Le aziende che si avvicinano al cloud lo fanno, di solito, convinte dalla promessa che il modello as-a-Service possa garantire una gestione ottimizzata delle risorse IT. Poi, una volta nella “nuvola”, queste stesse aziende si rendono rapidamente conto che il beneficio del cloud non si trova tanto nei risparmi del modello a consumo o nella ottimizzazione dell’IT, sebbene questi elementi restino molto importanti. Il vero vantaggio consiste nell’elasticità infrastrutturale: se c’è bisogno di modificare l’IT per attivare un nuovo processo o una nuova applicazione, il cloud permette di farlo con rapidità. L’IT tradizionale, molto meno.

Se dal cloud in senso lato passiamo al cloud-native vero e proprio, la promessa viene per molti aspetti amplificata. Il cloud-native non è solo portare applicazioni e risorse al cloud. È creare applicazioni e servizi sviluppati in maniera nativa per le infrastrutture cloud, che quindi ne possono sfruttare tutte le potenzialità. Per arrivare a questo, però, alle aziende si chiede di pensare ad applicazioni e processi in un modo nuovo, che ha impatti importanti anche lato security.

IT manager e sviluppatori sanno bene che un approccio cloud-native comporta un aumento di complessità rispetto agli ambienti IT tradizionali. E anche rispetto al cloud “di transizione” fatto di migrazioni in stile lift-and-shift. Il salto a un mondo fatto di container, orchestrazione, microservizi e persino funzioni serverless non è semplice.

Nel cloud-native non abbiamo più un flusso applicativo unico o la necessità di coordinare pochi servizi digitali limitati. Abbiamo una molteplicità di servizi e/o applicazioni containerizzate che si muovono in maniera semi-indipendente, con ciascun componente applicativo a priori senza una ben definita e immutabile associazione servizio-server, con cicli di sviluppo non sempre allineati, interdipendenze, proprie potenziali falle e vulnerabilità.

I principali benefici di un ambiente del genere sono certamente elasticità e scalabilità per tutta l’IT. Che però richiedono una analoga scalabilità anche delle soluzioni di visibility e security, perché siano in grado di intervenire in un ambiente così dinamico. Tanto dinamico che la soluzione più efficace è integrare le funzioni di sicurezza direttamente nell’ambiente Kubernetes. Questo è il ruolo di Red Hat Advanced Cluster Security for Kubernetes. In breve, ACS.

Il compito di ACS

La cyber security in ambito cloud-native comporta, in estrema sintesi, la necessità di mettere in sicurezza le cosiddette “quattro C”: cloud, cluster, container, codice. ACS permette di intercettare le ultime tre, lasciando da parte – perché non è sua competenza toccarla – la messa in sicurezza dell’ambiente cloud in generale. Grazie alle sue funzioni, Advanced Cluster Security for Kubernetes permette poi di arrivare a quello “spostamento a sinistra” (shift-left) della sicurezza - verso la componente di sviluppo e non solo di operation – che le aziende sempre più cercano. Diventa quindi la base per abilitare un approccio DevSecOps in ambito cloud-native, portando la sicurezza sempre più vicino allo sviluppo e, soprattutto, all’infrastruttura.

ImpresaCity, Red Hat e Par-Tec hanno organizzato un webinar su come utilizzare Advanced Cluster security for Kubernetes per rendere sicuri gli ambienti basati sulla containerizzazione. Vai a questa pagina per saperne di più.

Anzi, l’idea dietro ACS è che sia l’infrastruttura stessa a “fare” sicurezza nei tre macro-ambiti del controllo, della protezione preventiva e della risposta ad eventi di sicurezza. Questo affiancando alle funzioni proprie di Kubernetes una gamma di componenti che vanno ancora più in profondità.

Per la parte di controllo parliamo ad esempio di visibilità, analisi delle vulnerabilità e delle configurazioni dei workload, controllo del traffico di rete, correlazioni tra eventi di sicurezza. Per la parte di protezione sono disponibili ad esempio le funzioni di profilazione del rischio in base agli eventi raccolti, valutazione della compliance rispetto a vari benchmark, segmentazione delle reti, controllo degli accessi e dei privilegi. Nella parte di reazione troviamo tra l’altro funzioni di analisi comportamentale, definizione guidata delle policy di rete, threat detection, incident response. Il tutto integrato via API con le varie componenti di un ciclo DevOps “sicuro”, dai tool CI/CD sino alle piattaforme SIEM.

Sicurezza a portata di clic

Uno dei grandi vantaggi di Advanced Cluster Security for Kubernetes sta nel fatto che portare la gestione della cyber security capillarmente all’interno dell’infrastruttura rende la sicurezza stessa “frictionless” per i team di sviluppo e delle operations. Le classiche piattaforme di cyber security “appoggiate” sull’infrastruttura introducono sempre rigidità e, in vario grado, qualche limite nella visibilità sui sistemi e nel passaggio delle informazioni. Specie quando l’approccio scelto è in stile DevSecOps: fare shift-left della sicurezza è un processo articolato, l’aiuto che porta ACS è sicuramente importante.

Un altro punto fondamentale che una soluzione per la cyber security integrata con l’infrastruttura permette di affrontare è la personalizzazione delle operazioni di messa in sicurezza e controllo di un ambiente Kubernetes. Le best practice e i framework di riferimento certo esistono e vanno sempre considerati, ma ciascuna azienda utente ha una “sua” sicurezza che è legata alle peculiarità della sua infrastruttura.

Da questo punto di vista Advanced Cluster Security for Kubernetes permette di definire controlli e policy estremamente dettagliati e granulari, collegati a tutte le necessarie funzioni di automazione. Si può così “blindare” tutto il ciclo sviluppo-test-rilascio-deployment, a vari livelli infrastrutturali. Idealmente, dal commit del nuovo codice sul proprio repository sino alla sua containerizzazione. Si può fare tutto questo anche senza ACS, ovviamente, ma è un compito che risulta decisamente più complicato.