Cloud security: come costruire un sistema IDS e IPS

pittogramma Zerouno

TechTarget TechnologyHowTo

Cloud security: come costruire un sistema IDS e IPS

Anche con i servizi cloud, la predisposizione di un sistema di identificazione e prevenzione delle intrusioni resta una componente fondamentale della strategia di cybersecurity di un’azienda. Ecco alcuni consigli sugli elementi da prendere in considerazione

18 Lug 2017

di Giorgio Fusari - fonte TechTarget

È buona pratica, nella sicurezza informatica, fare in modo che le informazioni e le risorse critiche della propria organizzazione siano messe al riparo da attacchi, violazioni dell’integrità, o sottrazioni di dati, predisponendo nell’infrastruttura di rete un sistema di difesa multivello.

In analogia con il concetto di ‘defence in depth’, o difesa in profondità, di derivazione militare, diversi livelli e controlli di sicurezza sono consigliabili, perché costringono l’attaccante a dover sfondare diverse barriere prima di riuscire a penetrare e compromettere la rete che ha preso di mira. Di questo insieme di misure deterrenti, in grado di restringere gli spazi di manovra di hacker e pirati informatici, dovrebbero far parte anche strumenti di difesa come il sistema di rilevamento, o di prevenzione, delle intrusioni: in inglese, rispettivamente, IDS (intrusion detection system) o IPS (intrusion prevention system). Sistema utile a condizione, naturalmente, di essere ben configurato, e posizionato in modo opportuno nell’infrastruttura di security.

Posizionamento dei dispositivi

Sia un IDS, sia un IPS analizzano il traffico di rete, confrontando i pacchetti, o le serie di pacchetti, con le ‘firme’ di traffico sospetto o malevolo contenute in un database, e verificano se vi sono corrispondenze. Nel caso in cui una firma corrisponda, l’IDS invia un allarme, mentre l’IPS è anche in grado di filtrare e bloccare i pacchetti, prima che entrino nel sistema. Il monitoraggio e l’analisi del traffico di rete diventa tuttavia più complesso quando eseguito all’interno di un’infrastruttura cloud di terze parti, per cui, estendere i controlli di un IDS o di un IPS in questo ambiente richiede maggiori accorgimenti.

Innanzitutto il traffico di rete analizzato dall’IDS o IPS deve essere pertinente rispetto alle firme memorizzate nel database, perché è inutile ispezionare pacchetti, ad esempio, per un attacco WordPress conosciuto, se poi questo servizio non esiste all’interno della rete.

WHITEPAPER
Sicurezza e strumenti digitali intelligenti: il nuovo volto dello Smart Working
Dematerializzazione
Network Security

Un aspetto particolarmente critico riguarda poi il corretto posizionamento del dispositivo. Tradizionalmente, la pratica diffusa è stata collocare almeno un device, dotato di un ampio insieme di firme, direttamente dietro il firewall perimetrale verso Internet, e di posizionarne diversi altri, con solo un ristretto e personalizzato set di firme, tra differenti DMZ (demilitarized zone) interne o segmenti di LAN, per coprire potenziali flussi di traffico a livello laterale. Nelle implementazioni di cloud puro o ibrido occorrerà posizionare i dispositivi in modo corretto, per accertarsi che venga coperto tutto il traffico pertinente, incluse le comunicazioni intracloud.

Servizi di sicurezza di terze parti

Un altro utile aspetto da considerare è che i maggiori fornitori di servizi cloud, come Amazon e Microsoft, sono in grado di offrire alle imprese i loro servizi di security come integrazioni dei propri prodotti di piattaforma cloud. Questi spesso includono servizi IDS e IPS su appliance virtuali preconfigurate. Naturalmente, per l’azienda utente è anche possibile spingersi oltre, acquisendo in outsourcing applicazioni SIEM (security information and event management) ‘as-a-service’ o, addirittura, avvalersi di un SOC (security operation center) completo di terze parti. Nel caso in cui, invece, l’impresa abbia l’esigenza di adottare prodotti più tradizionali, o necessiti di maggior controllo, esiste sempre la possibilità di posizionare un dispositivo di proprietà dell’utente nel cloud pubblico, e di gestirlo via protocollo SSH (secure socket shell) o HTTPs, attraverso un sistema di amministrazione.

Punti critici di presidio

Anche negli ambienti di cloud ibrido i sistemi IDS e IPS gestiti dall’utente sono comunque richiesti per coprire il traffico di rete locale e quello tra i siti WAN (wide area network) non cloud. Il punto più critico da presidare è il gateway tra gli endpoint della rete locale e i punti di terminazione della rete cloud. Infatti da qui è possibile ispezionare tutto il traffico locale che va e viene dall’infrastruttura cloud, e che di norma contiene informazioni pertinenti a molti servizi critici. In aggiunta, è consigliabile anche analizzare il traffico tra i segmenti di rete locale e i siti VPN (virtual private network) o WAN, per rilevare e prevenire tentativi di attacco laterali da parte degli hacker.

Un ultimo aspetto da tenere presente riguarda la gestione della notevole mole di dati che, una volta attivato, il sistema IDS o IPS è in grado di generare, monitorando il traffico in tutti i punti di ingresso e di uscita della rete. Questi dati vanno raccolti e memorizzati per poi alimentare applicazioni di analisi come quelle SIEM. Qui, a seconda dell’architettura di rete, il punto di acquisizione e storage dei dati può essere previsto nel cloud, oppure on-premise, all’interno del data center dell’impresa. In ogni caso, tuttavia, non va mai dimenticato il rilevante consumo di banda richiesto per portare i dati fuori e farli migrare nella piattaforma cloud.

Giorgio Fusari - fonte TechTarget

Nel settore giornalistico dal 1989, Giorgio Fusari negli anni ha collaborato per numerose pubblicazioni nel panorama tecnologico e ICT italiano, tra cui la rivista NetworkWorld Italia (gruppo IDG); il settimanale di tecnologia @alfa, del quotidiano Il Sole 24 Ore, la testata Linea EDP. Dal 2012 collabora con il gruppo Digital360 e in particolare con ZeroUno. Tra le aree di maggior specializzazione di Giorgio, il crescente universo dei servizi cloud, il networking, le tecnologie di cybersecurity.

Argomenti trattati

Approfondimenti

H
hacker
Cloud security: come costruire un sistema IDS e IPS

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

    LinkedIn

    Twitter

    Whatsapp

    Facebook

    Link

    Articolo 1 di 3