Google punta sulla sicurezza per battere AWS

Per convincere le aziende a migrare da AWS e Microsoft Azure verso Google Cloud Platform il gigante di Mountain View offre strumenti di classe enterprise che proteggono dati e applicazioni aziendali

google-cloud-platform

Google sa che, per convincere le aziende a scegliere i suoi servizi cloud, deve offrire qualcosa in più rispetto ad AWS. E ha puntato sulla sicurezza: alla conferenza Google Cloud Next, i manager della società hanno dichiarato che il cloud di Google è il più sicuro.

Questa settimana Google ha presentato strumenti che permetteranno ai team IT di fornire accesso granulare alle applicazioni, gestire meglio le chiavi di crittografia, far rispettare meccanismi di autenticazione più forti per le applicazioni in esecuzione su Google Cloud. Alcune funzioni, come Key Management Service, sono simili agli strumenti di sicurezza già offerti da AWS (in questo caso AWS Key Management Service), ma altre, come DLP API for GCP (Cloud Platform Google), vanno oltre l’infrastruttura per proteggere singole applicazioni.

E’ evidente che Google sta guardando alla sicurezza come a un modo per differenziarsi da altri fornitori di infrastrutture cloud. La sua strategia è non limitarsi a proteggere l’hardware e le macchine virtuali sottostanti, ma anche le applicazioni in esecuzione su di essi. Ecco le novità più importanti annunciate in occasione della Google Cloud Next.

Protezione totale dei dati sensibili

L’API DLP, ora in versione beta, permetterà ai team IT di identificare e oscurare qualsiasi tipo di informazione sensibile presente nelle applicazioni in esecuzione su GCP. La tecnologia DLP esegue un’analisi approfondita dei contenuti per trovare corrispondenze con la lista di oltre 40 tipi di dati sensibili, come numeri di carte di credito e conti correnti o informazioni su contatti, e consente agli amministratori di decidere il modo migliore per proteggere tali informazioni. Nel post che annuncia le nuove funzionalità di sicurezza è mostrato come DLP API oscura le informazioni in un documento, per esempio il nome di una persona, l’indirizzo email, il numero di telefono e della carta di credito.

Gli amministratori possono decidere quale livello di protezione applicare a ogni tipo di dati. Con OCR, gli amministratori possono anche gestire i contenuti memorizzati in immagini e testo.

L’elemento di differenziazione per Google è il fatto che DLP API for GCP è un’estensione di DLP for Gmail, originariamente lanciato nel 2015, e DLP for Drive, annunciato a gennaio. La combinazione dei tre strumenti offre agli amministratori IT la possibilità di stabilire le policy in grado di gestire in modo coerente i dati sensibili attraverso tutte le piattaforme: applicazioni in esecuzione sull’infrastruttura cloud, messaggi archiviati in Gmail, documenti memorizzati in Drive.

Google sta offrendo alle aziende strumenti di sicurezza per proteggere i dati sulle applicazioni in esecuzione sulla sua piattaforma cloud. Amazon, pur avendo investito molto nella protezione dei dati, si è concentrata a livello di server e storage.

Controllo granulare dell’accesso alle applicazioni

Attualmente il controllo degli accessi alle applicazioni si basa su VPN, ma questo è, in generale, un approccio tutto-o-niente: gli utenti che dispongono delle credenziali VPN possono accedere a tutte le applicazioni. Un controllo più granulare degli accessi è sempre stata una sfida, e quando i dipendenti si spostano e lavorano su reti non attendibili la VPN diventa un metodo inefficiente per gestire gli accessi.

Qui entra in gioco l’Identity-Aware Proxy (IAP), anche in versione beta, che permette ai team IT di passare da un modello VPN a uno che valuta i rischi per ogni applicazione. Gli amministratori IT specificano quali gruppi di credenziali possono accedere a quali applicazioni, in modo che solo gli utenti autorizzati e autenticati possono accedere alle applicazioni protette dall’IAP.

IAP fa parte del programma BeyondCorp, il modello di sicurezza aziendale sviluppato internamente da Google per consentire ai propri dipendenti di lavorare da reti non attendibili senza preoccuparsi della VPN. Gli utenti puntano il loro browser web a un URL accessibile da Internet per accedere alle applicazioni protetti con IAP, e IAP gestisce il processo di autenticazione per verificare l’identità.

Google sta affrontando la questione delle identità con un approccio diverso da quello di Amazon e del suo servizio AWS Identity and Access Management (IAM). Tale servizio consente agli amministratori di controllare l’accesso alle API e a risorse specifiche dei servizi AWS, e aggiunge controlli specifici su come l’utente può accedere ad AWS. Amazon consente inoltre all’IT di gestire utenti e gruppi tramite AWS Active Directory. L’approccio di Google è più focalizzato sulle applicazioni.

Autenticazione a due fattori obbligatoria nel cloud

Con SKE (Security Key Enforcement) for GCP and G Suite, già disponibile, i team IT possono richiedere a tutti gli utenti di attivare le chiavi di sicurezza come un fattore di verifica in due passaggi ogni volta che accedono a G Suite o a una risorsa di Google Cloud Platform.

Fino a poco tempo fa, gli utenti potevano decidere a livello individuale il grado di sicurezza; con SKE for GCP gli amministratori IT possono rendere obbligatoria l’autenticazione a due fattori, e quindi aggiungere un livello di autenticazione ai carichi di lavoro in cloud.

IAP può essere integrato con chiavi di sicurezza anche per scoraggiare il phishing.

Importanti investimenti nel cloud

Se gli annunci fatti a Cloud Next vi suonano familiari, è perché Google ha integrato questi strumenti di classe enterprise nella G Suite. Il fatto che DLP e SKE siano stati aggiunti entrambi alla G Suite all’inizio di quest’anno conferma la strategia di sicurezza cloud di Google. In molti casi, Google è cliente di se stesso in Google Cloud: rilascia strumenti di sicurezza per G Suite e Gmail, poi li mette a disposizione delle imprese sulla GCP.

La sicurezza cloud è una responsabilità condivisa: il provider deve garantire la sicurezza fisica dei data center e proteggere l’hardware, l’azienda cliente è responsabile di applicazioni e dati. Google vuole andare oltre, offrendo anche strumenti per proteggere le applicazioni e i dati nel cloud. Con questa strategia e i nuovi strumenti annunciati risponde indirettamente alle aziende che si chiedono perché dovrebbero fidarsi del cloud di Google.