Tra le criticità evidenziate dalle aziende che si muovono verso il cloud computing, spesso la sicurezza è un tema ricorrente, “il” tema ricorrente.
Aws approccia il problema focalizzando l’attenzione su quelli che ritiene essere i punti di forza dell’architettura cloud proposta: visibilità, controllo e automazione.
L’arrivo della region italiana a Milano, nel 2020, con le relative e diverse availablity zone (distanziate tra loro e per godere di profili di rischio differente, e ognuna costituita da più datacenter collegati tra loro a bassa latenza) si rivelerà funzionale a intercettare una serie di bisogni anche in relazione alla normativa vigente.
In Italia sono disponibili anche due edge location (per la distribuzione di contenuti) a Milano e a Palermo. Amazon inoltre non utilizza più hardware standard: dispositivi di rete, server, storage e chip per le istanze (Arm) sono progettati internamente.
In diversi contributi abbiamo fatto riferimento a soluzioni e casi d’uso (Centro Medico Santagostino, MusixMatch, Satispay) delle tecnologie Aws, in questa occasione il focus è sull’approccio alla sicurezza, interessante, proprio perché ci muoviamo nell’ambito del cloud pubblico, quello considerato più “a rischio”.
Cinque i pilastri per abilitare le tre potenzialità intrinseche di visibilità, controllo e automazione: la disponibilità dei medesimi controlli di gestione infrastrutturale anche sulla sicurezza, e sulla compliance, in qualsiasi datacenter a livello globale, una visibilità granulare, l’adozione degli standard internazionali Paese per Paese.
L’infrastruttura di Amazon è Gdpr compliant da sei mesi prima rispetto all’entrata in vigore definitiva del regolamento, e soddisfa le regolamentazioni Pci (sui pagamenti elettronici), e Csa (Cloud Security Alliance). Prevede l’integrazione di servizi di sicurezza automatizzati e omogenei, e infine un ampio network di partner e soluzioni.
Per quanto riguarda la privacy, Aws garantisce di non replicare in nessun caso i dati in region diverse da quelle scelte dal cliente, si è sforzata di semplificare la crittografia di dati in transito e a riposo. Mette a disposizione una serie di strumenti e tool per lasciare la possibilità ai clienti di modellare on top la compliance infrastrutturale.
Dal punto di vista delle soluzioni cardine, l’automazione per quello che riguarda la threat remediation è resa possibile sostanzialmente da tre servizi integrati: GuardDuty, CloudWatch Events, e Lambda. Quest’ultima è la proposta serverless di Amazon e con poche righe di codice rende possibile implementare azioni puntuali in tempi rapidi.
Le soluzioni specifiche di sicurezza possono essere infine suddivise in cinque famiglie: i sistemi di controllo delle identità (1), anche con Aws Secrets Manager (per automatizzare l’accesso ad alcuni servizi tramite riutilizzo di token, una volta configurate le policy); gli strumenti di detective control (2), tra cui GuardDuty e CloudWatch; le soluzioni per la sicurezza infrastrutturale (3), tra cui System Manager, Web Application Firewall e Vpc; quelle per la data protection (4) con Key Management Service e Macie – che identifica la presenza di dati sensibili – e Certificate Manager; e quelle per la risposta rapida agli incidenti (5) come Config Rules e ovviamente Lambda.
Aws collabora con una serie di partner nell’ambito della cybersecurity: tutte le possibili integrazioni sono disponibili sul marketplace, e la reportistica di auditing è integrabile con le relative soluzioni di sicurezza dei vendor.
Il modello commerciale di tutte le soluzioni cui abbiamo accennato è puramente pay per use. Ogni servizio è fatturato per quanto viene utilizzato. Per Amazon un punto di forza, a nostro avviso su alcuni modelli di business una criticità. Il “conto” cresce in relazione all’utilizzo di ogni singolo servizio e quindi al numero di utenti.
Aws in questo senso propone i sistemi di monitoraggio del billing e li ritiene fondamentali, ma resta importante (e critica) la capacità di individuare quali servizi siano effettivamente utili. Il tiering dei dati pure resta importante.Per questi scopi la collaborazione dei partner è indispensabile.
L’adozione di soluzioni serverless, in crescita, si sposa perfettamente con i modelli pay per use. In questo caso i clienti Aws possono conoscere, quando attivano un servizio, il costo per ogni utente che lo utilizza. Questo filone, denominato Fintech dev, permette di costruire modelli di costo per utente talmente dettagliati da consentire di disegnare il modello di business insieme all’applicazione.
La Provable security
Più interessante delle soluzioni in sé è però il tema della Provable security. La sicurezza non è dimostrabile, e questo resta un punto fermo, tanto più quando nel tempo è stata interpretata come stratificazione di livelli (rete, firewall, sistema operativo protetto, applicazioni).
Amazon sta lavorando con il mondo accademico per creare soluzioni che utilizzando metodi di ragionamento formale e prove logiche (le stesse utilizzate per dimostrare i teoremi matematici in modo automatico, lasciando il compito alle macchine), assicurino la verifica della sicurezza di alcune impostazioni architetturali.
L’obiettivo è tra gli altri la costruzione di modelli di ragionamento formale sulle configurazioni di sicurezza in Aws, e modelli di ragionamento su come configurare le policy di accesso su Aws S3 o EC2.
Questo dovrebbe consentire su larga scala di automatizzare l’analisi di come i clienti configurano le loro soluzioni, individuare eventuali problematiche ed informarli in modo proattivo. L’idea alla base della Provable security poggia del tutto sui procedimenti matematici: manipolando gli assiomi si arriva a determinare le relative conseguenze.
Portiamo un esempio specifico. Se si decide di creare nella sfera dello storage ad oggetti un bucket (una raccolta) con lo storage S3, e in uno scenario aziendale si sa di dover rispettare una serie di policy, ecco che si può per esempio provare in modo formale se una volta adottata una certa tipologia di policy, o serie di policy, esse siano effettivamente “sicure”.
Amazon procede in questo modo sulle configurazioni delle policy di accesso e sulle configurazioni di rete, per le configurazioni interne Aws e in collaborazione con l’ambiente accademico.
© RIPRODUZIONE RISERVATA
