L'adozione di software, piattaforme e infrastrutture basate sul cloud è cresciuta in modo massiccio negli ultimi anni e la tendenza sembra destinata a continuare. I servizi di infrastruttura cloud, ad esempio, sono previsti in crescita del 30,5% nel 2023 rispetto al 2022. Non sorprende quindi che la sicurezza del cloud sia ora più integrata nello sviluppo e nell'implementazione del software, da cui l'aumento delle specializzazioni in materia di sicurezza del cloud e delle pratiche di fornitura integrate come DevSecOps (Development Security Operations).

Le principali piattaforme di servizi cloud come AWS, Microsoft Azure e Google Cloud investono nella protezione contro le violazioni dei dati. Ma ci sono altri numerosi fornitori di servizi cloud e la sicurezza informatica è resa più complessa dalla distribuzione dei dati su molte piattaforme diverse. Inoltre, la sicurezza è ora strettamente integrata in discipline come DevSecOps, il che significa che non è solo una preoccupazione degli appassionati di sicurezza.

E’ quindi più che mai fondamentale gestire la sicurezza del cloud chiedendosi chi ha accesso ai vostri dati e come. L'utilizzo di politiche e procedure rigorose e coerenti può rafforzare la resilienza e prevenire gli accessi non autorizzati. Il rafforzamento della protezione della rete e delle applicazioni può aiutare a tenere lontani gli hacker, e naturalmente adeguate strategie di rilevamento e risposta alle intrusioni vi consentiranno di affrontare i problemi prima che sfuggano di mano.

Una buona sicurezza del cloud non si limita a mantenere i vostri dati al sicuro, ma è anche importante per la conformità agli standard internazionali: essere diligenti in questo campo può evitare seri danni alla reputazione della vostra azienda. Se vi occupate di sicurezza o lavorate in un team DevSecOps, questi compiti ricadono su di voi. Codemotion in collaborazione con S2E ha sviluppato questa guida per illustrare alcune best practice di cybersecurity per il cloud.

Gestione dell'identità e degli accessi: fare le cose per bene

Il primo passo per proteggere qualsiasi sistema informatico è controllare chi vi ha accesso. Le violazioni di dati di alto profilo su obiettivi come Apple e Microsoft sono ben note. Ciò significa che è più importante che mai controllare i diritti di accesso e migliorare le politiche DevSecOps. La gestione dell'identità e degli accessi (IAM) è un framework implementato per controllare e monitorare l'accesso degli utenti alle risorse e ai sistemi digitali, utilizzando strumenti come il controllo delle password, l'autenticazione multifattoriale e la biometria.

In termini di autorizzazione, una regola importante è il principio del minimo privilegio. Ciò significa che ogni utente, processo o programma ha accesso solo alle risorse necessarie per i suoi scopi legittimi. Questo tipo di approccio è essenziale quando si lavora con l'automazione necessaria per DevSecOps.

Le forti restrizioni sull'uso degli account di root possono prevenire le violazioni più gravi, ma i controlli di accesso richiedono comunque una verifica “fine-grained”. Un approccio comune è il controllo dell'accesso basato sui ruoli (RBAC, role-based access control ), in cui l'ingresso degli utenti alle risorse è mediato da ruoli definiti. Il RBAC consente una granularità di restrizioni adeguata per molti scenari ed è relativamente semplice da configurare. In alcuni casi, però, i controlli RBAC sono troppo statici e possono esporre involontariamente alcuni aspetti di un sistema.

Per maggiori dettagli, è preferibile un controllo basato sugli attributi (Attribute Based Access Control). In effetti questo è il framework di autorizzazione preferito da S2E. ABAC si basa su attributi più specifici di utenti, ambienti e risorse. È più complesso da configurare, ma alla fine offre una maggiore sicurezza e una verifica più semplice. La gestione delle identità e degli accessi è fondamentale per una solida strategia di cybersecurity nel cloud.

Protezione della rete e delle applicazioni

I controlli degli accessi sono inutili se la sicurezza della rete e delle applicazioni non è all'altezza. I firewall di rete mal configurati, ad esempio, sono una porta aperta per gli hacker. Vale quindi la pena di assicurarsi che le basi, come la configurazione del firewall, siano impostate correttamente e testate a fondo.

Servizi come AWS possono utilizzare gruppi di sicurezza o elenchi di controllo degli accessi alla rete (NACL, Named Access Control List) per proteggere le reti, che insieme funzionano come un firewall virtuale. Il primo consente di specificare i controlli di sicurezza a livello di istanza attraverso i gruppi. Le NACL, invece, sono controlli a livello di rete e limitano il traffico da o verso le sottoreti con regole in entrata e in uscita specificate. In definitiva entrambi possono ottenere gli stessi risultati, ma è la combinazione di entrambi che può risultare particolarmente efficace.

Per ulteriori consigli sullo sviluppo della vostra strategia di cybersecurity, vale la pena di consultare gli approfondimenti e i servizi di S2E.

Una delle principali cause di interruzione del servizio sono gli attacchi DDOS (Distributed Denial of Service). Data la prevalenza di servizi come AWS, Azure e Google Cloud per la distribuzione di contenuti e applicazioni, non sorprende che ognuno di essi offra servizi nativi per mitigare gli attacchi DDOS. AWS Shield, Azure DDOS Protection e Google Cloud Armor offrono ciascuno una stretta integrazione per la mitigazione degli attacchi DDOS sulle proprie piattaforme.

Rilevamento e risposta agli incidenti

Qualunque siano le misure di sicurezza informatica adottate, non è possibile proteggersi una volta per tutte. È necessaria una vigilanza continuativa e un monitoraggio efficace per rilevare gli incidenti. Non meno importante è disporre di procedure di risposta ben ponderate e testate, in modo che, quando si verificano le violazioni, possiate affrontarle efficacemente per ridurre i danni ai vostri servizi e alla vostra reputazione. Sono quattro le aree principali di rilevamento e risposta da considerare.

Monitoraggio a tempo pieno. Con i sistemi automatizzati, è possibile monitorare efficacemente tutte le operazioni di rete per rilevare attività e minacce sospette. Il monitoraggio della sicurezza di rete analizza fattori quali il payload, i modelli di traffico, le comunicazioni client-server e l'utilizzo dei protocolli.

Analisi dei log. Anche l'analisi dei log può offrire importanti informazioni sullo stato della sicurezza del cloud. Mentre il monitoraggio rileva le minacce immediate, l'analisi dei log esamina l'attività storica per identificare incongruenze o attività insolite. Grazie a questi dati, è possibile adottare misure per evitare incursioni future.

Caccia alle minacce intelligente. La caccia alle minacce mira a contrastare gli attacchi che sono entrati nella rete senza essere notati. Ciò comporta un'analisi intelligente dei dati per identificare attività che potrebbero non essere immediatamente evidenti. Questa attività non può essere eseguita in modo continuativo e viene utilizzata al meglio per confermare i sospetti. Spesso richiede una registrazione più dettagliata del normale.

Contenimento e azioni di remediation. Quando si scoprono minacce o attacchi, bisogna essere in grado di fermarli prima che facciano altri danni e prevenire ulteriori incursioni. I comandi "kill" automatici possono arrestare un processo, ma se un aggressore ha ancora accesso al sistema, può facilmente riprodursi. Gli interventi correttivi devono essere in grado di individuare la causa principale dell'incursione e chiudere i punti di accesso non autorizzati.

La conformità è fondamentale

Qualsiasi strategia di sicurezza del cloud deve tenere conto degli standard e delle linee guida internazionali. La compliance offre un'ulteriore garanzia di aver fatto tutto il possibile per rafforzare la sicurezza informatica. L'adesione a questi standard può anche farvi ottenere una certificazione, che offre rassicurazioni ai vostri clienti e migliora le vostre possibilità di acquisire nuovo business con operatori attenti alla security.

Un buon approccio è quello di prendere esempio da S2E, cha collabora con CSA, CIS e Mitre per garantire i migliori standard internazionali di sicurezza informatica. La Cloud Security Alliance (CSA) è leader mondiale nella definizione e nella promozione delle migliori pratiche di sicurezza per il cloud computing e offre certificazioni e approfondimenti basati su ricerche aggiornate.

Anche il Center for Internet Security (CIS) fornisce controlli e parametri di riferimento per la sicurezza informatica e produce una serie di strumenti per favorire l'implementazione dei propri standard. Mitre si occupa di sicurezza in una serie di applicazioni, tra cui la sicurezza informatica. Fornisce consulenza a governi e altri enti su tecnologie e strumenti sicuri.

Le vostre domande sulla protezione dei dati

Un modo utile per affrontare le crescenti sfide della cybersecurity è porsi una serie di domande mirate. Queste possono aiutarvi a concentrarvi su ciò che dovete fare per proteggere i vostri sistemi e su come risolvere le violazioni nel caso in cui si verifichino.

Dove sono i dati? I sistemi cloud aggiungono ulteriori sfide alle procedure di sicurezza, poiché i dati possono essere dispersi in molti luoghi. È importante sapere dove si trovano, controllarli e garantire la sicurezza delle comunicazioni tra i diversi sistemi.

I dati sono esposti? Come? Assicuratevi che siano esposti solo i dati che volete esporre. Utilizzate ABAC o RBAC “fine-grained” per realizzare controlli rigorosi e non prendete mai scorciatoie o soluzioni rapide con le vostre misure di sicurezza.

Quali sono i rischi principali? L'elenco delle minacce è in continua evoluzione, ma i problemi principali includono malware, codice malevoli, ransomware, rootkit, DDOS e malfunzionamenti della sicurezza di rete. È bene verificare la propria configurazione per capire dove si è più vulnerabili.

Chi ha accesso e come? Assicuratevi di sapere come tutti gli utenti accedono ai vostri sistemi, poiché le debolezze umane sono ancora una delle principali fonti di problemi di sicurezza. Utilizzate autorizzazioni forti basate su attributi o ruoli per limitare l'accesso in linea con il principio del minimo privilegio.

Come agire in caso di violazione? Assicuratevi che le vostre procedure di ripristino siano aggiornate e testate. Un rapido ripristino in caso di attacco è essenziale per rassicurare i clienti e mantenere la vostra reputazione.