La diffusione delle soluzioni in cloud è aumentata in maniera significativa nell’ultimo decennio.
Sebbene molte aziende stessero già passando ai servizi in cloud, la pandemia di COVID-19 ha accelerato il ritmo.
Considerato che il lavoro a distanza è diventato sempre più diffuso, le aziende dovevano essere in grado di supportare e fornire continuità operativa.
I servizi cloud, d’altro canto, presentano difficoltà per la sicurezza dei dati, rendendo necessaria la creazione di nuovi strumenti e procedure di sicurezza. La sicurezza fisica dei data center e la difesa dei loro sistemi dai pericoli online sono responsabilità dei fornitori di servizi cloud.
Tuttavia, sembra che mantenere i dati o eseguire applicazioni su un’infrastruttura non gestita direttamente dall’azienda sia apparentemente insicuro.
Di conseguenza, in quest’articolo tratteremo gli aspetti più critici della cloud security e condivideremo alcune delle best practice per una protezione proattiva dei dati cloud.
Sommario degli argomenti
-
Cos’è la cloud security?
-
Una responsabilità condivisa
-
Il cloud è sicuro?
-
Aspetti da valutare
-
Ruoli nella security
-
-
Le sfide per la cloud security nel 2022
-
Proteggere ciò che non si vede
-
Molteplicità degli attacchi
-
Difficoltà nella centralizzazione e nell’applicazione delle procedure di sicurezza
-
Errata configurazione
-
Procedure di sicurezza che rallentano
-
-
Conclusione
Il cloud computing è la fornitura di servizi in hosting tramite una connessione Internet, inclusi software, hardware e storage. I vantaggi del cloud computing, tra cui la sua scalabilità, flessibilità e rapida implementazione, hanno reso il cloud computing praticamente universale tra le organizzazioni di tutte le dimensioni, spesso come parte di un’architettura d’infrastruttura ibrida/multi-cloud.
La tecnologia, le regole, le procedure e i servizi per la protezione di dati, le applicazioni e l’infrastruttura del cloud dai pericoli sono indicati come cloud security.
Il cloud è sicuro?
Quando si tratta di sicurezza degli ambienti cloud tocchiamo certamente un tasto dolente. Il motivo che ci spinge a considerare il cloud come un ambiente in parte vulnerabile, che sfugge al nostro controllo è propriamente la perdita di controllo dei dati conservati nel cloud, nonché l’obbligo di adeguare i propri requisiti di sicurezza a quella di terze parti.
Per quanto rilevanti siano queste argomentazioni, spesso viene trascurato il fatto che la maggior parte delle aziende non possiede conoscenze e risorse per affiancare i team di esperti che fanno della sicurezza dei dati e della cybersecurity la loro specialità. Tuttavia, la migrazione in cloud dei dati aziendali potrebbe comportare diversi problemi di sicurezza informatica.
Non si tratta tanto delle architetture in cloud in sé e per sé, quanto di come la migrazione al cloud esponga inevitabilmente i punti deboli della sicurezza che già esistono all’interno dell’azienda.
Aspetti da valutare
Prima di adottare una soluzione cloud, è di fondamentale importanza per le aziende capire come possono proteggere i dati, i processi e l’infrastruttura, individuare eventuali lacune e capire come colmarle.
Sulla base di ciò, dovrebbero coordinarsi con gli standard e i vari servizi di sicurezza forniti dal provider di servizi cloud prescelto.
Dopo aver compilato un elenco delle esigenze di sicurezza di base dell’azienda, si è pronti per ideare una strategia di migrazione praticabile. I questa fase, il servizio di Vulnerability Assessment risulta vitale.
Ruoli nella cloud security
Le policy di protezione e classificazione dei dati consentono di capire quali dati in possesso dell’organizzazione non si dovrebbe spostare nel cloud.
Queste potrebbero essere informazioni critiche per lo sviluppo del prodotto e l’espansione del mercato.
Un altro motivo per cui un’azienda può scegliere di non archiviare i dati nel cloud è l’esistenza di dati personali, sia dei lavoratori che dei consumatori.
In termini di politiche crittografiche, la policy di classificazione dei dati definisce i dati che richiedono protezione crittografica ovvero, i dati che devono essere crittografati sia in transito che dal momento in cui vengono archiviati. Pertanto, utilizzando questo tipo d’informazioni, è possibile determinare se il provider di servizi cloud in questione fornisce lo stesso livello di sicurezza durante la memorizzazione o il transito dei dati da una sezione all’altra.
Il fornitore di servizi cloud e il fruitore condividono le responsabilità della cloud security.
Il modello di responsabilità condivisa divide le responsabilità in tre categorie: quelle spettanti al fornitore, quelle del fruitore e quelle che variano a seconda del modello di servizio. In altre parole, Infrastructure as a Service (IaaS), Platform as a Service (PaaS) o Software as a Service (SaaS).
Il provider è sempre responsabile della sicurezza dell’infrastruttura, inclusi l’accesso, l’applicazione di patch e la configurazione degli host fisici e della rete fisica su cui si trovano le istanze di calcolo, l’archiviazione e altre risorse.
Il controllo dei diritti di accesso degli utenti (identificazione e gestione degli accessi), la salvaguardia degli account cloud da accessi illeciti, la crittografia e la protezione degli asset di dati basati su cloud e la gestione della sua posizione di sicurezza (conformità) sono tutti doveri che rientrano nella competenza del fruitore.
Poiché il cloud pubblico non ha perimetri chiari, presenta necessità di messa in sicurezza fondamentalmente diverse.
Di seguito, alcune delle sfide più urgenti per la cloud security e i molteplici livelli di rischio affrontati dalle odierne organizzazioni orientate al cloud:
Proteggere ciò che non si vede
Per quanto riguarda il cloud, esiste una significativa mancanza di comprensione della sicurezza e della conformità.
Per il cloud pubblico è richiesta la capacità di osservare e controllare le risorse che vivono nello spazio fisico di un altro ambiente cloud.
Inoltre, il cliente è responsabile dei propri dati e flussi di traffico nel paradigma della responsabilità di sicurezza condivisa.
La continua evoluzione delle risorse cloud si aggiunge alla complicazione.
Le tecnologie cloud-native, come le tecnologie serverless, introducono problemi aggiuntivi man mano che vengono utilizzate ampiamente.
Le app serverless, ad esempio, a volte sono composte da centinaia di funzioni e, man mano che il programma matura, mantenere tutti questi dati e servizi accessibili diventa più difficile. Ecco perché le risorse devono essere scoperte automaticamente non appena vengono prodotte e tutte le modifiche devono essere tracciate fino alla rimozione della singola risorsa.
Molteplicità degli attacchi
Splunk, il fornitore della piattaforma Data-To-Everything, ha pubblicato un'”antologia” dei 50 principali rischi per la sicurezza cloud.
Gli attacchi all’acquisizione di account possono essere effettuati utilizzando una serie di approcci, inclusi phishing, attacchi botnet, acquisto di credenziali sul Dark Web e persino il recupero di elementi eliminati dagli utenti.
Per proteggere i dati, le organizzazioni che passano al cloud devono cogliere il valore dell’analisi dei dati, del rilevamento delle intrusioni e delle informazioni sulle minacce. Attraverso il machine learning e il threat research, le tecnologie d’intelligence nel cloud possono valutare gli eventi e fornire informazioni dettagliate sull’attività dell’account. Le organizzazioni dovrebbero cercare soluzioni che consentano loro di filtrare i risultati, approfondire le informazioni, eseguire il debug delle query e personalizzare i messaggi di avviso.
Difficoltà nella centralizzazione e nell’applicazione delle procedure di sicurezza
Gli odierni sistemi cloud-native sono costituiti da una gamma di tecnologie di molti fornitori, il che rende difficile centralizzare e implementare efficacemente le normative di sicurezza.
È estremamente difficile utilizzare diverse tecnologie in un ambiente multi-cloud/cloud ibrido per ottenere la visibilità end-to-end, necessaria per un monitoraggio efficace dello stato di sicurezza del cloud. Le organizzazioni dovrebbero sviluppare un sistema che unifichi e automatizzi insiemi di regole, criteri, avvisi e tecniche correttive nell’intera architettura cloud.
Errata configurazione
Un errore di configurazione si verifica quando un sistema, uno strumento o una risorsa relativi al cloud non sono configurati correttamente, mettendo a rischio il sistema ed esponendolo a un potenziale attacco o violazione dei dati. Secondo il rapporto The State of Cloud Security 2020 di CSA, il 92% dei professionisti IT che lavorano nel cloud teme una violazione dei dati e il 76% ritiene che il pericolo di una configurazione del cloud scadente sia costante o in aumento.
ESG ha valutato le dieci configurazioni errate del cloud più diffuse negli ultimi 12 mesi per corroborare questo fatto. Un enorme 30 percento degli intervistati ha segnalato “password predefinita o nessuna password per l’accesso al pannello di amministrazione”.
Il buon senso dovrebbe garantire che nessuna organizzazione utilizzi password predefinite o nessuna password, mantenere una configurazione adeguata per tutta l’infrastruttura cloud è un po’ più complicato. Solo una corretta “gestione del cloud posture management” fornisce un insieme di regole e rimedi automatici per garantire che tutti i sistemi siano sempre configurati correttamente.
Procedure di sicurezza che rallentano
Le caratteristiche chiave del cloud computing sono flessibilità, agilità e velocità.
Per stare al passo con pipeline CI/CD ad alta velocità, carichi di lavoro transitori e la natura molto elastica dell’infrastruttura di cloud pubblico, le organizzazioni devono mantenere la conformità e la sicurezza in maniera stabile.
Molte aziende commettono l’errore di dare priorità alla sicurezza rispetto all’efficienza e alla velocità quando implementano procedure di sicurezza. Questo non funzionerà mai se ostacola gli sforzi degli sviluppatori per distribuire nuovi software e aggiornamenti. Le organizzazioni possono aggiungere e automatizzare la sicurezza all’inizio della software supply chain.
Le organizzazioni possono trarre grandi vantaggi dall’infrastruttura basata su cloud.
Questa soluzione fornisce maggiore flessibilità e scalabilità, nonché la possibilità di ridurre al minimo le spese di manutenzione esternalizzando la maggior parte dell’amministrazione dell’infrastruttura di un’organizzazione a un provider di servizi cloud.
Questi vantaggi, tuttavia, hanno un costo.
Le organizzazioni devono incorporare le implementazioni cloud nelle politiche e nell’architettura di sicurezza correnti quando migrano dai sistemi locali all’infrastruttura basata sul cloud.
A causa delle principali differenze tra l’infrastruttura locale e quella basata su cloud, ciò può essere molto difficile e può creare diversi problemi di sicurezza del cloud. Senza il controllo a monte di processi e dati, c’è il rischio che il cloud diventi un’arma a doppio taglio, esponendo ancora di più le vulnerabilità già esistenti nelle organizzazioni.
Chi è Onorato Informatica?
Azienda specializzata in sicurezza informatica da oltre 15 anni, certificata ISO 9001 e 27001
Onorato Informatica è un’azienda informatica, specializzata in sicurezza informatica, da oltre 15 anni.
Forniamo servizi di Vulnerability Assessment e Penetration Test a oltre 4500 clienti in tutta Italia.
Ci occupiamo di Cyber Security dalle nostre sedi di Mantova, Parma, Milano e Los Angeles. Siamo un’azienda certificata ISO 9001, ISO 27001 e azienda etica.
Se vuoi conoscere i servizi di sicurezza informatica e sapere come possiamo aiutarti, contattaci.
- Autore articolo
- Ultimi articoli
Sono un giovane italo-tunisino appassionato della camminata. Da piccolo cambiavo sempre il mio tragitto per andare a scuola e nel 2008 mi trasferivo in Italia per iniziare un nuovo cammino.
Questa passione mi ha consentito di raggiungere importanti traguardi formativi, quali il diploma come perito tecnico industriale con il massimo dei voti e la laurea triennale in ingegneria biomedica.
Attualmente, sono uno studente laureando alla magistrale di Biomedical Engineering. Di recente ho vinto l’assegnazione della Cybersecurity Scholarship 2021 – 2022 Cisco.
