Guida

Guida alla sicurezza nel cloud: significato, sfide e best practices

Guida alla sicurezza nel cloud come strumento utile ad affrontare qualsiasi e quali sono le migliori pratiche per proteggere e gestire SaaS, IaaS, PaaS in qualsiasi tipo di ambiente: privato, pubblico e ibrido

Pubblicato il 28 Dic 2023

Laura Zanotti - Fonte TechTarget

Guida alla sicurezza nel cloud: significato, sfide e best practices

Guida alla sicurezza nel cloud come strumento utile a capire come affrontare l’ecosistema dell’As a Service mettendo il business al riparo da qualsiasi tipo di vulnerabilità. Rispetto alle resistenze del passato, oggi le organizzazioni di tutte le dimensioni hanno adottato strategie cloud a vari livelli. Sebbene sia vantaggioso sotto molti aspetti, il cloud presenta anche dei rischi che vanno valutati attentamente. In questa guida completa gli esperti forniscono tutte le indicazioni utili a proteggere gli ambienti cloud.

Che cos’è la gestione della sicurezza nel cloud?

La gestione della sicurezza nel cloud non è un singolo concetto o un unico prodotto. È una combinazione complementare di strategie, strumenti e pratiche che hanno lo scopo di aiutare un’azienda a ospitare carichi di lavoro e dati in un cloud in modo efficiente ed economico, limitando al tempo stesso le minacce e le vulnerabilità spesso presenti nelle reti pubbliche complesse che ospitano risorse e servizi condivisi. Questo perché la sicurezza del cloud ha molteplici sfaccettature che comportano diversi oneri in termini gestionali e operativi. Di seguito i diversi punti di attenzione:

#1 Autenticazione e autorizzazione

Si tratta di una gestione completa degli utenti basata su servizi cloud, come la gestione delle identità e degli accessi (IAM), per garantire che tutti gli utenti o i dispositivi cloud siano autorizzati ad accedere a carichi di lavoro e dati.

#2 La sicurezza dei dati

Utilizzare la crittografia per proteggere dati aziendali preziosi da furti, perdite o altri accessi non autorizzati.

#3 Architetture cloud adatte

Comporre architetture cloud e connettere servizi di sicurezza appropriati e correttamente configurati per ciascun carico di lavoro ospitato.

#4 Configurazione corretta dell’applicazione

Oltre alla corretta configurazione delle risorse e dei servizi cloud, ogni carico di lavoro ospitato nel cloud avrà anche diverse opzioni di configurazione che devono essere impostate e gestite correttamente.

#5 Monitoraggio e reporting

La sicurezza del cloud richiede strumenti completi di monitoraggio per proteggersi da attività dannose, mantenere l’integrità dei dati e produrre avvisi in tempo reale e report continui in risposta ai problemi di sicurezza rilevati.

Perché la gestione della sicurezza nel cloud è importante?

Gli ambienti cloud devono affrontare numerose minacce, dal dirottamento degli account alla negazione del servizio. È compito dei team di sicurezza di tutto il mondo proteggere le risorse basate sul cloud e limitare il potenziale danno di eventuali attacchi che potrebbero verificarsi. La premessa fondamentale di una guida alla sicurezza nel cloud è capire che il problema più grande, troppo spesso, sono le organizzazioni che ripongono la loro fiducia nei fornitori di servizi cloud per garantire un ambiente sicuro. Sfortunatamente, questo approccio presenta diverse criticità legate, in particolare, al fatto che i fornitori di servizi cloud non sempre conoscono il rischio associato ai sistemi e ai dati del cliente. Il motivo è tecnico e operativo: i cloud provider non hanno visibilità sugli altri componenti dell’ecosistema del cliente e sui requisiti di sicurezza relativi.

L’importanza di assumersi il perimetro delle proprie responsabilità

Non riuscire ad assumersi la responsabilità della sicurezza nel cloud può portare le organizzazioni a subire perdite di dati, violazioni dei sistemi e attacchi devastanti. L’ironia è che molte organizzazioni si avvicinano al cloud computing pensando che l’azienda possa scaricare i problemi e le responsabilità dell’elaborazione quotidiana esclusivamente sulle spalle del fornitore.

Sebbene ciò sia vero per questioni quali la manutenzione delle strutture e la mitigazione delle spese in conto capitale, ciò non vale per questioni quali la conformità e la sicurezza dei dati. Sempre e comunque, un’azienda è responsabile della sicurezza e dell’uso conforme dei propri dati nel cloud, proprio come un contribuente è responsabile dell’accuratezza e della completezza delle proprie dichiarazioni dei redditi, anche quando tali documenti sono preparati da qualcun altro.

A questo proposito, gli esperti introducono un concetto fondamentale di sicurezza nel cloud adottato prontamente dai team DevOps, ovvero il raggio di esplosione (in inglese: blast radius), considerando la quantità di danni che potrebbero essere causati se qualcosa va storto, ad esempio gli effetti di un account o di un server che viene violato o di un guasto di un componente. Il che presuppone un approccio di risk management incentrato sulla premessa: what if (e se…?).

I team preposti alla sicurezza devono essere preparati adeguatamente a combattere le minacce e a limitare il loro raggio d’azione.

Guida alla sicurezza nel cloud: quali sono le minacce principali

La Cloud Security Alliance (CSA) ha condiviso le sfide più comuni alla sicurezza del cloud per dare alle organizzazioni un’idea della magnitudo relativa alla superficie di attacco che il cloud computing presenta. Oltre al potenziale rischio di violazione dei dati e alla mancanza di visibilità, tra i problemi più gravi riscontrati dagli osservatori troviamo:

  • Errori di configurazione e controlli delle modifiche inadeguati
  • Mancanza di un’architettura e di una strategia di sicurezza
  • Gestione di identità, credenziali, accesso e chiavi insufficienti
  • Dirottamento dell’account
  • Interfacce e API non sicure
  • Abuso e uso nefasto dei servizi cloud

Le conseguenze degli attacchi cloud sono spesso esponenziali e il raggio d’azione degli attacchi continua ad espandersi. Ad esempio, un attacco alle credenziali di un singolo utente va ben oltre la vittima presa di mira, spesso colpendo l’intera organizzazione e i suoi clienti. I recenti attacchi dimostrano anche l’immaturità della capacità delle organizzazioni di difendere i propri ambienti cloud.

Guida alla sicurezza nel cloud

Il tipo di ambiente cloud selezionato da un’organizzazione deve essere attentamente considerato perché le opzioni privato, pubblico e ibrido presentano ciascuna vantaggi e svantaggi. Ad esempio, una strategia di cloud pubblico può alleggerire il carico del team IT di un’organizzazione poiché non deve gestire i sistemi internamente. Tuttavia, un fornitore di cloud pubblico potrebbe non essere così preciso come l’organizzazione in termini di sicurezza, il che potrebbe lasciare lacune nella protezione dell’organizzazione.

Con un ambiente cloud privato, un’organizzazione potrebbe acquisire un maggiore controllo sulla sicurezza, ma di conseguenza i costi e la complessità del cloud probabilmente aumenteranno. E mentre un approccio ibrido (in parte pubblico, in parte privato) potrebbe sembrare il compromesso perfetto, presenta anche delle sfide, inclusa l’applicazione delle politiche in tutti gli ambienti.

Quali sono i vantaggi della gestione della sicurezza nel cloud?

Securitizzare la nuvola può essere complesso e impegnativo, ma ci sono importanti vantaggi che ogni azienda dovrebbe considerare:

Migliore visibilità

Una gestione della sicurezza cloud completa e ben progettata può fornire agli utenti cloud informazioni dettagliate e documentate sulle loro distribuzioni cloud. Ad esempio, gli utenti possono ottenere un quadro affidabile dei carichi di lavoro e dei dati presenti nel cloud, quali risorse e servizi sono coinvolti, come sono configurati tali risorse e servizi, chi accede ai carichi di lavoro e ai dati e a quali dati si accede.

Migliore conformità

Le informazioni sulla visibilità delle dinamiche di gestione del cloud possono essere preziose per garantire la conformità normativa ed eseguire analisi forensi degli incidenti. Gli utenti aziendali possono comprendere i fattori coinvolti in un incidente, correggere le carenze e intraprendere azioni decisive per rimediare all’impatto di un incidente per clienti e autorità di regolamentazione.

Strumenti migliori

Molti fornitori di servizi cloud offrono strumenti di sicurezza completi, creati appositamente per operare all’interno dell’infrastruttura dei fornitori, in grado di scansionare, analizzare, segnalare e avvisare su potenziali minacce alla sicurezza con un elevato grado di efficacia. Ciò riduce la necessità per gli utenti di installare e gestire le proprie applicazioni o strumenti di sicurezza nel cloud.

Servizi di sicurezza

I fornitori di servizi cloud in genere offrono la crittografia dei dati e altri servizi, come la prevenzione della perdita di dati (DLP) progettati per proteggere i dati aziendali inattivi e in transito. Altri servizi come backup dei dati, ripristino e disaster recovery (DR) possono contribuire ulteriormente a proteggere i dati aziendali vitali nel cloud.

Minori costi di sicurezza

Le aziende possono spesso ridurre i costi di sicurezza e migliorare l’efficacia della sicurezza quando utilizzano gli strumenti e i servizi di sicurezza forniti tramite i provider cloud, che in genere vengono aggiornati più frequentemente e testati in modo più completo rispetto agli strumenti di sicurezza distribuiti nei data center locali o distribuiti nel cloud come carichi di lavoro basati sull’utente.

Quali sono le sfide della gestione della sicurezza nel cloud?

In una guida alla sicurezza nel cloud non può mancare una lista delle principali sfide a cui le aziende devono far fronte con grande consapevolezza, tra cui:

Responsabilità condivisa

I cloud operano secondo un modello di responsabilità condivisa, ma spesso si verificano malintesi sulle responsabilità e sulle definizioni che portano a lacune critiche nella gestione della sicurezza. È importante comprendere chiaramente il modello di responsabilità condivisa e collaborare con i fornitori per garantire che ciascuna parte rispetti i propri obblighi.

Visibilità limitata

Se non puoi vederlo, non puoi gestirlo: è un vecchio assioma che si adatta perfettamente agli sforzi di sicurezza del cloud. Un’azienda deve essere in grado di vedere dove si trovano tutte le proprie applicazioni e dati nel cloud, e questo può essere problematico con un controllo così decentralizzato sui diversi team e divisioni aziendali che potrebbero utilizzare il cloud. Deve esserci un mezzo per scoprire, monitorare e creare report sulle risorse presenti nel cloud.

Sfide di conformità

Un’organizzazione è obbligata a sapere quali risorse ha a disposizione, dove si trovano e come vengono utilizzate. Quando un fornitore di servizi cloud oscura queste informazioni (o un utente non si preoccupa di avere le garanzie di accesso relative), l’azienda potrebbe subire una costosa violazione della conformità normativa. È importante comprendere gli strumenti e la visibilità offerti da un fornitore e capire in che modo tali informazioni possono soddisfare i requisiti di conformità.

Controllo limitato

Le aziende non possiedono l’infrastruttura cloud. Sebbene un utente possa esercitare un controllo considerevole su alcune questioni di sicurezza come l’autorizzazione e l’autenticazione, gli utenti in genere non esercitano il controllo sull’infrastruttura cloud sottostante come farebbero all’interno di un data center locale. Ciò può portare a problemi di sicurezza nel modo in cui si accede e si condividono i dati.

Differenze tra le nuvole

Ogni nuvola è diversa. Man mano che le aziende affrontano ambienti ibridi e multi-cloud, è inevitabile che esistano differenze in strumenti, servizi, configurazioni e capacità che potrebbero causare un approccio di sicurezza incoerente o incompleto per l’azienda. Questo è un altro caso in cui le consultazioni con i fornitori possono essere estremamente vantaggiose per gli utenti aziendali.

Best practice per la sicurezza nel cloud

Una volta che un’organizzazione si è impegnata a realizzare un ambiente cloud per dati, applicazioni, piattaforme e infrastrutture, il compito successivo è creare una policy di sicurezza cloud. La policy dovrebbe affrontare considerazioni critiche, ad esempio il modo in cui i dipendenti possono interagire con il cloud, i tipi di dati che possono essere inviati e archiviati lì, i controlli di accesso e altro ancora.

Lo sviluppo di una policy di sicurezza cloud può essere effettuato utilizzando molti approcci, tra cui l’adattamento di una policy infosec esistente o l’utilizzo di un pacchetto software. Il modo in cui si affronta la sicurezza del cloud dipende anche dal tipo di servizio cloud di cui un’organizzazione ha bisogno: SaaS, IaaS o PaaS.

Migliori pratiche di sicurezza SaaS

Il SaaS non è un servizio monolitico e non dovrebbe essere trattato come tale quando si tratta di sicurezza. Esistono molti tipi di SaaS e le prestazioni dei fornitori possono variare notevolmente. Le organizzazioni devono invece esaminare un elenco di linee guida e applicare quelle che meglio si adattano al servizio adottato. Di seguito alcune indicazioni che meritano di essere inserite in una guida alla sicurezza nel cloud:

  • Controllare e supervisionare i potenziali fornitori
  • Distribuire l’autenticazione avanzata, come l’autenticazione a più fattori (MFA), ove possibile
  • Crittografare i dati in movimento e inattivi nel cloud
  • Utilizzare metodi manuali e automatici per individuare e inventariare le risorse cloud

Il SaaS richiede inoltre una cultura aziendale in cui i team IT e di sicurezza collaborano per proteggere un’applicazione aziendale basata su cloud.

Migliori pratiche di sicurezza IaaS

Come il SaaS, anche lo IaaS richiede alle organizzazioni di considerare come crittografare i dati inattivi e inventariare le risorse cloud, ma proteggere l’infrastruttura nel cloud richiede un’attenzione ancora maggiore alla sicurezza. IaaS offre agli utenti un ampio accesso alle risorse e ai servizi del provider, che possono essere composti a piacere per creare un ambiente operativo adatto a ospitare un carico di lavoro e dati aziendali. Le organizzazioni devono sviluppare una checklist di sicurezza IaaS per garantire una gestione coerente delle patch e degli accessi. IaaS ha molti livelli di accesso da gestire, incluso l’accesso alla console IaaS e funzionalità specifiche come backup e ripristino.

Guida alla sicurezza nel cloud

Best practices per la sicurezza PaaS

Le linee guida della sicurezza del cloud nell’ambito PaaS raccomandano che le organizzazioni non lascino i dettagli al fornitore e siano profondamente coinvolte nella protezione dei servizi della propria piattaforma. Ad esempio, le aziende dovrebbero impegnarsi nella modellazione delle minacce e nella decostruzione della progettazione di un’applicazione, il che le aiuterà a identificare le vulnerabilità e a mitigarle. Il fornitore PaaS offrirà strumenti e funzionalità di sicurezza, ma spetta agli utenti PaaS utilizzare effettivamente tali funzionalità. Un’altra best practice fondamentale per chi usa il PaaS è pianificare attentamente la portabilità in modo che l’organizzazione non sia vincolata a un fornitore. Ad esempio, gli utenti PaaS di sviluppo software potrebbero scegliere di lavorare con linguaggi di programmazione comuni, come C#, Python e Java, supportati dai fornitori PaaS di sviluppo software.

Chi è responsabile della sicurezza del cloud?

Come già ribadito più volte, oggi il settore del cloud computing opera secondo un modello di responsabilità condivisa. Il modello generalmente prevede che un fornitore di servizi cloud sia responsabile della sicurezza del proprio cloud, mentre gli utenti del cloud sono responsabili della sicurezza nel cloud. Potrebbe sembrare una distinzione sottile, ma è fondamentale capire le differenze:

  • Un fornitore di servizi cloud è responsabile di garantire che la propria infrastruttura e i propri servizi funzionino in modo sicuro. Ad esempio, i server e le reti del provider devono essere impostati e configurati in modo sicuro.
  • Un utente cloud è responsabile di garantire l’utilizzo delle funzionalità e delle funzionalità di sicurezza necessarie per gestire i propri carichi di lavoro e accedere ai propri dati in modo sicuro.

Ad esempio, supponiamo che un fornitore di servizi cloud offra servizi IAM per aiutare i clienti a gestire l’accesso degli utenti a carichi di lavoro e dati. L’utente deve utilizzare tali servizi IAM. Se il cliente sceglie di rinunciare a tali servizi IAM e apre effettivamente l’accesso ai carichi di lavoro e ai dati a chiunque, l’azienda non può ragionevolmente aspettarsi di mantenere la sicurezza del cloud. Ciò potrebbe anche violare la conformità e altri obblighi normativi per l’azienda del cliente, ma il fornitore di servizi cloud non è responsabile di eventuali perdite o furti di dati.

Organizzazione dei team preposti alla sicurezza del cloud

Il personale IT aziendale è spesso incaricato di problemi di sicurezza del cloud. Mentre i tradizionali team di sicurezza aziendale possono assumersi alcuni compiti di sicurezza cloud, la protezione dei dati cloud e dei carichi di lavoro operativi richiede un insieme di competenze specifiche. Le organizzazioni dovrebbero creare un team IAM cloud dedicato ad alcuni aspetti della sicurezza cloud, come accesso, autenticazione e autorizzazione. Un team IaaS dedicato potrebbe anche occuparsi dell’automazione della sicurezza cloud in quattro aree chiave:

  1. Configurazione di container, macchine virtuali e serverless computing
  2. Infrastruttura come codice (IaC) e altre tecniche di composizione automatizzata dell’infrastruttura
  3. Tagging delle risorse e altre tattiche di gestione dell’inventario nel cloud
  4. Scansione delle vulnerabilità. L’impostazione e la gestione dei controlli e dei processi IaaS in queste aree consentono implementazioni fluide e coerenti, audit e reporting adeguati, nonché applicazione e applicazione delle policy.

Questi team specializzati dovrebbero seguire da vicino gli standard di conformità del cloud, assicurandosi che i fornitori di servizi cloud siano aggiornati sui più recenti requisiti del settore.

Guida alla sicurezza nel cloud: le certificazioni

La formazione sulla sicurezza cloud è migliorata negli ultimi anni e le certificazioni mirate possono dimostrare le capacità di sicurezza cloud di un professionista. Ad esempio, ISC2 ha una certificazione Certified Cloud Security Professional (CCSP) e CSA offre un certificato di conoscenza della sicurezza cloud. Anche CompTIA, Arcitura ed Exin hanno programmi, così come li hanno fornitori come Amazon, Google e Microsoft. I professionisti esperti di sicurezza cloud possono mettere alla prova la propria buona fede con le domande dell’esame CCS proposte nella tabella sottostante:

Guida alla sicurezza nel cloud – certificazioni

Strategie di gestione della sicurezza nel cloud

Raramente le organizzazioni dispongono di un unico ambiente cloud; è più probabile che ne abbiano più di uno che rispondono a varie esigenze di dati, applicazioni, piattaforme e infrastrutture. La gestione di servizi cloud eterogenei può essere impegnativa, pertanto le organizzazioni necessitano di una solida strategia che protegga le risorse aziendali mantenendo la conformità e gestendo i costi.

Per prevenire o contenere l’espansione, le organizzazioni dovrebbero centralizzare l’approvvigionamento, l’implementazione e la gestione dei propri ambienti multi-cloud. In questo modo è possibile garantire che le policy di sicurezza e i requisiti di conformità di un’organizzazione vengano applicati e rispettati. La centralizzazione è inoltre fondamentale affinché le organizzazioni possano collaborare e comunicare in modo uniforme sulle minacce e sulle strategie di mitigazione. Le pratiche FinOps emergenti possono aiutare a creare team collaborativi interdisciplinari incaricati di gestire l’uso del cloud e la gestione dei costi.

What is Data Protection and Why Do You Need It?

What is Data Protection and Why Do You Need It?

Guarda questo video su YouTube

Testare gli ambienti è fondamentale

I team di sicurezza cloud devono testare regolarmente i propri ambienti cloud, utilizzando strumenti specializzati che consentano alle organizzazioni di eseguire test ostili contro i loro ambienti. È importante anche prevedere dei corsi di formazione sul campo, in cui gli ambienti cloud vengono resi deliberatamente insicuri, in modo che i professionisti della sicurezza possano imparare come combattere le minacce e scoprire punti deboli e lacune nell’ambiente. I test sono essenziali anche per il modello di responsabilità condivisa, in cui i team di sicurezza interni e quelli del fornitore assumono insieme il ruolo di proteggere le risorse nel cloud. Il test di penetrazione del cloud è un modo utile per testare il modello di responsabilità condivisa e la sicurezza di un ambiente cloud nel suo complesso.

Inoltre, alcune organizzazioni in settori altamente regolamentati o ad alto rischio potrebbero voler utilizzare tecniche forensi nel proprio ambiente cloud per supportare le indagini. L’automazione dovrebbe essere una priorità per questo obiettivo in modo che le organizzazioni non solo possano ispezionare e analizzare le informazioni nel cloud per i procedimenti giudiziari (ad esempio, pacchetti di rete, memoria del carico di lavoro, volumi del disco del carico di lavoro, registri e altri dati di eventi) ma anche mitigare eventuali problemi basati su ciò che viene scoperto.

Esempi di attacchi al cloud

Uno dei tipi più significativi di attacchi che i team di sicurezza devono scongiurare attraverso una migliore gestione della sicurezza cloud è il dirottamento degli account cloud, in cui gli hacker compromettono un abbonamento o un altro tipo di account cloud per intraprendere attività dannose. Le seguenti tre strategie chiave possono proteggere un’organizzazione da un simile incidente:

  1. Utilizzare l’autenticazione a più fattori
  2. Separare i compiti
  3. Verificare l’accesso all’account

Un aspetto spesso trascurato dei test e della gestione della sicurezza del cloud è la condivisione delle informazioni. Sebbene esistano molti strumenti e pratiche che possono aiutare a individuare e risolvere i problemi di sicurezza, le risposte alle seguenti domande possono facilmente andare perse o ignorate a meno che non siano documentate e condivise con il team di gestione del cloud:

  • Cosa è successo?
  • Perché è successo?
  • Qual è stata la causa principale?
  • Qual è stata l’azione di rimedio?
  • Quali sono stati i risultati raggiunti?

La condivisione delle informazioni consente all’intero team di gestione del cloud di trarre vantaggio e imparare da problemi o incidenti che influiscono sulla sicurezza del cloud.

Implementazione della gestione della sicurezza nel cloud

Non esiste un unico mezzo per implementare e gestire la sicurezza nel cloud. Gli approcci sono vari quanto gli strumenti e le aziende che li utilizzano. Tuttavia, esistono diversi alcuni principi che vanno inseriti in una guida alla sicurezza nel cloud che possono essere applicati con successo:

Comprendere i driver e gli obiettivi aziendali

La sicurezza del cloud e la sua corretta gestione esistono per uno scopo, ovvero servire l’azienda e facilitare gli interessi aziendali. Qualsiasi implementazione della gestione della sicurezza nel cloud dovrebbe essere in risposta alle esigenze aziendali. Ad esempio, la conformità potrebbe essere un obiettivo di sicurezza primario per un’azienda altamente regolamentata.

Comprendere le minacce

È difficile proteggere qualcosa se non si conoscono quali sono i rischi e le minacce. Dal malware alle intrusioni fino ai disastri, è fondamentale capire da dove arriveranno gli attacchi e in che modo tali attacchi mettono a rischio l’azienda e i suoi obiettivi. Per questo è caldamente consigliato eseguire controlli di sicurezza regolari su carichi di lavoro, dati e servizi basati su cloud. Identificare le minacce renderà più semplice la creazione di nuove politiche e processi e aiuterà a restringere la selezione degli strumenti più adatti al lavoro.

Creare principi e pratiche di sicurezza

Un’azienda dovrebbe affrontare la sicurezza del cloud, ad esempio l’accesso e la protezione dei dati, con molto realismo. È probabile che la sicurezza e la gestione della sicurezza del cloud varieranno rispetto alla sicurezza tradizionale dei data center e, proprio per questo, è opportuno pensare anche nel medio e nel lungo termine per valutare come i processi di sicurezza del cloud dovrebbero funzionare al meglio per l’azienda.

Selezionare e implementare gli strumenti

Sono disponibili numerosi strumenti, piattaforme e servizi per aiutare a implementare e gestire la sicurezza del cloud. Non esiste una soluzione valida per tutti e ogni offerta di prodotto presenta punti di forza e compromessi unici. Tuttavia, conoscere gli obiettivi aziendali e le pratiche previste rende notevolmente più semplice il lavoro di ricerca e convalida degli strumenti di gestione della sicurezza nel cloud. Ciò potrebbe richiedere ancora alcuni aggiustamenti ai principi e alle pratiche, ma le idee sottostanti dovrebbero essere coerenti.

Crittografare i dati e monitorare

I dati dovrebbero idealmente essere crittografati sia a riposo che in transito. L’accesso degli utenti e del carico di lavoro dovrebbe adottare atteggiamenti zero-trust e altri atteggiamenti altamente limitati. Inoltre è sempre opportuno monitorare il traffico di rete e controlla le intrusioni, scansionando attività dannose, come l’accesso non autorizzato ai dati, supervisionando gli utenti finali e i dispositivi.

Reportistica

Utilizzare le funzionalità di avviso e reporting del sistema di gestione della sicurezza cloud fornisce report tempestivi sulla sicurezza alle parti interessate del carico di lavoro cloud e ai leader aziendali. Riconoscere le minacce (ad esempio, un sistema operativo senza patch) richiede poi di intraprendere azioni proattive per mitigare tali rischi su base continuativa.

Assement e riassessment

Le minacce e le esigenze aziendali sono in continua evoluzione, così come la sicurezza nel cloud. Con l’evolversi della sicurezza nel cloud, anche l’impegno nella gestione della sicurezza nel cloud e dei vari assessment dovrebbe cambiare per affrontare le minacce nuove ed emergenti. Si tratta spesso di un lavoro di squadra che coinvolge la leadership aziendale, tecnologica e legale di tutta l’azienda.

Strumenti di sicurezza nel cloud

Molti strumenti aziendali tentano di estendere la sicurezza al cloud, ma gli strumenti nativi del cloud possono fornire una protezione più fluida e completa per le risorse cloud.

I broker di sicurezza per l’accesso al cloud (CASB ) fungono da gateway di applicazione delle policy di sicurezza per garantire che le azioni degli utenti siano autorizzate e conformi alle policy aziendali. Hanno quattro caratteristiche principali:

  • Visibilità
  • Conformità
  • Protezione dalle minacce
  • Sicurezza dei dati

I CASB prevedono anche casi d’uso business-critical, come il monitoraggio dell’utilizzo delle applicazioni cloud e l’analisi del comportamento degli utenti.

Guida alla sicurezza nel cloud - TABELLA CASB

Guida alla sicurezza nel cloud nel caso di ambienti multicloud

Gli strumenti CASB sono progettati per integrare funzionalità di sicurezza aggiuntive sui servizi cloud, solitamente SaaS, ma tutto dipende dal contesto. Se l’implementazione multi-cloud di un’organizzazione supporta un piccolo sottoinsieme di diverse offerte di prodotti, che possono essere tutte gestite tramite un approccio di integrazione API, potrebbe favorire tale approccio di integrazione API. Se l’utilizzo da parte di un’organizzazione dovesse essere un mix complesso di dozzine o centinaia di offerte SaaS più piccole e di nicchia, potrebbe scoprire che un modello proxy è l’unica alternativa in grado di supportarne l’utilizzo. Se un’organizzazione si trova a metà strada tra questi due estremi, un approccio ibrido, in cui un prodotto supporta sia modelli di integrazione proxy che API a seconda di SaaS, potrebbe essere la soluzione giusta. Gli esperti sottolineano come sia fondamentale tenere conto sia dei requisiti di utilizzo che di sicurezza quando si valutano gli strumenti CASB. Spesso c’è maggiore flessibilità in un modello proxy poiché sono meno direttamente collegati all’API specifica delle offerte SaaS. Tuttavia, ci sono altre preoccupazioni con un modello proxy. Ad esempio, Microsoft lo sconsiglia per Office 365 e il Computer Emergency Readiness Team degli Stati Uniti ha emesso un avviso sull’intercettazione HTTPS poiché i prodotti che interrompono intenzionalmente la connessione TLS possono, in alcuni casi, compromettere la sicurezza del modello TLS, ad esempio non riuscendo a verificare lo stato di revoca del certificato.

Strumenti di gestione della postura della sicurezza nel cloud

Gli strumenti di gestione della postura di sicurezza nel cloud (CSPM – Cloud Security Posture Management) consentono alle aziende di eseguire un monitoraggio continuo della conformità, prevenire derive della configurazione, impostare limiti su configurazioni o comportamenti consentiti nel cloud e supportare le indagini dei centri operativi di sicurezza. Le organizzazioni possono utilizzare gli strumenti CSPM per applicare in modo uniforme le migliori pratiche di sicurezza cloud a sistemi sempre più complessi, come ambienti ibridi, multi-cloud e container. Zscaler, Orca Security e Trend Micro sono alcuni dei fornitori che offrono strumenti CSPM.

Piattaforme di protezione del carico di lavoro cloud

Una piattaforma di protezione dei carichi di lavoro nel cloud (CWPP – Cloud Workload Protection Platform) unifica la gestione tra più fornitori di servizi cloud, raggruppa i controlli insieme ai carichi di lavoro e garantisce che i controlli siano progettati per essere nativi del cloud. I CWPP presentano i seguenti vantaggi:

  • Complessità ridotta
  • Consistenza
  • Portabilità

Fornitori di gestione della sicurezza cloud

Esistono innumerevoli fornitori e prodotti disponibili per la gestione della sicurezza nel cloud. Ogni prodotto, piattaforma o servizio si concentra su specialità o casi d’uso unici. Il che significa che potrebbe offrire alcune sovrapposizioni nelle aree CASB, CSPM o CWPP e comportare compromessi unici per gli utenti aziendali. Come con la maggior parte degli strumenti aziendali, vale la pena valutare una serie di offerte e investire in progetti di prova di concetto per identificare e convalidare i prodotti preferiti prima di prendere un impegno. Esempi di fornitori e strumenti CASB includono quanto segue:

  • Avast Secure Internet Gateway
  • Cato SASE Cloud
  • Citrix Secure Workspace Access
  • Citrix Workspace Essentials
  • Forcepoint One
  • Fortinet FortiCASB
  • Microsoft Defender for Cloud
  • Netskope
  • Oracle CASB Cloud Service
  • Proofpoint Cloud App Security Broker
  • SonicWall Cloud App Security
  • Symantec CloudSOC CASB
  • Symantec Cloud Secure Web Gateway
  • Trend Micro Cloud App Security

Esempi di fornitori e strumenti CSPM come, ad esempio:

  • Check Point CloudGuard
  • CrowdStrike Falcon Cloud Security
  • Cyscale
  • InsightCloudSec
  • Lacework Polygraph Data Platform
  • Microsoft Defender for Cloud
  • Orca Security
  • Palo Alto Networks Prisma Cloud
  • Sonrai Security
  • Sysdig Secure
  • Tenable Cloud Security
  • Trend Micro Cloud One Conformity
  • Zscaler Posture Control

Esempi di fornitori e strumenti CWPP come, ad esempio:

  • AWS Control Tower
  • AWS GuardDuty
  • Check Point CloudGuard Network Security (IaaS)
  • CrowdStrike Falcon Cloud Security
  • Google Cloud Security Overview
  • Illumio Core
  • Microsoft Defender for Cloud
  • Orca Security
  • Palo Alto Networks Prisma Cloud
  • PingSafe
  • SentinelOne Singularity Cloud
  • Sophos Cloud Workload Protection
  • Trend Micro Deep Security
  • VMware Carbon Black Workload

Nota dell’editore: gli elenchi succitati sono stati raccolti da varie fonti di ricerca e intendono fornire solo esempi; non intendono rappresentare tutti i prodotti disponibili in una determinata area. Si consiglia ai lettori di svolgere le proprie ricerche e di effettuare selezioni di prodotti in base alle proprie esigenze, ricerche e risultati dei test.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

Articoli correlati

  • TECHTARGET

    Firewall cloud-native: il “next step” della sicurezza di rete

    05 Dic 2023

    di Marta Abbà - Fonte TechTarget

    Condividi

  • TECHTARGET

    Giocare d’anticipo per vincere le sfide “forensi” nel cloud

    17 Ott 2023

    di Marta Abbà - Fonte TechTarget

    Condividi

  • TECHTARGET

    Dati in cloud più protetti con la Defense in Depth

    10 Ott 2023

    di Marta Abbà - Fonte TechTarget

    Condividi

Prossimo

Firewall cloud-native: il “next step” della sicurezza di rete

Articolo 1 di 4