Tech InDepth

Come cambia il configuration management con container e microservizi

La diffusione dei sistemi virtualizzati basati su software container pone problemi che cambiano anche l’approccio al configuration management. Ecco quali sono le criticità e le strategie per affrontare in maniera adeguata il nuovo panorama.

Pubblicato il 17 Nov 2020

software container

L’evoluzione delle piattaforme cloud e l’estesa adozione delle tecniche di virtualizzazione hanno modificato le modalità di configuration management. Se l’adozione delle architetture basata sui microservizi, infatti, ha reso più versatile la gestione delle funzionalità a livello aziendale, ha anche introdotto elementi di complessità nella gestione dell’ecosistema IT. Nell’ottica della cyber security, questo si riverbera sul livello complessivo di sicurezza della rete aziendale. Per affrontare il nuovo quadro serve utilizzare strumenti mirati e policy rigorose.

Un obiettivo privilegiato

A rendere particolarmente delicata la posizione dei software container è il fatto che, nell’ottica di un pirata informatico, questi vengono considerati dei bersagli ideali proprio per le caratteristiche che li fanno apprezzare a livello di gestione. Trattandosi di servizi autonomi, che “girano” su cloud senza che sia necessaria una macchina virtuale completa per supportarli, i software container non possono essere monitorati attraverso strumenti di controllo tradizionali. Come risultato, finiscono spesso per essere “abbandonati” al loro destino e una eventuale compromissione rischia di essere individuata solo e soltanto nel caso in cui questa vada in qualche modo a intaccarne il funzionamento. In altre parole, i cyber criminali possono contare sul fatto che il malware installato su un container compromesso possa godere di un livello di persistenza superiore a quello di qualsiasi altro “ospite”.

Troppa velocità?

A rendere più vulnerabili le infrastrutture IT basate su container e microservizi contribuisce il “fattore velocità”, già evidenziato dagli esperti di sicurezza per altre funzionalità legate alle piattaforme cloud e alla virtualizzazione.

La versatilità dei sistemi virtuali, infatti, consente agli amministratori IT di aggiungere, modificare o rimuovere container e servizi con estrema facilità e rapidità. Un bel vantaggio dal punto di vista operativo, ma pericoloso sotto il profilo della sicurezza.

Le statistiche relative a installazioni eseguite con impostazioni sbagliate, o comunque non aderenti agli standard dettati dalle “buone pratiche” di sicurezza, sono estremamente frequenti. Le vulnerabilità riscontrate più spesso riguardano l’assenza di strumenti di autenticazione per l’accesso alla gestione dei servizi o l’utilizzo di credenziali “deboli” che lasciano aperta la strada ad attacchi basati su tecniche di brute forcing.

Sotto questo profilo, il configuration management è un elemento fondamentale e richiede prima di tutto la definizione di policy rigorose che consentano di garantire il rispetto degli standard di sicurezza. Parallelamente, le aziende che utilizzano piattaforme di questo tipo possono dotarsi di software specifici per effettuare periodicamente (o con continuità) un’analisi granulare delle risorse implementate, verificando che le loro impostazioni corrispondano agli standard stabiliti.

Il problema delle vulnerabilità

A differenza delle architetture tradizionali, che vengono spesso definite “monolitiche”, l’architettura basata su microservizi consente di utilizzare singoli elementi autonomi che possono essere implementati singolarmente.

Una bella comodità, che però ha un rovescio della medaglia: ogni singolo servizio richiede infatti una configurazione a sé, sia per quanto riguarda il suo funzionamento, sia per il dialogo con altri servizi interni all’ecosistema.

Nel momento in cui emergono particolari vulnerabilità, come quelle relative a un protocollo, i responsabili della cyber security si trovano in una situazione terribilmente complessa. Il rischio di “dimenticare” attiva una funzionalità affetta da bug, in un quadro del genere, aumenta infatti esponenzialmente. Lo stesso elemento di complessità investe la fase di test in caso di aggiornamento.

Se i microservizi sono autonomi e indipendenti per quanto riguarda la loro configurazione e gestione, il loro funzionamento dipende normalmente dalla capacità di comunicare correttamente con tutti gli altri servizi attivi. Ogni modifica a un servizio, quindi, richiede l’esecuzione di test di compatibilità a livello complessivo, con un conseguente allungamento dei tempi che porta a ritardare l’applicazione delle patch.

L’automazione a livello di configuration management

Le criticità descritte chiariscono come un approccio tradizionale alla gestione dei servizi aziendali, nel nuovo panorama, sia pressoché impossibile. Interventi “manuali”, dettati dalle necessità che emergono hanno infatti un’elevatissima probabilità di dimostrarsi inefficaci e degradare in maniera sensibile il livello di sicurezza dei sistemi. L’automatizzazione a livello di monitoraggio e di orchestrazione, di conseguenza, diventano l’unico strumento adeguato per tenere sotto controllo l’infrastruttura IT.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 4