Quando si lavora in un ambiente multicloud e crosscloud, l'approccio ideale è di gestire centralmente gli strumenti di sicurezza e le policy create all'interno di questi strumenti su tutti i cloud pubblici e privati occupati dalla propria azienda. Tuttavia, non vi è alcuna garanzia che gli strumenti siano ottimali o addirittura utilizzabili in infrastrutture cloud di terze parti. Pertanto, è importante scegliere strumenti e criteri che soddisfino tutti gli standard di sicurezza interni, oltre a offrire la flessibilità di funzionare in modo coerente in ogni infrastruttura cloud. È necessario mappare, analizzare e rivedere tutti strumenti e processi per verificare quali di questi si adatteranno facilmente alla nuova infrastruttura e quali invece dovranno essere modificati o abbandonati a favore di qualcosa che funziona su tutte le infrastrutture gestite in multicloud.
In tutto questo, mantenere la visibilità in un ambiente multicloud deve essere parte fondamentale di un'architettura sicura.
Idealmente, la visibilità dovrebbe estendersi al livello di rete. Sono disponibili diversi strumenti, tutti gestibili centralmente, per fornire visibilità multicloud.
I SIEM (Security Information and Event Management) di ultima generazione integrano tecnologie che includono l'analisi del comportamento degli utenti e delle entità (User and Entity Behavior Analytics - UEBA) e l'orchestrazione della sicurezza e la risposta automatizzata (Security Orchestration and Automated Response - SOAR). Attraverso una serie di algoritmi euristici, che contemplano la probabilità di identificare cyber attacchi di vario tipo, come gli exploit zero-day, gli attacchi DDOS e brute force, i SIEM 4.0 sfruttano una baseline che gli permette di effettuare operazioni di corrispondenza degli schemi (pattern matching) e di aggregare log per innescare processi analitici avanzati. Il sistema intercetta e localizza velocemente anche tutte le attività anomale che avvengono sulla rete, interoperando con le politiche di security stabilite dall'organizzazione per arrivare a determinare quali azioni dovrebbero essere intraprese e quali no.
Tuttavia, gli strumenti SIEM fanno molto affidamento sui dati di registro, che offrono diversi livelli di granularità a seconda del provider di servizi cloud.
Di conseguenza, la visibilità attraverso l'uso di uno strumento SIEM potrebbe non essere così vantaggiosa come si potrebbe pensare.
Un campo emergente nella sicurezza IT, noto come Network Detection and Response (NDR), potrebbe rivelarsi molto più adatto a fornire il livello necessario di visibilità attraverso le reti ibride e multicloud.
Rispetto al networking aziendale, l'NDR monitora il traffico estraendo i dati di telemetria di rete da varie posizioni, inclusi cloud privati e pubblici.
I dati vengono ottenuti da fonti che includono NetFlow, ispezione approfondita dei pacchetti e altri dati di telemetria della rete di streaming. Le informazioni vengono poi inviate a uno strumento di analisi che decodifica e aggrega i dati per capire esattamente quali dispositivi si trovano sulla rete e con chi stanno parlando. Una volta completata l'elaborazione, vengono create le linee di base del traffico e il traffico viene analizzato da una prospettiva di sicurezza per identificare anomalie del modello di traffico, indicatori di prestazioni non ottimali e corrispondenze con minacce note e sconosciute. Da una prospettiva di visibilità multicloud, una piattaforma NDR può essere implementata nei cloud IaaS per automatizzare la creazione di una mappa di visibilità della rete che identifica tutti i componenti di rete e i server/dispositivi collegati, mostrando le interazioni tra le macchine. Questo è precisamente il livello di dettaglio che gli amministratori della sicurezza cercano, con l'ulteriore vantaggio di utilizzare un'unica piattaforma per monitorare tutte le risorse on-premise e del cloud pubblico in una piattaforma centralizzata.
Dall'obiettivo iniziale di monitoraggio e gestione in remoto di server e reti, negli anni la missione degli MSSP si è progressivamente ampliata, per stare al passo dello sviluppo tecnologico. Oggi i Managed Security Service Provider prendono in carico anche la gestione delle infrastrutture fisiche e virtuali nonché di tutti i servizi in cloud e in multicloud, presidiando anche tutti gli aspetti legati alla compliance che, con il GDPR, oggi impone ulteriori criteri di attenzione e di servizio associati alla gestione dei dati e della sicurezza.
Dalla progettazione di sistemi complessi alla data protection, dalla cyber security alla business continuity fino al disaster recovery, gli MSSP sono sempre al fianco del cliente proteggendo dati, informazioni e processi aziendali.
Vendor indipendent, questo tipo di provider offre, integra e amministra le migliori tecnologie dei migliori brand su base cloud computing, hybrid e on premise, gestendo direttamente le soluzioni in ottica full outsourcing oppure fornendo al cliente la soluzione realizzata e consegnata in base alle specifiche esigenze. Il tutto in maniera efficace e totalmente flessibile, garantendo la massima personalizzazione dei servizi.
Ma quali sono i principali vantaggi dei servizi di sicurezza gestiti ed erogati in cloud?
Un altro punto di forza di un MSSP è la SIG (Sicurezza Informatica Gestita), erogata secondo i più alti standard qualitativi e tecnologici offerti dal mercato. A fare la differenza è un approccio olistico alla sicurezza, ovvero integrato e capace di includere un'analisi preliminare rispetto a un programma completo di gestione del rischio. Gli MSSP hanno un SOC (Security Operation Center) e un NOC (Networking Operation Center) in cui lavorano decine di specialisti che controllano i flussi informativi di ogni servizio, decodificando ogni tipo di log, di alert e di segnale non solo per verificare la qualità dei processi ma anche per identificare le possibili curve di miglioramento che portano all'ulteriore ottimizzazione di funzioni e prestazioni. Le aziende hanno sempre contezza di ciò che succede: tramite un accesso web-based, un cruscotto centralizzato condivide aggiornamenti in tempo reale e una reportistica personalizzata sulle esigenze dell'organizzazione.
Consolidata la scelta di ricorrere a una soluzione cloud rispetto all'approccio on premise, un'azienda deve affrontare la fase di selezione del servizio/soluzione/fornitore che meglio garantisce la copertura delle proprie esigenze. Ecco i principali aspetti da valutare.