Cloud e Security: adottare una strategia di difesa efficace
Tra le sfide che ogni azienda si trova o si troverà ad affrontare assumono un ruolo di primaria importanza l’adozione del cloud e la definizione di un piano concreto di security.
Proteggere gli investimenti, la proprietà intellettuale, i propri asset e dati aziendali può realizzarsi soltanto attraverso un percorso continuativo che va adattato e migliorato nel tempo.
Più è forte la spinta innovativa e la dinamicità dell’azienda, maggiore è il legame tra cloud e security: andiamo ad analizzare gli aspetti che compongono questa complessità e come è possibile affrontarli.
Cloud e Security: strategia di difesa
Storicamente, prima dell’utilizzo di servizi cloud, il reparto IT doveva occuparsi del proprio data center e di utenti che difficilmente si muovevano fuori dalla rete aziendale. Nel mercato italiano esistono ancora parecchie realtà che utilizzano questo layout.
L’approccio consolidato nel tempo è quello di:
- difendere il perimetro della rete;
- difendere il contenuto della rete;
- difendere i dispositivi, anche in mobilità.
Questo piano assomiglia molto alla difesa di un fortino, in cui è necessario proteggere i confini e verificare che non ci siano brecce nella protezione.
Negli anni gli strumenti informatici e le soluzioni di cyber security hanno raggiunto un livello di maturità che permette di definire come maturo l’approccio alla difesa basato su:
Tecnologia di difesa
- sistemi IPS e IDS;
- firewall perimetrali, meglio se di nuova generazione;
- antivirus e antimalware con evoluzione sui sistemi di EDR.
Soluzioni e servizi di Cyber Security
- raccolta dei log degli apparati all’interno di un SIEM;
- generazione di alert verso un SOC;
- monitoraggio continuo del traffico di rete;
- monitoraggio continuo delle vulnerabilità e relative remediation;
Best Practice
- segregazione delle reti;
- autenticazione centralizzata;
- definizione puntuale dei permessi degli utenti.
Con l’adozione dei servizi offerti dai cloud provider questo approccio non è più sufficiente.
Il perimetro cambia e in alcune situazioni diventa effimero, le applicazioni e i servizi a disposizione degli utenti devono essere raggiungibili ovunque.
La complessità aumenta se ragioniamo su soluzioni multi-cloud e hybrid-cloud: da una parte dobbiamo validare gli approcci su fornitori differenti e dall’altra dobbiamo gestire il legame tra il data center locale e i servizi cloud.
Cloud e Security: shared responsibility
In un modello tradizionale basato su infrastruttura on-premise la responsabilità di attuare un efficace piano di security e rispondere prontamente alle minacce è totalmente in carico all’azienda. Con l’accesso ai servizi cloud questo paradigma cade ed è necessario chiarire in quali casi la responsabilità è del cloud service provider (CSP Responsibility) e in quali altri è del cliente (Customer Responsibility).
Questa struttura non è fissa, ma varia in base alla tipologia di servizio che viene acquisito dal cloud provider.
Gartner analizza i 3 modelli classici dei servizi cloud: 1. IaaS: in cui il cliente ha spostato sul cloud provider la responsabilità dell’infrastruttura fisica e della componente di virtualizzazione; 2. PaaS: in cui il CSP copre un ambito più ampio fino ai servizi di Runtime e Middleware; 3. SaaS: in cui il cliente ha delegato anche la gestione delle applicazioni.
Rimane però chiaro un aspetto fondamentale: il cliente avrà sempre la responsabilità delle persone e di tutti gli aspetti legati all’identità digitale e ai dati utilizzati da persone e applicazioni.
È quindi utile analizzare l’interpretazione del modello di shared responsibility di due cloud service provider (Azure e AWS). Microsoft pone particolare attenzione alla tipologia di servizio erogato (IaaS, PaaS, SaaS) sulla falsa riga di Gartner.
Aggiunge però due aspetti:
- divide la gestione dell’infrastruttura di identity dalla gestione degli account e identità;
- esplicita che la gestione dei device è sempre in carico al cliente.
AWS, invece, esprime lo stesso concetto con una visione più legata al layout infrastrutturale.
Interessante l’idea del contenuto e contenitore:
- il contenitore (Responsibility for security OF the cloud) è in carico ad AWS;
- il contenuto (Responsibility for security IN the cloud) è sempre in carico al cliente;
Approccio all’adozione del cloud
Per avere una strategia di successo per l’adozione del cloud è necessario procedere in modo graduale: esistono molti esempi di aziende che hanno adottato un approccio “big-bang”, fallendo e pagando duramente tale errore.
L’adozione del cloud non è quindi un processo statico, ma varia nel tempo.
Applicando la metodologia DevSecOps, è necessario utilizzare un modello ricorsivo, diviso in tre fasi: 1. secure design: gli aspetti di security devono essere analizzati fin dalle prime fasi del disegno architetturale in quanto vitali per i passi successivi. Il design può essere eseguito top-down, scendendo progressivamente di livello di dettaglio; 2. secure build: l’implementazione di quanto definito deve essere eseguita monitorando ogni step per evitare che mis-configuration generino incident di sicurezza. Prima di rilasciare in produzione qualunque soluzione è necessario eseguire un security assessment per risolvere tempestivamente eventuali vulnerabilità; 3. manage security: è necessario monitorare in mondo continuativo l’utilizzo di tali servizi e le nuove minacce. In questo ambito bisogna continuamente analizzare il flusso di informazioni, raccogliere i log e centralizzarli in un SIEM, eseguire costantemente security assessment ed eventualmente triggerare il processo di secure design.
Cloud e Security: quali sono le priorità
Riportiamo la piramide di Gartner che schematizza i temi che devono essere affrontati per poter adottare il cloud con un crescente grado di sicurezza.
È chiaro che è necessario analizzare in modo prioritario i temi che stanno alla base e aggiungere componenti con il crescere della maturità e adozione.
Analizziamo, quindi, i sei aspetti indispensabili da affrontare.
Secure Network
L’approccio da utilizzare per configurare i vari tenant e applicazioni cloud è quello di segregare il più possibile il network tra i vari ambienti per ridurre il rischio che la compromissione di un sistema possa impattare anche altri sistemi.
L’utilizzo di VPN risolve le necessità di comunicazione, in quanto il traffico passa su canale sicuro, ma può essere ospitato su tipologie diverse di connettività (internet, dedicated ecc.)
Un “must” deve essere:
- la segregazione delle reti di produzione on-premise da quelle del cloud;
- autorizzare solo le comunicazioni necessarie.
Identity Management
La sicurezza nel cloud è basata sulla protezione dell’identità e in modo secondario sulla protezione del perimetro.
Per questo motivo è necessario adottare sistemi di identity management avanzati che permettano di centralizzare le credenziali, abilitare il single-sign on e gestire le autorizzazioni per applicazione.
Una corretta profilazione degli utenti sta alla basa del buon funzionamento di ogni sistema di identity management.
Fortemente consigliata l’adozione di soluzioni di MFA (multi factor authentication) per risolvere i limiti umani della gestione delle complessità delle password e rimuovere i rischi di brute force attack.
Porre attenzione agli amministratori dei sistemi che devono avere un livello di sicurezza nell’autenticazione maggiore rispetto ad un utente base (es. password complessa per gli utenti standard e MFA per gli amministratori).
Access Management
I sistemi di Rule Base Access Control (RBAC) permettono di definire in modo puntuale le autorizzazioni di ogni singolo utente e in modo granulare ogni singola tipologia di attività permessa.
Vale la regola che le autorizzazioni devono essere cucite in modo sartoriale sulle esigenze dell’utente, monitorando in modo costante le attività eseguite e rimuovendo eventuali autorizzazioni non necessarie.
Log & Analyze
Con la dinamicità del cloud, bisogna attivare il logging di tutti i componenti utilizzati, del traffico che viene generato tra di loro e verso il data center cliente.
Tali log vanno raccolti utilizzando gli strumenti del CSP che ne fa una prima scrematura e poi centralizzarli in un SIEM per poter applicare regole di correlazione e generare allarmi verso il SOC.
I vendor di SIEM più noti hanno creato dei connettori per i vari componenti del cloud con già applicate le regole base di correlazione.
Non è però semplice definire uno standard, in quanto ogni azienda può approcciare i servizi cloud in modo differente.
Continuous Assessment
Non possiamo fidarci del design iniziale e dell’implementazione eseguita prima di rilasciare la soluzione in produzione.
È quindi importante monitorare costantemente la cloud security posture. Esistono diverse soluzioni sul mercato (CSPM Tools), spesso non fornite dal cloud service provider, che confrontano le policy definite con l’effettiva configurazione presente sul tenant.
Visto che “tutto è software”, il rischio di mis-configuration è molto alto.
All’interno di tali tools ci sono profili standard forniti dal vendor, ma è possibile personalizzare la matrice di confronto e i controlli da eseguire.
Encrypt if it’s possible
La responsabilità della sicurezza dei dati rimane sempre in carico al cliente ed è per questo consigliato attivare le funzionalità di encryption native nelle applicazioni e basarsi su un sistema avanzato di gestione delle chiavi.
In questo modo, eventuali compromissioni del cloud provider o del canale di comunicazione non permettono ai cyber criminali di accedere ai dati aziendali.
Raccomandazioni
L’utilizzo dei servizi cloud è ormai uno standard di mercato. I Cloud Service Provider ampliano costantemente le funzionalità offerte e tale processo deve essere continuamente gestito.
Ad esempio, durante l’emergenza Covid è esploso l’utilizzo degli strumenti di collaborazione cloud (Teams, Zoom, Google Cloud), senza però una governance centralizzata.
L’adozione graduale del cloud è fondamentale, ma è chiaro che non tutte le decisioni e le scelte passano dal reparto IT dell’azienda (Shadow IT).
Per questo motivo è necessario un monitoraggio costante dei servizi utilizzati dagli utenti per correggere il design o chiudere falle di sicurezza in modo tempestivo.
Non è più possibile approcciare la security proteggendo il perimetro in quanto i servizi sono sempre più ibridi e usati in mobilità.
👉 Il seguente articolo è stato scritto per Cybersecurity360.it 👈