Google ha fatto grandi progressi con in ambito cloud. Come con AWS e Azure, gli sviluppatori possono adottare facilmente la piattaforma Google Cloud (GCP), cercando funzionalità da utilizzare nel proprio stack applicativo.
Inoltre, con l’ampia adozione di container e Kubernetes, la leadership di Google nello sviluppo di tecnologie container ha permesso di ottenere un’ottima reputazione lato cloud per l’esecuzione di queste tipologie di workload.
Infine, alcune organizzazioni scelgono GCP per ottimizzare la propria strategia multi-cloud.
È necessario conoscere bene le impostazioni di sicurezza di base per la piattaforma Google Cloud. Sebbene vi siano differenze significative rispetto ad altre piattaforme, un principio vale per tutte: la sicurezza è una responsabilità condivisa.
Di seguito, 8 best practices per aiutarti a ridurre il rischio di minacce all’interno della piattaforma Google Cloud.
1. Visibilità
Come altri cloud, le risorse della piattaforma Google Cloud possono essere effimere, il che rende difficile tenerne traccia. Secondo una ricerca effettuata da Palo Alto Networks, la vita media di una risorsa cloud è di due ore e sette minuti.
E molte aziende hanno ambienti che includono più account cloud. Questo porta ad una visibilità decentralizzata e, poiché non è possibile proteggere ciò che non si può vedere, è difficile rilevare rischi.
Best Practice: sfrutta una soluzione per la sicurezza degli ambienti cloud che garantisca visibilità su volume e tipologie di risorse (macchine virtuali, bilanciamento del carico, firewall virtuali, utenti, ecc.).
Avere piena visibilità consente di implementare policy più granulari e ridurre i rischi. Sebbene il Cloud Control Command Center nativo della piattaforma Google Cloud sia un buono strumento, il monitoraggio su scala o attraverso i cloud richiede visibilità di terze parti da piattaforme come RedLock di Palo Alto Networks.
2. Gerarchia delle Risorse
Uno dei principi base della piattaforma Google Cloud è la gerarchia delle risorse. Mentre altri cloud hanno sistemi di risorse gerarchiche, la piattaforma cloud di Google è molto flessibile consentendo agli amministratori di creare nodi in modi diversi e applicare le autorizzazioni di conseguenza.
Ciò può creare sprawl molto rapidamente e può creare confusione quando si tratta di determinare a quale livello nella gerarchia è stata applicata un’autorizzazione. La piattaforma di Google consente la creazione di cartelle, team, progetti e risorse nell’ambito di un’organizzazione.
Best Practice: Crea una gerarchia che corrisponda strettamente alla struttura aziendale della tua organizzazione. Oppure, se al momento non disponi di una struttura aziendale ben definita, è necessario crearne una che abbia senso e prenda in considerazione crescita e ed espansioni future.
3. Privilegio e Scopo
Il Cloud Identity & Access Management (IAM) consente di controllare l’accesso definendo chi ha accesso a quale risorsa. Capire come applicare le politiche alle risorse sarà importante per implementare l’accesso con privilegi minimi nell’ambiente GCP.
Best Practice: Invece di applicare le autorizzazioni direttamente agli utenti, è possibile aggiungere utenti a gruppi ben definiti e assegnare specifici ruoli a tali gruppi, garantendo quindi l’autorizzazione solo alle risorse adeguate.
4. Gestione delle Credenziali
Le credenziali perse o rubate sono una delle cause principali di incidenti di sicurezza del cloud. Non è raro trovare accessi ad ambienti cloud pubblici esposti su internet. Le aziende necessitano di una soluzione per il rilevamento di account compromessi.
Best Practice: è necessario applicare criteri di password complessi e autenticazione a più fattori. GCP supporta l’autenticazione a più fattori sia per Cloud Identity che per accessi aziendali. Inoltre, è possibile integrare il supporto Cloud Identity con SSO per gli accessi aziendali in modo da avere le stesse policy per l’autenticazione a più fattori.
5. Accesso
Inutile dire che anche strumenti di sviluppo e applicazioni dovranno effettuare chiamate API per accedere alle risorse GCP.
Best Practice: Crea un Service Account descrittivo, in modo tale da comprendere lo scopo di tali account. Inoltre, assicurati di proteggere le chiavi dell’account di servizio con Cloud KMS e di memorizzarle crittografate in Cloud Storage o in altri repository di archiviazione che non dispongono di accesso pubblico.
Infine, assicurati di cambiare le tue password regolarmente, ad esempio ogni 90 giorni.
6. Gestione dei Firewall e Traffico Illimitato
I firewall VPC sono firewall virtuali di tipo stateful che gestiscono il traffico su reti VPC, VM e su altre risorse di elaborazione in tali reti.
Sfortunatamente, gli amministratori assegnano spesso intervalli IP ai firewall, sia in entrata che in uscita, che sono più ampi del necessario.
La ricerca del team cloud threat intelligence di Unit 42 di Palo Alto Networks, ha rilevato che l'85% delle risorse associate ai gruppi di sicurezza non limita affatto il traffico in uscita. Inoltre, un numero crescente di organizzazioni non segue le best practice relative alla sicurezza di rete e presenta configurazioni errate o rischiose.
Le best practice del settore impongono che l'accesso in uscita debba essere limitato per evitare la perdita accidentale di dati o l'estrazione di dati in caso di violazione.
Best practice: limita gli intervalli IP assegnati a ciascun firewall solo alle reti che hanno bisogno di accedere a tali risorse. Le funzionalità avanzate di VPC della piattaforma di Google consentono di ottenere un traffico molto granulare assegnando target per tag e Service Account.
Ciò consente di esprimere logicamente i flussi di traffico in un modo che puoi identificare successivamente, ad esempio consentendo a un servizio front-end di comunicare con le macchine virtuali in un Service Account di un servizio back-end.
7. Impostazione e Revisione dei Registri delle Attività
Le organizzazioni necessitano di supervisionare le attività degli utenti per identificare account compromessi, minacce interne e altri rischi.
La virtualizzazione, la spina dorsale delle reti cloud, e la possibilità di utilizzare l'infrastruttura di un fornitore di terze parti molto ampio ed esperto, offrono agilità in quanto gli utenti che hanno i permessi possono apportare modifiche all'ambiente in base alle esigenze.
Lo svantaggio è una supervisione della sicurezza insufficiente. Per evitare questo rischio, è necessario tenere traccia delle attività degli utenti per identificare account compromessi e minacce interne.
Fortunatamente, con l’implementazione di tecnologie efficienti, le aziende possono monitorare efficacemente gli utenti. La piattaforma di Google registra API e altre attività relative ad amministratori nei Stackdriver Admin Acitivity Log e acquisisce altre attività di accesso nei Data Access Log.
Best practice: il monitoraggio di Admin Activity Log è la chiave per capire cosa succede con le risorse GCP. Admin Activity Log sono archiviati per 400 giorni, i Data Access Log per 30 giorni; quindi è necessario assicurarsi di esportare i log se si desidera mantenerli più a lungo a scopi normativi o legali. RedLock inserisce gli alert in base alle problematiche riscontrate negli Activity Log.
8. Gestione dei Cicli di Vita delle Immagini VM
È responsabilità dell'utente assicurarsi che le patch di sicurezza più recenti siano state applicate agli host nel proprio ambiente.
L’ultima ricerca della Unit 42 di Palo Alto Networks fornisce informazioni su un problema correlato: i tradizionali scanner di vulnerabilità di rete sono più efficaci per le reti locali ma non altrettanto quando sono utilizzati per reti cloud. Nella piattaforma Google Cloud, tuttavia, effettuare il patching di VM in esecuzione potrebbe non essere l'approccio ideale.
Best Practice: sfrutta l’automazione per gestire i cicli di vita delle VM. Crea un'immagine personalizzata che sia stata “patchata” dal punto di vista della sicurezza o della conformità in modo da negare l'accesso a immagini non personalizzate (attendibili) utilizzando Resource Manager Constraint.
Inoltre, è possibile rimuovere le immagini obsolete per garantire che si stia utilizzando l'immagine VM più recente.
In conclusione, indipendentemente dalla piattaforma cloud scelta, la sicurezza rimane una responsabilità condivisa. È importante avere una comprensione fondamentale delle best practice per gestire la tua parte di questa responsabilità.
Potrebbe non essere realistico aspettarsi che ogni persona all’interno dell’azienda conosca tutte le best practice e le segua in modo coerente. Questo diventa particolarmente difficile quando molti utenti lavorano in un ambiente cloud.
Ma ci sono buone notizie. RedLock è la soluzione che segue tutte le best practice all’interno dell’organizzazione, in tutti gli ambienti cloud, e suggerisce le migliori azioni per eventuali problematiche.
La piattaforma di Cloud Security RedLock Cloud 360 permette ad un’organizzazione di estendere la gestione della propria sicurezza in Cloud, in particolare permette di rilevare le minacce e consentire una risposta rapida ed automatica nell’intero ambiente cloud pubblico di un’organizzazione (Amazon AWS, Microsoft Azure, Google Cloud).
Per avere maggiori informazioni su Redlock o su altre soluzioni Palo Alto Networks invia una mail a cio@florence-consulting.it o chiama lo (055) 538-3250. Visita questa pagina per ricevere ulteriore materiale informativo o per richiedere una demo gratuita.
In alternativa, puoi compilare il form sottostante con la tua domanda.
