SICUREZZA INFORMATICA

Cloud computing e sicurezza: come cambiano le soluzioni di protezione tecnologica

In attesa che i produttori forniscano soluzioni sempre più integrate e capaci di indirizzare i requisiti di sicurezza a prescindere dal modello cloud computing (SaaS, IaaS, PaaS), l’approccio più corretto consiste nel definire architetture specifiche di cloud security per assicurare la copertura più ampia possibile delle vulnerabilità

14 Giu 2021
B
Fabio Battelli

Partner di Deloitte Risk Advisory, Cyber Risk Services

Il cloud computing sta modificando il ruolo del CISO e, in generale, delle strutture che si occupano di garantirne la sicurezza. Alla luce di questo, è importante affrontare tali cambiamenti anche dal punto di vista della protezione tecnologica.

Sicurezza nel cloud: ecco come è cambiato il ruolo del CISO

Cloud computing e sicurezza: quali evoluzioni

L’evoluzione più evidente che il cloud computing ha introdotto riguarda senza dubbio la modalità con cui si “virtualizzano” le componenti IT, con tutti i benefici conseguenti. Anche restando negli ambienti on premise tradizionali l’utilizzo dei sistemi virtuali (o virtual machine) è ormai diventato lo standard assoluto e sono rimasti davvero in pochi coloro che utilizzano sistemi fisici per eseguire singole applicazioni, che non sono eseguite in contesti virtualizzati.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati

Il modello di cloud computing, soprattutto in una fase iniziale, ha portato ad astrarre ulteriormente i sistemi, potendo contare sul modello IaaS (Infastructure as a Service), che ha inserito le virtual machine in un contesto di virtualizzazione ulteriore dell’infrastruttura sottostante. Il risultato si è tradotto in ulteriore flessibilità ed agilità nel gestire i sistemi e gli ambienti in cui operano gli stessi.

La rivoluzione del modello PaaS

Tuttavia, la vera rivoluzione del cloud computing è stata introdotta a livello applicativo o, come si definisce nel gergo diffuso in ambito cloud, dei workload tipici del modello PaaS (Platform as a Service).

Stiamo parlando in particolare del passaggio dal mondo delle virtual machine, nate per astrarsi dall’hardware, al mondo dei container, in cui ad essere virtualizzato è il sistema operativo o addirittura il mondo serverless, dove si virtualizza l’esecuzione dell’intera applicazione (potendo contare sull’esecuzione di singole “funzioni” applicative).

I moderni servizi applicativi che sono alla base dell’attuale trasformazione digitale sono oggigiorno, e lo saranno sempre di più in futuro, costituiti dall’utilizzo contemporaneo di questi molteplici workload.

Ad oggi l’esecuzione dei workload è distribuita attraverso una diversità di modelli di erogazioni delle funzionalità IT che devono coesistere tra loro, ad esempio tra il mondo on-premises e quello IaaS, spesso questi ultimi associati a public cloud diversi.

L’adozione di questi contesti ibridi, in architettura multicloud, rende la protezione delle stesse singole componenti alquanto complessa ed in molte circostanze poco omogeneea e granulare.

Macchine virtuali, resilienza dei sistemi e disponibilità dei dati: le soluzioni

Cloud computing e sicurezza: l’approccio DevOps

Dal punto di vista della sicurezza, a complicare ulteriormente lo scenario è l’approccio DevOps, pensato per iterare continuamente il processo di sviluppo, anche più volte al giorno.

L’unico modo per proteggere i workload in un contesto così dinamico è pertanto adottare un approccio più proattivo possibile, fin dalle prime fasi dello sviluppo. Ciò consente di far “nascere” workload protetti in origine, prima che gli stessi arrivino in produzione, sempre considerando la combinazione di virtual machine, containers e funzioni serverless PaaS che devono lavorano insieme per erogare il “servizio applicativo” di cui sopra.

I produttori di soluzioni tecnologiche in ambito cyber security hanno dovuto fare i conti con questo cambiamento rivoluzionario, dovendo rilasciare nuove tecnologie o adeguare quelle esistenti per adattarle alle nuove necessità di protezione dei workload.

La transizione del mercato verso questi nuovi paradigmi è tutt’altro che completata. Da un lato i produttori che devono investire in ricerca e sviluppo per produrre soluzioni di sicurezza cloud-native, ovvero nate in cloud per proteggere il cloud stesso; dall’altro gli utenti finali, spesso costretti ad acquistare singole soluzioni per proteggere singole componenti (IaaS, SaaS, PaaS), poco integrate tra loro, aumentando la complessità di gestione e non sempre garantendo un presidio completo dei rischi.

Garantire la security by default grazie al DevSecOps: ecco come

Soluzioni per garantire la sicurezza in ambiente cloud

Cosa dovrebbe pertanto garantire una soluzione integrata di protezione dei workload in ambiente cloud ? Le funzionalità sono molteplici e da applicare appunto a diverse componenti cloud (IaaS, PaaS, SaaS), ognuna con le sue caratteristiche specifiche.

Proteggere una virtual machine in una infrastruttura IaaS è diverso da garantire la sicurezza di un container in un contesto PaaS, così come è differente proteggere un utente in un contesto SaaS.

Sebbene siamo in molti casi ancora lontani da poter immaginare una unica soluzione per proteggere tutte queste componenti, vediamo quali sono gli ambiti tecnologici principali che stanno caratterizzando il mercato:

  • soluzioni CASB. Forniscono visibilità e controllo sull’utilizzo del cloud in contesti SaaS e sui dati ivi memorizzati, proteggendo da minacce interne e account compromessi, attuando le policy di Data Loss Prevention (DLP), controllando gli accessi degli utenti finali e cifrando i dati in cloud;
  • soluzioni CSPM. Nate per proteggere prevalentemente i contesti IaaS, consentono di gestire in maniera centralizzata le configurazioni di sicurezza dei servizi cloud, verificandone anche la compliance con standard e requisiti normativi e proteggendo da alcune tipologie di attacco, spesso associate ad errori di configurazione delle infrastrutture (e.g. servizi esposti, autorizzazioni di traffico di rete errate);
  • soluzioni CWPP. Forniscono funzionalità di sicurezza incentrate sui workload (quindi anche per contesti PaaS), inclusi hardening dei sistemi, vulnerability management, segmentazione delle reti, integrity monitoring e whitelisting delle applicazioni.

Diversi produttori, che non hanno ancora completato la transizione da ambienti tradizionali a modelli di cloud computing ibridi con utilizzo esteso delle funzionalità di workload PaaS, stanno adattando le soluzioni esistenti di endpoint protection a tali ambienti.

Ciò accade, ad esempio, nel caso in cui le soluzioni più tradizionali di Endpoint Detection e Response (EDR) sono usate per proteggere ambienti PaaS. Tuttavia, questo approccio host based, ovvero ben consolidato per ambienti client e server “canonici”, monitora il comportamento potenzialmente malevolo di utenti e contesti applicativi, ma non consentono di proteggere completamente le funzioni applicative eseguite all’interno di un container o affidate a micro servizi tipici degli ambienti PaaS più moderni, come quelli descritti in precedenza.

Le soluzioni di CWPP in questo caso sono invece progettate per indirizzare i requisiti di protezione delle applicazioni cloud native, lavorando proprio a livello di container e processi DevOps.

I processi e le funzioni “malevoli” che possono compromettere le applicazioni vengono eseguiti in ambienti dove tutto avviene in secondi o minuti. Ciò rende ad esempio poco efficaci le soluzioni tradizionali basate sul caricamento e confronto con impronte (c.d. signature) dei malware, che richiederebbero tempi troppo lunghi per funzionare in un contesto così dinamico.

Al contrario, le funzionalità di scansione fornite dalle soluzioni CWPP consentono di seguire il ciclo di sviluppo continuo tipico del DevSecOps, lavorando contestualmente alle funzioni cloud in esecuzione.

Per farlo vengono spesso utilizzati degli agent che, inseriti nel container e/o essendo loro stessi un container, possono monitorare le attività con la stessa logica con cui si eseguono le funzioni nel contesto cloud.

Conclusioni

In attesa che i produttori forniscano soluzioni sempre più integrate e capaci di indirizzare i requisiti di sicurezza a prescindere dal modello cloud specifico (SaaS, IaaS, PaaS), l’approccio più corretto resta quello di definire architetture specifiche di cloud security, adottando soluzioni il più possibile cloud-native ed assicurando la copertura più ampia possibile delle vulnerabilità esistenti negli ambienti di cloud computing più moderni.

Ancora una volta, per fare in modo che tale transizione sia completa anche dal punto di vista della cyber security, non basta attendere l’evoluzione delle tecnologie, ma è necessario comprendere fino in fondo che i modelli operativi dei servizi IT sono profondamenti cambiati con il cloud computing.

Come esperti di sicurezza, per non restare emarginati rispetto a tale evoluzioni, bisogna velocemente adattare le soluzioni e le misure di sicurezza necessarie, affinché siano effettivamente progettate per il cloud e non solo nel cloud.

HWG - white paper - Cyber rischio: prevenire e rispondere agli incidenti

WHITEPAPER
Vantaggi economici, flessibilità e scalabilità: perché scegliere il cloud oggi!
Cloud
Digital Transformation
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr