LA GUIDA PRATICA

Cloud e security: strategie di difesa e raccomandazioni per la scelta del servizio giusto

I servizi cloud rappresentano ormai uno standard di mercato e durante l’emergenza Covid è esploso l’uso degli strumenti di collaborazione, senza però una governance centralizzata: ecco come approcciare la security adottando una corretta strategia di difesa

03 Set 2020
E
Filadelfio Emanuele

Security & Operation Manager presso CybergON di Elmec Informatica

Tra le sfide che ogni azienda si trova o si troverà ad affrontare assumono un ruolo di primaria importanza l’adozione del cloud e la definizione di un piano concreto di security.

Proteggere gli investimenti, la proprietà intellettuale, i propri asset e dati aziendali può realizzarsi soltanto attraverso un percorso continuativo che va adattato e migliorato nel tempo.

Più è forte la spinta innovativa e la dinamicità dell’azienda, maggiore è il legame tra cloud e security: andiamo ad analizzare gli aspetti che compongono questa complessità e come è possibile affrontarli.

Cloud e security: strategia di difesa

Storicamente, prima dell’utilizzo di servizi cloud, il reparto IT doveva occuparsi del proprio data center e di utenti che difficilmente si muovevano fuori dalla rete aziendale. Nel mercato italiano esistono ancora parecchie realtà che utilizzano questo layout.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati

L’approccio consolidato nel tempo è quello di:

  1. difendere il perimetro della rete;
  2. difendere il contenuto della rete;
  3. difendere i dispositivi, anche in mobilità.

Questo piano assomiglia molto alla difesa di un fortino, in cui è necessario proteggere i confini e verificare che non ci siano brecce nella protezione.

Negli anni gli strumenti informatici e le soluzioni di cyber security hanno raggiunto un livello di maturità che permette di definire come maturo l’approccio alla difesa basato su:

  • Tecnologia di difesa:
  1. sistemi IPS e IDS;
  2. firewall perimetrali, meglio se di nuova generazione;
  3. antivirus e antimalware con evoluzione sui sistemi di EDR;
  • Soluzioni e servizi di Cyber Security:
  1. raccolta dei log degli apparati all’interno di un SIEM;
  2. generazione di alert verso un SOC;
  3. monitoraggio continuo del traffico di rete;
  4. monitoraggio continuo delle vulnerabilità e relative remediation;
  • Best practice:
  1. segregazione delle reti;
  2. autenticazione centralizzata;
  3. definizione puntuale dei permessi degli utenti.

Con l’adozione dei servizi offerti dai cloud provider questo approccio non è più sufficiente.

Il perimetro cambia e in alcune situazioni diventa effimero, le applicazioni e i servizi a disposizione degli utenti devono essere raggiungibili ovunque.

La complessità aumenta se ragioniamo su soluzioni multi-cloud e hybrid-cloud: da una parte dobbiamo validare gli approcci su fornitori differenti e dall’altra dobbiamo gestire il legame trAscolta “Cloud security: come garantire la sicurezza del cloud computing” su Spreaker.a il data center locale e i servizi cloud.

Cloud e security: la shared responsibility?

In un modello tradizionale basato su infrastruttura on-premise la responsabilità di attuare un efficace piano di security e rispondere prontamente alle minacce è totalmente in carico all’azienda.

Con l’accesso ai servizi cloud questo paradigma cade ed è necessario chiarire in quali casi la responsabilità è del cloud service provider (CSP Responsibility) e in quali altri è del cliente (Customer Responsibility).

Questa struttura non è fissa, ma varia in base alla tipologia di servizio che viene acquisito dal cloud provider.

Gartner analizza i 3 modelli classici dei servizi cloud:

  1. IaaS: in cui il cliente ha spostato sul cloud provider la responsabilità dell’infrastruttura fisica e della componente di virtualizzazione;
  2. PaaS: in cui il CSP copre un ambito più ampio fino ai servizi di Runtime e Middleware;
  3. SaaS: in cui il cliente ha delegato anche la gestione delle applicazioni.

Rimane però chiaro un aspetto fondamentale: il cliente avrà sempre la responsabilità delle persone e di tutti gli aspetti legati all’identità digitale e ai dati utilizzati da persone e applicazioni.

È quindi utile analizzare l’interpretazione del modello di shared responsibility di due cloud service provider (Azure e AWS).

Microsoft pone particolare attenzione alla tipologia di servizio erogato (IaaS, PaaS, SaaS) sulla falsa riga di Gartner.

Aggiunge però due aspetti:

  1. divide la gestione dell’infrastruttura di identity dalla gestione degli account e identità;
  2. esplicita che la gestione dei device è sempre in carico al cliente.

AWS, invece, esprime lo stesso concetto con una visione più legata al layout infrastrutturale.

Interessante l’idea del contenuto e contenitore:

  1. il contenitore (Responsibility for security OF the cloud) è in carico ad AWS;
  2. il contenuto (Responsibility for security IN the cloud) è sempre in carico al cliente;

Quale approccio avere durante l’adozione al cloud

Per avere una strategia di successo per l’adozione del cloud è necessario procedere in modo graduale: esistono molti esempi di aziende che hanno adottato un approccio “big-bang”, fallendo e pagando duramente tale errore.

L’adozione del cloud non è quindi un processo statico, ma varia nel tempo.

Applicando la metodologia DevSecOps, è necessario utilizzare un modello ricorsivo, diviso in tre fasi:

  1. secure design: gli aspetti di security devono essere analizzati fin dalle prime fasi del disegno architetturale in quanto vitali per i passi successivi. Il design può essere eseguito top-down, scendendo progressivamente di livello di dettaglio;
  2. secure build: l’implementazione di quanto definito deve essere eseguita monitorando ogni step per evitare che mis-configuration generino incident di sicurezza. Prima di rilasciare in produzione qualunque soluzione è necessario eseguire un security assessment per risolvere tempestivamente eventuali vulnerabilità;
  3. manage security: è necessario monitorare in mondo continuativo l’utilizzo di tali servizi e le nuove minacce. In questo ambito bisogna continuamente analizzare il flusso di informazioni, raccogliere i log e centralizzarli in un SIEM, eseguire costantemente security assessment ed eventualmente triggerare il processo di secure design.

Cloud e security: quali sono le priorità

Riportiamo la piramide di Gartner che schematizza i temi che devono essere affrontati per poter adottare il cloud con un crescente grado di sicurezza.

È chiaro che è necessario analizzare in modo prioritario i temi che stanno alla base e aggiungere componenti con il crescere della maturità e adozione.

Analizziamo, quindi, i sei aspetti indispensabili da affrontare.

Secure network

L’approccio da utilizzare per configurare i vari tenant e applicazioni cloud è quello di segregare il più possibile il network tra i vari ambienti per ridurre il rischio che la compromissione di un sistema possa impattare anche altri sistemi.

L’utilizzo di VPN risolve le necessità di comunicazione, in quanto il traffico passa su canale sicuro, ma può essere ospitato su tipologie diverse di connettività (internet, dedicated ecc.)

Un “must” deve essere:

  1. la segregazione delle reti di produzione on-premise da quelle del cloud;
  2. autorizzare solo le comunicazioni necessarie.

Identity Management

La sicurezza nel cloud è basata sulla protezione dell’identità e in modo secondario sulla protezione del perimetro.

Per questo motivo è necessario adottare sistemi di identity management avanzati che permettano di centralizzare le credenziali, abilitare il single-sign on e gestire le autorizzazioni per applicazione.

Una corretta profilazione degli utenti sta alla basa del buon funzionamento di ogni sistema di identity management.

Fortemente consigliata l’adozione di soluzioni di MFA (multi factor authentication) per risolvere i limiti umani della gestione delle complessità delle password e rimuovere i rischi di brute force attack.

Porre attenzione agli amministratori dei sistemi che devono avere un livello di sicurezza nell’autenticazione maggiore rispetto ad un utente base (es. password complessa per gli utenti standard e MFA per gli amministratori).

Access Management

I sistemi di Rule Base Access Control (RBAC) permettono di definire in modo puntuale le autorizzazioni di ogni singolo utente e in modo granulare ogni singola tipologia di attività permessa.

Vale la regola che le autorizzazioni devono essere cucite in modo sartoriale sulle esigenze dell’utente, monitorando in modo costante le attività eseguite e rimuovendo eventuali autorizzazioni non necessarie.

Log and Analyze

Con la dinamicità del cloud, bisogna attivare il logging di tutti i componenti utilizzati, del traffico che viene generato tra di loro e verso il data center cliente.

Tali log vanno raccolti utilizzando gli strumenti del CSP che ne fa una prima scrematura e poi centralizzarli in un SIEM per poter applicare regole di correlazione e generare allarmi verso il SOC.

I vendor di SIEM più noti hanno creato dei connettori per i vari componenti del cloud con già applicate le regole base di correlazione.

Non è però semplice definire uno standard, in quanto ogni azienda può approcciare i servizi cloud in modo differente.

Continuous Assessment

Non possiamo fidarci del design iniziale e dell’implementazione eseguita prima di rilasciare la soluzione in produzione.

È quindi importante monitorare costantemente la cloud security posture. Esistono diverse soluzioni sul mercato (CSPM Tools), spesso non fornite dal cloud service provider, che confrontano le policy definite con l’effettiva configurazione presente sul tenant.

Visto che “tutto è software”, il rischio di mis-configuration è molto alto.

All’interno di tali tools ci sono profili standard forniti dal vendor, ma è possibile personalizzare la matrice di confronto e i controlli da eseguire.

Encrypt if is it possible

La responsabilità della sicurezza dei dati rimane sempre in carico al cliente ed è per questo consigliato attivare le funzionalità di encryption native nelle applicazioni e basarsi su un sistema avanzato di gestione delle chiavi.

In questo modo, eventuali compromissioni del cloud provider o del canale di comunicazione non permettono ai cyber criminali di accedere ai dati aziendali.

Cloud e security: raccomandazioni

L’utilizzo dei servizi cloud è ormai uno standard di mercato. I Cloud Service Provider ampliano costantemente le funzionalità offerte e tale processo deve essere continuamente gestito.

Ad esempio, durante l’emergenza Covid è esploso l’utilizzo degli strumenti di collaborazione cloud (Teams, Zoom, Google Cloud), senza però una governance centralizzata.

L’adozione graduale del cloud è fondamentale, ma è chiaro che non tutte le decisioni e le scelte passano dal reparto IT dell’azienda (Shadow IT).

Per questo motivo è necessario un monitoraggio costante dei servizi utilizzati dagli utenti per correggere il design o chiudere falle di sicurezza in modo tempestivo.

Non è più possibile approcciare la security proteggendo il perimetro in quanto i servizi sono sempre più ibridi e usati in mobilità.

WHITEPAPER
GUIDA PRATICA contro il Phishing: scopri come tutelare la tua azienda!
CIO
Sicurezza
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr