La sicurezza nel cloud è una responsabilità condivisa

La sicurezza nel cloud è una responsabilità condivisa tra il fornitore del cloud e il cliente. Ci sono fondamentalmente tre categorie di responsabilità nel modello di responsabilità condivisa: responsabilità che sono sempre del fornitore, responsabilità che sono sempre del cliente e responsabilità che variano a seconda del modello di servizio: Infrastructure as a Service (IaaS), Platform as a Service (PaaS), o Software as a Service (SaaS), come il cloud email.

Le responsabilità di sicurezza che sono sempre del fornitore sono relative alla salvaguardia dell’infrastruttura stessa, così come l’accesso, le patch e la configurazione degli host fisici e della rete fisica su cui le istanze di calcolo girano e lo storage e altre risorse risiedono.

Le responsabilità di sicurezza che sono sempre del cliente includono la gestione degli utenti e dei loro privilegi di accesso (gestione dell’identità e dell’accesso), la salvaguardia degli account cloud da accessi non autorizzati, la crittografia e la protezione delle risorse di dati basate sul cloud e la gestione della postura di sicurezza (conformità).

Le 7 principali sfide della sicurezza avanzata del cloud

Perché il cloud pubblico non ha perimetri chiari, presenta una realtà di sicurezza fondamentalmente diversa. Questo diventa ancora più impegnativo quando si adottano approcci moderni al cloud, come i metodi di Continuous Integration e Continuous Deployment (CI/CD) automatizzati, le architetture serverless distribuite e le risorse effimere come Functions as a Service e i container.

Alcune delle sfide avanzate alla sicurezza cloud-native e i molteplici livelli di rischio affrontati dalle odierne organizzazioni orientate al cloud includono:

  1. Aumentata superficie di attacco

    L’ambiente del cloud pubblico è diventato una superficie di attacco ampia e molto attraente per gli hacker che sfruttano porte di ingresso del cloud poco sicure per accedere e interrompere i carichi di lavoro e i dati nel cloud. Malware, Zero-Day, Account Takeover e molte altre minacce dannose sono diventate una realtà quotidiana.

  2. Mancanza di visibilità e tracciamento

    Nel modello IaaS, i fornitori di cloud hanno il pieno controllo sul livello di infrastruttura e non lo espongono ai loro clienti. La mancanza di visibilità e controllo è ulteriormente estesa nei modelli di cloud PaaS e SaaS. I clienti del cloud spesso non possono identificare e quantificare efficacemente le loro risorse del cloud o visualizzare i loro ambienti del cloud.

  3. Carichi di lavoro in continua evoluzione

    Le risorse del cloud vengono fornite e smantellate in modo dinamico, su scala e alla velocità. Gli strumenti di sicurezza tradizionali sono semplicemente incapaci di applicare le politiche di protezione in un ambiente così flessibile e dinamico, con i suoi carichi di lavoro effimeri e in continua evoluzione.

  4. DevOps, DevSecOps e automazione

    Le organizzazioni che hanno abbracciato la cultura CI/CD DevOps altamente automatizzata devono garantire che i controlli di sicurezza appropriati siano identificati e incorporati nel codice e nei modelli fin dalle prime fasi del ciclo di sviluppo. I cambiamenti relativi alla sicurezza implementati dopo che un carico di lavoro è stato distribuito in produzione possono minare la posizione di sicurezza dell’organizzazione e allungare i tempi di commercializzazione.

  5. Gestione dei privilegi e delle chiavi di accesso

    Spesso i ruoli degli utenti cloud sono configurati in modo molto approssimativo, concedendo ampi privilegi oltre a quanto previsto o richiesto. Un esempio comune è quello di dare permessi di cancellazione o scrittura del database a utenti non addestrati o a utenti che non hanno alcuna necessità aziendale di cancellare o aggiungere risorse del database. A livello di applicazione, chiavi e privilegi configurati in modo improprio espongono le sessioni a rischi per la sicurezza.

  6. Ambienti complessi

    Gestire la sicurezza in modo coerente negli ambienti ibridi e multicloud preferiti dalle aziende oggigiorno richiede metodi e strumenti che funzionino senza soluzione di continuità tra i fornitori di cloud pubblici, i fornitori di cloud privati e le implementazioni on-premise, compresa la protezione delle filiali per le organizzazioni geograficamente distribuite.

  7. Compliance e governance del cloud

    Tutti i principali fornitori di cloud si sono allineati con la maggior parte dei noti programmi di accreditamento come PCI 3.2, NIST 800-53, HIPAA e GDPR. Tuttavia, i clienti hanno la responsabilità di garantire che il loro carico di lavoro e i processi di dati siano conformi. Data la scarsa visibilità e le dinamiche dell’ambiente cloud, il processo di verifica della conformità diventa quasi una missione impossibile, a meno che non si utilizzino strumenti per ottenere controlli di conformità continui ed emettere avvisi in tempo reale sulle configurazioni errate.

Zero Trust e perché si dovrebbe abbracciare

Il termine Zero Trust è stato introdotto per la prima volta nel 2010 da John Kindervag che, a quel tempo, era un analista senior di Forrester Research. Il principio di base di Zero Trust nella sicurezza del cloud è quello di non fidarsi automaticamente di nessuno o niente all’interno o all’esterno della rete e di verificare (cioè, autorizzare, ispezionare e proteggere) ogni cosa.

Zero Trust, per esempio, promuove una strategia di governance di minimo privilegio in cui agli utenti viene dato accesso solo alle risorse necessarie per svolgere i loro compiti. Allo stesso modo, invita gli sviluppatori a garantire che le applicazioni web-facing siano adeguatamente protette. Per esempio, se lo sviluppatore non ha bloccato le porte in modo coerente o non ha implementato le autorizzazioni su una base “secondo necessità”, un hacker che prende il controllo dell’applicazione avrà i privilegi per recuperare e modificare i dati dal database.

Inoltre, le reti Zero Trust utilizzano la micro-segmentazione per rendere la sicurezza della rete cloud molto più granulare. La micro-segmentazione crea zone sicure nei data center e nelle implementazioni in-the-cloud, segmentando così i carichi di lavoro l’uno dall’altro, proteggendo tutto all’interno della zona e applicando politiche per proteggere il traffico tra le zone.

I 6 pilastri della robusta sicurezza del cloud

Mentre i fornitori di cloud come Amazon Web Services (AWS), Microsoft Azure (Azure) e Google Cloud Platform (GCP) offrono molte funzionalità e servizi di sicurezza nativi del cloud, le soluzioni supplementari di terze parti sono essenziali per ottenere una protezione di livello aziendale del carico di lavoro del cloud da violazioni, fughe di dati e attacchi mirati nell’ambiente cloud. Solo uno stack di sicurezza integrato cloud-native/di terze parti fornisce la visibilità centralizzata e il controllo granulare basato su policy necessario per fornire le seguenti best practice di settore:

  1. Controlli IAM e di autenticazione granulari e basati su policy in infrastrutture complesse

    Lavora con gruppi e ruoli piuttosto che a livello di singolo IAM per rendere più semplice l’aggiornamento delle definizioni IAM al variare dei requisiti aziendali. Concedere solo i privilegi minimi di accesso alle risorse e alle API che sono essenziali per un gruppo o un ruolo per svolgere i propri compiti. Più ampi sono i privilegi, più alti sono i livelli di autenticazione. E non trascurate una buona igiene IAM, applicando politiche di password forti, time-out dei permessi e così via.

  2. Controlli di sicurezza della rete cloud a fiducia zero attraverso reti e microsegmenti logicamente isolati

    Deploy delle risorse e delle app business-critical in sezioni logicamente isolate della rete cloud del provider, come Virtual Private Clouds (AWS e Google) o vNET (Azure). Utilizzare le sottoreti per micro-segmentare i carichi di lavoro l’uno dall’altro, con politiche di sicurezza granulari ai gateway delle sottoreti. Utilizzare collegamenti WAN dedicati nelle architetture ibride e utilizzare configurazioni di routing statiche definite dall’utente per personalizzare l’accesso ai dispositivi virtuali, alle reti virtuali e ai loro gateway e agli indirizzi IP pubblici.

  3. Applicazione delle politiche di protezione del server virtuale e dei processi come la gestione delle modifiche e gli aggiornamenti del software:

    I fornitori di sicurezza del cloud forniscono una solida gestione della postura di sicurezza del cloud, applicando in modo coerente regole e modelli di governance e conformità durante il provisioning dei server virtuali, controllando le deviazioni di configurazione e ponendo rimedio automaticamente dove possibile.

  4. Salvaguardare tutte le applicazioni (e soprattutto le app distribuite cloud-native) con un web application firewall di nuova generazione

    Questo ispezionerà e controllerà in modo granulare il traffico da e verso i server delle applicazioni web, aggiornerà automaticamente le regole WAF in risposta ai cambiamenti del comportamento del traffico e verrà distribuito più vicino ai microservizi che stanno eseguendo i carichi di lavoro.

  5. Protezione avanzata dei dati

    Protezione avanzata dei dati con crittografia a tutti i livelli di trasporto, condivisione di file e comunicazioni sicure, gestione continua del rischio di conformità e mantenimento di una buona igiene delle risorse di archiviazione dei dati, come il rilevamento dei bucket mal configurati e la terminazione delle risorse orfane.

  6. Threat intelligence che rileva e rimedia alle minacce note e sconosciute in tempo reale

    I fornitori di sicurezza in-the-cloud di terze parti aggiungono un contesto ai grandi e diversi flussi di log cloud-native incrociando in modo intelligente i dati di log aggregati con dati interni come i sistemi di gestione delle risorse e della configurazione, gli scanner di vulnerabilità, ecc. e dati esterni come i feed pubblici di threat intelligence, i database di geolocalizzazione, ecc. Essi forniscono anche strumenti che aiutano a visualizzare e interrogare il panorama delle minacce e promuovono tempi più rapidi di risposta agli incidenti. Gli algoritmi di rilevamento delle anomalie basati sull’intelligenza artificiale vengono applicati per catturare le minacce sconosciute, che poi vengono sottoposte ad analisi forensi per determinare il loro profilo di rischio. Gli avvisi in tempo reale sulle intrusioni e le violazioni dei criteri accorciano i tempi di rimedio, a volte anche innescando flussi di lavoro di rimedio automatico.

Per saperne di più sulle soluzioni CloudGuard di Check Point

La piattaforma unificata di sicurezza cloud CloudGuard di Check Point si integra perfettamente con i servizi di sicurezza cloud-native dei provider per garantire che gli utenti cloud rispettino la loro parte del modello di responsabilità condivisa e mantengano politiche di Zero Trust su tutti i pilastri della sicurezza cloud: controllo degli accessi, sicurezza della rete, conformità dei server virtuali, protezione del carico di lavoro e dei dati e informazioni sulle minacce.

Check Point Unified Cloud Security Solutions

  • Soluzioni di sicurezza cloud native
  • Gestione della postura di sicurezza cloud
  • Protezione del carico di lavoro cloud
  • Cloud Intelligence e caccia alle minacce
  • Sicurezza della rete cloud
  • Sicurezza serverless
  • Sicurezza container
  • Sicurezza AWS
  • Sicurezza Azure
  • Sicurezza GCP
  • Sicurezza Branch Cloud

admin

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.

lg