Nel public cloud i provider devono garantire la sicurezza della loro piattaforma, mentre l'azienda cliente deve preoccuparsi di tutto il resto della filiera
Le previsioni sono concordi. La
fase di ripresa post emergenza sanitaria sarà caratterizzata da una ulteriore crescita del segmento Public Cloud. In controtendenza rispetto a un
mercato IT previsto in contrazione dell’8% per il 2020, il cloud pubblico e il multicloud rappresentano la scelta primaria per le aziende anche in Italia.
Nel nostro Paese, secondo i dati dell’Osservatorio del Politecnico di Milano
il cloud è il modello preferito nello sviluppo di progetti digitali per il 42% delle aziende consultate, e registra un 18% di incremento nell’ultimo anno, sfiorando i 3 miliardi di euro di valore complessivo.
Ma c’è un problema. Dal 2018 al 2019 si è rilevata una
crescita del 7% degli exploit gravi a strutture cloud in tutto il mondo, con una media di 139 attacchi al mese e un impatto alto e molto critico per il 54% delle aziende. Il cybercrime, dunque, guarda con notevole interesse verso gli ambienti cloud, soprattutto pubblici, ponendo la security come
prima sfida in assoluto per i responsabili IT nella gestione dei loro cloud pubblici.
Anche
Gartner segnala che entro il 2022 il 95% degli attacchi agli ambienti cloud sarà da imputare a responsabilità del cliente. Qualsiasi contratto di servizio cloud, infatti, prevede il concetto di mutua responsabilità tra il Cloud Provider e l’azienda cliente. Ciò significa che il fornitore dei servizi e della piattaforma, Amazon, Microsoft, Google e tutti gli hyperscaler, sono
responsabili della sicurezza del cloud, della loro piattaforma, ma non della sicurezza nel cloud.
Per garantire una protezione completa lungo tutta la filiera cloud, è necessario che anche l’azienda cliente si doti di strumenti adeguati. Per definizione,
i servizi in cloud sono esposti all’esterno in quanto disponibili sulla rete, e non sono supportati da una protezione predefinita integrata, completa e realmente efficiente, nonostante gli sforzi compiuti dagli hyperscaler.
Inoltre, è
impensabile applicare modelli e architetture di sicurezza tipiche di un’infrastruttura on premise. Nell’interfacciarsi con una piattaforma di cloud pubblico, insomma, il classico Network Gateway Approach, benché fondamentale, non è sufficiente. È necessario affiancare alle metodologie di protezione tradizionali sul perimetro aziendale
nuove misure di sicurezza di tipo cloud native, implementando correttamente i security group, la microsegmentazione o ricorrendo a strumenti di controllo e monitoraggio di accessi e privilegi.
Non solo: l’impossibilità di usare metodologie Agent Based tipiche dei servizi applicativi on premise, richiede di utilizzare metodi di protezione API driven agentless. Il ricorso alle API richiede sviluppo e lo sviluppo è foriero di errori e vulnerabilità, spesso involontarie. Sempre secondo Gartner,
la metà delle aziende avrà esposto a rete pubblica inconsapevolmente o erroneamente i propri servizi IaaS e SaaS, segmenti di rete, applicazioni e API. Un valore raddoppiato rispetto al 2018. La messa in sicurezza nel cloud sarà dunque la prossima sfida per le aziende che stanno già usufruendo del cloud pubblico, i vendor specializzati in soluzione di protezione e i loro partner come
Lutech.
Protezione, visibilità e governance - Alla scoperta di CloudGuard Dome9, piattaforma in grado di proteggere le distribuzioni cloud e multi-cloud su Amazon Web Services, Microsoft Azure e Google Cloud, attraverso funzioni di sicurezza nativa, tra cui la visualizzazione intuitiva del livello di sicurezza, l’automazione della conformità e della governance, la protezione dell’identità e l’analisi del traffico e degli eventi in-cloud.
Nell’approccio iniziale, risulta fondamentale rendere consapevole l’azienda cliente del concorso di responsabilità in caso di attacco al proprio ambiente cloud e specificarne gli ambiti di competenza. Parliamo della rete aziendale in primis, della protezione del traffico da e verso il cloud, della protezione dei dati mediante opportuni sistemi di crittografia, di Identity & Access Management e, infine, di
protezione intrinseca degli applicativi che sono stati trasformati in servizi cloud e del sistema operativo on premise.
Ma non basta. Tra le maggiori cause di vulnerabilità ce ne sono due particolarmente sfruttate dagli attaccanti:
gli errori nelle configurazioni dell’infrastruttura e nello sviluppo delle Api necessarie al dialogo tra gli applicativi. In entrambi i casi, gli sviluppatori sono le risorse preposte alle attività, e loro non sono esperti di sicurezza.
Una
procedura corretta, dunque, richiederebbe di analizzare ogni singolo pezzo di codice aggiuntivo e validarlo in termini di sicurezza. Ciò risulterebbe, però, dispendioso in termini di tempi e risorse. Per questo è fondamentale introdurre soluzioni applicative aggiuntive come, per esempio,
CloudGuard IaaS di Check Point Software, un NextGen Firewall che integra diverse componenti come CloudGuard Dome9 per la configurazione delle macchine virtuali.
In generale, applicare controlli di sicurezza per garantire che nulla sia incompleto o compromesso in un ambiente cloud dinamico può essere difficile con i metodi tradizionali.
Fare controlli di conformità ad hoc non è più sufficiente. Serve un monitoraggio su base continuativa dell’infrastruttura che assicuri l’allineamento con gli standard richiesti dalle normative e dai modelli di gestione ottimale.
Marco Ceccon, Advisory Pratice Manager del Gruppo LutechLe aziende devono essere certe che gli hacker non ottengano privilegi non autorizzati: per questo, sistemi di allerta sulle intrusioni che controllino che non vengano creati asset non autorizzati possono essere molto utili; deve essere assicurato che solo gli amministratori della sicurezza gestiscano le regole e i criteri dei firewall, per esempio con l’enforcement di policy di sicurezza; ancora si deve essere sicuri di disattivare l'accesso alle porte o agli IP di servizi non in uso al fine di prevenire attacchi (port-scanner, botnet, ecc.)
Per tutti questi motivi è importante utilizzare strumenti come CloudGuard Dome9 che offrano una gestione unificata del multicloud con funzionalità di visibilità, gestione delle policy, monitoraggio in tempo reale, reportistica, intelligence e logging.
Marco Ceccon è Advisory Pratice Manager del Gruppo Lutech