A cura di Sara Panza – Cyber Security Engineer

 

L’incessante richiesta delle aziende di aderire ai servizi cloud e implementare i propri processi aziendali sui public cloud esistenti, ha messo in luce la necessità di dover mettere in sicurezza tali infrastrutture. 
Con il termine sicurezza intendiamo l’insieme di policy e meccanismi atti a garantire: controllo delle identità e degli accessi, protezione dei dati in uso, in movimento, e a riposo, protezione dei sistemi da attacchi volontari e no, resilienza dei processi produttivi e servizi, conformità legislativa e normativa. Tutte queste caratteristiche desiderate derivano dai tre pilastri della sicurezza: confidentiality  , integrity , availability.  
 
In questo contesto, VT Solutions & Consulting ha individuato delle best practices di sicurezza che adotta sempre sui progetti e che sono necessarie per implementare una infrastruttura sicura su un public cloud e che comprenda risorse di computazione, di storage e di orchestrazione che aderiscono a tali raccomandazioni.  
La VT Data Platform è la piattaforma cloud specializzata in applicazioni in ambito data analytics e machine learning e disponibile sia su cloud Azure che su Google cloud (quella su AWS è in corso di implementazione). Questa piattaforma realizza le best practices prima citate e le automatizza durante i cicli di rilascio delle componenti sul cloud, adottando le tecniche di DevSecOps.  

La VT Data Platform rappresenta un asset importante che consente di avere un time to market minore per le iniziative progettuali basate sui dati e per abilitare applicazioni di Intelligenza artificiale. La VT Data Platform è una piattaforma che si basa sul concetto di cloud ibrido, poiché si le sue componenti lavorano su due o più cloud allo stesso tempo e interoperano grazie alla federazione tra i due cloud pubblici Azure e GCP, allo scopo di centralizzare e controllare gli accessi degli utenti (umani e tecnici) alle risorse tra i due cloud e verificare a posteriori la conformità dei processi applicativi che accedono ai dati aziendali alla normativa GDPR. 

Il sistema prevede l’applicazione delle tecniche di Infrastructure as a Code (IaaC) per implementare e rilasciare una infrastruttura sicura sul cloud, in particolare viene usato lo strumento Terraform per descrivere e implementare lo stato della infrastruttura
Vengono seguite le security foundations di Google e adottato il blueprint “Data Platform Foundations” messo a disposizione da Google e le analoghe raccomandazioni di sicurezza del cloud Azure. 
Le blueprint architetturali da cui il team di cloud platform di VT Solutions & Consulting è partito, permette di creare una infrastruttura GCP e Azure di una piattaforma dati robusta e flessibile, implementa i processi di caricamento e offuscamento dati, costruisce una corretta segregazione infrastrutturale e consente ai clienti di creare e rendere scalabili e resilienti tutti i processi e i job che lavorano su enormi quantità di dati (data pipeline).   
Alcuni tra i principali accorgimenti di sicurezza adottati a livello di requisiti di sicurezza di alto livello:  

  • confini per ogni data-stage 
  • principio del privilegio minimo  
  • attori chiaramente definiti, che fa riferimento al processo IAM (Identity and Access Management). È uno degli aspetti più importanti poiché vi è una attenta definizione degli utenti umani e tecnici e dei permessi/autorizzazioni ad essi associati (basati anche sul concetto di impersonificazione applicativa). 

Vengono definite tecniche di segregazione dei dati, delle risorse computazionali e di orchestrazione al fine di implementare una soluzione di Data Loss Prevention (DLP).  
 
A valle del provisioning dell’infrastruttura e per ogni progetto in cui viene installata, viene anche effettuato un test delle componenti di sicurezza implementate ed usata una checklist di conformità con il regolamento europeo sulla protezione dei dati GDPR, al fine di validare l’intera idea progettuale.