Che cos'è la sicurezza del cloud?

La sicurezza del cloud è un insieme di procedure, politicy e tecnologie che rafforzano gli ambienti informatici basati sul cloud contro le potenziali minacce alla cybersecurity. In pratica, garantisce l'integrità e la sicurezza dei modelli di cloud computing in caso di attacchi o violazioni. I fornitori di servizi cloud forniscono un'infrastruttura cloud protetta.

Sicurezza del cloud

La protezione del cloud non è così complessa come potrebbe sembrare. Esistono molti modi per proteggere la tua azienda mantenendo il cloud sicuro e sfruttando al contempo tutto ciò che ha da offrire.

La sicurezza del cloud inizia con la scelta del modello di servizio più adatto alle esigenze dell'azienda. Esistono tre modelli di servizio diversi e quattro opzioni di implementazione in termini di offerte di sicurezza del cloud. Le opzioni del modello di servizio includono le seguenti:

  • Infrastruttura come servizio (IaaS):Il modello IaaS consente a un'azienda di creare il proprio datacenter virtuale (vDC). Un datacenter virtuale offre risorse basate sul cloud al posto dei vantaggi fisici che può fornire un datacenter tradizionale. Con un datacenter virtualizzato non c'è bisogno di manutenzione regolare, aggiornamenti o assistenza per le macchine fisiche.
  • Platform as a Service (PaaS):Il modello PaaS offre una serie di opzioni che consentono ai clienti di fornire, distribuire o creare software.

 

Software as a Service (SaaS):  Con il modello SaaS, i clienti ricevono un software che non richiede l'uso di un computer o di un server per il suo utilizzo. Esempi di questa modalità includono Microsoft 365 (precedentemente noto come Office 365) e Gmail. Con queste opzioni, i clienti hanno bisogno solo di un computer, di un tablet o di un telefono per accedere a ogni applicazione. Le aziende utilizzano una varietà di termini derivati per evidenziare i loro prodotti, da DRaaS (disaster recovery) ad HSMaaS (hardware security module), a DBaaS (database) e, infine, a XaaS (qualunque cosa). A seconda di ciò che viene commercializzato da un'azienda, può essere difficile determinare se un prodotto è SaaS o PaaS ma, alla fine, la cosa più importante è la comprensione delle responsabilità contrattuali del fornitore. I provider cloud estendono i loro contratti per aggiungere sicurezza alle formazioni cloud tramite servizi quali HSMaaS (hardware security module) o DRMaaS (digital rights management).

I quattro modelli di distribuzione sono:

  • Pubblico:  Disponibile per l'acquisto da parte di chiunque. I migliori esempi odierni sono Amazon Web Services (AWS), Microsoft Azure e Google Cloud Platform (GCP).
  • Privato: realizzato per una specifica società con hardware che non è condiviso con nessun altro. Il modello privato può essere creato su un cloud pubblico o all'interno del proprio datacenter (DC) oppure presso un'azienda specializzata nella creazione di cloud privati, ovvero un provider di servizi gestiti.
  • Community: prevede il concetto di condivisione tra aziende. Il servizio può essere condiviso oppure i dati possono essere condivisi all'interno di tale servizio. Un esempio potrebbero essere i cloud realizzati dal governo e condivisi da molteplici enti.
  • Ibrido: prevede l'utilizzo di almeno due dei tre modelli di distribuzione elencati in precedenza: pubblico e privato, privato e di comunità oppure pubblico e di comunità. Un'ulteriore possibilità consiste nell'uso di tutte le tre opzioni.

Quale aspetto della sicurezza del cloud è il più importante?

Tutti gli aspetti di una politica di sicurezza del cloud sono importanti, ma ci sono alcuni elementi di base che ogni fornitore dovrebbe offrire. Questi sono considerati essenziali e tra gli aspetti più importanti di un'infrastruttura di sicurezza del cloud. Assicurarsi che il fornitore scelto garantisca tutti questi elementi di base significa ottenere la strategia di sicurezza del cloud più completa che si possa implementare.

Monitoraggio continuo: I fornitori di sicurezza del cloud possono offrire uno sguardo su ciò che accade nelle vostre piattaforme cloud, conservando con continuità i registri dei log. In caso di incidente, il team di sicurezza può ispezionare e confrontare i registri interni con quelli del provider per avere una visione di potenziali attacchi o modifiche. In questo modo è possibile individuare e rispondere rapidamente a eventuali incidenti.

Gestione delle modifiche: Il fornitore di sicurezza del cloud dovrebbe offrire protocolli di gestione delle modifiche per monitorare il mantenimento della conformità quando vengono richieste modifiche, quanto le risorse vengono modificate o spostate, oppure quando vengono forniti o disattivati nuovi server. È possibile implementare applicazioni dedicate alla gestione delle modifiche per monitorare automaticamente i comportamenti insoliti, in modo che tu e il tuo team possiate agire rapidamente per mitigarli e correggerli.

Controlli di sicurezza Zero-trust: isola le risorse e le applicazioni mission-critical dalla rete del cloud. Mantenere privati e inaccessibili i workload protetti aiuterà a far rispettare i criteri di sicurezza che proteggono il tuo ambiente basato sul cloud.

Protezione dei dati a 360 gradi: il fornitore deve offrire una maggiore protezione dei dati con crittografia aggiuntiva per tutti i livelli di trasporto, buona igiene dei dati, monitoraggio continuo della gestione dei rischi, condivisione sicura dei file e comunicazioni a tenuta stagna. In breve, il tuo fornitore deve essere al top del settore quando si tratta di proteggere i dati della tua azienda in ogni modo e forma.

Chiediti: “Quali sono le mie preoccupazioni?” Questo ti aiuterà a determinare le domande da porre al tuo provider di cloud al fine di comprendere gli aspetti più importanti da tenere a mente.

Architettura del cloud

L'architettura del cloud, in parole povere, è il risultato di più ambienti che si uniscono per condividere risorse scalabili tra applicazioni software, database e altri servizi. In sostanza, il termine si riferisce all'infrastruttura e ai componenti che lavorano in tandem per costituire il "cloud" come lo conosciamo.

I componenti di base necessaria per creare un cloud comprendono reti, router, switch, server, firewall e sistemi di riconoscimento delle intrusioni. Il cloud comprende anche tutti gli elementi all'interno dei server: l'hypervisor e le macchine virtuali e, naturalmente, il software. L'architettura del cloud richiede inoltre un provider cloud, un architetto cloud e un cloud broker per creare, gestire, vendere e acquistare i servizi cloud. C'è un intero ecosistema da tenere sotto controllo, ma quando si parla di "cloud" ci si riferisce essenzialmente all'architettura cloud.

Molti termini relativi all'architettura del cloud si limitano ad aggiungere la parola "cloud" a un termine esistente e familiare, come "consumatore di servizi cloud". Se si comprende la definizione di consumatore, il nuovo termine è chiaro, ovvero un consumatore di servizi del cloud rispetto, ad esempio, ai servizi telefonici.

Ecco alcuni semplici esempi:

  • Consumatore di servizi cloud: la persona o l'azienda che utilizza un servizio cloud erogato da un fornitore di servizi cloud.
  • Fornitore di servizi cloud: la persona o l'azienda che dispone delle risorse per offrire i servizi richiesti dai consumatori. Ciò comprende la tecnologia per creare i server, le macchine virtuali, l'archiviazione dati o qualunque altra risorsa necessaria al consumatore.
  • Broker di servizi cloud: la persona o l'azienda che gestisce fornitura, utilizzo e prestazioni del cloud per il consumatore, negoziando la relazione con il fornitore di servizi per conto del cliente.
  • Operatore di telecomunicazioni per i servizi cloud: è il provider di servizi che connette un'azienda al cloud, ad esempio il proprio fornitore di servizi Internet. Per un'azienda, di norma si tratta di una connessione MPLS (Multiprotocol Label Switching).
  • Auditor di servizi cloud: la persona o l'azienda che esegue le verifiche sull'ambiente di un fornitore di servizi cloud. Tali verifiche comprendono verifiche della privacy e di sicurezza.

Architettura di sicurezza del cloud

La sicurezza nel cloud inizia con l'architettura di sicurezza del cloud, che aggiunge elementi di sicurezza all'architettura di base. Gli elementi di sicurezza tradizionale comprendono firewall (FW), anti-malware e sistemi di riconoscimento delle intrusioni (IDS). Cloud auditor, architetti della sicurezza e ingegneri della sicurezza servono anche per progettare strutture protette all'interno e attraverso il cloud.

In altre parole, l'architettura di sicurezza del cloud non si limita ai componenti hardware e software.

L'architettura di sicurezza del cloud parte dalla gestione dei rischi. Conoscere ciò che potrebbe andare storto e quali potrebbero essere gli impatti negativi aiuta le aziende a prendere decisioni responsabili. Tre aree critiche di discussione sono la continuità aziendale, la catena di distribuzione e la sicurezza fisica.

Ad esempio, cosa succede alla tua azienda se il tuo fornitore di servizi cloud subisce un guasto? Collocare server, servizi e dati nel cloud non evita la necessità della continuità aziendale e/o di un piano di ripristino di emergenza.

Cosa succederebbe se chiunque potesse accedere al datacenter del cloud provider? Nel caso dei tre principali provider, AWS, GCP e Azure, ciò non sarebbe facile, ma il punto è proprio questo. Loro hanno investito pesantemente nella protezione del datacenter stesso.

Ma che dire degli altri provider di servizi in cloud? A qualunque potenziale provider di servizi cloud, chiedi di esplorare il datacenter e di partecipare a una verifica. Segnati la risposta. Si sono dimostrati disponibili a mostrarti il datacenter il giorno successivo? Se è facile entrare nel datacenter, forse quel fornitore merita una valutazione più approfondita.

I fornitori di cloud più piccoli potrebbero non avere un datacenter fisico. Più probabilmente, utilizzano e rivendono efficacemente la funzionalità dei provider cloud più grandi. Si tratta di un vantaggio e fa parte della bellezza dell'uso del cloud. Se il rapporto tra i provider cloud non è noto, potrebbe sorgere ulteriori problemi relativi a leggi, normative e contratti. Fai una domanda semplice: Dove sono i miei dati? Se ci sono più livelli tra il cliente e il fornitore di cloud, la risposta potrebbe essere difficile da determinare. Ci potrebbero anche essere conseguenze legali, come un problema con il Regolamento generale europeo sulla protezione dei dati (GDPR).

Gli elementi che compongono l'architettura di sicurezza del cloud di un'azienda potrebbero disporre a loro volta di servizi di sicurezza del cloud. È possibile acquistare servizi come la prevenzione della fuga di dati (DLPaaS). Alla sicurezza contribuiscono anche altri strumenti, come uno strumento di scansione che individua le informazioni di identificazione personale in modo che possano essere protette correttamente. La gestione della sicurezza del cloud è necessaria per garantire che i servizi funzionino a dovere.

Che cos'è il programma di protezione delle applicazioni native per il cloud (CNAPP)?

Il CNAPP è un gruppo di soluzioni di sicurezza che aiutano a identificare, valutare, dare priorità e adattarsi ai rischi in una serie di applicazioni native per il cloud.

Come tale, CNAPP raccoglie diverse delle caratteristiche più importanti presenti all'interno di prodotti e piattaforme isolati: scansione degli artefatti, protezione del runtime e configurazione del cloud. Queste attività possono includere:

  • Controlli di configurazione errata di bucket Amazon S3, database e porte di rete aperte
  • Monitoraggio e protezione del runtime dei workload in cloud
  • Rilevamento automatico delle vulnerabilità all'interno di container, macchine virtuali (VM) o funzioni serverless
  • Scansione dell'esposizione di CVE, segreti, dati sensibili e malware
  • Scansioni di elementi Infrastructure as code (IaC)

 

Trend Micro può essere considerato un fornitore CNAPP e prodotti come Trend Micro Cloud One™, la piattaforma di servizi di sicurezza destinata ai costruttori del cloud, si inseriscono perfettamente nell'architettura CNAPP.

Conformità del cloud

Le aziende devono garantire la conformità a molte leggi, norme e contratti in essere. Quando i dati e i servizi sono affidati a una terza parte, ci sono alcuni complessi requisiti che devono essere applicati per garantire la conformità.

Da un punto di vista legale, le organizzazioni devono essere conformi con l'RGPD (Regolamento generale europeo sulla protezione dei dati), il SOX (Sarbanes-Oxley - protezione dei dati finanziari USA), l'HIPAA (Health Information Portability and Accountability Act - assistenza sanitaria USA) e altri ancora. Inoltre la protezione delle carte di credito è soggetta alla legge sui contratti con PCI-DSS (Payment Card Industry - Data Security Standard).

Dopo avere individuato l'oggetto della conformità, è possibile intraprendere molte azioni, una delle quali è la verifica. La verifica deve essere condotta adottando un approccio standardizzato e una metodologia consolidata, come SSAE 18 (Statement of Standards on Attestation Agreements, No. 18) dell'American Institute of Certified Public Accountants. I risultati della verifica indicano cosa potrebbe essere non conforme. Quando si sceglie un provider cloud, è essenziale leggere questi rapporti per conoscere il livello di sicurezza del DC e sapere cosa aspettarsi.

Articoli correlati

Ricerche correlate