Yoav Shilon, Director of Product Marketing di Akamai Technologies offre il proprio punto di vista e interessanti riflessioni circa la security del cloud pubblico.
La migrazione al cloud è un’arma a doppio taglio: pur promettendo una maggiore scalabilità, agilità e persino nuovi approcci alle applicazioni, introduce una maggiore complessità che implica maggiori rischi per la sicurezza. Spesso infatti vengono sottolineate alcune vulnerabilità alla sicurezza del cloud e si sono verificate alcune violazioni ai danni di infrastrutture di questo tipo.
Fortunatamente, ci sono alcune best practice che possono essere applicate alla sicurezza dei flussi di lavoro in cloud. Anche se ogni fornitore di cloud è unico, tutti condividono caratteristiche simili. Possiamo prendere in esame alcune delle sfide in materia di sicurezza delle implementazioni del cloud pubblico, e alcune practice collaudate per mitigarle.
La sicurezza del cloud
- Seguire le indicazioni del fornitore: ogni fornitore di cloud ha una serie di raccomandazioni per la progettazione dell’infrastruttura di sicurezza e la configurazione delle applicazioni. Si tratta in genere di argomenti di sicurezza quali l’identificazione, la classificazione e la protezione degli asset degli utenti, la gestione dell’accesso alle risorse, la creazione di account per utenti e gruppi, e la proposta di modi per proteggere dati, sistemi operativi, applicazioni e l’infrastruttura complessiva in-the-cloud.
- Comprendere il modello di responsabilità condivisa. I fornitori di cloud chiariscono che la sicurezza in-the-cloud è una responsabilità condivisa. Hanno la responsabilità di garantire che le loro piattaforme siano sempre attive, disponibili, aggiornate, ecc. Gli utenti sono invece responsabili della protezione delle proprie applicazioni e dei propri dati. Nella maggior parte delle violazioni dei dati, l’errore è stato quello di non capire dove finiscono le loro responsabilità e dove iniziano quelle dell’utente.
- Evitare il caos. Si possono verificare sia errori interni, come errori di configurazione, sia eventi esterni, come un attacco DDoS. È importante identificare i punti deboli prima che si manifestino per ridurre al minimo i danni. Gli utenti devono aumenta la propria prontezza creando un runbook di risposta agli incidenti di sicurezza e stabilendo i modelli di governance, rischio e conformità. A tal fine, bisogna definire ruoli e responsabilità, meccanismi di risposta e standard di SLA (Service Level Agreement) e assicurarsi che i partner siano responsabili delle loro parti.
La sicurezza del cloud
- Valutare le opzioni. Le diverse opzioni di sicurezza come la sicurezza nativa del cloud pubblico, la sicurezza fai-da-te e le soluzioni di sicurezza end point hanno tutte meriti e difetti. È quindi importante capire cosa abbia senso proteggere con le soluzioni di un fornitore di cloud e cosa richieda un approccio indipendente dalla piattaforma per garantire controlli coerenti su un’architettura ibrida o multi-cloud.
- Non fidarsi di nessuno. L’implementazione di un approccio Zero Trust significa che tutte le richieste devono essere verificate – sia interne che esterne. L’obiettivo è quello di garantire che tutti i servizi e il monitoraggio della sicurezza siano impostati correttamente e che ogni violazione sia immediatamente segnalata alla persona giusta.
- Pensare al domani. Qualunque siano le decisioni prese è importante assicurarsi di avere la flessibilità necessaria per affrontare le esigenze future. Molte organizzazioni decidono di passare al cloud, rendendosi poi conto che alcuni workflow hanno performance migliori se eseguiti on-premise. Altri realizzano che l’architettura migliore per la propria azienda coinvolge più fornitori di cloud. Quindi il consiglio è di guardare al futuro e pensare ad utilizzare delle funzionalità che siano disponibili su altre piattaforme, in questo modo saranno più semplici eventuali evoluzioni future.
- Mettere alla prova le impostazioni di sicurezza. Sono necessari test periodici per verificare la “tenuta” della sicurezza delle aziende. I test dovrebbero verificare le vulnerabilità dei sistemi IT e dei processi aziendali e consigliare contromisure per ridurre il rischio di attacchi futuri. È possibile effettuare valutazioni di sicurezza internamente o in collaborazione con terzi.
- Utilizzare il cloud pubblico in modo accorto. Le violazioni possono essere estremamente costose e utilizzare solo strumenti di sicurezza non è sufficiente a fermarle. La protezione delle applicazioni in cloud richiede una chiara comprensione dei modelli di servizio del cloud pubblico e dei problemi di sicurezza noti, questo può richiedere molte conoscenze specialistiche, ma l’integrazione di best practice ben definite può portare grandi benefici.