Come appassionarsi agli audit e alla conformità: è possibile
Proteggere i carichi di lavoro in corso nel cloud pubblico e rispettare gli standard di conformità sono pilastri non negoziabili per la maggior parte delle aziende. Tuttavia, unire le necessarie funzionalità di visibilità, mappatura e monitoraggio è spesso un lungo processo manuale. Di conseguenza, gli audit e gli esercizi di conformità possono generare ritardi e ansie per i team responsabili della sicurezza e della conformità.
Sapendo che i requisiti relativi agli audit e alla conformità sono un dilemma ben noto dell'infrastruttura cloud, il verbo "appassionarsi" potrebbe suonare più speranzoso che realistico. In questo blog, esamineremo le sfide legate alla conformità e alla sicurezza degli accessi nel cloud e come i professionisti della sicurezza sfruttano le strategie e gli strumenti più adatti per rendere gli audit più agevoli.
Sebbene appaia semplice, ottenere la conformità nel cloud non è questione di riempire solo qualche modulo. Mentre alcuni standard normativi e buone pratiche presentano istruzioni molto specifiche, altri sono molto più astratti. Uno standard astratto potrebbe richiedere di raggiungere un determinato obiettivo senza spiegare come fare. In questi casi, chiunque può immaginare quale metodo e quali strumenti sono necessari per raggiungere lo standard, e cosa bisogna fare per mantenere la conformità nel tempo.
Un motivo per cui alcuni standard sono astratti è che la sicurezza non è una pratica uguale per tutti. Gli ambienti cloud, nello specifico, sono multidimensionali e dinamici e continuano a emergere nuove vulnerabilità. Inoltre, le aziende hanno requisiti di conformità diversi a seconda del settore che occupano, della dimensione e della posizione dell'azienda. Anche la lista più esaustiva di istruzioni di conformità potrebbe non coprire tutti gli scenari di sicurezza possibili.
Il complesso assortimento di normative e framework è solo uno degli aspetti di ciò che rende la conformità della sicurezza così difficile negli ambienti cloud. Nella maggior parte delle organizzazioni, molti team e strumenti operano all'interno dell'ecosistema cloud di un'azienda, tra cui:
- I team delle infrastrutture che sviluppano e mantengono gli ambienti cloud;
- Gli sviluppatori che pubblicano i codici; e
- I professionisti di IAM (Identity Access Management, gestione degli accessi e delle identità) che effettuano il provisioning dei nuovi servizi e delle identità umane.
I diversi agenti coinvolti rendono molto lunga per i team di sicurezza la mappatura dei dettagli base di conformità (come quali risorse sono in esecuzione e con quali autorizzazioni) per gli standard di settore. A rendere il tutto ancor più complicato, molte aziende utilizzano più di un fornitore di servizi cloud (CSP) insieme a un'infrastruttura on-premise, costringendo i team responsabili della conformità a riunioni e conversazioni email infinite cercando di gestire un inventario degli asset probabilmente già obsoleto al momento della sua creazione.
Sebbene siano i team di conformità a dover espletare la maggior parte del lavoro, la conformità non è affatto semplice neanche per i team di DevOps e delle infrastrutture. Spesso devono impegnarsi a fondo per generare informazioni dettagliate sulle proprie risorse cloud.
Senza una vista centralizzata dell'architettura cloud, i team di conformità non possono vedere i diversi cloud o monitorare i frequenti cambiamenti alle configurazioni delle applicazioni mentre sono in uso. È ancora più difficile isolare i problemi di conformità come un servizio Lambda esposto pubblicamente o una gestione degli accessi scadente, per non parlare del decidere a cosa dare priorità per le correzioni.
Come appassionarsi agli audit con CNAPP
Una piattaforma di protezione delle applicazioni cloud-native (Cloud Native Application Protection Platform, CNAPP) di alta qualità, che include la gestione della configurazione dell'infrastruttura, la visibilità multi-cloud e la personalizzazione dei report, può ridurre sensibilmente il lavoro dei team per ottenere la conformità. Inoltre, una buona CNAPP non si limita alla conformità quando si tratta di rafforzare la postura di sicurezza dell'azienda, in base alle best practice. Poiché, come sanno molti dei professionisti più esperti, dimostrare la conformità non è che una parte di una strategia di sicurezza olistica. È possibile essere in grado di passare gli audit, ma se non si resta al passo delle novità in termini di buone pratiche emergenti, la sicurezza cloud ne risentirà. Una CNAPP ideale bilancerà le buone pratiche di conformità e sicurezza offrendo le seguenti quattro funzionalità:
1.Ampiezza e profondità dell'ambito normativo
La soluzione deve coprire una vasta gamma di buone pratiche della sicurezza e rispettare gli standard leader di settore. Questi includono:
- Standard di enti come il centro per la sicurezza su Internet (CIS), l'Organizzazione internazionale per la normazione (ISO) e l'istituto nazionale di standard e tecnologia (NIST)
- Le linee guida di settore come PCI (Payment Card Industry) DSS (Data Security Standard) e SOC (Service Organization Control) di tipo 2 di AICPA (American Institute of Certified Public Accountant)
- Le norme come il GDPR (General Data Protection Regulation) e l'HIPAA (Health Insurance Portability and Accountability Act).
Occorre assicurarsi che gli standard che è necessario seguire siano inclusi nei modelli forniti della piattaforma e che vengano aggiornati frequentemente. Oltre ad avere una vasta gamma di standard e policy pronti all'uso, la soluzione dovrebbe anche permettere agli utenti di personalizzarli in base all'evoluzione delle necessità che potrebbero non rientrare nei bucket di conformità esistenti.
2.Correlazione tra conformità e cloud
Il contesto è importante quando si tratta di sicurezza e conformità. Dovresti essere in grado di mappare facilmente ogni standard con specifiche configurazioni, risorse e policy delle attività cloud fornendo un inventario chiaro dello stato di conformità per ogni asset/account. Ad esempio, un servizio Lambda di Amazon Web Services (AWS) esposto pubblicamente potrebbe aggirare gli standard del programma STAR di Cloud Security Alliance (CSA), i quadri ISO o NIST o violare le norme di conformità. Avere questo livello di granularità nella CNAPP può aiutare ad approfondire aree in cui potresti non essere conforme e rimediare immediatamente con l'automazione integrata.
3.Monitoraggio continuo
Non dovrebbe essere necessaria una settimana per capire la propria posizione rispetto agli standard e alle buone pratiche del settore. Soluzioni come Tenable Cloud Security controllano continuamente l'intero l'ambiente rispetto ai framework e ai benchmark per garantire la conformità e individuare le anomalie e i problemi. Lo stato di conformità dovrebbe essere visibile per te, e per tutti gli stakeholder, in qualsiasi momento e senza bisogno di aspettare audit complessi. Qualsiasi ritardo nel monitoraggio rende l'ambiente vulnerabile ai malintenzionati.
4.Report flessibili
La tua CNAPP dovrebbe aiutarti a dimostrare la conformità ai revisori tramite visibilità e report flessibili per tutti i livelli organizzativi. Ad esempio, lo strumento che utilizzi dovrebbe permetterti di vedere la postura di sicurezza e la conformità di tutta l'azienda, ma anche consentirti di cercare account e progetti specifici per creare facilmente report di conformità per revisori interni ed esterni.
Conclusione
Il primo passo per ottenere la conformità nel cloud inizia dall'adeguamento delle linee guida sulla conformità alla realtà dell'architettura cloud. Comprendere quali asset cloud possiedi, il tipo di vulnerabilità a cui sono suscettibili e in che modo sono collegati alle linee guida degli audit è fondamentale per consentire il lavoro continuo di monitoraggio, generazione di report e correzioni per la conformità. Una volta mappato l'ambiente, puoi procedere con il monitoraggio automatizzato in base alle policy di conformità o a quelle personalizzate. Infine, puoi generare un report automatizzato che aiuta a dimostrare la conformità ai revisori. Tenable Cloud Security può aiutarti a ridurre le sfide legate alla conformità e ad appassionarti agli audit di sicurezza.
Per saperne di più su Tenable Cloud Security o per richiedere una demo, visita la pagina prodotto di Tenable Cloud Security: https://www.tenable.com/products/tenable-cloud-security
Articoli correlati
- Cloud
- Compliance
- Cloud
- Exposure Management