Cinque principi fondamentali per la sicurezza del cloud ibrido 

Come definire una strategia di sicurezza per il cloud ibrido che sia efficace, scalabile e conveniente. 

L'espansione del cloud è diventata un dato di fatto per la maggior parte delle organizzazioni. Con lo spostamento dei carichi di lavoro dai data center on-premise a più piattaforme di cloud pubblico, i confini del perimetro di difesa tradizionale si confondono e si dissolvono, creando un'espansione incontrollata del cloud e spinose sfide alla sicurezza. 

Per proteggere questo nuovo ambiente di cloud ibrido senza confini, diventa necessario spostare i controlli di sicurezza dove sono necessari, applicarli con nuovi strumenti e poggiarli su cinque principi fondamentali: gestione unificata degli accessi, automazione, spostamento a sinistra (shift-left), sicurezza dei dati e zero trust.

Di seguito, riassumeremo e spiegheremo come adottare questi cinque principi, che abbiamo trattato anche nel webinar 5 Must-Haves for Hybrid Cloud Security.

Principio n. 1: definire una strategia di gestione degli accessi unificata

Nel cloud computing, il perimetro tradizionale viene spostato all'esterno del data center aziendale, facendo sì che l'identità sostituisca le reti come confine di fiducia primario. A tal fine, una strategia di gestione unificata delle identità e degli accessi (IAM) è essenziale per proteggere il cloud. Per raggiungere questo obiettivo è fondamentale adottare le pratiche seguenti:

• Adottare una strategia di identità unificata per garantire che le identità cloud non esistano in directory o sistemi di autenticazione separati
• Applicare l'autenticazione a più fattori (MFA) per tutti gli accessi o, come minimo, utilizzare l'autenticazione MFA per gli account con privilegi
• Utilizzare strumenti automatizzati per monitorare gli account cloud alla ricerca di accessi insoliti e imporre privilegi minimi

È fondamentale garantire che gli account cloud siano tracciati dal sistema IAM centrale e utilizzare strumenti automatizzati che eseguano costantemente scansioni alla ricerca di accessi non autorizzati agli account cloud. Poiché l'autenticazione di base non è sufficiente per gli account utente accessibili dall'esterno, è importante insistere sull'autenticazione a più fattori per tutti gli accessi al cloud pubblico. Come minimo, occorre utilizzare l'autenticazione a più fattori per gli account con privilegi.

Principio n. 2: automatizzare la configurazione e la convalida in tutti i cloud

“La stragrande maggioranza degli incidenti di sicurezza nel cloud deriva da errori dei clienti, molto più che da utenti malintenzionati."

Nella mia pluriennale esperienza come analista e consulente per le imprese, ho scoperto che la stragrande maggioranza degli incidenti di sicurezza nel cloud deriva da configurazioni errate o errori dei clienti, molto più che da utenti malintenzionati. Nel mondo del cloud, impostare una corretta configurazione del cloud è importante tanto quanto scrivere un codice sicuro. Le principali raccomandazioni per ridurre le configurazioni errate includono:

• Come minimo, utilizzare CSPM per garantire configurazioni sicure in tutti gli ambienti
• Utilizzare una piattaforma di sicurezza unificata per raccogliere dati in tutti gli ambienti, come Tenable One Exposure Management Platform

L'automazione della sicurezza nel cloud è diventata una parte sempre più importante delle moderne strategie di sicurezza. Consente alle organizzazioni di ridurre lo sforzo manuale richiesto per gestire gli ambienti cloud, migliorando al contempo la postura di sicurezza e la scalabilità.

Questo è il motivo per cui abbiamo assistito a una continua adozione ed evoluzione di strumenti Cloud Security Posture Management (CSPM) automatizzati, come Tenable Cloud Security. Le soluzioni CSPM non riguardano solo la convalida delle configurazioni di runtime del cloud, ma possono ora essere utilizzate per la scansione dei repository di codice IaC e per cercare problemi di gestione delle identità e degli accessi, come ad esempio gli account e i ruoli con privilegi eccessivi.

Principio n. 3: adottare DevSecOps e fare uno "spostamento a sinistra" dei controlli 

"La sicurezza del cloud non dovrebbe essere un'entità separata con i propri strumenti e processi. I team dovrebbero essere unificati sotto un'unica strategia e utilizzare strumenti che consentano loro di parlare la stessa lingua."

I team di sicurezza e gli sviluppatori non parlano la stessa lingua. Quando gli sviluppatori pensano alla sicurezza del cloud, pensano a controlli tecnici, prodotti open source come Terraform di Hashicorp e a funzionalità interessanti che consentano alle applicazioni native del cloud di essere eseguite su container o Kubernetes. Quando i team di sicurezza pensano ai controlli, vogliono conoscere il rischio, sia qualitativo che quantitativo. Vogliono sapere quali controlli sono in atto, come vengono monitorati e come possono essere convalidati. 

Per questi motivi, non è consigliabile consentire ai team cloud di progettare controlli di sicurezza. Spetta ai team di sicurezza adottare le pratiche DevSecOps e garantire che i controlli siano implementati il prima possibile nella fase di sviluppo. La sicurezza del cloud non dovrebbe essere un'entità separata con i propri strumenti e processi. I team dovrebbero essere unificati sotto un'unica strategia e utilizzare strumenti che consentano loro di parlare la stessa lingua. Per fare uno "shift- left", sarà necessario:

• Eseguire una scansione dell'infrastruttura alla ricerca di configurazioni errate nella fase di sviluppo utilizzando strumenti di sicurezza IaC (Infrastructure-as-Code), come Terrascan
• Standardizzare le immagini di base ed eseguirne la scansione in un ambiente di sviluppo isolato
• Spostare i controlli a sinistra (shift-left) in modo da poter scalare su più cloud estrapolando i controlli e applicandoli prima della distribuzione su piattaforme di cloud pubblico

È importante considerare anche il consolidamento degli strumenti

È importante utilizzare il minor numero possibile di strumenti per avere una misura accurata dell'esposizione al rischio e uniformare i fattori di rischio in più ambienti on-premise e di cloud pubblico. Nell'ambito del cloud pubblico, si è assistito a una proliferazione di nuovi fornitori nel mercato, che hanno colmato le lacune sui controlli utilizzando tecniche innovative, mentre i principali attori hanno adottato un approccio più misurato. Per fortuna, non è più così. Soluzioni come Tenable One consentono di proteggere sia i carichi di lavoro on-premise che quelli nel cloud pubblico grazie a una piattaforma di sicurezza del cloud ibrido compatibile.

Principio n. 4: rafforzare la sicurezza dei dati

Le organizzazioni devono proteggere i dati cloud crittografando tutti i dati inattivi. Come minimo, è necessario configurare il sistema di gestione delle chiavi nativo del provider di servizi cloud (CSP) per l'utilizzo di una chiave master controllata dal cliente. Sarebbe preferibile emettere le proprie chiavi di crittografia master e conservarle on-premise in un modulo di sicurezza hardware (HSM) o utilizzare un HSM virtuale in un ambiente di cloud pubblico.

Le principali best practice per la sicurezza dei dati nel cloud pubblico includono:

• Crittografare tutti i dati inattivi, ma controllare le chiavi di crittografia
• Integrarsi con i sistemi di gestione delle chiavi dei fornitori di servizi cloud
• Preferibilmente, usare il proprio HSM e mantenere le chiavi on-premise o su una piattaforma cloud alternativa

Principio n. 5: utilizzare l'approccio zero trust per unificare le strategie

Zero trust è un termine abusato, ma ai nostri fini significa nessuna fiducia implicita e piena visibilità sul comportamento dell'entità utente dopo l'autenticazione e per tutto il ciclo di vita di ogni sessione. Si tratta di un requisito fondamentale per il cloud pubblico, tuttavia, l'approccio zero trust dovrebbe essere introdotto anche negli ambienti cloud privati.

Per trarre il massimo vantaggio dall'approccio zero trust:

• Adottare i principi zero trust negli ambienti di cloud pubblico e privato, ove possibile
• Eliminare gradualmente le reti affidabili e l'idea di "fiducia implicita"
• I principi cloud-native e zero trust possono essere una forza trainante della trasformazione della sicurezza, rendendo le applicazioni più sicure in un ambiente di cloud ibrido.

Conclusione

Garantire in modo efficace la sicurezza del cloud ibrido richiede un approccio unificato. L'IT bimodale è all'origine del debito tecnico e dei punti ciechi nella sicurezza dei carichi di lavoro del cloud pubblico. I responsabili della sicurezza dovrebbero mirare a eliminare i problemi di sicurezza prima di effettuare distribuzioni in un'infrastruttura condivisa, applicando standard solidi durante l'intera fase di sviluppo e in tutti gli ambienti di cloud pubblico e privato.

Man mano che continuiamo ad adottare il cloud pubblico, è essenziale sviluppare la nostra strategia di sicurezza e utilizzare le migliori tecniche apprese da operazioni di sicurezza già provate e collaudate, congiuntamente alle best practice di sicurezza delle tecnologie cloud. Inoltre, è importante unificare gli strumenti tradizionalmente isolati in quanto necessitano di troppi controlli, causando un rallentamento delle operazioni e lasciando inevitabili lacune dovute alla mancanza di una copertura cloud unificata.

Sebbene l'interazione con i team tecnologici possa essere impegnativa, è nell'interesse dei responsabili della sicurezza accettare la transizione verso i principi cloud-native e zero trust. Utilizzando questi cinque principi chiave come fondamento della propria strategia, potranno assicurare che le applicazioni nel cloud ibrido siano più protette e più facili da gestire rispetto a quelle nel data center on-premise.

Per ulteriori informazioni sui cinque principi chiave illustrati in precedenza, guarda il webinar on-demand 5 Must-Haves for Hybrid Cloud Security. Ti invitiamo inoltre a leggere la pagina dedicata a Tenable Cloud Security per maggiori informazioni su questa soluzione e a registrarti per una prova gratuita.

(L'autore di questo articolo, Tom Croll di Lionfish Tech Advisors, è consulente presso Tenable.)