autori Arthur W. Coviello, Jr. Executive Vice President, EMC Corporation Executive Chairman, RSA Art Coviello è responsabile della strategia e delle attività operative di RSA in materia di applicazione della visione globale EMC in merito alla sicurezza incentrata sulle informazioni. Coviello ha ricoperto la carica di Chief Executive Officer di RSA Security, Inc. prima dell'acquisizione della società da parte di EMC nel 2006. È entrato a far parte dell'azienda nel 1995 e ha avuto un ruolo chiave nella sua crescita, portando il fatturato da 25 milioni di dollari del 1995 ad oltre 700 milioni di dollari nel 2010. L'esperienza e il carisma di Coviello lo hanno reso un leader riconosciuto del settore, dove è protagonista di molte iniziative di sicurezza informatica a livello nazionale. Coviello interviene in numerose conferenze e forum in tutto il mondo. Vanta oltre 35 anni di esperienza in gestione strategica, operativa e finanziaria in aziende high tech. Attualmente, fa anche parte del Consiglio di Amministrazione di EnerNOC, azienda leader nei Demand Response Systems per il risparmio energetico. Coviello è laureato con lode presso la University of Massachusetts. Howard D. Elias President e Chief Operating Officer, EMC Information Infrastructure and Cloud Services Executive Office of the Chairman, EMC Corporation Howard Elias ha la responsabilità di definire la strategia, guidarne l'applicazione e creare le best practice che consentono ai servizi EMC di accompagnare i clienti nel viaggio verso il cloud computing. Elias sovrintende i servizi EMC in tutto il mondo tra cui consulenza, servizi tecnologici professionali e la prestigiosa assistenza clienti. Inoltre, Elias è alla guida del programma strategico di EMC destinato ai partner dal nome Cloud Service Provider, con la funzione di aiutare partner e clienti ad accelerare e sfruttare appieno l'adozione dei servizi cloud. In precedenza, Elias è stato President di EMC Global Services and EMC Ionix™ ed Executive Vice President di EMC. Prima di questo incarico, Elias è stato Executive Vice President per il Global Marketing e il Corporate Development, con la supervisione di tutte le attività di marketing, vendita, comunicazione e alleanze tecnologiche di EMC. In tale ruolo, è stato anche responsabile di Corporate Development e New Ventures, incentrati su fusioni e acquisizioni, sviluppo del business e integrazione delle acquisizioni, nonché degli investimenti e dello sviluppo di nuove attività. Responsabile IT di grande esperienza, Elias è entrato in EMC nel mese di ottobre 2003 da Hewlett-Packard Company, dove ha coperto diverse posizioni di leadership, tra cui Senior Vice President per Business Management and Operations for the Enterprise Systems Group. Prima dell'acquisizione di Compaq da parte di HP, avvenuta nel 2002, Elias è stato per un anno Senior Vice President e General Manager del Business Critical Server Group di Compaq e per tre anni Vice President e General Manager della Storage Products Division aziendale, periodo nel quale Compaq è divenuta leader dei sistemi storage mid-tier. Ha ricoperto varie posizioni di senior business e product manager presso Digital, AST Research e Tandy Corporation. Elias è direttore di Gannett, una società statunitense leader nell'offerta di soluzioni di marketing e multimediali, nonché Director del National Action Council for Minorities in Engineering (NACME). Elias ha studiato ingegneria elettronica e informatica presso la Wayne State University e la Lawrence Technological University. 6 Pat Gelsinger President e Chief Operating Officer, EMC Information Infrastructure Products Executive Office of the Chairman, EMC Corporation Pat Gelsinger è responsabile del portafoglio di prodotti Information Infrastructure di EMC. Gelsinger supervisiona l'intera gamma di prodotti di storage delle informazioni di EMC, inclusi Symmetrix VMAX, VNX, Atmos, Iomega e le linee di prodotti Isilon acquisite di recente. Gelsinger è altresì responsabile dei prodotti Information Protection, tra cui le linee leader di mercato Data Domain e Avamar e i prodotti Information Security di RSA, fondamentali per l'affidabilità del cloud. In più, Gelsinger segue le linee di prodotti Information Management e Information Intelligence, che includono la linea di prodotti Greenplum, di recente acquisizione. Prima di entrare in EMC, Gelsinger è stato Senior Vice President e Co-General Manager del Digital Enterprise Group Intel, il gruppo più consistente della società, responsabile di oltre metà del fatturato annuale Intel. È proprio al suo ultimo microprocessore, la stimatissima famiglia Nehalem, che si deve la ripresa della leadership di Intel nel settore dei processori. In precedenza, Gelsinger è stato il primo CTO (Chief Technology Officer) di Intel e ha gestito la ricerca Intel sul lungo termine. Questo ruolo ha implicato la direzione di Intel Labs e ha riguardato una serie di attività di ricerca condotte da Intel, tra cui la guida di Corporate Technology Group e Intel Research e lo studio di molti standard del settore quali USB e PCI Express. Gelsinger è stato inoltre alla guida del Desktop Products Group di Intel, in cui ha lavorato come responsabile di processori desktop, chipset e schede madre per i mercati consumer e OEM commerciali, nonché di molte iniziative tecnologiche di Intel e dell'Intel Developer Forum. Ha anche seguito lo sviluppo della linea di prodotti Intel ProShare dedicata alle videoconferenze e alle comunicazioni in Internet. È stato General Manager della divisione che ha dato i natali alle famiglie di microprocessori Pentium Pro, IntelDX2 e Intel486. È stato inoltre architetto dell'80486 originale e ingegnere di progettazione dei team di sviluppo dei processori 80386 e 80286. Gelsinger possiede sei brevetti nelle aree di progettazione VLSI, architettura informatica e comunicazione, è un oratore affermato, esperto di innovazioni tecnologiche e ha ricevuto svariati premi dal settore. Si è laureato alla Santa Clara University e ha conseguito un Master alla Stanford University in ingegneria elettronica. È Membro della IEEE e ha ricevuto un Dottorato Honoris Causa in Lettere dalla William Jessup University. Richard McAniff Chief Development Officer e Member of the Office of the President, VMware, Inc. Richard McAniff guida la ricerca e lo sviluppo delle Business Unit Server e Desktop di VMware. Il suo apporto a VMware vanta un'esperienza di 28 anni di leadership nello sviluppo di software. McAniff ha passato gli ultimi 21 anni lavorando per Microsoft. Corporate Vice President di Microsoft Office, è stato responsabile di importanti strumenti software, compresi Excel e Access. Ha inoltre supervisionato lo sviluppo di Business Intelligence in Office e dei componenti web per SharePoint Portal Server. McAniff ha inoltre partecipato alla lavorazione di Office 2000, Office XP, Office 2003 e Office 2007. Prima di diventare Corporate Vice President, ha lavorato come responsabile generale del sistema di sviluppo di Visual Basic. Prima di entrare in Microsoft nel 1987, è stato membro dello staff tecnico dei Sandia National Laboratories di Albuquerque, New Mexico, dove ha lavorato a numerosi progetti, tra cui analisi di probabilità per carburanti alternativi. McAniff ha conseguito un Master in Ingegneria dei sistemi industriali presso la University of Arizona, una specializzazione in Economia delle risorse presso la University of Massachusetts e una laurea in Scienze economiche presso la University of Massachusetts. 7 Appendice DIMOSTRAZIONE DELLA POSIZIONE DI EMC RISPETTO ALL'AFFIDABILITÀ DEL CLOUD Controllo e visibilità per cloud affidabili La posizione di EMC rispetto all'affidabilità del cloud computing, descritta nel paper “Prove, non promesse: come creare un cloud affidabile” asserisce che l'affidabilità del cloud proviene dalla giusta dose di visibilità e controllo sui private cloud (interni) e sui servizi cloud offerti da provider esterni. Per anni, EMC, la sua divisione di sicurezza RSA e VMware hanno sfruttato un bagaglio di competenze ed esperienze in gestione delle informazioni, sicurezza e virtualizzazione tali da ottenere livelli eccezionali di controllo e visibilità nel cloud. Le nostre soluzioni sono strettamente integrate con la piattaforma di virtualizzazione di VMware per ottenere pieno vantaggio dalle straordinarie funzionalità di visibilità e controllo dello strato virtuale. Oggi, possiamo offrire prodotti e servizi in grado di rispondere alle principali perplessità che mettono in dubbio l'affidabilità del cloud: •Informazioni: Come fanno le organizzazioni a rilevare e controllare i dati sensibili per garantire la conformità a policy e regolamentazioni? Le organizzazioni sono davvero in grado di assicurare l'availability e la ripristinabilità di dati mission critical negli ambienti cloud? •Infrastruttura: Come fanno le organizzazioni a garantire che l'infrastruttura del cloud sia conforme alle specifiche di sicurezza e che non venga manomessa? Come fanno le organizzazioni che condividono le risorse del cloud ad ottenere la sicurezza della multitenancy? E come possono accelerare l'implementazione di cloud affidabili in modo standardizzato? •Identità: Come possono le organizzazioni essere certe che gli utenti siano effettivamente quelli che dichiarano di essere, e impedire le frodi e gli accessi non autorizzati ad informazioni riservate? Come fanno ad accertarsi che solo i dispositivi autorizzati e le macchine virtuali dispongano degli accessi alle risorse e alle informazioni appropriate? CONTROLLO E VISIBILITÀ DELLE INFORMAZIONI Ottenere il controllo sulle informazioni del cloud e preservare una visibilità completa su dove e come queste sono gestite per facilitare la generazione di report su sicurezza e conformità è probabilmente la sfida più importante che le aziende devono affrontare nel cloud. Le informazioni sono ormai la valuta del business, tra le risorse più preziose e ambite nei cloud. La protezione delle informazioni digitali è perciò irrinunciabile ed equivale alla protezione del vantaggio commerciale. Ottenere il controllo sulle informazioni del cloud e preservare una visibilità completa sulle modalità di gestione che le regolano, al fine di garantire la sicurezza e la creazione di report sulla conformità, è probabilmente la sfida più importante che le aziende devono affrontare. Avere il controllo e la visibilità delle informazioni nel cloud è però un'operazione complessa, innanzi tutto perché le informazioni si spostano a velocità elevatissime. Spesso ciò avviene per motivi legittimi quali il bilanciamento del carico, il backup di dati e il disaster recovery. Tuttavia, se da una parte la mobilità delle informazioni ottimizza l'impiego delle risorse e l'availability dei servizi, dall'altra crea innegabili problemi a livello di conformità. 8 Come tutti i modelli informatici, i cloud sono "ciechi davanti alle informazioni", nel senso che non sono in grado di distinguere dei dati sensibili, ad esempio quelli di una carta di credito, dal semplice menù di un bar. Le informazioni sensibili devono essere trattate con particolare attenzione, ossia crittografate, mappate a cluster hardware con profili di sicurezza specifici e/o determinati attributi geografici ed essere attentamente monitorate per rispettare la conformità e facilitare le verifiche di auditing. Inoltre, le grandi multinazionali considerano la posizione (o localizzazione) geografica dei loro dati estremamente rilevante dal punto di vista della conformità, poiché in alcuni paesi vigono leggi che vietano a specifiche informazioni sui cittadini di lasciare i confini giurisdizionali. RILEVAMENTO E CONTROLLO DELLE INFORMAZIONI SENSIBILI Identificare in modo intelligente quali sono le informazioni più preziose e ad alto rischio per regolarne di conseguenza il trattamento è una sfida che EMC si impegna a risolvere fin dagli albori del cloud. Identificare in modo intelligente quali sono le informazioni più preziose e ad alto rischio per regolarne di conseguenza il trattamento è una sfida che EMC si impegna a risolvere fin dagli albori del cloud. Molte delle soluzioni descritte di seguito si integrano con la Suite DLP (Data Loss Prevention) di RSA®, appositamente progettata per rilevare l'ubicazione (o, in caso di trasferimento, la destinazione) di informazioni regolamentate o delicate e per avvisare l'organizzazione di eventi ad alto rischio o di attività che potenzialmente violano le policy di governance. DLP è stata inoltre ottimizzata per l'automazione delle funzioni di rimedio immediato, come il blocco della trasmissione di dati riservati o la messa in quarantena, l'eliminazione, l'archiviazione o l'applicazione della gestione dei diritti per file che contengono dati privati. Anche VMware contribuisce a creare la consapevolezza sulle informazioni nei cloud con la suite di prodotti di sicurezza VMware® vShield™, che offre controllo e visibilità a livello di hypervisor per agevolare la conformità e la sicurezza di ambienti virtuali dinamici. La suite di sicurezza VMware vShield include firewall virtuali, zoning logico e sicurezza ai confini della rete. Funzionalità supplementari sono attualmente in fase di integrazione per potenziare la protezione delle informazioni per i clienti. Ad esempio, RSA e VMware stanno integrando i moduli di policy di RSA DLP nella soluzione VMware vShield per rilevare dati riservati o regolamentati e creare aree di risorse IT protette incentrate sulle informazioni. Progettata per soddisfare rigorosi standard di sicurezza e conformità, VMware vShield con DLP sarà una soluzione pronta all'uso, perfezionata per accelerare l'adozione di ambienti virtualizzati e cloud da parte delle organizzazioni; la soluzione è dotata di intelligenza integrata per la gestione e il monitoraggio dei tipi di dati più pesantemente regolamentati, tra cui informazioni che riconducono alla persona, dati di carte di pagamento e informazioni sanitarie di pazienti. Avvalendosi di zone protette per l'automazione dei controlli e del monitoraggio di informazioni preziose e riservate, le organizzazioni possono trasferire i processi aziendali mission critical, che finora hanno risucchiato buona parte delle risorse IT, in un modello cloud decisamente più efficiente e scalabile. Le funzioni di gestione intelligente dei dati di RSA DLP sono disponibili anche nelle soluzioni per cloud di EMC, per garantire la gestione delle informazioni in linea con le normative e le policy. Ad esempio, EMC ha dimostrato che le funzionalità RSA DLP possono essere integrate nel servizio di storage per cloud EMC Atmos® per renderlo sensibile ai contenuti. La piattaforma di storage per cloud distribuita EMC Atmos è in grado di combinare il sistema di tagging dei metadati con RSA DLP per automatizzare la distribuzione e la dislocazione delle informazioni in conformità con le politiche aziendali. Le soluzioni Atmos sono ottimizzate per combinare immensa scalabilità (petabyte di storage su centinaia di nodi) con controlli intelligenti e automatici per la gestione dei dati. I servizi cloud come la piattaforma Atmos offrono alle organizzazioni la flessibilità dello storage on-demand, preservando controlli attenti al contenuto per garantire la localizzazione geografica in conformità con le leggi sulla privacy giurisdizionali. 9 GARANZIA DI AVAILABILITY E RIPRISTINABILITÀ PER LE INFORMAZIONI MISSION CRITICAL Affidare al cloud le applicazioni di tier 1 significa garantire l'availability e la ripristinabilità di informazioni critiche. I sistemi EMC Data Domain® sono stati ottimizzati per ridurre l'ingombro dei backup della macchina virtuale del 40-60%. I backup sono più semplici da gestire e archiviare; gli unici dati deduplicati sono ridotti al punto di poterne eseguire la replica sulle reti esistenti, per garantire efficaci operazioni di disaster recovery ed evitare i rischi e i costi legati ai backup su nastro. La combinazione di storage Data Domain con chiare best practice di backup e snapshot dei sistemi VMware semplifica la gestione di immagini coerenti. Una volta archiviate, le immagini sono pronte per essere ripristinate localmente o, attraverso l'efficiente replica in rete, in un sito di disaster recovery remoto. In questo modo è possibile ottenere la protezione di ingenti volumi di informazioni negli ambienti virtuali, il tutto a costi decisamente allettanti. CONTROLLO E VISIBILITÀ DELL'INFRASTRUTTURA Verificare la presenza di condizioni sicure alla base del cloud è importante per un motivo molto semplice: se le organizzazioni non possono contare su un'infrastruttura informatica sicura, viene automaticamente messa in dubbio anche la sicurezza di tutte le informazioni, delle applicazioni e dei servizi su questa eseguiti. Riuscire a dimostrare l'affidabilità del cloud fisico e virtuale può risultare parecchio difficile, specialmente nel caso di servizi cloud affidati a fornitori di servizi esterni. Verificare la presenza di condizioni sicure alla base del cloud è importante per un motivo molto semplice: se le organizzazioni non possono contare su un'infrastruttura informatica sicura, viene automaticamente messa in dubbio anche la sicurezza di tutte le informazioni, delle applicazioni e dei servizi su questa eseguiti. analisi delle fondamenta del cloud EMC collabora con Intel per rendere l'infrastruttura di base del cloud aperta ad ispezioni, analisi e funzioni di reportistica per la conformità, alla stregua di quanto avviene al livello dei servizi applicativi del cloud. Combinando la piattaforma VMware vSphere™ e la soluzione RSA per la sicurezza e la conformità del cloud con Intel Trusted Execution Technology (TXT), EMC consentirà alle organizzazioni e ai fornitori di servizi cloud di convalidare la sicurezza al momento dell'avvio di qualsiasi componente, fisico e virtuale, dell'intero stack informatico. Tali dati sulla sicurezza possono essere convogliati nella console RSA Archer™ eGRC per fornire le prove richieste da tenant, revisori ed enti normativi sulla sicurezza dello stack dell'infrastruttura del cloud. I cloud che adottano uno stack di soluzioni integrate, fondato su un'affidabile base hardware Intel, mettono le organizzazioni e i tenant IaaS in condizione di indagare in autonomia, convalidare e dimostrare l'integrità dell'infrastruttura del cloud, dal processore allo strato di virtualizzazione. Per le organizzazioni che eseguono sensibili carichi di lavoro nei cloud, la visibilità offerta da questa soluzione integrata promette di agevolare e ottimizzare le procedure di auditing e la generazione di report sulla conformità. Le soluzioni basate su un'affidabile piattaforma hardware possono verificare che un'infrastruttura sia protetta, ma nel momento in cui questa viene condivisa, anche se tra diversi gruppi interni alla stessa organizzazione, come è possibile accertare che le partizioni virtuali rimangano intatte? L'INFRASTRUTTURA DI UNA MULTITENANCY PROTETTA Per proteggere partizioni e multitenancy, gli ambienti virtuali e cloud basati sulla piattaforma leader del settore VMware vSphere possono sfruttare le funzionalità di sicurezza integrate nella famiglia di prodotti VMware vShield. Il firewall a livello di hypervisor in essa integrato è ottimizzato per applicare un'adeguata segmentazione e creare aree affidabili per le applicazioni. A livello di private cloud, ciò significa che le organizzazioni possono configurare firewall virtuali e consentire alle applicazioni che prevedono requisiti di sicurezza diversi tra loro (ad esempio produzione e collaudo, finanza e vendite) di risiedere nello stesso data center virtuale. Nell'ambiente dei fornitori 10 di servizi invece, le soluzioni VMware vShield permettono a più tenant di condividere in modo protetto le risorse IT, creando confini logici di sicurezza che offrono l'isolamento completo di gruppi di porte. Al fine di ottenere lo storage protetto nei public cloud, EMC ha prodotto la piattaforma Symmetrix® VMAX™, la prima soluzione di storage per cloud con funzionalità multitenancy protetta. La piattaforma contiene RSA Data Protection Manager, per la salvaguardia delle informazioni basate sul cloud tramite la crittografia determinata dall'hardware e la gestione delle chiavi. Le irrobustite funzionalità di sicurezza dei dati della piattaforma VMAX garantiscono la crittografia delle informazioni sensibili, rendendole inutilizzabili per utenti esterni, senza tuttavia rallentare le prestazioni del sistema. I sistemi EMC Symmetrix VMAX sono scalabili fino a due petabyte e sono stati progettati per data center virtuali di rilevanza critica. RAPIDA ADOZIONE DI CLOUD AFFIDABILI Per garantire i livelli di sicurezza di availability, scalabilità e ripristinabilità è necessario adottare piattaforme affidabili. Ed è esattamente questo ciò che EMC, VMware, Cisco e Intel forniscono attraverso l'alleanza Virtual Computing Environment. La piattaforma Vblock™ messa a punto dall'alleanza VCE offre un'infrastruttura virtuale standardizzata completa, da storage e reti fino alla gestione, dotata di funzionalità di sicurezza e conformità integrate e testate per garantire prestazioni e scalabilità. I sistemi Vblock agevolano sostanzialmente l'accelerazione dell'adozione di cloud di livello enterprise, offrendo ad organizzazioni e fornitori di servizi la possibilità di rispondere ad elevati livelli di servizio per prestazioni, availability e scalabilità. CONTROLLO E VISIBILITÀ DELL'IDENTITÀ Il modo migliore per gestire i crescenti rischi legati agli accessi non autorizzati al private cloud consiste nel riconoscere chi sta cercando di eseguire l'accesso e rilevare le attività maggiormente a rischio una volta che l'accesso è stato eseguito. Sebbene proteggersi da utenti fraudolenti o non autorizzati sia una sfida per qualunque ambiente IT, indipendentemente dal fatto che sia virtualizzato, nei cloud tale rischio è superiore, poiché i potenziali punti di esposizione sono maggiori e il numero di identità, in gran parte rappresentati da macchine, è più vasto e aleatorio. In più, i cloud intensificano l'esposizione a dispositivi mobili e piattaforme di social media, che le organizzazioni IT non possiedono, non controllano, né proteggono. Il modo migliore per gestire i crescenti rischi legati agli accessi non autorizzati al private cloud consiste nel riconoscere chi sta cercando di eseguire l'accesso e rilevare le attività maggiormente a rischio una volta che l'accesso è stato eseguito. VERIFICA DEGLI UTENTI NELLE TRANSAZIONI AD ALTO RISCHIO L'autenticazione basata sui rischi, in grado di riconoscere condizioni anomale, diviene perciò essenziale. Essa consente, ad esempio, di individuare un utente che accede tramite un dispositivo sconosciuto ad un indirizzo IP ubicato in Ucraina dopo che, nello stesso giorno, si è collegato in precedenza da un ufficio di Dallas, Texas. RSA Adaptive Authentication esegue la valutazione istantanea dei rischi potenziali legati agli utenti che tentano di accedere ai servizi aziendali. In caso di condizioni sospette, il sistema passa automaticamente alla fase successiva per verificare l'identità dell'utente e pone domande di autenticazione aggiuntive basandosi su informazioni che solo un utente effettivo potrebbe conoscere (ad es. “Immettere il CAP dell'indirizzo di residenza”). RSA Adaptive Authentication è stata progettata per valutare oltre 100 indicatori di rischio, correlando fattori quali il tipo di dispositivo di accesso in uso, gli schemi di comportamento precedenti dell'utente e le informazioni di intelligence sulle minacce esterne riportate nei feed RSA eFraudNetwork™. A ogni attività viene assegnato un punteggio di rischio univoco, e gli utenti vengono interrotti in caso di condizioni di rischio elevato e/o potenziale violazione delle policy dell'organizzazione. 11 RILEVAMENTO DI UTENTI FRAUDOLENTI INTERNI AI CLOUD È inevitabile che alcune credenziali di accesso aziendali siano messe in pericolo dalle migliaia di varianti malware mirate a sottrarre le password che ci sono in circolazione. RSA® Transaction Monitoring aiuta ad identificare e mitigare i danni arrecati da utenti fraudolenti una volta che questi sono riusciti ad accedere al cloud dell'organizzazione. La piattaforma per il rilevamento delle frodi di RSA sfrutta lo stesso motore di valutazione dei rischi impiegato da oltre 8.000 istituti finanziari per proteggere 250 milioni di utenti online nel mondo. Compatibile con qualunque sistema di autenticazione, essa consente di riconoscere attività devianti e potenzialmente dannose in tempo reale. In caso di eventi ad alto rischio, RSA Transaction Monitoring procede ad interrompere le attività dell'utente, a cui vengono poste domande di autenticazione aggiuntive, comprese tecniche di verifica fuori banda, quali la richiesta di password generate casualmente inviate al numero di cellulare dell'utente effettivo. IL VALORE DELLA COMBINAZIONE DI CONTROLLO E VISIBILITÀ Progettati per i sistemi informatici fisici e statici, i sistemi di gestione della sicurezza convenzionali sono troppo lenti e rigidi per poter gestire la dinamicità che contraddistingue gli ambienti virtualizzati e i cloud. La sicurezza tradizionale si affida in modo sproporzionato ai processi manuali e all'intervento umano per la gestione di dipendenze e la configurazione di policy, processi inaffidabili e non scalabili che si mostrano inadatti ai cloud, in cui intere reti virtuali si spostano a velocità vertiginose. Considerati i rapidi ritmi di cambiamento e la crescita delle aspettative degli utenti, i team IT devono ottimizzare i processi di gestione per controllare, monitorare e creare report sulle prestazioni in modo più rapido ed efficiente per tutti gli ambienti IT, sia fisici che virtuali, operati internamente o ubicati su host esterni. Per risolvere queste problematiche sono necessari strumenti di gestione IT basati sull'automazione. SICUREZZA E GESTIONE DELLA CONFORMITÀ AUTOMATIZZATE L'automazione offre i livelli di efficienza, controllo e scalabilità richiesti dall'ambiente cloud, minimizzando al contempo i costi e garantendo sicurezza e conformità. L'automazione offre i livelli di efficienza, controllo e scalabilità richiesti dall'ambiente cloud, minimizzando al contempo i costi e garantendo sicurezza e conformità. Le soluzioni di virtualizzazione e di gestione del cloud VMware sostituiscono gli inefficienti processi manuali destinati al controllo delle modifiche e alla configurazione, adottando invece controlli basati su policy e l'automazione integrata. Progettate per ogni strato dello stack tecnologico di virtualizzazione, le soluzioni di virtualizzazione e gestione del cloud VMware offrono processi basati su policy e un'amministrazione “impostata una volta per tutte” per la gestione delle modifiche e la configurazione. In questo modo le organizzazioni possono mappare in modo dinamico le dipendenze applicative tra i vari data center, monitorare le prestazioni delle applicazioni e garantire la conformità. RSA Archer eGRC Platform funge da framework altamente flessibile e completamente integrato per la gestione, il monitoraggio e la generazione di report sulle condizioni di governance, rischio e conformità dell'ambiente IT. La piattaforma si integra con i sistemi IT in uso nell'organizzazione per automatizzare lo scambio di dati, senza che i team IT debbano modificare una singola stringa di codice. Centinaia di stream di dati provenienti da svariati sistemi IT vengono fatti confluire in modelli completi di processi aziendali chiave, a loro volta analizzabili e gestibili da un'unica console. Questi modelli integrati mettono a disposizione delle organizzazioni una serie di controlli semplici e intuitivi per la configurazione delle policy, l'automazione dei processi, la regolamentazione dei flussi di lavoro e l'impostazione simultanea di privilegi utente in più ambienti. Ma soprattutto, permettono di elaborare report su rischi, governance e conformità a livello aziendale, non di singole applicazioni. Questa visibilità a livello aziendale, affiancata dalle funzionalità di configurazione simultanea dei controlli per più ambienti IT di Archer eGRC Platform, delinea un sistema operativo unificato per processi aziendali strategici e semplifica notevolmente governance, rischi e conformità. 12 CREAZIONE DI COMPETENZE ADATTE A CREARE IL CLOUD Vista la rapida maturazione della tecnologia del cloud, si è potuto assistere ad un'esplosione di popolarità delle offerte di private cloud e, più di recente, ad un'ascesa degli hybrid cloud. La prossima domanda a cui le organizzazioni devono rispondere è capire come legare i requisiti di affidabilità del business con policy, controlli e modelli di governance del cloud. Per farlo, occorre partire dall'analisi delle applicazioni o dei carichi di lavoro, per definire la loro posizione ottimale rispetto ai modelli cloud o all'ambiente informatico legacy dell'organizzazione. Quindi, è necessario eseguire una valutazione approfondita e trasformare le informazioni di governance in modo da garantire la tutela, la proprietà e la classificazione adeguate delle risorse. OTTIMIZZAZIONE DELLE STRATEGIE DEL CLOUD COSA IMPLEMENTARE NEI CLOUD IN TUTTA SICUREZZA? Per limitare lo scetticismo che circonda il mondo del cloud è sufficiente prendere delle decisioni giudiziose rispetto ai carichi di lavoro e ai servizi IT più adatti a specifici tipi di cloud. EMC ha da poco pubblicato un documento intitolato “Creare un cloud affidabile: strategie di implementazione per private e hybrid cloud” che aiuta le organizzazioni a muoversi in questo difficile processo decisionale. EMC Consulting ha sviluppato una metodologia flessibile per offrire analisi personalizzate dei carichi di lavoro sulla base di tre filtri: economico, dell'affidabilità e della funzionalità. EMC Consulting aiuta i propri clienti nell'ottimizzazione dell'infrastruttura del cloud, riducendo di pari passo i rischi grazie all'adesione ad una serie di requisiti di affidabilità protetti e conformi. Cercando di bilanciare la necessità di trasparenza e conformità con le opzioni di private, public e hybrid cloud basate su requisiti economici, di fattibilità e di affidabilità, EMC Consulting ha creato EMC Cloud Advisory Service con Cloud Optimizer. Questo innovativo servizio definisce i benchmark per misurare le risorse informatiche in linea con i criteri di affidabilità del settore e dell'organizzazione, fruttando un potenziale di risparmio che arriva a tagliare fino al 25% dei budget IT. EMC Consulting collabora con i clienti nella definizione di strategie, nello sviluppo del business case, nella definizione dell'architettura e nella creazione di modelli di governance per conseguire l'eccellenza operativa del cloud. L'approccio per l'ottimizzazione del cloud di EMC Consulting parte con l'identificare i carichi di lavoro candidati alla migrazione al cloud in base ad uso, punti di provenienza e destinazione delle risorse e alla sensibilità delle informazioni. Segue un'analisi dell'impatto economico implicato, per giudicare come il valore di una data risorsa cambierà a seguito del passaggio al cloud del carico di lavoro. Tuttavia, prima di passare all'analisi del filtro di affidabilità, le organizzazioni devono capire le caratteristiche e i requisiti di un ambiente informatico affidabile. Sei requisiti, che non si escludono a vicenda, sono stati definiti da EMC Consulting e includono: Controllo •Availability: garantire l'accesso alle risorse e il ripristino a seguito di interruzioni o guasti •Integrità: garantire l'uso di specifiche informazioni e applicazioni solo da parte di persone autorizzate •Riservatezza/Privacy: proteggere le modalità di recupero e uso di informazioni e dati personali Visibilità •Conformità: soddisfare i requisiti legali e le normative e gli standard di settore •Governance: applicare policy, procedure e controlli e definire i diritti d'uso •Gestione dei rischi: gestire le minacce di interruzioni delle attività o le esposizioni che ne derivano 13 Una volta che l'organizzazione avrà compreso i diversi profili di affidabilità delle potenziali destinazioni dei carichi di lavoro (public, private e hybrid cloud e ambienti legacy in-house) e la posizione dell'infrastruttura in uso rispetto ai sei requisiti sopra esposti, l'analisi basata sul filtro di affidabilità determinerà le opzioni cloud più adatte per le esigenze specifiche del settore e dell'architettura in questione. Una valutazione funzionale permette di specificare quali carichi di lavoro possono essere spostati a quale modello cloud senza alcuna perdita di funzionalità. Dopo che sono stati applicati i filtri economico, di affidabilità e di funzionalità, sarà possibile individuare la destinazione più adatta di ogni carico di lavoro nell'implementazione cloud, all'interno di un framework intrinsecamente sicuro e finalizzato alla realizzazione di un cloud affidabile. CONTROLLO E VISIBILITÀ PER IL CLOUD, FORNITI DAL CLOUD Man mano che le organizzazioni trasferiscono i servizi IT verso il public o l'hybrid cloud, si trovano a perdere controllo e visibilità sulle informazioni, l'infrastruttura e le identità dei cloud stessi. La perdita di controllo e visibilità è ancora più evidente nel caso di servizi cloud offerti da fornitori diversi. Questo problema sarà gestito da Cloud Trust Authority, che offrirà una piattaforma unificata per la gestione di controlli di sicurezza e per ottenere la visibilità necessaria a dimostrare la conformità tra più fornitori di cloud. Integrando le tecnologie di RSA e VMware, Cloud Trust Authority metterà a disposizione una serie di funzionalità chiave per diversi tipi di cloud, tra cui gestione delle identità, protezione dei dati e generazione di report su conformità e sicurezza. I clienti potranno gestire tutti questi servizi tramite la console Cloud Trust Authority, semplificando e agevolando la configurazione e l'implementazione delle funzionalità necessarie a garantire l'uso conforme e affidabile dei fornitori di servizi cloud. Sviluppando una community saldamente connessa di public e private cloud dotati di analoghi profili affidabili, RSA aiuterà le aziende ad aggiungere rapidamente nuove funzionalità e ad accogliere nuovi provider di ambienti cloud, abbattendo le barriere che ostacolano l'affidabilità del cloud computing. Tra le funzionalità più acclamate del set inaugurale di Cloud Trust Authority sarà inserito Identity Service. Identity Service esegue la federazione dei privilegi di accesso e della gestione di identità tra più cloud, per garantire il single sign-on e la sincronizzazione delle directory, protetti e federati con solide opzioni di autenticazione. Oltre a fornire Identity Service, Cloud Trust Authority aiuterà le organizzazioni a confrontare i profili affidabili di vari fornitori di cloud a fronte di standard e best practice sviluppati, tra gli altri framework di sicurezza, da Cloud Security Alliance. Sviluppando una community saldamente connessa di public e private cloud dotati di analoghi profili affidabili, RSA aiuterà le aziende ad aggiungere rapidamente nuove funzionalità e ad accogliere nuovi provider di ambienti cloud, abbattendo le barriere che ostacolano l'affidabilità del cloud computing. 14 RIEPILOGO La partnership tecnologica tra EMC e aziende leader del settore IT ha dato vita ad una varietà di soluzioni innovative che garantiscono eccellenti livelli di controllo e visibilità negli ambienti cloud e virtualizzati. Prima che le organizzazioni possano sfruttare i vantaggi offerti dall'agilità e dall'efficienza del cloud e i benefici economici che ne derivano per un'ampia gamma di servizi IT, devono assicurarsi dell'affidabilità del cloud. Secondo il parere di EMC, per rendere affidabile il cloud è necessario imporre il controllo e la visibilità in due modi fondamentali: •Fornendo alle organizzazioni un solido controllo sulla sicurezza e la conformità del cloud, perché questo possa adattarsi a tutti i carichi di lavoro, anche a quelli mission critical •Conferendo ai team IT la capacità di ispezionare e monitorare direttamente le condizioni di cloud interni e hybrid, consentendo alle organizzazioni di comprovare l'affidabilità sulla base di osservazioni dirette e non di testimonianze esterne La partnership tecnologica tra EMC e aziende leader del settore IT ha dato vita ad una varietà di soluzioni innovative che garantiscono eccellenti livelli di controllo e visibilità negli ambienti cloud e virtualizzati. Per aiutare le organizzazioni ad accelerare l'adozione di cloud affidabili, EMC Consulting offre supporto strategico e competenze tecnologiche mirate ad attuare la virtualizzazione completa, la migrazione di applicazioni all'infrastruttura virtuale e la valutazione di rischi e livelli di preparazione, aspetti necessari per completare la migrazione al cloud di applicazioni e processi aziendali. 15 Contatti Per ulteriori informazioni, è possibile vistare il sito www.italy.emc.com. EMC Computer Systems Italia S.p.A. Direzione e Filiale di Milano, Via Giovanni Spadolini, 5 - Edificio A 20141 Milano tel. +39 02 409081, fax +39 02 48204686 www.italy.emc.com EMC2, EMC, Atmos, Data Domain, Ionix, RSA, Archer, eFraudNetwork, Symmetrix, VMAX e il logo EMC sono marchi registrati o marchi di EMC Corporation negli Stati Uniti e in altri paesi. Vblock è un marchio di EMC Corporation negli Stati Uniti. Vblock è un marchio di Cisco Systems, Inc. e/o dei suoi affiliati in altre giurisdizioni. VMware, VMware vShield e VMware vSphere sono marchi o marchi registrati di VMware, Inc., negli Stati Uniti e/o in altre giurisdizioni. Tutti gli altri marchi citati nel presente documento appartengono ai rispettivi proprietari. © Copyright 2011 EMC Corporation. Tutti i diritti riservati. Pubblicato negli Stati Uniti. 02/11 TVISION WP 0211 EP 16