Multi-cloud strategy e GDPR in una multinazionale tecnologica

Multi-cloud strategy e GDPR in una multinazionale tecnologica. Il punto di vista di GDPR360

ASSINTEL REPORT 2020 - APPROFONDIMENTO DI PAG. 84

GDPR360 è stata chiamata a ridisegnare e gestire l’architettura dell’infrastruttura impiegata dal cliente che per dimensioni e tecnologie impiegate necessitava di avere un approccio MultiCloud. Questo ovviamente aveva un impatto sia tecnico che di compliance con il GDPR.

Il cliente, multinazionale tecnologica con sede in Italia, impiega molte tecnologie e ciascuna di esse è ospitata nell’infrastruttura più idonea. Oltre ad un datacenter On Premise e un DR esterno, l’azienda gestisce diverse infrastrutture sui principali Public Cloud provider.

Ciascuna infrastruttura era gestita come un’isola a sé stante rispetto all’insieme di assets presenti. Per questo motivo abbiamo provveduto ad eseguire:

  • Asset inventory su tutte le reti
  • Assessment per la compliance GDPR con valutazione specifica dei software destinati al LOG collection e LOG Analytics
  • Revisione dell’architettura su alcune infrastrutture per sfruttare alcuni servizi gestiti già messi a disposizione dai Cloud Providers

Ottimizzazione nell’utilizzo delle risorse computazionali finalizzato a sfruttare “committed discount” e pay-per-use.

Il naturale step successivo è stato quello di prenderci in carico parte della gestione di queste infrastrutture (Core e non core) definendo degli SLA diversificati e integrare la gestione tecnica con quella di governance di alcuni processi connessi all’adempimento GDPR.

Il progetto e il successivo servizio hanno coinvolto buona parte delle 70 persone che compongono il nostro team:
Team Cybersecurity
Cloud Architects
Operation Managers
Legali e PMO

I prossimi step prevedono di svolgere dei Vulnerability assessment ed i successivi Penetration Test sulle superfici di attacco risultanti dalla nostra attività. Inoltre si sta valutando la possibilità di modificare l’architettura legacy impiegata per erogare alcune applicazioni web e sfruttare le caratteristiche dei container. Kubernetes sarà impiegato per distribuire i container nel luogo più vicino all’end user (On Prem oppure uno dei cloud providers).