L’adozione del cloud computing per indirizzare i progetti di trasformazione digitale è in continua crescita. Nelle sue diverse forme – cloud privato, ibrido, pubblico e multicloud – il cloud computing permette alle organizzazioni di qualsiasi vertical e dimensione di migliorare la resilienza del business ed accelerare i processi. Gli analisti prevedono per questo digital enabler una crescita a doppia cifra almeno fino al 2025 e tuttavia concordano anche nell’identificare nella sicurezza il primo pilastro per la riuscita dei progetti senza mettere a rischio il patrimonio delle aziende, rappresentato dai dati.
Indipendentemente dalla scelta di migrare parte dell’infrastruttura e dei carichi applicativi, o preferire una migrazione in cloud anche delle applicazioni più critiche, la sicurezza è prioritaria, mentre troppo spesso le aziende presuppongono che la responsabilità/soluzione delle problematiche relative siano tutte in capo ai cloud provider, senza informarsi in modo puntuale, e quindi rinunciando ad adottare le misure necessarie per garantire che effettivamente dati e applicazioni siano protetti.
Non solo, il cloud computing genera una serie di nuove sfide di sicurezza che vanno indirizzate: per esempio quella relativa alla coerenza delle policy di cybersecurity tra gli ambienti ibridi in uno scenario sempre più complesso, anche in relazione alla “crescita” degli attacchi, sia in numero, sia per la pericolosità (si pensi anche solo al ransomware). E’ necessario disporre di sistemi di sicurezza all’altezza, sempre disponibili e in grado di ‘adattarsi’ ai diversi ambienti operativi.
Tornano utili, a questo proposito i suggerimenti di Radware con le 12 best practice da considerare prima di affrontare una migrazione in cloud, durante lo “shift”, e a migrazione conclusa con i carichi di lavoro e le app operativi sull’infrastruttura (ovunque essa sia).
Radware, 12 best practice per la sicurezza in cloud
Sono saggezza e buonsenso a dettare la prima regola per un approccio indolore al cloud. Per cui quando si inizia una migrazione è raccomandabile avviare i progetti su dati e app considerati meno “sensibili” o comunque non mission-critical, per esempio applicazioni e sistemi che non avranno un impatto diretto o indiretto sui clienti. Fino a quando non si sarà verificata l’affidabilità e la sicurezza del proprio cloud provider, dei suoi servizi, e di come funzionano le app aziendali su quei servizi, sarà opportuno procedere con prudenza quindi nella migrazione di dati e workload critici (1).
Oggi è il cloud ibrido la scelta più frequente delle aziende. Proprio per questo, con applicazioni diverse, ospitate in ambienti cloud ed on-premise diversi, serve coordinare e gestire alla perfezione le policy di sicurezza in ogni ambiente. In alcuni casi è possibile affidarsi all’offerta del provider cloud, per la sicurezza; in verità proprio questa scelta potrebbe rivelarsi limitante o inadeguata a fronte della complessità data dall’elevato numero di applicazioni da proteggere in contesti differenti. Per questo è importante identificare le soluzioni di sicurezza cloud che operano con le medesime tecnologie e permettono la gestione delle policy coerente sia nelle app-on-premise sia in quelle basate sul cloud (2).
Sono cresciuti di oltre il 300% nel corso dell’ultimo anno i cosiddetti “encrypted attacks” per difendersi dai quali il provider di servizi cloud potrebbe trovarsi a dover decrittografare in modo legittimo anche parte del traffico legittimo. E’ un momento importante che richiede invece di puntare a mantenere la massima riservatezza sui dati. Serve quindi verificare con il cloud provider quali soluzioni utilizza, per questo obiettivo, così da essere sicuri che le informazioni che devono rimanere protette lo siano veramente (3).
Arriviamo così ad un punto chiave per indirizzare la protezione in cloud. I team IT aziendali spesso non hanno alcuna visibilità su quali siano le applicazioni realmente utilizzate in cloud e questo espone le organizzazioni al malware e perdite di dati. Con l’affermarsi del lavoro da remoto il problema è diventato ancora più grave e diffuso e serve quindi essere sicuri che i dipendenti siano consapevoli dei rischi, implementare sistemi di autenticazione avanzata, controllare gli accessi e verificare le identità sulla base di valutazioni effettivamente in grado di identificare configurazioni errate e rischi di esposizione dei dati (4).
Alcune “imprudenze”, poi, portano le aziende a sottovalutare una serie di danni collaterali, e per questo è importante conoscere l’architettura e le scelte di sicurezza rese disponibili dal provider. Serve per evitare che nella condivisione delle risorse di elaborazione e di storage, a fronte di disservizi a livello di rete, o rallentamenti, o altri incident, a fronte di un attacco si rischi di favorire l’attività dell’attaccante, anche se in volontariamente. Un’opportunità non remota ma che potrebbe essere evitata dal cloud provider quando è in grado di separare il traffico “pulito”, da quello malevolo tra i co-tenant della medesima piattaforma (5).
L’importanza della sicurezza quando i dati sono in transito tra i sistemi è evidente, così come la protezione del traffico crittografato, tanto più quando le sessioni raggiungono o terminano su risorse cloud. La compliance del provider agli standard industriali (come alle regolamentazioni nazionali e sovranazionali), e la piena conformità in questo senso, sono importanti tanto quanto l’adesione alle regole/policy interne. Da qui emerge quanto sia prezioso il lavoro di aggiornamento continuo e la modifica dei protocolli di sicurezza in questa direzione, ancora di più quando si abbraccia il cloud (6).
Per quanto riguarda l’approccio squisitamente difensivo, è importante notare come mentre il monitoraggio degli attacchi ai data center on-premise sia relativamente semplice, le risorse in cloud non sono più “vicine”, come prima, e questa “distanza” può impattare sulla tempestività dei rilevamenti. Si può ovviare a questo inconveniente posizionando gli asset e le funzionalità di detection quanto più possibile in prossimità della risorsa cloud da proteggere, così da valutare con precisione eventuali attacchi e trovare subito la risposta più adeguata, per esempio attraverso la metodologia di cloud scrubbing a fronte di un attacco volumetrico (7).
Si tratta di sfruttare la flessibilità del cloud a proprio vantaggio, ma con intelligenza. E proprio la scelta di un approccio ibrido si rivelerà virtuosa tanto più quanto più le aziende sono in grado di raccogliere la sfida chiave dell’effettiva protezione delle applicazioni, una protezione elevata in tutte le fasi della vita applicativa, ovunque essa venga distribuita e coerente, sia on-line che off-line (8). L’offerta cloud, poi, oggi sul mercato è molto ricca, ma sarebbe sbagliato considerare sempre di pari valore l’attenzione dei cloud provider al tema, perché anche la sicurezza, di fatto, è un servizio e come tale viene proposta dai provider secondo le loro capacità, in base all’adesione a un’offerta piuttosto che un’altra; ed ognuno di essi evidenzia punti di forza e debolezze, in merito a prezzo, effettiva disponibilità, etc. Capire, in questo caso, è un passaggio fondamentale. Un passaggio chiave. Soprattutto serve comprendere il modello di responsabilità condivisa proposto, per sapere bene e sempre dove inizia e finisce la responsabilità del cloud provider e dove quella della propria organizzazione (9).
Una questione anche di “competenze“. Infatti, quando si sceglie di migrare in cloud per accelerare il time-to-market e ridurre i costi, ci si accorge anche che probabilmente in azienda mancherebbero le competenze necessarie per valutare correttamente la proposizione relativa alla cybersecurity e la sicurezza passa in seconda importanza, oppure viene data per scontata o, ancora peggio, ne viene demandata la valutazione a comparti aziendali estranei all’IT (10). Da evitare.
Arriviamo alle ultime due best practice, determinanti. La prima riguarda la protezione della rete, in uno scenario in continua evoluzione. Per stare al passo con i cambiamenti, con la continua evoluzione delle minacce serve affidarsi ai sistemi di machine learning, analisi ‘comportamentale’ ed all’automazione. Anche la protezione delle applicazioni in cloud richiede quindi un approccio alla sicurezza in grado di combinare le funzionalità e gli strumenti di sicurezza essenziali: Web Application Firewall, sistemi di protezione delle Api, e i sistemi di protezione dagli attacchi DDoS (11).
Abbiamo considerato come il passaggio al cloud possa determinare vantaggi importante per le aziende in termini di agilità e flessibilità, ma il percorso non deve sacrificare la sicurezza in nome delle opportunità “facili” che effettivamente si aprono.
Per questo, in ultimo, è importante rafforzare il controllo degli accessi. Serve semplificare la gestione degli accessi anche per gli ambienti multicloud. Unificare ed estendere la visibilità cross-cloud basandola su autorizzazioni e gestione delle identità e automatizzare l’applicazione delle policy per proteggere le tue risorse cloud più sensibili. Pertanto la protezione multilivello sull’infrastruttura che ospita le applicazioni e i carichi di lavoro nei cloud pubblici è fondamentale. Previene l’esposizione accidentale, configurazioni errate e attività dannose in questi ambienti (12).
Leggi tutti gli approfondimenti della room Sicurezza per l’Innovazione
Per saperne di più scarica il whitepaper: Understanding the Next Security Control Points: Applications and Workloads
© RIPRODUZIONE RISERVATA
