Una serie di violazioni di alto profilo e fughe di dati sensibili negli ultimi mesi hanno acceso i riflettori sulla sicurezza del cloud, costringendo le aziende a rivalutare la prontezza, l'architettura e la sicurezza delle nuvole. I responsabili IT hanno capito come le offerte dei cloud provider (AWS IBM, Microsoft Azure, Google, Alibaba e via dicendo), siano anche molto diverse tra loro: ognuna ha i suoi punti di forza ma anche i suoi punti di debolezza. Le aziende tendono a utilizzare una serie di piattaforme diverse: questo significa che monitoraggio dei dati, rilevamento di anomalie e individuazione di comportamenti scorretti su diversi servizi possono riverlarsi difficili.

Violazioni del cloud che crescono

Solo nell'ultimo anno, la letteratura delle violazioni ai dati e alla continuità operativa legata al cloud ha registrato un'impennata dei data breach. Il "Data Breach Investigations Report 2020" di Verizon ha esaminato gli attacchi avvenuti in 81 paesi del mondo evidenziando il raddoppio delle violazioni su cloud rispetto al 2019. Nell'ultimo report "Understanding security of the cloud: from adoption benefits to threats and concerns" realizzato nel 2020 dagli analisti di Kaspersky Lab, a minacciare la sicurezza all'interno delle infrastrutture del cloud pubblico sono soprattutto gli utenti aziendali. Il 90% delle violazioni dei dati aziendali nel cloud (l'88% per le PMI e il 91% per le grandi aziende) avviene grazie a tecniche di social engineering. Un terzo degli incidenti (33%) all'interno del cloud, infatti, è causato da tecniche di social engineering che cercano di sfruttare il comportamento dei dipendenti, mentre solo l'11% può essere imputato ad azioni dei cloud provider. Un altro sondaggio condotto da IDC su un panel di 300 CISO operanti in diversi settori (banche, assicurazioni, sanità, farmaceutica e altro) ha messo in evidenza i rischi legati all'uso di ambienti ibridi e multicloud. L'80% degli intervistati, ad esempio, ha ammesso di non essere in grado di identificare un accesso eccessivo ai dati sensibili negli ambienti IaaS/PaaS.

Il problema delle autorizzazioni

C'è poi un altro fattore troppo spesso sottovalutato: il fatto che, per velocizzare la risposta agli utenti, vengono concesse autorizzazioni di accesso con troppa facilità. La regola generale, infatti, sarebbe quella di consentire privilegi minimi. Ad esempio, se a un utente o a un gruppo di utenti si concedono privilegi elevati per un progetto, è necessario, terminato il progetto, tornare al livello originario. Concedere privilegi che non sono necessari ai fini della produttività di una persona agevola i cyber criminali. Se violano un account con permessi di amministratore possono distribuire agevolmente malware in più aree della rete e causare danni enormi, fino al blocco totale dell'azienda stessa.

Cloud consumer e trust boundary

Dal punto di vista della governance, l'utilizzo remoto delle risorse IT richiede un'espansione dei trust boundary da parte dell'azienda che utilizza un cloud. Il termine si riferisce a quel confine entro il quale un sistema si fida di tutti i sottosistemi, dati inclusi, allargando il proprio livello di fiducia. Una violazione del limite di fiducia si riferisce a una vulnerabilità in cui il software del computer si fida dei dati che non sono stati convalidati prima di attraversare un confine. Se cloud consumer e cloud provider non supportano le stesse tecnologie di sicurezza, può essere difficile stabilire un'architettura di security che estenda il trust boundary senza introdurre vulnerabilità. In più, siccome le risorse IT cloud-based sono tipicamente condivise, possono esserci sovrapposizioni di trust boundary di cloud consumer diversi.

Attenzione alle garanzie

Quali sono le garanzie che le tecnologie di sicurezza in chiave multicloud devono offrire? Innanzitutto fornire un accesso sicuro alle applicazioni e alle componenti che risiedono nel cloud, proteggendo dati e informazioni aziendali su qualsiasi nuvola questi siano ospitati. In entrambi i casi, devono mantenersi efficaci in caso di failover e indipendentemente da ogni movimento delle applicazioni e delle componenti, che potrebbero essere per varie ragioni spostate da un cloud all'altro o ridimensionate. Un'altra garanzia importante da verificare è la capacità di adattamento delle soluzioni in cloud ai nuovi service provider o alle nuove funzionalità che man mano possono aggiungersi all'ecosistema aziendale. Per proteggere adeguatamente tutte le applicazioni e i dati aziendali il consiglio degli esperti è di dotarsi di tecnologie che consentano all'IT di gestire le diverse risorse di hosting in modo uniforme: rendere la distribuzione e la manutenzione delle applicazioni ogni volta diversa da provider a provider complica le procedure di sicurezza.

Attenzione agli strumenti

Che strumenti devono essere sfruttati dalle aziende per indirizzare una efficace strategia di sicurezza nel multicloud? Prima di tutto i tool incorporati o strettamente collegati alla singola applicazione, generalmente progettati per proteggere i punti in cui gli utenti effettuano l'accesso e si spostano insieme alle applicazioni, quando queste vengono migrate da una nuvola all'altra (o da una nuvola a un data center aziendale on premise). È un tipo di sicurezza che si collega al capitolo della security by design, tema centrale del nuovo regolamento europeo GDPR. Alla sicurezza delle applicazioni devono aggiungersi i servizi e le funzionalità di sicurezza proprie del cloud pubblico, che variano in base al fornitore. I principali fornitori dispongono di svariati servizi web progettati per il controllo degli accessi, inclusi strumenti di identity management e security auditing. In particolare, se si adotta un modello multicloud, ma si ha un solo fornitore di applicazioni di frontend (uno scenario quindi che da questo punto di vista non presenta eterogeneità da dover gestire), queste tecnologie possono rappresentare una buona prima forma di difesa a livello di user-access security. Sono infine necessari strumenti di network security, access security e tool specifici di cui deve dotarsi l'impresa per offrire quella protezione ulteriore che nessuna delle due tipologie di strumenti sopra citati può offrire.

I vantaggi dei servizi in cloud

Dall'obiettivo iniziale di monitoraggio e gestione in remoto di server e reti, negli anni la missione degli MSSP si è progressivamente ampliata, per stare al passo dello sviluppo tecnologico. Oggi i Managed Security Service Provider prendono in carico anche la gestione delle infrastrutture fisiche e virtuali nonché di tutti i servizi in cloud e in multicloud, presidiando anche tutti gli aspetti legati alla compliance che, con il GDPR, oggi impone ulteriori criteri di attenzione e di servizio associati alla gestione dei dati e della sicurezza. Dalla progettazione di sistemi complessi alla data protection, dalla cyber security alla business continuity fino al disaster recovery, gli MSSP sono sempre al fianco del cliente proteggendo dati, informazioni e processi aziendali. Vendor indipendent, questo tipo di provider offre, integra e amministra le migliori tecnologie dei migliori brand su base cloud computing, hybrid e on premises, gestendo direttamente le soluzioni in ottica full outsourcing opure fornendo al cliente la soluzione realizzata e consegnata in base alle specifiche esigenze. Il tutto in maniera efficace e totalmente flessibile, garantendo la massima personalizzazione dei servizi. A fare la differenza è un approccio olistico alla sicurezza, ovvero integrato e capace di includere un'analisi preliminare rispetto a un programma completo di gestione del rischio. I MSSP hanno un SOC (Security Operation Center) e un NOC (Networking Operation Center) in cui lavorano decine di specialisti che controllano i flussi informativi di ogni servizio, decodificando ogni tipo di log, di alert e di segnale non solo per verificare la qualità dei processi ma anche per identificare le possibili curve di miglioramento che portano all'ulteriore ottimizzazione di funzioni e prestazioni. Le aziende hanno sempre contezza di ciò che succede: tramite un'accesso web-based, un cruscotto centralizzato condivide aggiornamenti in tempo reale e una reportistica personalizzata sulle esigenze dell'organizzazione. Ma ecco quali sono i principali vantaggi dell'affidarsi a un servizio cloud.

  • Aggionamenti e patching
    Questi processi sono in genere secondari rispetto alle priorità operative e di business e devono entrare in una finestra di manutenzione specifica. Nel caso dei servizi cloud, i clienti non hanno bisogno di occuparsi della manutenzione di questi processi: sono i fornitori dei servizi ad occuparsi di tutto, condividendo con tutti i referenti dell'azienda dati e informazioni su ogni livello di servizio, presidiando aggiornamenti e patch in modalità continua.
  • Ridimensionamento rapido
    I servizi cloud consentono ai clienti di ottenere rapidamente una maggiore capacità di elaborazione ma anche modalità di presidio evolute. Dal punto L'utilizzo di SOAR (Security Orchestration Automation Response) e di altri strumenti di gestione unificati consente di automatizzare alcuni servizi (ad es. per i casi di tipo Denial-of-Service il phishing o lo IAM – Identity Access Management).
  • Federazione delle identità (FDI)
    La FDI, in una logica multicloud, consente agli utenti di accedere a dati e servizi utilizzando le stesse informazioni di accesso dei sistemi interni in modo sicuro e senza soluzione di continuità. Chi presidia l'attività amministrazione lato utenti evita inutili ridondanze, avendo sempre massima visibilità sulle dinamiche di accesso. Tramite l'uso di standard aperti, la FDI fa in modo che più parti possano conseguire un'interoperabilità cross-domain sicura.
  • Posizione dei dati remotizzati
    Quando si parla di multicloud, i dati vengono generalmente archiviati in più copie nei data center geograficamente remoti (la cui qualità è associata alla qualifica Tier). In caso di guasto di uno di essi (ad es. per una calamità naturale) e conseguente distruzione di tutti i dati ivi archiviati, si perderanno solo i dati in un centro; ciò significa che non si verificherà una perdita permanente dei dati, poiché esistono altre copie in diversi data center.
  • Sicurezza su vasta scala ed expertise
    I prodotti cloud offerti dai cloud provider sono protetti in modo molto migliore rispetto alle risorse IT nelle organizzazioni tradizionali. Inoltre, i fornitori hanno SOC e NOC dove lavorano più esperti di sicurezza, che sono direttamente responsabili della sicurezza dei servizi. Inoltre, se ci si rivolge a un MSSP, le aziende devono sapere che questo tipo di fornitori può farsi carico e assolvere pienamente il ruolo del Data Protection Officer.

 

18 novembre 2020