I 3 principali problemi di sicurezza multi-tenancy e come risolverli

pittogramma Zerouno

Techtarget Tech InDepth

I 3 principali problemi di sicurezza multi-tenancy e come risolverli

Mancanza di visibilità, privilegi sempre più globalizzati e scarsa gestione della sicurezza dei dati: queste sono le tre maggiori sfide della sicurezza multi-tenancy. È necessario identificarle ed è possibile risolverle

17 Mag 2022

di Marta Abbà - Fonte TechTarget

Man mano che le organizzazioni migrano verso il cloud e costruiscono nuovi stack di applicazioni cloud-native, devono gestire diversi account e abbonamenti attraverso più cloud provider. Questa frammentazione si verifica automaticamente quando i team e le business unit lavorano in silos e creano account e abbonamenti senza coordinarsi. Oppure quando i team creano account per ogni singolo progetto. Nell’usare account separati si possono riscontrare anche dei vantaggi dal punto di vista della sicurezza, ad esempio l’isolamento e la capacità di controllare i privilegi. Non vanno però trascurati i seguenti tre importanti problemi di sicurezza multi-tenancy.

Mancanza di visibilità degli account

L’utilizzo di più account e abbonamenti può comportare problemi di visibilità anche nell’inventario delle risorse durante il monitoraggio. I principali ambienti dei provider di cloud PaaS e IaaS offrono strumenti di log e di monitoraggio cloud-native, ma tendono a essere soluzioni isolate, senza la possibilità di centralizzazione per ottenere una visione consolidata. Inoltre, spesso accade che i team di sicurezza non siano sempre a conoscenza di tutti i nuovi account che vengono creati. Questo aggrava la mancanza di gestione della visibilità.

WHITEPAPER
Come cambia il Retail tra ecommerce, piccoli rivenditori e la spinta al cashless

La chiave per gestire lo sprawl, e quindi migliorare la visibilità, è l’ottimizzazione della governance del cloud. Vanno aumentati anche gli sforzi per scoprire i vari account di tutti i team che costruiscono l’infrastruttura del cloud, la documentazione degli account e delle risorse e l’uso di strumenti centralizzati, come la gestione della postura di sicurezza del cloud. Questa attività favorisce il consolidamento del monitoraggio e del controllo della configurazione.

Privilegi sovra-assegnati

La gestione di privilegi complessi in tenancy single-cloud è complicata e impegnativa, figuriamoci in tenancy multiple. Tutte le risorse e i servizi hanno permessi, utenti e gruppi da controllare. Avere più account e tenancy di abbonamento può portare a una sovrallocazione e a un’assegnazione incoerente dei privilegi agli account dei servizi e alle risorse all’interno di ciascun account. Possono poi avvenire anche assegnazioni di privilegi collegate tra account e abbonamenti.

Nell’equazione vanno considerati poi anche i team di DevOps e di ingegneria del cloud, che spesso godono di ampi privilegi per eseguire le implementazioni e configurare gli ambienti. Se i loro privilegi sono assegnati in modo improprio – e spesso lo sono – ne derivano problemi di sicurezza.

Servizi come le organizzazioni AWS e i gruppi di gestione Azure possono aiutare a centralizzare le policy di identità e l’assegnazione delle policy in un’implementazione multi-tenant. All’interno della propria strategia multi-account le organizzazioni dovrebbero considerare l’implementazione e la governance di questi servizi una priorità.

Il rischio legato alla scarsa gestione della sicurezza dei dati

La sicurezza dei dati attraverso più account e abbonamenti dovrebbe essere un tema importante per tutte le organizzazioni, soprattutto perché vengono creati e archiviati più tipi di dati sensibili nei tenant del cloud. La sicurezza dei dati in cloud multi-tenant è complessa perché è necessario gestire numerosi tipi di servizi di storage dei dati, vari requisiti di gestione dei segreti nelle diverse applicazioni e anche requisiti di compliance e normativi che possono essere molto diversi a seconda del tipo di informazioni.

Le organizzazioni tendono a usare liberamente strumenti e servizi di gestione delle chiavi di crittografia dei provider di cloud, come AWS Key Management Service e Azure Key Vault. Capita spesso, inoltre, che ogni proprietario di un account o di un abbonamento utilizzi questi servizi all’interno di una singola tenancy mentre costruisce le applicazioni.

I servizi di gestione delle chiavi di crittografia possono essere utilizzati centralmente su numerosi tenancy, ma dovranno essere configurati e distribuiti correttamente per ottenere il controllo e la gestione centralizzati della crittografia. I team di sicurezza devono aiutare a sviluppare piani di migrazione degli account per utilizzare nuove chiavi di crittografia generate in una distribuzione centralizzata al posto di quelle utilizzate all’interno di un singolo account o abbonamento.

Un ulteriore svantaggio della presenza di più tenant è la complessità. Se non si fa abbastanza attenzione alla governance centrale, al monitoraggio e al controllo della configurazione, si rischia di perdere traccia dei tenant o delle risorse. Ciò può accadere a tutte le organizzazioni, anche a quelle molto mature.

L’uso di modelli infrastructure-as-code per tutte le implementazioni, così come di servizi centralizzati per tutti i tenant, può aiutare molto a mantenere al minimo la dispersione e le vulnerabilità di configurazione.

A

Marta Abbà - Fonte TechTarget

Articolo 1 di 5