Cloud security assessments: valutazioni di sicurezza contro tutti i rischi

Cloud security assessments: valutazioni di sicurezza per contrastare i rischi

pittogramma Zerouno

Guida

Cloud security assessments: valutazioni di sicurezza per contrastare i rischi

Come possiamo capire se un servizio cloud è sicuro? Effettuare una valutazione della sicurezza del cloud permette di identificare i rischi per la sicurezza del cloud e garantire maggiore trasparenza del servizio. Ecco perché in Hype Cycle Cloud Security, 2020 di Gartner, il cloud security assessments ha raggiunto un alto grado di affidabilità

15 Lug 2021

di Roberta Fiorucci

Il cloud security assessments è fondamentale per garantire la sicurezza della propria infrastruttura cloud e in particolare per determinare se sono stati implementati i livelli appropriati di sicurezza e governance in grado di contrastare i rischi e prevenire possibili attacchi informatici. Le sfide alla sicurezza nel cloud sono diverse da quelle che riguardano un ambiente fisico ma i processi generali per la sicurezza sono fondamentalmente gli stessi.

Gartner, nell’Hype Cycle Cloud Security, 2020 dove ha valutato 33 tecnologie e stabilito la fase del ciclo di adozione e l’impatto di ognuna, ha annunciato che l’adozione completa di cloud security assessments avrà raggiunto la maturità in meno di due anni. Infatti, come nell’anno precedente è collocata nell’ultima fase del Hype Cycle, il plateau of productivity il che sta a significare che la tecnologia ha raggiunto un alto grado di affidabilità.

Gartner è anche convinta che il 99% degli incidenti di sicurezza del cloud fino al 2025 saranno da addossare ai consumatori in particolare per quanto riguarda le migrazioni al cloud che comportano una serie di nuovi rischi e nuove sfide per la sicurezza.

Le valutazioni sulla sicurezza del cloud possono rendere palese o visibile lo stato di sicurezza del cloud e dei rischi in modo trasversale sia riguardo alla gestione dell’identità e degli accessi, alle reti, alla tutela e riservatezza dei dati, alla ridondanza dei sistemi, ad archivi, carichi di lavoro e applicazioni.

L’obiettivo è sempre mantenere un ambiente sicuro.

La valutazione del cloud

Per trarre vantaggi dal cloud computing e ottenere così servizi IT flessibili, on-demand, scalabili e self-service occorre gestire in modo corretto i rischi per la sicurezza. Questo significa implementare e gestire policy, procedure, linee guida e controlli che risultino efficaci ed in grado di prevenire errori o violazioni. Ma significa anche che i servizi basati su cloud devono essere adeguatamente valutati prima di essere utilizzati.

WHITEPAPER
Impianti e produzione: perché (e come) modernizzare la sicurezza
Logistica/Trasporti
Manifatturiero/Produzione

In particolare, cloud security assessments deve:

  • Assicurare che i controlli di sicurezza siano integrati nella progettazione e nell’implementazione di un servizio basato su cloud.
  • Identificare le lacune tra i requisiti di controllo della sicurezza e la loro effettiva attuazione.
  • Constatare che i controlli di sicurezza del cloud funzionino in modo efficace.
  • Essere decisiva per prevenire o mitigare i rischi.

Cloud Security Assessments

Una valutazione della sicurezza del cloud deve in sostanza identificare i rischi per la sicurezza del cloud ma anche eseguire audit di sicurezza cloud per documentare i controlli in atto e fornire visibilità sui punti di forza e di debolezza dei sistemi esistenti. Deve valutare le lacune che possono indebolire la sicurezza del cloud prima di implementare o passare a nuovi servizi. Valutare la maturità della sicurezza attraverso un confronto tra le pratiche in atto rispetto ai metodi e agli standard principali. Tutto questo deve essere in linea con una valutazione dei propri obiettivi legati all’utilizzo di soluzioni o sistemi cloud based.

Cloud security assessments

Responsabilità della valutazione del rischio

Ma chi ha la responsabilità di valutare eventuali rischi?

La valutazione della sicurezza del cloud è una responsabilità condivisa che varia in base alla distribuzione cloud e al modello di servizio. Nel modello Infrastructure as a Service (IaaS), l’organizzazione è responsabile della valutazione diretta di più componenti e controlli, mentre nei modelli PaaS e SaaS, l’organizzazione deve avvalersi di certificazioni o attestazioni formali di terze parti indipendenti a garanzia di controlli che siano realmente svolti e in modo efficace.

A condividere le responsabilità ci sono i consumatori di cloud (cloud consumer o cloud service consumer, CSC) e i fornitori di servizi cloud (CSP). I consumatori devono conoscere i controlli di sicurezza che sono sotto la propria responsabilità, assicurarsi che certificazione o attestazione provengano da una terza parte indipendente e che le caratteristiche di sicurezza siano mantenute per tutta la durata del contratto. Il cloud consumer utilizza degli accordi sui livelli di servizio (Service Level Agreements o SLAs) per specificare i requisiti sulle prestazioni tecniche che devono essere soddisfatti dal provider.

Dall’altra parte, i responsabili dei servizi cloud devono documentare i controlli di sicurezza e le funzionalità utilizzate dai loro servizi cloud, garantire il rispetto degli accordi contrattuali e dei livelli di servizio e fornire ai consumatori le informazioni che descrivono servizi e controlli implementati. Inoltre, devono monitorare continuamente i propri servizi cloud per rilevare i cambiamenti e riferire sugli incidenti e su eventuali modifiche. Il cloud provider può anche includere negli SLAs restrizioni e obblighi che il cloud consumer deve accettare.

Gartner consiglia in generale alle aziende che si rivolgono a fornitori cloud di mettere per iscritto la garanzia di servizi come la protezione dall’accesso non autorizzato da parte di terzi, la certificazione annuale degli standard di security o lo svolgimento di regolari test delle vulnerabilità.

Alle attività di consumer e provider si aggiungono gli audit di terze parti in grado di occuparsi anche della verifica delle conformità in base alle diverse normative e forniscono certificazioni.

Il Consensus Assessments Initiative Questionnaire (CAIQ)

La Cloud Security Alliance (CSA) una organizzazione mondiale dedicata alla definizione e alla sensibilizzazione delle migliori pratiche per garantire un ambiente di cloud computing sicuro, ha istituito il Security Trust and Assurance Registry (STAR) un registro accessibile a tutti ma anche un programma di garanzia della sicurezza del cloud che comprende i principi di trasparenza e gli standard in grado di aiutare le organizzazioni. La stessa CSA fornisce anche un sondaggio, il Consensus Assessments Initiative Questionnaire (CAIQ) che aiuta i consumatori cloud a valutare la posizione di sicurezza dei potenziali fornitori di servizi cloud fornendo trasparenza del controllo di sicurezza e in un certo senso, garanzia. Il questionario si compone di domande sulla base del Sì/No da fare a un provider di cloud per accertare la propria conformità alla matrice dei controlli cloud (CCM).

Gli approcci per la valutazione della sicurezza del cloud

Nella valutazione della sicurezza, oltre a far riferimento ad audit, framework di reporting e certificazioni di terze parti indipendenti per valutare i controlli di sicurezza si possono adottare pratiche di automazione e DevSecOps.

Le valutazioni di sicurezza tradizionali generalmente si basano su un processo manuale che richiede tempo e non si allinea bene con l’agilità di un ambiente cloud based. Per questo le nuove piattaforme cloud offrono strumenti di automazione, modelli e linguaggi di scripting che possono essere utilizzati per l’applicazione e la creazione di report sulle configurazioni di base della sicurezza. La pratica DevSecOps estende il flusso di lavoro DevOps incorporando attività e processi di sicurezza automatizzati nei modelli di integrazione continua (CI) e di distribuzione continua (CD). I test di sicurezza automatizzati in sostanza aiutano a evitare errori che derivano dalle attività di valutazione manuale e garantiscono continuità di valutazione della sicurezza. Inoltre, riducono la quantità di tempo necessaria per identificare eventuali problemi.

Roberta Fiorucci

Giornalista

Roberta Fiorucci scrive di tecnologia, innovazione digitale e digital transformation per le imprese, prima come copywriter e technical writer poi collaborando con case editrici e riviste di settore. Nel 2008 ha creato una sua agenzia di comunicazione specializzata in brand management nel settore IT e sviluppo di progetti innovativi. Nel 2020 ha iniziato la sua collaborazione con ZeroUno

Argomenti trattati

Approfondimenti

G
Guida
Tech InDepth

Articolo 1 di 4