Quando in azienda cresce il numero dei servizi e delle risorse cloud che vengono utilizzate, ci si ritrova con una varietà di console amministrative e di interfacce da gestire. Considerate come un unico elemento, esse prendono il nome di cloud control plane.
Se non adeguatamente protetto, il control plane potrebbe risultare vulnerabile a un’ampia varietà di attacchi, come dimostrano i diversi casi di abuso di privilegi amministrativi. Ad esempio, il servizio di code hosting Code Spaces è stato completamente chiuso nel 2014 a causa di un attacco brute force alla sua console di gestione AWS, mentre nel 2018 diverse console amministrative di Kubernetes sono state usate per creare istanze di container da usare per il mining di criptovalute. Di esempi ce ne sarebbero molti altri.
Per rendere più sicuro il cloud control plane, è fondamentale che le aziende seguano (almeno) queste cinque best practice.
Account Inventory
Gli Admin devono definire con cura a quali utenti e account fornire accesso amministrativo agli ambienti cloud. Pur essendo questa una funzione di base dell’Identity and Access Management, in aziende di grandi dimensioni può essere complesso definire ruoli e funzioni per ognuno dei servizi cloud adottati. Alcuni SaaS, infatti, possono avere un solo tipo di amministratore, ma la maggior parte dei PaaS e IaaS hanno una vasta gamma di policy e di livelli di privilegi.
La creazione di un modello sostenibile incentrato sulla sicurezza può richiedere tempo e risorse, ma è una delle aree più critiche su cui concentrarsi. È buona norma creare una directory centrale ( come Active Directory) con Single Sign-On, mediante degli Identity Gateway on-premise o un servizio di identity-as-a-service. Tutto ciò abilita provisioning e deprovisioning semplice degli account, nonché una facile supervisione centrale, indipendentemente dal servizio cloud in uso.
Strong Authentication
Code Spaces sarebbe ancora attivo se avesse attivato la Strong Authentication (o Multi Factor Authentication) per l’accesso alla console AWS. Per tutti gli account con privilegi di amministrazione, occorre abilitare MFA e imporre rigorosamente il suo utilizzo. Idealmente, tutti gli utenti e gli account che interagiscono con il cloud control plane dovrebbero usare l’accesso a due fattori, ma è peraltro vero che questo potrebbe interferire con alcune strategie di automazione. Bisogna dunque cercare di far rispettare l’MFA laddove possibile, ma essere anche consapevoli che non sempre questo è fattibile.
Logging
Un terzo aspetto chiave per la messa in sicurezza del cloud control plane è il logging dell’intero ambiente. Questa operazione è facilmente realizzabile in tutti i principali cloud: AWS cloudTrail, per esempio, ma anche Azure Activity Log e Google cloud Platform (GCP) Stackdriver. I responsabili della sicurezza devono poi monitorare e valutare costantemente questi log.
Limitare l’accesso alle API
Occorre assicurarsi che qualsiasi accesso alle API sia limitato a utenti selezionati e attentamente monitorati. L’interfaccia di AWS, Azure PowerShell o l’accesso alle API di GCP possono essere soggetti ad abusi, specialmente da parte di utenti con accessi privilegiati. Il consiglio è quello di limitare l’accesso solo a indirizzi IP o fonti affidabili.
Limitare l’uso delle risorse
I responsabili della sicurezza dovrebbero limitare l’uso di risorse cloud a quelle che vengono solitamente utilizzate. Le policy di identity possono essere usate per limitare l’accesso a determinati servizi cloud, e la maggior parte dei provider consente di disattivare le regioni che le organizzazioni non utilizzano o non prevedono di farlo.
Qualche passo extra
Le azioni di cui sopra riducono al minimo la superficie di cui i professionisti della sicurezza devono occuparsi, ma ci sono altre azioni che le imprese possono intraprendere. Per monitorare e rafforzare il cloud control plane, i team di sicurezza potrebbero anche prendere in considerazione l’uso di strumenti e servizi di Cloud Security Posture Management (CSPM). Questi si rivelano particolarmente utili nelle implementazioni multi-cloud: i servizi CSPM possono essere integrati con molti dei principali fornitori di servizi cloud per analizzare e valutare continuamente lo stato dei controlli di sicurezza del control plane, segnalando eventuali vulnerabilità e suggerendo le best practice all’interno di un’unica dashboard centralizzata.
