TECHTARGET

Cloud security assessment: quali strumenti per l’audit corretto

Gli ambienti cloud sono complessi e sfidanti in termini di sicurezza. Un audit adeguato garantisce che risorse e servizi siano adeguatamente protetti da qualsiasi tipo di rischio, gestendo problemi di visibilità, vulnerabilità, configurazioni errate, gestione degli accessi e via dicendo

Pubblicato il 09 Nov 2023

Laura Zanotti - Fonte TechTarget

Cloud security assessment: quali strumenti per l’audit corretto

Cloud security assessment significa attuare un processo articolato di analisi di tutti i livelli di protezione del cloud per verificare la sicurezza delle infrastrutture e la piena operatività dei servizi. Quest’attività di audit è assolutamente strategica per scoprire possibili vulnerabilità prima che lo facciano i cybercriminali. Per i team addetti alla sicurezza affrontare la superficie di attacco del cloud presuppone avere chiare visioni in merito a:

  • Mappatura e monitoraggio delle risorse esposte
  • Esposizione della superficie di attacco e convalida del rischio
  • Rischio sussidiario legato a fusione e acquisizioni spesso correlato a servizi e implementazioni cloud
  • Monitoraggio dei rischi della catena di fornitura, spesso legati anche ai servizi cloud
  • Individuazione delle risorse specifiche del cloud e gestione delle configurazioni relative

Cloud security assessment (CSA): le linee guida

La discussione sulla maggiore o minore sicurezza del cloud computing rispetto a modelli on premise è irrilevante. Finché un sistema è connesso alla rete Internet pubblica, che si tratti o meno di una soluzione nel cloud, esiste sempre il pericolo di una violazione della sicurezza dei dati. Più nel dettaglio, una valutazione della sicurezza del cloud (CSA – Cloud Security Assessment) esamina l’infrastruttura cloud per massimizzare la trasparenza informativa mappando e analizzando vulnerabilità, debolezze di configurazione e minacce potenziali. Un processo di audit esamina la configurazione degli account o delle sottoscrizioni dei fornitori di servizi cloud, ponderando le possibili minacce provenienti dal web e dall’infrastruttura stessa del cloud. È in questo modo che è possibile ottenere una panoramica delle potenziali lacune a livello di:

  • progettazione
  • implementazione dei controlli
  • aree potenziali di attacco e relativi rischi

Come effettuare una valutazione della sicurezza del cloud

Rispetto alle minacce in continua evoluzione, le organizzazioni dovrebbero effettuare il proprio Cloud security assessment con regolarità per rimanere costantemente aggiornate. Di seguito, i punti di attenzione del processo di audit:

  1. Postura generale della sicurezza
  2. Politiche di gestione delle identità e degli accessi (IAM)
  3. Funzionalità di sicurezza offerte dal provider di servizi
  4. Conformità
  5. Documentazione
  6. Esposizione a future minacce

Audit di sicurezza del cloud: da cosa partire

Per iniziare, è opportuno creare un inventario di tutti gli account e le sottoscrizioni cloud utilizzati. Le organizzazioni più grandi, con molti account, potrebbero selezionarne alcuni per campionarli e rendere più gestibile il processo di cloud security assessment. I responsabili della sicurezza devono focalizzarsi su account o sottoscrizioni con dati sensibili o un alto livello di esposizione. Con un inventario completo degli account e delle sottoscrizioni cloud, il team di sicurezza dovrebbero poi valutare i servizi e le risorse, procedendo a esaminare le politiche IAM per l’account cloud e i privilegi e le autorizzazioni consentiti all’interno di queste politiche.

Attenzione ai servizi di sicurezza del cloud

Successivamente, si passa a esaminare i vari servizi di sicurezza, come Amazon GuardDuty o Microsoft Defender, analizzando con attenzione la loro configurazione e il loro stato di esecuzione. È opportuno anche fare una valutazione delle immagini utilizzate per distribuire i contenitori e i carichi di lavoro delle macchine virtuali per individuare tutte le possibili vulnerabilità, considerando l’esposizione su Internet. Un altro passaggio fondamentale è quello di verificare che i servizi e gli oggetti siano conformi agli standard e ai framework di sicurezza informatica, come NIST, Cloud Security Alliance o le linee guida del Center for Internet Security.

Se sono in vigore standard di configurazione interni, è bene considerarli come parte integrante della CSA. I team della sicurezza, oltre ad assicurarsi che i carichi di lavoro in esecuzione e lo storage esposti su Internet siano documentati, devono valutare i firewall, la segmentazione di rete e i firewall delle applicazioni web per possibili errori di configurazione.

Assessement degli account cloud

Un altro processo importante del cloud security assessment è la valutazione degli account cloud per eventuali modelli IaC (Infrastructure as a Code) in fase di distribuzione perché spesso contengono elementi di configurazione critici e servizi attivi. Gli strumenti di gestione della postura di sicurezza del cloud in grado di scansionare i modelli IaC possono migliorare l’efficienza di questo processo.

Attivare il threat modeling del cloud

Documentare risorse, configurazioni e livelli di esposizione permette alle organizzazioni di eseguire esercizi di modellazione delle minacce (threat modeling) per valutare i confini di fiducia esistenti e i possibili attacchi contro gli asset e i servizi cloud. Le revisioni servono a verificare:

  • i margini di rischio relativi a possibili attacchi e minacce all’ambiente cloud
  • la facilità di attacco in base all’esposizione e ai livelli di tolleranza
  • lo stato dei controlli preventivi e di rilevamento in atto

Le organizzazioni con distribuzioni multi-cloud dovrebbero prevedere sessioni di threat modeling separate per ciascun servizio cloud.

Attack surface management (ASM): strumenti di supporto

Se economicamente fattibile, è possibile utilizzare dei servizi ASM per consentire ai propri team di sicurezza di valutare potenziali vulnerabilità e rischi e di confrontarli con i principali benchmark di settore del Center for Internet Security, della Cloud Security Alliance e degli stessi fornitori di servizi cloud. Altri servizi come, ad esempio, AWS Systems Manager e AWS Config, forniscono informazioni più approfondite sullo stato della configurazione, mentre Microsoft Defender for Cloud individua le risorse cloud. Altri strumenti ASM cloud includono Attack Surface Management per Google Cloud di Mandiant, parte di Google Cloud, che consente ai clienti di identificare potenziali opportunità di attacco. Si integra inoltre con AWS e Azure per fornire una visione centrale di tutti i servizi cloud in uso.

Cloud security assessment come fare

Altri aspetti del cloud security assessment

La rapida implementazione e proliferazione dell’infrastruttura cloud e dei relativi componenti tra cui, come già accennato, identità, policy di identità e nodi di storage hanno sostanzialmente ampliato la superficie di attacco. Di conseguenza, la gestione della superficie di attacco nel cloud può rappresentare una sfida per i team di sicurezza. Opzionalmente, le organizzazioni possono eseguire penetration test e scansioni live contro gli account e le sottoscrizioni cloud per ulteriori test e revisioni. Sulla base dell’assessment, il team di sicurezza dovrebbe creare un rapporto di alto livello. Vanno elencate tutte le verifiche, documentati i rischi e le eventuali lacune nei controlli, e fornite raccomandazioni di correzione per vulnerabilità e debolezze.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Canali

Articoli correlati

  • Attualità

    Cloud (r)evolution: il tempo della consapevolezza

    18 Ott 2023

    di Elisabetta Bevilacqua

    Condividi

  • TECHTARGET

    Security: perché serve puntare sulla Identity Threat Detection and Response

    12 Ott 2023

    di Marta Abbà - Fonte TechTarget

    Condividi

  • Guida

    Cloud computing: cos'è, tipologie ed esempi

    12 Mag 2022

    di Laura Zanotti

    Condividi

Prossimo

Cloud (r)evolution: il tempo della consapevolezza

Articolo 1 di 4