Le strutture cloud hanno consentito alle aziende la business continuity nel periodo di emergenza, questo ha però attirato anche l’attenzione del cybercrime che guarda con sempre crescente interesse a questi ambienti e soprattutto al public cloud, come obiettivo per gli attacchi. La sicurezza resta quindi la prima sfida in assoluto per i responsabili IT, oltre che on-premise, anche e soprattutto in cloud.
Lo confermano i numeri: tra il 2018 e il 2019 gli exploit gravi sulla nuvola sono cresciuti del 7%. Con una specifica importante, che riguarda i clienti. I contratti di servizio prevedono infatti la mutua responsabilità tra cloud provider e azienda cliente che spesso però si fa trovare impreparata a proteggere le informazioni e le applicazioni in cloud, tanto che entro il 2022 si prevede che la responsabilità del 95% delle security failures in cloud sarà imputabile proprio alle imperizie dei clienti. (Fonte: Gartner).
Per proteggere informazioni, dati e risorse è indispensabile affiancare alle metodologie di protezione tradizionali, una strategia per la sicurezza cloud native. Proprio la messa in sicurezza del cloud rappresenta a tutto tondo la prossima importante sfida che riguarda sia gli errori di configurazione dell’infrastruttura, sia nello sviluppo delle Api, sia la protezione e la corretta configurazione delle macchine virtuali ed ovviamente la conformità ai regolamenti.
Check Point propone per la protezione in cloud – oltre a CloudGuard IaaS e SaaS – CloudGuard Dome9, in modo specifico per il public cloud, la soluzione – proposta come piattaforma SaaS – offre infatti una gestione unificata del multicloud con funzionalità di visibilità, gestione delle policy, monitoraggio in tempo reale, reportistica, intelligence e logging. Tanto che la definizione migliore per presentare Dome9 è proprio quella di una piattaforma completa per la sicurezza del cloud pubblico, la compliance e l’orchestration tra i cloud, che si aggancia attraverso le Api ai cloud Amazon Web Services, Microsoft Azure, Google Cloud Platform.
In questo modo le organizzazioni possono sfruttare i vantaggi di una visualizzazione olistica per valutare al meglio la propria posizione riguardo la sicurezza, modellando ed applicando in modo proattivo le best practice necessarie per proteggere i dati nel cloud e rilevando tempestivamente eventuali configurazioni errate.
In particolare CloudGuard Dome9 offre protezione intelligente da attacchi e minacce interne ed esterne, intelligence di sicurezza del cloud per il rilevamento delle intrusioni e soprattutto il rispetto dei requisiti normativi, grazie all’adozione delle best practices più adeguate per assicurare conformità ai regolamenti e governance senza problemi, anche sulla base di pratiche DevOps robuste.
Quattro le aree funzionali chiave indirizzate nel modo migliore da CloudGuard Dome9: Asset Management, Serverless Protection, Privileged Identity Protection (per esempio applicando l’elevazione dei privilegi just-in-time per le operazioni più riservate nel cloud pubblico), Compliance e Governance (per tutto il lifecycle del dato secondo gli standard PCI DSS, dall’Automated Data Aggregation e dall’Assessment fino alla Remediation e alla reportistica) e, ultimo ma non meno importante la Cloud Security Intelligence, con CloudGuard Dome9 Log.ic.
Due i temi che meritano un particolare approfondimento e su cui focalizziamo l’attenzione: la gestione della sicurezza end-to-end a soddisfare conformità normativa e governance e l’intelligence cloud-native (Log.ic) su cui si basa il prodotto.
Sicurezza, conformità e governance end-to-end
Le best practices per quanto riguarda dati e informazioni sono mandatorie secondo tutti i regolamenti basati sugli standard PCI, DSS, SOC 2 Type 2 e CIS AWS Foundations Benchmark, ma i sistemi di controllo che funzionano bene per la conformità e la sicurezza nei data center, spesso non si rivelano adeguati sul cloud pubblico. Così mentre si spostano i carichi di lavoro in cloud restano le preoccupazioni legate alla consapevolezza di non disporre di strumenti adeguati.
Check Point con CloudGuard e in particolare con CloudGuard Dome9 per il public cloud offre una nuova generazione di strumenti di sicurezza. Infatti il Motore di Conformità di CloudGuard Dome9 (Compliance Engine) permette gestione automatizzata e continua delle conformità e della governance per tutti gli ambienti. Identificare rischi o lacune, risolverli, applicare le regole più opportune anche sulle password di accesso, per esempio, sono tutti aspetti controllabili e gestibili con CloudGuard Dome9 che offre anche le suite di test necessarie allo scopo.
Gli amministratori, sfruttando il linguaggio Governance Specification Language (GSL) possono personalizzare le regole per i criteri di sicurezza e crearne di nuove scritte in linguaggio comune di facile comprensione, con meno errori rispetto a quando per farlo è necessario scrivere decine e decine di righe di codice. Compliance Engine di Dome9 fornisce quindi gli strumenti di test e verifica sulla conformità normativa e le best practice di settore per aiutare a comprendere la reale posizione di rischio e conformità e valutare, correggere, automatizzare e soddisfare la conformità per HIPAA, PCI DSS, GDPR, NIST 800-53 / FedRAMP, ISO 27001 e CIS Foundations Benchmark su qualsiasi account cloud, per esempio anche attraverso l’utilizzo delle soluzioni di riparazione automatica CloudBots che aiutano la risoluzione delle errate configurazioni e impongono la conformità.
CloudGuard Dome9 offre poi i rapporti di valutazione stampabili comprensivi dei log completi di stato di sicurezza, risultati dei test di conformità, eventi di sistema e avvisi e notifiche, per una migliore gestione dei progetti. I report possono essere personalizzati con funzionalità di ricerca rispetto alle regole dei criteri di sicurezza, l’utilizzo dei filtri, funzioni di ordinamento e raggruppamento, e visualizzazioni per più campi. Così è possibile dimostrare quale fosse la posizione di sicurezza per qualsiasi server attivo in qualsiasi momento nel tempo tra unità aziendali, VPC e account in cloud. Dome9 conserva i registri di controllo a tempo indeterminato, anche dopo che le istanze sono arrivate e passate.
CloudGuard Dome9 Log.ic, intelligence cloud-native
Il secondo aspetto che merita un approfondimento, come si accennava, è CloudGuard Dome9 Log.ic. E’ possibile definirlo come una tecnologia di intelligence di sicurezza cloud-native in grado di rilevare le intrusioni nel cloud, permettere la visualizzazione del traffico di rete e anche l’analisi delle attività dell’utente. Gli algoritmi di mappatura degli oggetti di Log.ic combinano l’inventario del cloud e le informazioni di configurazione con i dati di monitoraggio in tempo reale da una varietà di fonti tra cui VPC Flow Logs, CloudTrail, Amazon GuardDuty, AWS Inspector e attuali intel feed, reputazione IP e database geografici.
Il primo vantaggio è la disponibilità di informazioni sempre contestualizzate, utilizzabili, e di una visualizzazione di ciò che accade avanzata con la possibilità per l’utente di impostare ulteriori query di analisi. Il punto di forza di Log.ic è al momento quello di essere l’unica piattaforma che attribuisce il traffico di rete a servizi effimeri cloud-native come le funzioni Amazon Lambda e altri componenti della piattaforma cloud-native (RDS, Redshift, ELB, ALB, ECS) per fornire un’istantanea completa nel tempo dell’infrastruttura cloud.
CloudGuard Dome9 permette così di semplificare le operations per la sicurezza della rete, basandosi sull’analisi del traffico in tempo reale, con la possibilità di rilevare subito le fonti dannose che inviano traffico illegittimo alle risorse, e attività insolite. Permette allo stesso tempo di ridurre il tempo medio di rilevamento delle minacce, grazie alla capacità di “amplificare” evidenze sospette per comprendere il contesto completo in cui operano ed intervenire prima. E soprattutto offre il contesto completo dell’attività degli account account e i tipi di risorse attivi nell’ambiente.
Sfruttando Log.ic, l’utente può creare un elenco di tipi di risorse che non dovrebbero essere istanziate. Se qualcuno ottiene privilegi non autorizzati per lanciare, per esempio, una costosa istanza EC2, magari utilizzata per operazioni di criptazione o per rubare chiavi Api, Log.ic può rilevare tali modifiche IAM non autorizzate o traffico specifico di tipo EC2 e fornire immediatamente avvisi dettagliati.
Abbiamo accennato all’importanza per le aziende di garantirsi l’effettiva conformità di dati e risorse, di come il motore di conformità CloudGuard Dome9 consenta ai clienti di verificare la propria posizione di conformità da una vista di configurazione. Proprio grazie agli avvisi offerti dall’intelligence di Log.ic è possibile analizzare la propria posizione da una prospettiva di traffico in tempo reale, ma anche “vedere” una replica dal vivo del proprio traffico in modo da dimostrare che l’ambiente è conforme ai vari standard di conformità.
CloudGuard Dome9 è in grado di mette in correlazione la posizione di sicurezza dell’infrastruttura e i requisiti di conformità, insieme all’analisi del traffico per fornire un contesto approfondito ed individuare schemi di attività anomala utilizzando potenti algoritmi e l’AI per monitorare continuamente i flussi di traffico anche dalle applicazioni serverless. Soprattutto si propone come soluzione chiavi in mano che si integra con l’infrastruttura cloud e restituisce valore in brevissimo tempo.
I vantaggi offerti da CloudGuard Dome9
CloudGuard Dome9 sfrutta gli stessi native security controls offerti dai public cloud per la protezione di tutte le risorse e le istanze cloud ed ovviamente quelli dei tre principali hyperscaler quindi (Aws, Google Cloud Platform e Microsoft Azure), in questo modo è più facile proteggere le risorse negli ambienti multicloud, combinando policy di automazione agnostiche con quelle cloud-native.
L’utente specifica le policies desiderate sui diversi cloud ed è il sistema a provvedere ad implementarle nel modo corretto. Con CloudGuard Dome9 poi non è necessaria l’installazione di software, e non serve nemmeno gestire gli agent, l’implementazione richiede pochi minuti, senza doversi preoccupare nemmeno degli aggiornamenti, come di scalare, ma anche il vantaggio di integrarsi con gli account Aws sfruttando le caratteristiche cross-account trust policy per condividere le informazioni/impostazioni sulla sicurezza, anziché dover condividere chiavi e credenziali.
Soprattutto è importante comprendere come a fianco dell’alta visibilità offerta dalla soluzione CloudGuard Dome9 comprenda gli strumenti necessari per mitigation, remediation ed enforcement sulla base di un’unica soluzione, che porta agilità e compliance e, riducendo la complessità, assicura una più alta efficacia.
Leggi tutti i contributi della Room “Le sfide della sicurezza cloud“, a cura di Lutech e CheckPoint
© RIPRODUZIONE RISERVATA