Autore: Redazione SecurityOpenLab
L'emergenza sanitaria ha accelerato il passaggio delle aziende al cloud. Le infrastrutture cloud tuttavia non sono un porto sicuro: devono essere protette. Quali sono gli errori che possono compromettere la sicurezza dei dati, tenendo conto che nella maggior parte dei casi le aziende gestiscono infrastrutture ibride?
Sempre più aziende necessitano di un’infrastruttura cloud per sfruttare tutti i benefici di gestione, personalizzazione e costi e la maggior parte di esse si orientano verso il cloud ibrido, un’evoluzione che, tra i tanti benefici, porta con sé anche un aumento delle difficoltà per i reparti di sicurezza IT, che devono essere sicuri che tutte le loro componenti, sia di infrastruttura che client, siano protette, anche se si tratta di decine di migliaia.
La sicurezza dei dati è probabilmente la principale preoccupazionedelle aziende che hanno a che fare con il cloud. Per efficientare le proprie infrastrutture, i servizi IaaS e SaaS (pubblici e privati), si affidano ad ambienti multi-tenancy, dove più clienti condividono la stessa infrastruttura fisica e, in caso di SaaS, molto probabilmente anche gli stessi database. Ciò che si ottiene è una grande superficie di attacco, con una vasta area al di fuori del controllo dell’azienda.
Il perimetro da difendere e monitorare cambia e cresce drasticamente, e molto spesso è poco noto, affinché le applicazioni e i servizi a disposizione degli utenti siano raggiungibili da ovunque, estendendo ulteriormente la superficie d’attacco, motivo per cui è necessario un monitoraggio continuo dei servizi utilizzati dagli utenti per correggere eventuali falle di sicurezza in modo tempestivo. Non è più possibile pensare alla security dedicandosi solo al perimetro poiché i servizi sono sempre più ibridi e usati in mobilità.
In molti casi, i fornitori di servizi cloud pubblici, offrono una sicurezza ben più alta di quella dei data center privati, ma comprendere il livello di sicurezza che viene offerto, è molto importante quando si affidano i propri dati aziendali a qualcuno, da un lato è necessario validare gli approcci con i differenti fornitori, dall’altro lato è necessario gestire l’interconnessione tra data center locale e cloud.
I principali errori in cui si può incorrere, possono essere riassunti di seguito:
Trasferimento di dati e networking
Un’architettura cloud ibrida coinvolge due infrastrutture, quella del cloud pubblico e quella del cloud privato (il proprio Data Center), ambienti che spesso, per motivi aziendali, sono isolati da un accesso Internet, occorre quindi assicurarsi che, durante il trasferimento, i dati mantengano lo stesso livello di sicurezza (se non più elevato). Il consiglio è quindi quello di crittografare la comunicazione e quindi il traffico, tramite i più recenti standard, servizio che viene offerto dai principali servizi cloud per garantire la sicurezza dei dati, tramite Transport Layer Security o crittografia lato client.
Attraverso la rete passa tutto il traffico tra l’infrastruttura e il cloud ibrido, è quindi fondamentale progettare correttamente ogni segmento e tutte le interconnessioni, segregando il più possibile per ridurre il rischio di compromissione. Molte aziende hanno adottato un approccio “big-bang”, con conseguenze spesso gravi dal punto di vista della security, è necessario quindi avere ben chiaro in mente l’architettura desiderata nata da una prima analisi e procedere poi gradualmente e dinamicamente in base alle necessità o agli imprevisti.
Autenticazione e autorizzazione
I metodi di autenticazione e le autorizzazioni sono importanti in qualsiasi azienda, e richiedono un livello di attenzione superiore quando si affrontano le complessità del cloud ibrido, in quanto è necessario valutare attentamente la modalità di accesso ai dati in locale come nel cloud pubblico.
È inoltre necessario, per evitare rischi di sicurezza dovuti a errori umani, assicurarsi che le autorizzazioni siano concesse in base al privilegio minimo e in maniera puntuale per ogni singolo utente, fornendo un accesso limitato ai servizi e consentendo ai dipendenti di utilizzarli solo per funzioni specifiche in base al proprio ruolo.
Non meno importante è la formazione dei dipendenti, i quali devono comprendere i componenti e i servizi con cui lavorano regolarmente, tramite corsi e certificazioni ufficiali (gratuiti o a pagamento) o anche tramite formazione interna.
Audit & Compliance
I cloud ibridi presentano importanti sfide alla compliance, come ad esempio laconformità al GDPR, che lo diventa ancora di più in settori altamente regolamentati come la sanità, la finanza o la pubblica amministrazione, dove spesso molti sono portati a credere che il cloud per questi settori sia impossibile o addirittura vietato, dove un piccolo errore può comportare multe gravi o persino azioni legali.
Per consentire l’applicazione delle policy più corrette, è necessario valutare a priori ogni ambiente per testare la sicurezza complessiva, anche e soprattutto perché è molto più difficile individuare e risolvere un problema di conformità successivamente.
SLA e Data Loss
Una cosa da non dimenticare e sottovalutare, sono i Service Level Agreement (SLA) forniti, in quanto è importante essere a conoscenza dei livelli di qualità offerti, oltre che in quanto tempo il fornitore del servizio interverrà per risolvere eventuali problematiche che potrebbero causare un fermo aziendale, oltre che sapere quali sono le misure e gli strumenti con cui viene gestita la politica di Data Loss Prevention (DLP).
Quali sono le tecnologie e le opzioni migliori per la protezione e la corretta configurazione dei dati in cloud?
Ipotizzando un percorso che segua un filo logico, le prime tecnologie da prendere in considerazione sono quello di Identity e Access Management (IAM) le quali permettono di impostare una federation delle identità, preferibilmente tramite Single Sign-On (SSO), così da centralizzare la gestione e procedere con una corretta profilazione degli utenti, attività che è alla base di un buon funzionamento di un sistema di questo tipo. I principali servizi cloud pubblici offrono i loro servizi integrati, come AWS Single Sign-On, Google Cloud IAM e Microsoft Azure Identity Access and Management, ma è possibile utilizzare anche soluzioni d terze parti come ad esempio OneLogin, i quali a loro volta permettono l’integrazione con soluzioni di accesso attraverso canali sicuri e protetti tramite crittografia, come ad esempio le VPN o tutte le soluzioni d’accesso basate su modelli Zero Trust o che richiedono una strong authentication basata su MFA, ponendo particolare attenzione agli amministratori di sistema per i quali è consigliato un livello di sicurezza maggiore.
Non bisogna poi dimenticare che, per mantenersi in regola e conformi alle varie normative, ogni azienda dovrebbe avere del personale, o anche dei team dedicati alla gestione e alla risoluzione delle quotidiane problematiche di sicurezza, oltre che delle normali necessità IT: a questo vengono in aiuto diverse soluzioni di Audit & Compliance che si integrano perfettamente nel cloud ibrido e permettono una corretta organizzazione oltre che un continuo monitoraggio e individuazione delle anomalie di compliance, oltre che di security.
Un consiglio fondamentale, è anche quello di dotarsi di strumenti che effettuano il monitoraggio continuo della rete, come ad esempio un SIEM per raccogliere in maniera centralizzata tutti i logs analizzando il continuo flusso di informazioni, magari adottando anche una soluzione di Network Detection and Response (NDR) per rilevare il tutto traffico sulle reti aziendali, costruendo poi dei modelli di comportamento definiti tramite la raccolta di questi dati e permettendo di individuare comportamenti sospetti all’interno dell’infrastruttura tramite soluzioni di User Behavior Analytics (UBA) che collezionando, correlando e analizzando dati provenienti da fonti sia interne che esterne, permettono di creare modelli attendibili di comportamento, riducendo al minimo la possibilità di falsi positivi, ma permettono anche di valutare i possibili rischi e di migliorare i processi di sicurezza alla luce dei dati raccolti.