Approcci orientati al futuro per la sicurezza nel cloud
La sicurezza in ambienti ibridi e multi-cloud rimane una sfida per i CISO e i responsabili IT. Tuttavia, stanno emergendo nuovi approcci risolutivi come CNAPP, per creare trasparenza e superare ogni sfida. Uno sguardo alle best practice.
Testo: Andreas Heer, Immagine: Swisscom, Data: 4 aprile 2024 5 Min.
Per i meteorologi, le strutture nuvolose a più strati nel cielo sono senza dubbio un evento che suscita un certo entusiasmo. Nel settore IT, invece, tali strutture rappresentano una sfida dal punto di vista della sicurezza – e ciò nonostante sono una realtà. Secondo il Thales Global Cloud Security Study 2023, il 79% delle aziende utilizza ambienti ibridi o multi-cloud. Dal punto di vista della sicurezza, sono necessarie soluzioni per superare queste sfide, sottolinea Raffael Peluso, Head of Security Product Management di Swisscom: «Le misure di sicurezza si basano su obiettivi ben chiari: Quali dati vengono salvati nel cloud? E quali requisiti devono soddisfare questi dati, ad esempio in termini di disponibilità e compliance?»
Misure per la cibersicurezza nel multi-cloud
Nel caso delle offerte di cloud pubblico, inoltre, è importante capire quali misure di sicurezza sono di competenza del fornitore di Public Cloud e di quali invece deve occuparsi l’azienda, in qualità di cliente. Questo modello, denominato Shared Responsability, illustra la suddivisione dei compiti tra provider e cliente. Di solito il provider è responsabile della sicurezza e della disponibilità dell’ambiente cloud vero e proprio, mentre i clienti si occupano della protezione dei propri dati e delle proprie applicazioni. Per il livello superiore dello stack cloud, il fornitore di servizi cloud offre una serie di soluzioni di sicurezza. Resta però da vedere quali aspetti della sicurezza un’azienda sia in grado di coprire e dove siano necessarie soluzioni aggiuntive.
Negli ambienti ibridi e multi-cloud, la visibilità su tutte le risorse cloud e i carichi di lavoro è fondamentale per soddisfare i requisiti a livello di sicurezza dei dati e compliance. Un approccio strategico alla valutazione delle misure adeguate comprende diversi aspetti tecnici e organizzativi. I più importanti sono i seguenti:
- Concentrarsi su soluzioni che funzionino con diversi provider e che offrano una visione unitaria, consentendo l’implementazione di policy in tutto il panorama IT.
- Approcci zero trust con architetture SASE (Secure Access Service Edge) per proteggere l’accesso alle risorse cloud su tutte le reti, tutti i dispositivi e gli utenti.
- Formazione delle collaboratrici e dei collaboratori per sviluppare la consapevolezza in materia di sicurezza nella gestione dei dati e una cultura della sicurezza (Security Awareness). Ciò significa anche aumentare la consapevolezza in materia di sicurezza tra gli specialisti IT, responsabili della creazione e della gestione degli ambienti cloud.
- Adottare misure per contrastare la carenza di personale qualificato, come la riqualificazione e la formazione continua dei collaboratori, il miglioramento delle condizioni di lavoro, la formazione di specialisti, la collaborazione con partner esterni e Managed Security Service Provider (MSSP).
Leggete questo articolo e il primo articolo sulle sfide della sicurezza dei dati comodamente in formato PDF.
Approcci e processi per la sicurezza dei dati nel multi-cloud
Il cambio di paradigma verso il cloud computing ha portato alla luce nuovi concetti che tengono conto del cambiamento infrastrutturale e delle esigenze di sicurezza delle aziende, a livello tecnico e di processo, allontanandosi dalla mera protezione perimetrale. In altre parole, come sintetizzato da Raffael Peluso: «Negli ambienti multi-cloud i processi nelle interfacce di collaborazione tra diverse aree assumono un ruolo centrale.» Gli approcci principali:
- DevSecOps (Development, Security, Operations) combina lo sviluppo e la manutenzione agile delle applicazioni con le misure di sicurezza e le operazioni. Ciò significa che la sicurezza è integrata in ogni fase del ciclo di vita del software e che i relativi test sono automatizzati all’interno della pipeline CI/CD. Il test comprende il codice dell’applicazione e l’IaC (Infrastructure as Code, configurazione automatica di risorse). Questo processo, noto anche come «shift left», garantisce il rispetto dei requisiti di sicurezza anche in cicli di sviluppo e deployment brevi. DevSecOps aiuta inoltre a migliorare la Security Awareness tra gli specialisti IT, in quanto la sicurezza IT diventa parte integrante di ogni fase del processo.
- La Cloud Workload Protection (CWP) protegge le VM e i container durante le operazioni. La CWP comprende sia la protezione contro gli attacchi informatici che il monitoraggio di eventuali falle nella sicurezza, garantendo così trasparenza cross-cloud sullo stato di sicurezza dei carichi di lavoro.
- Il Cloud Security Posture Management (CSPM) rappresenta, per così dire, il livello di compliance della CWP. Mentre la CWP si occupa della protezione tecnica, il CSPM controlla i carichi di lavoro alla ricerca di errori di configurazione e verifica il rispetto delle norme di sicurezza (Policies). Ciò consente un monitoraggio centralizzato delle direttive di compliance.
- Il Cloud Infrastructure Entitlement Management (CIEM) gestisce in modo centralizzato e uniforme identità e autorizzazioni in ambienti ibridi e multi-cloud. In questo modo il CIEM semplifica un complesso Identity and Access Management (IAM) attraverso l’utilizzo di vari strumenti dei diversi fornitori di servizi cloud.
Protezione degli ambienti multi-cloud con CNAPP
La società di ricerche di mercato Gartner ha coniato il termine «Cloud Native Application Protection Platform» (CNAPP) per le soluzioni che combinano tali funzionalità di sicurezza. La CNAPP combina le misure di sicurezza tradizionali, come la scansione anti-malware e la scansione della vulnerabilità, con metodi che soddisfano i requisiti di sicurezza specifici in ambienti cloud di qualsiasi tipo. Tra questi rientrano gli approcci sopra citati, tra cui DevSecOps, CWP o CSPM.
Il CNAPP offre quindi alle aziende una piattaforma per implementare a livello centralizzato misure tecniche e organizzative volte al rispetto della compliance. Ciò crea la trasparenza e la visibilità necessarie a garantire l’operatività in totale sicurezza in ambienti ibridi e multi-cloud, superando così i limiti legati al provider. Poiché le soluzioni CNAPP sono basate sul cloud, di solito vengono acquistate dal fornitore o da un MSSP sotto forma di servizio.
Il grande vantaggio del CNAPP è che, essendo una piattaforma centrale, offre una visione unitaria a tutti i gruppi di utenti e tutti sono aggiornati. In questo modo, ad esempio, il team dell’infrastruttura cloud o DevOps può reagire immediatamente alle configurazioni errate. In caso di Security Events viene inoltre allertato il Security Operations Center (SOC), che adotta misure adeguate per reagire a un eventuale incidente.
Per rilevare meglio le vulnerabilità e le configurazioni errate, le soluzioni CNAPP si affidano sempre più al machine learning e ad altre forme di intelligenza artificiale. Data la natura dinamica del mercato delle soluzioni basate sull’IA (generativa), per le aziende è importante monitorarne gli sviluppi. Così come lo è, prima di prendere una decisione, chiarire se la funzionalità di intelligenza artificiale offerta soddisfa effettivamente le proprie esigenze.
Best practice per la sicurezza multi-cloud
Quali misure di sicurezza vengono implementate negli ambienti ibridi e multi-cloud e come stabilire le best practice per la sicurezza del cloud. In linea di principio, queste best practice valgono indipendentemente dalla complessità dell’ambiente cloud. Misure tecniche come la crittografia, la classificazione dei dati, l’autenticazione a più fattori e simili sono comunque obbligatorie come protezione di base.
Oltre alla protezione di base, il CNAPP offre misure di protezione tecniche e organizzative aggiuntive necessarie in ambienti cloud complessi. «DevSecOps è fondamentale per una sicurezza costante», afferma Raffael Peluso. «Allo stesso modo lo è un training sulla Security Awareness che coinvolga anche gli specialisti IT.»
Queste misure contribuiscono a mantenere una visione d’insieme dell’ambiente IT dell’azienda. Durante l’operatività, un monitoraggio costante migliora questa visione, ad esempio con la Cloud Workload Protection. A ciò si aggiunge la verifica delle misure, afferma Raffael Peluso: «Con un monitoraggio continuo e audit regolari, le aziende sono in grado di individuare le eventuali anomalie e creare trasparenza nell’ambiente cloud.» Ciò consente alle aziende di vedere nelle diverse strutture cloud non soltanto grandi sfide, ma anche grandi benefici.
Nel primo articolo, potete leggere le sfide che i CISO devono affrontare quando si tratta di sicurezza dei dati in ambienti ibridi e multi-cloud. Scaricate ora entrambi gli articoli.
Scarica subito la serie di articoli “Sicurezza dei dati”
Il suo link personale per il download del documento desiderato le è stato inviato per e-mail.
Le nostre norme sulla protezione dei dati, come anche l’informativa sulla privacy online e le possibilità di revocare il consenso al trattamento dei propri dati o di disdire l’abbonamento alla newsletter sono riportate qui: Norme sulla protezione dei dati (apre una nuova finestra)