Sicurezza per il cloud

Best practices per una Cloud Security completa, affidabile e innovativa

Non si tratta di aggiornare una strategia di sicurezza già adottata: con la cloud security la protezione degli asset cambia totalmente per rispondere a minacce spesso frutto di dinamiche inedite. Spinte ad implementare nuove best practices, le aziende spesso diventano più sicure di quanto non lo fossero nell’era legacy.

03 Dic 2021

Se ben protetto il cloud può essere più sicuro dei sistemi legacy on-premises. Con le tante strategie e gli innovativi strumenti di cloud security oggi si possono cacciare i timori relativi ad una perdita di sicurezza legata alla migrazione concentrandosi invece sul comprendere meglio cosa sta in quel “se ben protetto”.

Basta una prima occhiata al nuovo panorama di sicurezza che si staglia oggi davanti agli occhi delle aziende e dei governi per scoprire i fenomeni che hanno creato una forte discontinuità – oltre al cloud e allo smart working – e prendere atto che una cloud security efficace deve coincidere con un totale cambio di approccio e ad una forte azione anche a livello di competenza tecniche. Mai dare per scontato infatti che sarà il cloud provider ad occuparsi di tutto, oggi è necessario un gioco di squadra in cui cliente e fornitore collaborano con delle regole chiare e condivise per far fronte sia alla veloce innovazione tecnologica che ha reso gli standard di sicurezza classici totalmente inadeguati, sia alla centralizzazione e l’enorme raccolta di dati sui server di pochi grandi provider di servizi, molto pericolosa.

Cos’è la cloud security

Sotto il cappello della “cloud security” si possono trovare strumenti, tecnologie e strategie che mirano a proteggere i dati e le informazioni in un’architettura cloud e a garantire la privacy, la sicurezza e la compliance di quelli archiviati nel cloud da intendere non come un semplice ambiente ma come un nuovo e totalmente diverso modo di pensare, di agire, di condividere. E’ infatti proprio la natura dinamica del cloud ad obbligarci a cambiare approccio includendo nella sicurezza controlli e miglioramenti per rafforzare il sistema, un piano per la business continuity e un piano per il backup dei dati e, nel public cloud, un chiaro modello di responsabilità condivisa in cui a provider e cliente è richiesto uno sforzo combinato.

Dalla sicurezza tradizionale alla cloud security: cosa cambia

Prima di approfondire i meccanismi e le strategie di cloud security che tutti imprescindibilmente devono mettere in atto, è importante analizzare gli aspetti in cui essa si distingue dai classici modelli IT di sicurezza per coglierne il forte messaggio di innovazione e le potenzialità per il futuro.

  • Archiviazione dei dati: nei i vecchi modelli IT avveniva onsite ma è una pratica costosa e poco flessibile, le infrastrutture cloud-based permettono una riduzione dei costi e sollevano gli utenti da alcuni controlli.
  • Velocità di adeguamento: con la cloud security è più facile scalare i sistemi informatici delle organizzazioni e adattarli alle modifiche in itinere, anche dal punto di vista della sicurezza
  • Interfaccia di sistema per gli utenti finali: il loro numero aumenta per cui è necessario alzare il livello di allerta ed evitare impostazioni poco sicure e comportamenti d’accesso al sistema poco accorti.
  • Prossimità di altri sistemi e dati in rete: con i sistemi cloud c’è una connessione costante fra provider e utenti, entrambi devono garantire la configurazione e il mantenimento di un sistema sicuro e una continua attività di educazione alla security sia tecnica che comportamentale

La cloud security non è un onere: ecco i vantaggi 

Tutto quanto detto finora e ciò che si aggiungerà nei prossimi paragrafi non va vissuto come un onere, come un prezzo da pagare, in sforzi di sicurezza, per godere dei vantaggi del cloud perché esso ne apporta anche nelle pratiche di security stesse. Ecco i principali:

  • Protezione contro gli attacchi, soprattutto i DDoS (Distributed Denial of Service).
  • Sicurezza dei dati sensibili con misure come la crittografia
  • Maggiore disponibilità di servizi di assistenza e monitoraggio in tempo reale
  • Maggiore affidabilità grazie alla ridondanza integrata
  • Compliance normativa garantita attraverso il supporto dei cloud provider

Come funziona la cloud security

Per concepire un nuovo modello di sicurezza adatto al cloud è stato necessario individuare dei punti fermi di questa nuova tecnologia su cui disegnare una strategia adatta, quasi da zero. Con il cloud computing, ad esempio, le risorse sono distribuite e altamente interdipendenti: facendone un uso estremamente dinamico, gli ambienti diventano sempre più connessi e la superficie di attacco sempre più ampia e difficile da identificare chiaramente. Nonostante tutto questo, la cloud security deve garantire che solo gli utenti autorizzati possano accedere ai dati conservati nel cloud permettendo a una qualsiasi organizzazione di cogliere i vantaggi del cloud computing riducendo al minimo i rischi.

Cosa protegge la cloud security

Un tema importante e ricorrente all’interno di ogni strategia di cloud security è quello della responsabilità: nel cloud computing entrano in gioco molto componenti e i proprietari possono variare di molto a seconda del modello implementato. Ciò rende complessa e spesso ambigua la suddivisione delle responsabilità di client security, meglio quindi subito chiarire come i vari componenti vengano normalmente raggruppati.

  • Reti fisiche: router, corrente elettrica, cablaggio, climatizzatori, ecc.
  • Archiviazione di dati: dischi rigidi, ecc.
  • Server di dati: hardware e software della rete informatica centrale
  • Infrastrutture di virtualizzazione informatica: software per computer virtuali, macchine host e guest
  • Sistemi operativi (SO): software che assistono tutte le funzioni del computer
  • Middleware: gestione dell’interfaccia di programmazione dell’applicazione (API)
  • Ambienti di esecuzione: esecuzione e mantenimento di un programma
  • Dati: tutte le informazioni archiviate, modificate e consultate
  • Applicazioni: servizi software tradizionali (posta elettronica, suite di produttività, ecc.)
  • Hardware dell’utente finale: computer, dispositivi mobili, dispositivi IoT, ecc.

 

Cloud security tramite servizi

I servizi cloud offerti da provider terzi come moduli da comporre per creare l’ambiente cloud sono uno dei possibili canali per attuare la sicurezza nel cloud. In questo caso i servizi sono ospitati sui server del provider e virtualizzati nella sua rete interna, il cliente vi accede in remoto, da qualsiasi luogo, beneficiando di un minor carico sull’hardware e di costi infrastrutturali più bassi.

A seconda della tipologia di servizi, cambia la gestione

  • Software-as-a-Service (SaaS): i clienti accedono ad applicazioni interamente ospitate ed eseguite sui server del provider, devono solo ottenerle e usarle
  • Platform-as-a-Service (PaaS): i clienti hanno un host per sviluppare le proprie applicazioni eseguite nel loro spazio “sandbox” ospitato sui server del provider ma devono anche gestire le applicazioni, i dati, gli accessi degli utenti, e i dispositivi e le reti degli utenti finali.
  • Infrastructure-as-a-Service (IaaS): i clienti hanno l’hardware e le infrastrutture di connettività remota necessari per ospitare le loro risorse informatiche e metterle in sicurezza, i provider gestiscono solo i servizi cloud fondamentali. Resta anche la responsabilità di gestire gli accessi degli utenti, e i dispositivi e le reti degli utenti finali.

 

Cloud security tramite ambienti

In questo caso invece che singoli servizi, i modelli di distribuzione dei provider ne comprendono più di uno offrendo all’utente un vero e proprio sistema di cloud security services in cui è essenziale comprendere come gestire le responsabilità.

Ci sono diverse casistiche, le più comuni sono

  • Ambienti cloud pubblici con servizi cloud multi-tenant di terzi che il provider esegue e a cui si può accedere via web come clienti condividendo i server con altri
  • Ambienti cloud privati di terzi, single-tenant posseduti, gestiti e operati offsite da un provider esterno, in cui il cliente ha l’utilizzo esclusivo del cloud
  • Ambienti cloud privati in-house, anch’essi single-tenant ma gestiti dall’azienda stessa che può quindi configurare e impostare liberamente ogni elemento.
  • Ambienti multi-cloud con due o più servizi cloud da parte di provider diversi e un mix di servizi cloud pubblici e/o privati.
  • Ambienti cloud ibridi, composti da un mix fra cloud di terzi e/o data center, cloud onsite privati, con uno o più cloud pubblici.

La cloud security desiderata nel 2021

Non esiste un solo modo per raccontare come funziona la cloud security perché tanti sono i canali e le modalità con cui implementarla, è interessante quindi scoprire il punto di vista degli utenti: a che soluzioni guardano e come ci guardano.

E’ ciò che ci permette di fare il Cloud Security Report 2021 realizzato da Fortinet e Cybersecurity Insiders interrogando oltre 500 professionisti della cybersecurity in tutto il mondo, impegnati a rispondere alle minacce alla sicurezza nel cloud. Emerge chiara la loro preferenza per la sicurezza nativa del cloud (74%), ma molti apprezzano anche le soluzioni di sicurezza cloud di terzi (48%) e i fornitori di servizi gestiti che forniscono anche quelli di sicurezza (34%). Nel valutare le diverse soluzioni in-the-cloud guardano per prima cosa la certificazione di sicurezza di terze parti (54%) ma anche l’integrazione con gli strumenti di scansione della sicurezza (52%) e la possibilità di scrivere regole personalizzate e azioni di rimedio (49%).

Le tante aree della cloud security

Già nel definire la cloud security si lascia intendere che si tratti di una disciplina ampia, che abbraccia diverse casistiche, come appena visto, e anche tante tematiche e aree che assieme compongono un puzzle di problemi da affrontare. Eccezioni a parte, nessuno andrebbe trascurato per non creare delle falle che allettino gli appetiti dei sempre più ingegnosi hacker:

Protezione dei dati: riguarda le strategie tecniche di prevenzione delle minacce e richiede la creazione di barriere fra accesso e visibilità di dati sensibili come la crittografia end-to-end in grado di mantenere le informazioni critiche non disponibili all’esterno, se non a chi possiede la chiave crittografica.

Gestione di identità e accessi (IAM, Identity and access management): si basa sui privilegi d’accessibilità concessi agli account e sulla gestione di autenticazioni e autorizzazioni e prevede l’uso di metodi di password management e autenticazione multi fattore

Governance di protocolli di prevenzione, rilevamento e mitigazione delle minacce in cui gioca un ruolo importante l’intelligence per tenerne traccia e classificarle ma anche fornire linee guida per un’adeguata risposta da parte di tutti

Data Retention e Business Continuity: due piani necessari da stilare che comprendono misure di disaster recovery, infrastrutture per il collaudo della validità dei backup e istruzioni dettagliate per i dipendenti sul recupero dei dati

Conformità legale per la protezione della privacy degli utenti affinché i loro dati non possano essere sfruttati a scopo di lucro, ad esempio grazie al data masking

Quali minacce combatte la cloud security

Ampio il concetto di cloud security, ampio anche il panorama di minacce che con una buona strategia ci si aspetta di riuscire ad affrontare tra cui alcune già ben note ma che con il cloud hanno conquistato un ruolo da protagoniste: furto di dati, cryptomining e ransomware. La prima è presente in molti degli attacchi ad ambienti cloud più recenti in cui sono stati sottratti sia client di posta che PII, il cryptomining è in aumento e il cloud ne amplifica l’effetto e in aumento è anche il numero dei ransomware, il malware più diffuso seguito da cryptominer e malware botnet.

Più in generale le minacce al tempo della cloud security possono essere divise in 3 diverse categorie tra cui è difficile scegliere le meno problematiche. Ci sono i rischi dell’infrastruttura cloud-based, inclusa l’incompatibilità con infrastrutture IT precedenti e interruzioni nei servizi di archiviazione dati di terzi, le minacce interne causate da errore umano, come un’errata configurazione dei comandi d’accesso per gli utenti – la più temuta secondo il report di Fornitet e Cybersecurity Insider-  e poi minacce esterne tra cui malware, phishing e attacchi DdoS. Non va però trascurato il fenomeno della Shadow IT, soprattutto nell’era dello smart working: quando i dipendenti di un’azienda fanno abitualmente uso di app cloud vulnerabili non approvate dall’organizzazione creano infatti delle comode porte di ingresso per gli hacker.

Le certificazioni del mondo della cloud security

Anche una poco chiara gestione delle responsabilità della sicurezza nel cloud tra utente e provider può creare delle inaspettate e evitabili vulnerabilità. Questo dovrebbe portare entrambi non solo a cercare un accordo ben fatto ma anche a certificare la propria preparazione in materia. Se da un lato il fornitore di cloud o di servizi cloud deve ufficializzare la sua conformità ai requisiti della cloud security, l’azienda dovrebbe potersi avvalere di un numero crescente di professionisti IT competenti in cloud security prima di implementarla

La certificazione in ambito aziendale più importante, quella a cui tutti dovrebbero puntare per convalidare lo stato di sicurezza delle proprie offerte cloud, è la CSA Security Trust Assurance and Risk (STAR), anche segnalata da Agid come unica alternativa alla certificazione ISO 27001 (integrata con ISO 27017 e 27018) per servizi cloud SaaS offerti alla PA. Oltre ad essere uno strumento che permette alle aziende di dimostrare l’aderenza alle best practices di sicurezza e privacy create dalla stessa CSA (Cloud Security Alliance), STAR fa anche da supporto ai loro clienti nella valutazione dei requisiti di sicurezza e privacy offerti dai fornitori.

Dal punto di vista professionale, per i singoli, esistono varie possibilità anche se è ancora CSA la protagonista con il Certificate of Cloud Security Knowledge (CCSK), riconosciuto come lo standard di competenza per la sicurezza del cloud, in grado di fornire le conoscenze base tecniche e metodologiche per implementare e gestire la sicurezza informatica nelle architetture Cloud Computing.

Spunta anche il Certified Cloud Security Professional CCSP sempre supportato da CSA assieme a ISC2, una certificazione per acquisire la capacità di garantire la sicurezza dell’infrastruttura dati ma anche per imparare il funzionamento delle applicazioni cloud, delle piattaforme. Una terza alternativa può essere CompTIA Cloud +, per formare il personale più tecnico su concetti e modelli cloud, virtualizzazione, infrastruttura, gestione della rete, sicurezza, gestione dei sistemi e business continuity.

Vision e best practices per una nuova sicurezza cloud

Soluzioni, certificati e strumenti messi in campo non sono preziosi quanto le best practices che ogni azienda dovrebbe avere ben presente, frutto dell’esperienza di chi combatte le minacce di cloud security sul campo ogni giorno. E’ il modo migliore per non cadere nelle trappole come quella di presumere che pensi a tutto il cloud provider: non è così, ogni organizzazione ha delle importanti responsabilità in ambito sicurezza, come entità e anche come unione di individui ciascuno dei quali porta con se una certa percentuale di rischio.

Prima di affrontare una “carrellata” di best practices molto operative, è essenziale tracciare le linee guida del nuovo approccio che la cloud security richiede partendo dalla necessità di un modello di governance più maturo e semplificato, che renda tutto più agile ma mai meno efficace, e dal bisogno di stabilire una cultura collaborativa coinvolgendo tutti gli attori, dai developer ai dipartimenti di IT Operation e Security. (SecOps). E’ ancora più essenziale adottare una giusta mentalità risk based, valutando policy di sicurezza appropriate per tutti i tipi di workload e di dati affidati al cloud

Nel day by day ci sono 13 consigli da seguire:

  1. Mai lasciare invariate le impostazioni di default, una porta aperta per gli hacker
  2. Disattivare le porte inutilizzate e rimuovere le istanze e i processi non necessari per minimizzare le vulnerabilità.
  3. Mai lasciare i bucket di archiviazione cloud aperti per evitare che gli hacker visualizzino i contenuti.
  4. Scegliere password complesse evitando le scelte più ovvie e le ripetizioni
  5. Usare un password manager ma proteggendolo con una password principale molto complessa.
  6. Proteggere tutti i dispositivi se i vostri dati vengono sincronizzati su tutti
  7. Fare backup regolari da affidare al PC di casa o ad un hard disk esterno o al cloud di un altro provider
  8. Proteggersi con software antivirus e antimalware per impedire agli hacker di penetrare il sistema.
  9. Non accedere ai vostri dati da reti Wi-Fi pubbliche che non richiedono un’autenticazione complessa.
  10. Adottare un sistema di strong access management limitando gli account autorizzati e impostando tutti i gruppi di utenti con il minimo dei requisiti necessari
  11. Automatizzare i processi di sicurezza per migliorare le capacità di rilevamento e risposta
  12. Fare ricorso a simulazioni proattive simulando scenari di attacco per identificare meglio falle nella sicurezza
  13. Scegliere gli strumenti giusti verificando siano efficaci su tutte le risorse cloud e on-premise e privilegiando quelli con tecnologie e standard open per una maggiore interoperabilità;

Una best practice aggiuntiva, fondamentale, riguarda la doverosa verifica di tutti i servizi usati dal proprio provider e delle certificazioni che espone . Fatti gli opportuni controlli, le organizzazioni possono poi fidarsi e accedere più rapidamente alle ultime innovazioni in grado di proteggerle meglio dalle minacce nuove ed emergenti.

Ben consapevole del vantaggio competitivo che questo comporterebbe, VMware ha costruito una rete di partner Vmware Cloud Provider offrendo loro una serie di funzionalità per costruire un nutrito portafoglio di servizi di sicurezza gestiti in grado di rispondere alle esigenze di protezione del 2022 e oltre. Che si tratti di accedere ai workload e alle API, di microsegmentazione con controlli est-ovest avanzati o di controlli edge cloud-to-cloud come maggiore connettività sicura, oppure di policy collegate al carico di lavoro da automatizzare e scalare in modo elastico, l’approccio di VMware è sempre e solo zero trust  l’unico che in un mondo in cui il 76% delle aziende usa due o più cloud provider può dare rendere le aziende certe di aver fatto tutto il possibile per evitare cyber attacchi .

@RIPRODUZIONE RISERVATA

Articolo 1 di 5