Ci è stato presentato come semplice, fruibile e accessibile a tutti. Da alcuni punti di vista lo è, nessuna menzogna, ma se lo si guarda con gli occhi di un responsabile sicurezza, il cloud è un mondo confuso, indisciplinato e in continua espansione. Se lo si sta sfruttando nel pieno delle possibilità, infatti, la sua infrastruttura può presentarsi molto più complessa rispetto a un data center on-premise. Da gestire c’è il fattore imprevedibilità che, come immaginabile, gioca brutti scherzi quando si opera nella cybersecurity.
L’accesso ombra che preoccupa
Senza che l’utente ne sia sempre consapevole immediatamente, i cloud provider arricchiscono la propria offerta di continuo con nuovi servizi. Si vogliono mostrare solerti e propositivi, e molti lo apprezzano, ma va anche tenuto conto che ogni nuova funzionalità si traduce in nuovi privilegi e autorizzazioni da gestire.
Secondo Cloud Security Alliance (CSA), nel mese di giugno un soggetto come AWS, da solo, ha fornito circa 12.800 servizi cloud con 13.800 autorizzazioni collegate. Numeri che giustificano l’uso del termine “complessità”.
Al fattore servizi, si affianca quello legato alla proliferazione delle “identità macchina”. Secondo Gartner, oggi nel cloud sono 10 volte più numerose di quelle umane e risultano sempre più inattive. Nel 2022 lo era l’80%, il doppio rispetto a quelle misurate nel 2021.
La domanda che spunta in modo assillante, lato security, risulta quindi: “davvero le giuste identità, umane e non, stanno accedendo agli ambienti, ai dati e ai sistemi giusti?”. In questo clima, diventa sempre più necessario tenere traccia di tutti i tipo di identità e autorizzazione, in ogni ambiente cloud utilizzato, assicurandosi che nessuno ne abusi per introdursi ove non lecito.
La CSA ha definito questa sfida “accesso ombra“, una sorta di upgrade dello shadow IT che si riferisce all’accesso invisibile o indesiderato alle risorse. Il cloud computing ha impresso una forte accelerazione al fenomeno e spesso le nuove identità e gli accessi vengono creati automaticamente e senza alcuna governance dagli sviluppatori, attraverso l’infrastructure-as-code.
È una situazione densa di pericoli, da presidiare mentre evolve repentinamente anche perché le stesse applicazioni cambiano di continuo senza che qualcuno si prenda l’onere di revisionarne la sicurezza. Tutto ciò concorre a esporre ogni organizzazione a violazioni non banali, la maggior parte proprio legate all’identità e all’accesso.
Gartner sfodera il CIEM
Di fronte a un puzzle inedito di insidie cyber, si può tentare di difendersi adottando un nuovo approccio. È proprio quello che Gartner suggerisce di fare, per gestire meglio sia identità che accessi. Ecco spiegata l’origine dell’ennesimo nuovo acronimo del mondo security: CIEM, che sta per Cloud Infrastructure Entitlement Management.
Questo strumento dovrebbe prendersi carico del corretto dimensionamento dei permessi, seguendo pedissequamente il principio del minor privilegio. Ciò significa rimuovere con prontezza le autorizzazioni inattive che oggi, secondo la CSA, sfiorano quota 95%. Un CIEM dovrebbe rilevate anche altre anomalie e automatizzare la conformità, per minimizzare la presenza di lacune nelle policy di gestione delle identità e degli accessi delle aziende che lo adottano.
Tutti compiti complessi da portare avanti manualmente, ma essenziali per proteggere i dati e le risorse nel mondo del cloud. Essenziali ma, purtroppo, non sufficienti per non farsi trovare impreparati dai criminali informatici. Nell’attuale panorama di mercato, infatti, molto spesso ci si trova ad avere a che fare con più provider e, per ciascuno, c’è da capire il modo in cui tutte le impostazioni di sicurezza si relazionano e si collegano. E ogni volta l’impostazione risulta completamente diversa: regna l’incoerenza e i rischi di faglie di security si moltiplicano.
C’è quindi da augurarsi che il CIEM venga accompagnato da istruzioni guidate, informazioni e intelligence su ciò che si può fare per ridurre legittimamente il rischio. Per gli utenti, soprattutto per quelli intraprendenti ma disorientati, anche solo un po’ di chiarezza sarebbe un sogno.
