Classificata al primo posto nella quota di mercato della piattaforma di protezione delle applicazioni native per il cloud per 6 anni consecutivi
La sicurezza del cloud è un insieme di procedure, politicy e tecnologie che rafforzano gli ambienti informatici basati sul cloud contro le potenziali minacce alla cybersecurity. In pratica, garantisce l'integrità e la sicurezza dei modelli di cloud computing in caso di attacchi o violazioni. I fornitori di servizi cloud forniscono un'infrastruttura cloud protetta.
La protezione del cloud non è così complessa come potrebbe sembrare. Esistono molti modi per proteggere la tua azienda mantenendo il cloud sicuro e sfruttando al contempo tutto ciò che ha da offrire.
La sicurezza del cloud inizia con la scelta del modello di servizio più adatto alle esigenze dell'azienda. Esistono tre modelli di servizio diversi e quattro opzioni di implementazione in termini di offerte di sicurezza del cloud. Le opzioni del modello di servizio includono le seguenti:
Il modello IaaS consente a un'azienda di creare il proprio datacenter virtuale (vDC). Un datacenter virtuale offre risorse basate sul cloud al posto dei vantaggi fisici che può fornire un datacenter tradizionale. Con un datacenter virtualizzato non c'è bisogno di manutenzione regolare, aggiornamenti o assistenza per le macchine fisiche.
Il modello PaaS offre una serie di opzioni che consentono ai clienti di fornire, distribuire o creare software.
Con il modello SaaS, i clienti ricevono un software che non richiede l'uso di un computer o di un server per il suo utilizzo. Esempi di questa modalità includono Microsoft 365 (precedentemente noto come Office 365) e Gmail. Con queste opzioni, i clienti hanno bisogno solo di un computer, di un tablet o di un telefono per accedere a ogni applicazione. Le aziende utilizzano una varietà di termini derivati per evidenziare i loro prodotti, da DRaaS (disaster recovery) ad HSMaaS (hardware security module), a DBaaS (database) e, infine, a XaaS (qualunque cosa). A seconda di ciò che viene commercializzato da un'azienda, può essere difficile determinare se un prodotto è SaaS o PaaS ma, alla fine, la cosa più importante è la comprensione delle responsabilità contrattuali del fornitore. I provider cloud estendono i loro contratti per aggiungere sicurezza alle formazioni cloud tramite servizi quali HSMaaS (hardware security module) o DRMaaS (digital rights management).
I quattro modelli di distribuzione sono:
Disponibile per l'acquisto da parte di chiunque. I migliori esempi odierni sono Amazon Web Services (AWS), Microsoft Azure e Google Cloud Platform (GCP).
Realizzato per una specifica società con hardware che non è condiviso con nessun altro. Il modello privato può essere creato su un cloud pubblico o all'interno del proprio datacenter (DC) oppure presso un'azienda specializzata nella creazione di cloud privati, ovvero un provider di servizi gestiti.
Prevede il concetto di condivisione tra aziende. Il servizio può essere condiviso oppure i dati possono essere condivisi all'interno di tale servizio. Un esempio potrebbero essere i cloud realizzati dal governo e condivisi da molteplici enti.
Prevede l'utilizzo di almeno due dei tre modelli di distribuzione elencati in precedenza: pubblico e privato, privato e di comunità oppure pubblico e di comunità. Un'ulteriore possibilità consiste nell'uso di tutte le tre opzioni.
Tutti gli aspetti di una politica di sicurezza del cloud sono importanti, ma ci sono alcuni elementi di base che ogni fornitore dovrebbe offrire. Questi sono considerati essenziali e tra gli aspetti più importanti di un'infrastruttura di sicurezza del cloud. Assicurarsi che il fornitore scelto garantisca tutti questi elementi di base significa ottenere la strategia di sicurezza del cloud più completa che si possa implementare.
Monitoraggio continuo: I fornitori di sicurezza del cloud possono offrire uno sguardo su ciò che accade nelle vostre piattaforme cloud, conservando con continuità i registri dei log. In caso di incidente, il team di sicurezza può ispezionare e confrontare i registri interni con quelli del provider per avere una visione di potenziali attacchi o modifiche. In questo modo è possibile individuare e rispondere rapidamente a eventuali incidenti.
Gestione delle modifiche: Il fornitore di sicurezza del cloud dovrebbe offrire protocolli di gestione delle modifiche per monitorare il mantenimento della conformità quando vengono richieste modifiche, quanto le risorse vengono modificate o spostate, oppure quando vengono forniti o disattivati nuovi server. È possibile implementare applicazioni dedicate alla gestione delle modifiche per monitorare automaticamente i comportamenti insoliti, in modo che tu e il tuo team possiate agire rapidamente per mitigarli e correggerli.
Controlli di sicurezza Zero-trust: isola le risorse e le applicazioni mission-critical dalla rete del cloud. Mantenere privati e inaccessibili i workload protetti aiuterà a far rispettare i criteri di sicurezza che proteggono il tuo ambiente basato sul cloud.
Protezione dei dati a 360 gradi: il fornitore deve offrire una maggiore protezione dei dati con crittografia aggiuntiva per tutti i livelli di trasporto, buona igiene dei dati, monitoraggio continuo della gestione dei rischi, condivisione sicura dei file e comunicazioni a tenuta stagna. In breve, il tuo fornitore deve essere al top del settore quando si tratta di proteggere i dati della tua azienda in ogni modo e forma.
Chiediti: “Quali sono le mie preoccupazioni?” Questo ti aiuterà a determinare le domande da porre al tuo provider di cloud al fine di comprendere gli aspetti più importanti da tenere a mente.
L'adozione del cloud espande la superficie di attacco di un'organizzazione introducendo più punti di ingresso per gli aggressori. Ad esempio, l'utilizzo di più applicazioni SaaS può esporre i collegamenti deboli. Le organizzazioni dovrebbero adottare principi di zero-trust, segmentare le risorse e valutare regolarmente il loro stato di sicurezza per ridurre al minimo l'esposizione.
Le configurazioni errate sono una delle principali cause di vulnerabilità del cloud, spesso esponendo i dati sensibili ad accessi non autorizzati. Ad esempio, un bucket Amazon S3 configurato in modo improprio potrebbe lasciare i file riservati accessibili al pubblico. Le organizzazioni possono prevenire le configurazioni errate automatizzando la gestione della configurazione, conducendo controlli regolari e formando il personale sulle best practice.
I cloud provider proteggono l'infrastruttura, mentre i clienti sono responsabili della protezione dei propri dati e applicazioni. Il fraintendimento di questa responsabilità condivisa può lasciare esposte le aree critiche. Ad esempio, la mancata crittografia dei dati archiviati può comportare violazioni. Definizioni chiare dei ruoli, revisioni approfondite degli SLA e monitoraggio continuo sono fondamentali per mitigare questo rischio.
Districarsi tra i requisiti di conformità come GDPR, HIPAA e PCI-DSS può essere difficile negli ambienti cloud. Anche se i provider di servizi cloud offrono spesso strumenti e framework per supportare la conformità, la responsabilità finale per la privacy e la sicurezza dei dati spetta alle aziende che utilizzano il cloud. Le organizzazioni devono lavorare a stretto contatto con i fornitori per garantire il rispetto degli standard di conformità, utilizzare la crittografia e altre misure di sicurezza per salvaguardare i dati sensibili e rimanere informate sulle normative in evoluzione per evitare potenziali violazioni.
La natura multi-tenant degli ambienti cloud, in cui più clienti condividono la stessa infrastruttura, aumenta il rischio di una violazione dei dati poiché le vulnerabilità nel sistema di un tenant possono potenzialmente avere un impatto su altri. Gli aggressori possono sfruttare credenziali deboli, API non protette o vulnerabilità all'interno di risorse condivise per ottenere un accesso non autorizzato.
L'architettura del cloud, in parole povere, è il risultato di più ambienti che si uniscono per condividere risorse scalabili tra applicazioni software, database e altri servizi. In sostanza, il termine si riferisce all'infrastruttura e ai componenti che lavorano in tandem per costituire il "cloud" come lo conosciamo.
I componenti di base necessaria per creare un cloud comprendono reti, router, switch, server, firewall e sistemi di riconoscimento delle intrusioni. Il cloud comprende anche tutti gli elementi all'interno dei server: l'hypervisor e le macchine virtuali e, naturalmente, il software. L'architettura del cloud richiede inoltre un provider cloud, un architetto cloud e un cloud broker per creare, gestire, vendere e acquistare i servizi cloud. C'è un intero ecosistema da tenere sotto controllo, ma quando si parla di "cloud" ci si riferisce essenzialmente all'architettura cloud.
Molti termini relativi all'architettura del cloud si limitano ad aggiungere la parola "cloud" a un termine esistente e familiare, come "consumatore di servizi cloud". Se si comprende la definizione di consumatore, il nuovo termine è chiaro, ovvero un consumatore di servizi del cloud rispetto, ad esempio, ai servizi telefonici.
Ecco alcuni semplici esempi:
La sicurezza nel cloud inizia con l'architettura di sicurezza del cloud, che aggiunge elementi di sicurezza all'architettura di base. Gli elementi di sicurezza tradizionale comprendono firewall (FW), anti-malware e sistemi di riconoscimento delle intrusioni (IDS). Cloud auditor, architetti della sicurezza e ingegneri della sicurezza servono anche per progettare strutture protette all'interno e attraverso il cloud.
In altre parole, l'architettura di sicurezza del cloud non si limita ai componenti hardware e software.
L'architettura di sicurezza del cloud parte dalla gestione dei rischi. Conoscere ciò che potrebbe andare storto e quali potrebbero essere gli impatti negativi aiuta le aziende a prendere decisioni responsabili. Tre aree critiche di discussione sono la continuità aziendale, la catena di distribuzione e la sicurezza fisica.
Ad esempio, cosa succede alla tua azienda se il tuo fornitore di servizi cloud subisce un guasto? Collocare server, servizi e dati nel cloud non evita la necessità della continuità aziendale e/o di un piano di ripristino di emergenza.
Cosa succederebbe se chiunque potesse accedere al datacenter del cloud provider? Nel caso dei tre principali provider, AWS, GCP e Azure, ciò non sarebbe facile, ma il punto è proprio questo. Loro hanno investito pesantemente nella protezione del datacenter stesso.
Ma che dire degli altri provider di servizi in cloud? A qualunque potenziale provider di servizi cloud, chiedi di esplorare il datacenter e di partecipare a una verifica. Segnati la risposta. Si sono dimostrati disponibili a mostrarti il datacenter il giorno successivo? Se è facile entrare nel datacenter, forse quel fornitore merita una valutazione più approfondita.
I fornitori di cloud più piccoli potrebbero non avere un datacenter fisico. Più probabilmente, utilizzano e rivendono efficacemente la funzionalità dei provider cloud più grandi. Si tratta di un vantaggio e fa parte della bellezza dell'uso del cloud. Se il rapporto tra i provider cloud non è noto, potrebbe sorgere ulteriori problemi relativi a leggi, normative e contratti. Fai una domanda semplice: Dove sono i miei dati? Se ci sono più livelli tra il cliente e il fornitore di cloud, la risposta potrebbe essere difficile da determinare. Ci potrebbero anche essere conseguenze legali, come un problema con il Regolamento generale europeo sulla protezione dei dati (GDPR).
Gli elementi che compongono l'architettura di sicurezza del cloud di un'azienda potrebbero disporre a loro volta di servizi di sicurezza del cloud. È possibile acquistare servizi come la prevenzione della fuga di dati (DLPaaS). Alla sicurezza contribuiscono anche altri strumenti, come uno strumento di scansione che individua le informazioni di identificazione personale in modo che possano essere protette correttamente. La gestione della sicurezza del cloud è necessaria per garantire che i servizi funzionino a dovere.
Il CNAPP è un gruppo di soluzioni di sicurezza che aiutano a identificare, valutare, dare priorità e adattarsi ai rischi in una serie di applicazioni native per il cloud.
Come tale, CNAPP raccoglie diverse delle caratteristiche più importanti presenti all'interno di prodotti e piattaforme isolati: scansione degli artefatti, protezione del runtime e configurazione del cloud. Queste attività possono includere:
Trend Micro può essere considerato un fornitore CNAPP e prodotti come Trend Micro Cloud One™, la piattaforma di servizi di sicurezza destinata ai costruttori del cloud, si inseriscono perfettamente nell'architettura CNAPP.
Le aziende devono garantire la conformità a molte leggi, norme e contratti in essere. Quando i dati e i servizi sono affidati a una terza parte, ci sono alcuni complessi requisiti che devono essere applicati per garantire la conformità.
Da un punto di vista legale, le organizzazioni devono essere conformi con l'RGPD (Regolamento generale europeo sulla protezione dei dati), il SOX (Sarbanes-Oxley - protezione dei dati finanziari USA), l'HIPAA (Health Information Portability and Accountability Act - assistenza sanitaria USA) e altri ancora. Inoltre la protezione delle carte di credito è soggetta alla legge sui contratti con PCI-DSS (Payment Card Industry - Data Security Standard).
Dopo avere individuato l'oggetto della conformità, è possibile intraprendere molte azioni, una delle quali è la verifica. La verifica deve essere condotta adottando un approccio standardizzato e una metodologia consolidata, come SSAE 18 (Statement of Standards on Attestation Agreements, No. 18) dell'American Institute of Certified Public Accountants. I risultati della verifica indicano cosa potrebbe essere non conforme. Quando si sceglie un provider cloud, è essenziale leggere questi rapporti per conoscere il livello di sicurezza del DC e sapere cosa aspettarsi.
Facendo progredire la sicurezza dai datacenter ai workload in cloud, alle applicazioni e alle architetture native del cloud, Cloud Security fornisce protezione basata sulla piattaforma, gestione dei rischi e rilevamento e risposta multi-cloud.
Articoli correlati
Ricerche correlate