“Shift left” nel linguaggio dei programmatori indica un approccio al testing di software e sistemi in grado di anticipare, rispetto al consueto, le verifiche nel ciclo di vita applicativo. A Reinvent 2019, Aws mutua l’immagine shift left e torna sul tema della sicurezza in cloud con una serie di annunci e la proposta di un approccio che richiama la necessità di “anticipare il momento di azione”, richiede una serie di riflessioni ed esige un cambio di passo.

Concesso che pensare alla security aziendale come alla difesa di un perimetro è fuori dal tempo, in un ambiente IT sempre più complesso lo è anche l’idea di governare i processi senza sfruttare le tecnologie emergenti oggi disponibili, comprese quelle di machine learning. Se ne parla con Steven Bryen, evangelist Aws Amazon Detective e Sekhar Sarukkai, McAfee fellow and chief scientist per McAfee cloud, in occasione dell’annuncio di collaborazione tra il vendor di sicurezza e Aws per integrare Mvision Cloud con Amazon Detective, il servizio annunciato per Amazon EC2 che analizzeremo più avanti.

Steven Bryen, evangelist Aws Amazon
Steven Bryen, evangelist Aws Amazon

La sfida in cloud è riuscire a generare e mantenere un ambiente applicativo sicuro, garantire il controllo di workload, accessi legittimi, e flussi di comunicazione protetti.

Per “spostare verso sinistra” il punto di intervento in questo caso bisogna disporre di completa visibilità su dati, analisi del contesto, e del comportamento degli utenti anche su servizi cloud che sfruttano risorse eterogenee.

Questo in uno scenario in cui già oggi l’83% delle aziende ammette di conservare almeno parte dei dati sensibili sulla nuvola (fonte: McAfee Cloud Adoption Report). Così come non mancano le ricerche che sottolineano come gli errori di configurazione e la scorretta applicazione delle policy siano alla base del successo degli attacchi.

L’idea di una soluzione nativa in cloud che si aggancia direttamente alle informazioni, ovunque esse siano (in cloud e on premise) è alla base della proposta di McAfee con Mvision Cloud come le funzionalità per poter prendere in tempo reale, anche in cloud, le azioni necessarie per correggere le violazioni e fermare le minacce.

Per agire bene è necessario però uno shift anche nell’ambito dello sviluppo per preparare le applicazioni agli ambienti Virtual Private Cloud. Da un modello Design/Sviluppo/Test/Deployment, l’approccio DevSecOps richiede quindi l’inserimento delle fasi di testing e verifica alternate con una maggiore densità rispetto alla scrittura del codice.

L’obiettivo è focalizzarsi su un modello di sicurezza attivo anche post-deployment oltre che pre-deployment, attento soprattutto a capire come cambiano le minacce in cloud. Vuol dire chiedersi come assicurare che dati e applicazioni restino compliant rispetto al livello di protezione che esigono nella virtual private cloud.

McAfee e Aws, partnership per la sicurezza in cloud

Proprio su questo punto si aggancia l’annuncio della collaborazione tra Aws e McAfee. Amazon Detective è un servizio disegnato per analizzare, indagare e identificare le attività sospette. Detective colleziona i log dalle risorse Aws e utilizza ML e analytics per permettere una semplice visualizzazione delle anomalie.

I team di sicurezza sono chiamati a stabilire quando definire un comportamento “normale”, comprendere nuovi schemi di attività e rivisitare le configurazioni delle applicazioni, man mano che risorse, account e applicazioni vengono aggiunti o aggiornati in un ambiente. Queste attività, complesse e dispendiose in termini di tempo, rallentano la capacità dei team di sicurezza di indagare e rispondere rapidamente ai problemi.

Amazon Detective permette di condurre indagini più rapide ed efficaci. Una volta abilitato con pochi clic nella console di gestione Aws, Amazon Detective inizia automaticamente a “distillare” i dati dai registri di flusso Aws CloudTrail e Amazon Virtual Private Cloud (Vpc) in un modello, grafico (una dashboard), che riepiloga i comportamenti delle risorse e le interazioni osservate nell’ambiente Aws di un cliente.

Sekhar Sarukkai, McAfee fellow and chief scientist per McAfee cloud

L’integrazione con Mvision Cloud permette quindi di innalzare il livello di attenzione su un’ampia varietà di workload in cloud. E quindi di mettere in pratica il modello DevSecOps accennato, potenziato dal ML della soluzione, permettendo ad Mvision Cloud di intervenire nella protezione e nella remediation sulla base già di un “distillato” nativo di dati dalle risorse cloud. 

Oltre a Detective, Aws a Reinvent annuncia anche Aws Iam Access Analyzer come nuova funzionalità di Aws Identity and Access Management (Iam) per semplificare il controllo delle policy e governare qli accessi non intenzionali da parte di team di sicurezza e amministratori (è già disponibile) e Aws Nitro Enclaves in pratica una nuova funzionalità di Amazon EC2 che consente ai clienti di processare facilmente dati altamente sensibili partizionando risorse di calcolo e memoria all’interno di un’istanza per creare un ambiente di calcolo isolato, più piccolo, e quindi più controllabile.

Al di là dei singoli annunci la partnership con McAfee rappresenta un buon modello di come cambia il paradigma per i vendor di sicurezza che nei flussi cloud è necessario ricerchino sempre di più l’integrazione con quanto offrono gli hyperscaler, sulle cui risorse di fatto risiede il dato. A loro volta gli hyperscaler devono avvicinare quanto più possibile i propri servizi alle soluzioni di difesa in modo trasparente. 

Da questo punto di vista sì, l’approccio resta simile a quanto abbiamo già visto accadere per la protezione delle risorse on-premise. Poter proteggere l’informazione a partire da dati e log puliti è un vantaggio ma allo stesso tempo non crediamo che sia interesse di nessuno dei due attori invadere gli ambiti di competenza specifica dell’altro: in cloud una responsabilità condivisa è virtuosa solo se ben definita, ma questo è un altro problema.

Per saperne di più leggi tutto il reportage Aws Reinvent 2019

© RIPRODUZIONE RISERVATA