La migrazione al cloud computing è stata accelerata dal periodo pandemico di Covid-19 durante il quale le aziende si sono mosse rapidamente per affrontare la sfida di restare operative nel loro business, sebbene i dipendenti fossero in lockdown a casa.
L’adozione di servizi in cloud è avvenuta in fretta sull’onda dell’emergenza e questo ha portato da un lato una certa velocità nella transizione verso il cloud, ma dall’altro alla creazione di ambienti cloud diversificati fra loro e non dotati di opportune misure di protezione per accessi, configurazioni, segmentazione e ogni altro aspetto che avrebbe dovuto essere dotato di apposita protezione.
Una delle ricerche sugli ambienti cloud evidenziava già nel 2021 come Il 92% delle aziende avesse una strategia multi-cloud e come l’80% avesse implementato scelte di cloud ibrido (fonte: State of the cloud Report di Flexera) e da allora ad oggi quelle percentuali sono cresciute.
Invece, la mancata applicazione delle misure di sicurezza informatica per il cloud in quei concitati momenti di lockdown è stata resa evidente, in seguito, dal picco di attacchi agli ambienti cloud e ai dipendenti in smart working, come riportato nei numerosi cloud threat report usciti dal 2020 in poi, da parte dei maggiori vendor di security.
E oggi? Come garantire una appropriata postura di sicurezza per gli ambienti cloud ibridi?
Incident response per i servizi cloud: le strategie per garantire la business continuity
Indice degli argomenti
Introduzione al cloud ibrido e alle sue sfide
Il cloud ibrido può essere considerato come “il punto di incontro tra i tradizionali modelli di cloud Pubblico e cloud Privato” secondo la descrizione dell’osservatorio del Politecnico di Milano (POLIMI). Lo stesso istituto ne fornisce una definizione formale per la quale il cloud ibrido è “un ambiente che utilizza cloud Pubblico, cloud Privato e soluzioni on-premises, con l’obiettivo di trarre il meglio delle varie modalità di erogazione delle tecnologie a seconda delle esigenze aziendali”.
Secondo una ricerca svolta dall’Osservatorio Cloud Transformation (OCT), l’89% delle aziende adotta servizi di cloud ibrido. Ma Alberto Manfredi, Presidente della Cloud Security Alliance (CSA) sezione Italia, chiarisce che “la modalità ibrida di erogazione dei servizi cloud, ovvero di consentire a diverse tipologie di cloud (private, public, community) di cooperare, è oggi in continua crescita non solo per aumentare le prestazioni dell’infrastruttura cloud, ma anche per migliorarne il suo livello di resilienza. Se da un lato è oggi più facile individuare soluzioni per realizzare infrastrutture hybrid cloud, dall’altro è sempre più complesso gestire i rischi in contesti cross-cloud”.
E ancora: “Il grado di complessità della gestione del rischio in cloud ibrido è oggi influenzato dai seguenti fattori: sovranità del dato nel cloud, che eleva l’importanza dei requisiti di localizzazione, crittografia e relativa gestione delle chiavi (BYOK, BYOE); Zero Trust, che pone un focus sulla gestione identità, privilegi, segmentazione delle reti e monitoraggio nell’accesso a dati e applicazioni; shared responsibility, model (modello di responsabilità condivisa) che richiede trasparenza e formalizzazione delle responsabilità nella gestione della sicurezza tra cliente, fornitore e terze parti (supply chain)”.
Per completezza, una chiara rappresentazione grafica del modello di responsabilità condivisa fra il cliente e il service provider è fornita anche dal National Cyber security Center (NCSC) inglese.
La naturale evoluzione del cloud ibrido è costituita dal multicloud ovvero la connessione di servizi di diversi cloud provider che realizza un contesto digitale capace di utilizzare e coordinare diversi servizi cloud pubblici e privati di due o più provider. Qui le sfide di security sono simili agli ambienti ibridi come tipologia ma sono più complesse in funzione della maggior numero di entità coinvolte.
Challenge di security per gli ambienti di cloud ibrido
Menahem Shafran, Senior Vice President, Product and Innovation XM Cyber in tema di sfide di security negli ambienti ibridi aggiunge altri due elementi di rischio a cui guardare: “Gli ambienti ibridi sono diversificati fra loro per soluzioni i processi e le persone e questo richiede diverse capacità e strumenti di protezione adeguati ad ogni caso. Inoltre, spesso gli attaccanti partono dalla componente on-premise per arrivare a violare la porzione in cloud, se i due ambienti non sono adeguatamente segregati fra loro. In sostanza in un ambiente ibrido i punti di accesso per i malintenzionati digitali sono numerosi ed è cruciale avere in mente una visione d’insieme dal cloud agli ambienti on-premise e viceversa”.
“Per questo motivo”, continua Menahem, “è necessario assicurarsi che esista un processo unificato indipendente dagli ambienti ibridi. Solo così si può capire meglio come misurare il rischio, ma anche capire le modalità di risoluzione e ottimizzazione per l’intero sistema di sistemi”.
Le sfide di sicurezza negli ambienti di cloud Ibrido si possono riassumere in quattro aree:
- Errate configurazioni: volontariamente o meno, troppo spesso gli amministratori di servizi cloud espongono le interfacce e l’infrastruttura del cloud su Internet a vantaggio dei potenziali aggressori digitali.
- Poca visibilità: gli ambienti multicloud che permettono di non vincolarsi ad un unico fornitore sono ambienti frammentati la cui protezione deve essere adattata caso per caso. Non sempre è possibile disporre di una soluzione di sicurezza cloud in grado di fornire una visione centralizzata della situazione di rischio di ciascun ambiente.
- Violazione di account: senza configurazione di autenticazione multifattore la violazione di account di amministrazione si rende più semplice mediante attacchi di phishing che mirano a confondere e indurre all’errore o mediante la violazione del device stesso dell’amministrazione del sistema. In questi casi è il modello Zero Trust quello che aiuta nella difesa e limita le possibilità di successo degli attaccanti.
- Vulnerabilità: come tutti i software anche il codice che abilita gli ambienti cloud può essere soggetto a Patch mancanti, codifica non sicura, protocolli di comunicazione deboli, autorizzazioni eccessive, ecc., tutti punti deboli di cui gli aggressori possono approfittare.
Portare la vera cyber resilience in azienda: sfide e soluzioni
Hybrid cloud security: come proteggere gli ambienti ibridi
La sicurezza del cloud ibrido si riferisce alla protezione di dati, applicazioni e infrastruttura associati a un’architettura che incorpora almeno un cloud pubblico e uno privato.
Le complessità legate a questo tipo di ambienti possono portare a criticità legate a policy di sicurezza incoerenti e a una maggiore complessità delle decisioni relative ai dati.
Nel primo caso il problema è legato al fatto che il cloud ibrido per sua natura, produce diversi livelli di applicazione della sicurezza, il che significa che non è possibile mantenere un’unica policy aziendale per tutte le applicazioni. Nel secondo caso le decisioni sui dati sono influenzate dal posizionamento delle applicazioni sul tipo di cloud prescelto poiché aumentano il carico di lavoro e la responsabilità di chi è incaricato della sicurezza.
La CSA suggerisce di restare particolare attenzione ad ambiti quali la conformità e la sicurezza dei dati, a causa dell’interconnessione tra cloud pubblici e privati e a tal proposito già dal 2020 ha identificato i rischi e le contromisure di sicurezza per ridurli aiutando quindi gli utenti a districarsi in questo tipo di sfida.
Il NCSC dipendentemente dal modello di cloud scelto (Iaas, Paas o Saas) e dal conseguente modello di responsabilità suggerisce di prestare sempre particolare attenzione agli obblighi di aggiornamento a mezzo patch di sicurezza più recenti e come sia sempre raccomandabile verificare i seguenti ambiti: sostituire i protocolli di gestione legacy con un meccanismo di accesso sicuro gestito; sostituire semplici apparecchi monouso con equivalenti gestiti (ad esempio bilanciatori di carico e firewall) e utilizzare i servizi cloud per automatizzare l’applicazione delle patch alle tue macchine virtuali e sempre automatizzare sistemi di back up affidabili.
Per approfondire un corretto approccio alla sicurezza e gestione del cloud ibrido Alberto Manfredi suggerisce alcune risorse disponibili: “Dal gruppo di lavoro attivato da CSA e specifico sulla sicurezza del cloud ibrido, sono state prodotte diverse linee guida . Inoltre l’associazione mette a disposizione strumenti di cloud security governance un modello shared security responsability e un centro di competenza Zero Trust “vendor-neutral” per gestire, e auspicabilmente non subire, le nuove tecnologie e paradigmi che stanno trasformando il nostro universo digitale”.
Da non dimenticare, infine, la protezione della supply chain con fornitore di business coinvolto nel cloud, con cui concordare e implementare un approccio generale alla cyber resilience sistemica.
