Dimensione Cloud Pubblico: serve una Cloud Security

Mentre a livello mondiale le organizzazioni proseguono a passo spedito nell'adottare il cloud computing, i fornitori di servizi cloud pubblici come Amazon Web Services (AWS), Microsoft Azure e Google Cloud Platform (GCP) utilizzano i loro sistemi di sicurezza per proteggere le loro piattaforme cloud, ma è responsabilità dei clienti proteggere i loro dati all'interno di questi ambienti cloud. Per questo è fondamentale dotarsi di soluzioni avanzate e una strategia di Cloud Security a tutto tondo

Autore: bt

Come più volte scritto su queste pagine digitali, oggi il cloud computing è realtà. Complice anche il delicato momento in cui siamo immersi, aziende, singoli, organizzazioni stanno rendendosi sempre più conto delle potenzialità e del valore di questo paradigma di fruizione dell’IT, che si affianca e quello tradizionale fisico, accelerandone l’adozione. Un modello di IT a consumo che, a tendere, è destinato a caratterizzare l’IT dell’era moderna sempre più digitale, iperconnessa, condivisa. 

Qualche numero
Un modello di IT a consumo che, a tendere, è destinato a caratterizzare l’IT dell’era moderna sempre più digitale, iperconnessa, condivisa. Un fatto testimoniato da numerosi studi di analisti di mercato da cui emerge che a livello mondiale, pur se con dinamiche di adozione differenti, molte aziende di ogni dimensione e settore merceologico stanno procedendo a passo spedito verso il cloud, migrando i propri carichi di lavoro e i dati verso ambienti di cloud pubblico con l’obiettivo di migliorarne l'efficienza, favorire l'innovazione e incrementare la capacità di risposta alle condizioni di mercato.
L’analista Gartner prevede che nel 2020 la spesa relativa ai servizi di cloud pubblico si attesterà a 266,4 miliardi di dollari, in crescita del 17%, in aumento rispetto ai 227,8 miliardi del 2019. Per il 2021 le stime indicano un valore di spesa superiore ai 278 miliardi.
All'interno dei servizi di cloud pubblico a farla da padrona è oggi la componente del Software as a Service (SaaS), seguita da quella dei servizi infrastrutturali in cloud (IaaS), con il tasso di crescita più elevato attribuibile alle esigenze infrastrutturali delle applicazioni e dei carichi di lavoro moderni non sostenibili dai data center tradizionali. Segue poi la componente PaaS (Platform as a Service), a cui si affiancano via via modelli di distribuzione più recenti quali BPaaS (16%) e FaaS (14%) con tassi inferiori di crescita ma in fase affermazione più spinta.  
Protezione, visibilità e governance degli ambienti Public Cloud Alla scoperta di CloudGuard Dome9, piattaforma in grado di proteggere le distribuzioni cloud e multi-cloud su Amazon Web Services, Microsoft Azure e Google Cloud, attraverso funzioni di sicurezza nativa, tra cui la visualizzazione intuitiva del livello di sicurezza, l’automazione della conformità e della governance, la protezione dell’identità e l’analisi del traffico e degli eventi in-cloud.
Come nuovo modo di concepire l’IT complementare a quello tradizionale, il cloud tende quindi a diventare il modello preferibile per una percentuale molto alta di aziende, soprattutto oltreoceano e nei paesi tecnologicamente più evoluti, che fanno uso di almeno un servizio di cloud pubblico o privato.
Un fatto testimoniato dai dati del Security Report di Cybersecurity Insiders 2019 (condotto su un campione di 674 professionisti di cybersecurity e IT di aziende di diverse dimensioni e settori merceologici), da cui risulta che la strategia primaria di implementazione del cloud per il 42% del campione è un modello multi-cloud, seguito da modelli di cloud ibridi (30%), a da modelli single-cloud (25%). In generale, le organizzazioni tendono a fare sempre più ricorso a più fornitori cloud per svariati motivi, tra cui l'elevata disponibilità, il disaster-recovery, l'efficienza del sourcing multi-vendor e la riduzione dei rischi. 

Sfide da affrontare
Tuttavia, come detto, al pari del modello tradizionale il cloud non è privo di sfide e rischi, anzi, questi tendono ad aumentare in uno scenario cloud e multi-cloud in cui i confini aziendali sfumano e le superfici sono sempre più estese. Mentre i carichi di lavoro continuano a spostarsi verso il cloud, le organizzazioni si trovano quindi ad affrontare alcune sfide legate all’adozione di tale modello: la sicurezza dei dati è senza ombra di dubbio quella più difficile da vincere con i dati sempre più esposti agli attacchi dei cyber criminali, nonché la mancanza o carenza di controllo e visibilità, la condivisione multitenant nonché il delicato tema delle responsabilità tra cliente e fornitore in relazione alle misure di sicurezza da adottare.  

Barriere da abbattere
Come emerge dal Security Report quindi le principali barriere all’adozione del cloud sono la sicurezza dei dati e i rischi generali di sicurezza (per un totale del 57%), seguiti da mancanza di budget (26%), problemi di conformità (26%) e carenza di personale qualificato (26%).
Le soluzioni di sicurezza legacy finora adottate non sono progettate per gli ambienti virtuali dinamici e distribuiti cloud: il 66% del campione sostiene che le soluzioni di sicurezza tradizionali non funzionano per nulla o comunque forniscono funzionalità limitate per il cloud, mentre conformità e scarsa visibilità sulla sicurezza dell'infrastruttura lo sono per un totale combinato del 67%, seguite dalla mancanza di impostazioni di policy di sicurezza coerenti in ambienti cloud nonché la carenza di profili di sicurezza qualificati.
La crittografia dei dati memorizzati (38%), l'automazione della conformità (37%) e le API per reporting, auditing e alerting su eventi di sicurezza (34%) rappresentano invece i tre controlli di sicurezza più frequentemente citati per aumentare la fiducia delle organizzazioni nell'adozione di cloud pubblici.
Da segnalare che mentre la maggioranza delle organizzazioni afferma che le loro istanze cloud non sono state compromesse (54%), un allarmante 25% non sa se siano state violate nel cloud o meno. Il 15% delle organizzazioni conferma inoltre un incidente di sicurezza in cloud nel corso dell’anno. 

Ed ecco più in dettaglio alcune sfide da affrontare in un disegno di cloud pubblico.  

- Violazione dei dati: un tema di responsabilità condivisa
Proteggere gli ambienti cloud è cosa diversa dal proteggerli negli ambienti IT tradizionali. I fornitori di servizi cloud concentrano i loro sforzi sulla protezione della propria infrastruttura, ma la responsabilità della protezione di qualsiasi risorsa o dato inserito nel cloud è dell’utente.
Mentre i fornitori di servizi cloud pubblici come Amazon Web Services (AWS), Microsoft Azure e Google Cloud Platform (GCP) estendono i servizi di sicurezza per proteggere le loro piattaforme cloud in continua evoluzione, ai clienti va la responsabilità della protezione dei loro dati all'interno di questi ambienti.
Inoltre, guardando alle minacce moderne una volta che una risorsa cloud viene infettata, il malware cerca di infettare altre risorse in ambiente multicloud, diffondendosi rapidamente. E con il cloud connesso alle reti, lo stesso malware ha libero accesso a tutte le risorse aziendali. E’ quindi fondamentale non sottovalutare il passaggio al cloud, lasciandosi cullare da un senso di sicurezza legato alla falsa credenza di potere fare affidamento alla protezione fornita dal cloud provider. Per proteggere l'ambiente cloud in modo ottimale il consiglio è quello di implementare una soluzione avanzata di prevenzione delle minacce in grado di analizzare tutto il traffico in entrata e in uscita dal cloud e impedire ai cybercriminali di prendere di mira le risorse. 

- Conti compromessi o dirottati
Gli attaccanti hanno a disposizione una varietà di tecniche di attacco per accedere ai dati e alle risorse cloud, tra cui tool di scripting, keylogging, spear phishing, password deboli. Le credenziali utente rubate o ‘dirottate’ possono essere utilizzate per falsificare o manipolare dati, alterare configurazioni e altri parametri di rete e dare carta bianca agli attaccanti per entrare nel cloud.
Anche gli sviluppatori possono contribuire inconsapevolmente a favorire tutto ciò, incorporando credenziali e chiavi crittografiche nel codice sorgente, quindi esponendo tale codice a repository come per esempio GitHub. Le chiavi quindi dovrebbero essere adeguatamente protette e, come le password, cambiate periodicamente  In questo senso è fondamentale lavorare affinché i cyber criminali non prendano di mira gli account utente. Per fare ciò, una delle buone pratiche suggerite in ambienti di cloud pubblico è quella di fare ricorso all’'autenticazione a più fattori. 

- Minacce interne
Il rischio legato alle azioni degli utenti è altissimo e non riguarda solo gli utenti che si comportano in modo dannoso, ma anche gli utenti che sottovalutano i rischi di sicurezza, per esempio collegando risorse cloud direttamente a Internet, utilizzando impostazioni predefinite o password deboli o configurare l'infrastruttura non in modo corretto.
A tutto ciò si aggiunge il fatto che gli architetti cloud e le discipline DevOps non hanno per così dire un ‘pedgree di sicurezza’. Spesso questi team sono inconsapevoli delle implicazioni di sicurezza che la definizione di una nuova infrastruttura o la creazione di nuove connessioni nel cloud hanno sulla ‘postura’ complessiva di un'applicazione o risorsa basata sul cloud.
I team di sicurezza tradizionali, d'altra parte, hanno anche una conoscenza limitata dei processi e degli strumenti cloud o DevOps; sono spesso inconsapevoli delle modifiche all'infrastruttura fino a quando qualcosa non va per il verso giusto. Un insieme di fattori che determinano una ‘tempesta perfetta’ di esposizione involontaria di dati e risorse nel cloud.
Fondamentale quindi sviluppare competenze adeguate o affidarsi a chi le può offrire, allineando tutte le discipline in modo da eseguire correttamente la migrazione dell'infrastruttura al cloud pubblico.

- API insicure
Le API (Application Programming Interface) consentono alle organizzazioni di personalizzare i servizi cloud per soddisfare le loro esigenze specifiche, offrendo ai programmatori la possibilità di integrare le loro applicazioni con altri processi incentrati sul cloud come provisioning, orchestrazione e gestione. Tuttavia, le API possono anche essere utilizzate per manipolare un ambiente cloud, grazie al fatto che sono progettate per autenticare, fornire controlli di accesso e crittografia, fornendo così una via di accesso agli hacker esperti.
Il rischio inoltre aumenta in modo esponenziale quando nel contesto si inseriscono altri elementi della filiera, poiché i clienti utilizzano le API per esporre servizi, applicazioni e credenziali a una varietà di partner di terze parti e altri fornitori di servizi. Peggio ancora, queste interfacce sono sempre più accessibili su Internet.
Oltre alle rigorose revisioni del codice e ai ‘penetration test’, è quindi indispensabile implementare controlli adeguati in relazione alle API per prevenire l'uso improprio e mitigare i rischi.  

- Crittografia
La crittografia è stata a lungo uno dei metodi di base per la protezione dei dati; tuttavia molte aziende non riescono a crittografare adeguatamente i dati sensibili, soprattutto nel cloud. Mentre alcuni fornitori di servizi cloud sono più avanti di altri per quanto riguarda la sicurezza, le informazioni archiviate nel cloud spesso sfuggono al controllo del cliente. Significa che l'integrità dei dati può dipendere interamente dalle pratiche di sicurezza del provider cloud scelto.   

Serve una strategia di Cloud Security
Di fronte a un quadro così delineato, è evidente che occorre ripensare alla protezione dei dati, dotandosi di strumenti in grado di garantire l’automazione della sicurezza e della conformità in qualsiasi ambiente cloud. Diventa fondamentale inoltre poter avere una visibilità completa nonché il pieno controllo del proprio livello di sicurezza, per ridurre al minimo la superficie di attacco e proteggersi da vulnerabilità, furto di identità e perdita di dati in-cloud.

La soluzione CloudGuard Dome9 di Check Point Technologies Software rappresenta una risposta innovativa a una strategia completa di Cloud Security (in combinata anche con altre soluzioni dell'estesa offerta del vendor); piattaforma in grado di proteggere le distribuzioni multi-cloud su Amazon Web Services, Microsoft Azure e Google Cloud.
Nello specifico la soluzione offre funzionalità per avere una piena visibilità sulla protezione degli ambienti cloud, rilevare errori di configurazione, modellare e applicare policy di riferimento, proteggere da attacchi e minacce interne, fornire informazioni sulla sicurezza degli ambienti cloud relative al rilevamento delle intrusioni, nel totale rispetto dei requisitivi normativi e di compliance.  
Un’offerta il cui valore può essere trasferito al meglio alle aziende clienti grazie alle capacità di Lutech, noto system integrator italiano in grado di supportare la digital evolution delle aziende clienti grazie alle elevate competenze messe a disposizione da un team di oltre 2.800 professionisti, che ha nella sicurezza una delle più importanti pratice. Attraverso una struttura SOC di nuova generazione e un approccio consulenziale a 360 gradi infatti Lutech riesce a soddisfare al meglio e appieno le moderne istanze di sicurezza delle aziende alle prese con la Trasformazione Digitale.

Visualizza la versione completa sul sito

Informativa
Questo sito o gli strumenti terzi da questo utilizzati si avvalgono di cookie necessari al funzionamento ed utili alle finalità illustrate nella cookie policy. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, consulta la cookie policy. Chiudendo questo banner, acconsenti all’uso dei cookie.