“Le soluzioni presenti sul mercato offrono protezione, ma l’unico modo per fare business in questo mondo insicuro è sviluppare processi consapevoli del fatto che alcuni prodotti non hanno funzionalità di sicurezza intrinseche. Il trucco è ridurre il rischio di esposizione indipendentemente da prodotti o patch”,
– Bruce Schneier.
Bruce Scheneir ha scritto queste parole nell'aprile del 2000. 19 anni dopo ci troviamo in un mondo dove nuove funzionalità e innovazioni sono all'ordine del giorno, questo grazie al fatto che non ci sono più barriere all'entrata su cloud pubblici.
In che modo i responsabili della sicurezza possono sviluppare una strategia per gestire i nuovi rischi e minacce presenti nel cloud?
Per prima cosa, iniziamo con una definizione di ambiente multi-cloud. Quando parliamo di “multi-cloud” ci riferiamo all'utilizzo di più piattaforme cloud. La parola “Cloud” generalmente descrive una piattaforma racchiusa in una delle seguenti categorie: IaaS, PaaS & SaaS.
Sfide di un Ambiente Multi-Cloud
La preoccupazione di chi utilizza più piattaforme cloud riguarda il fatto di poter lavorare in totale libertà ma con le dovute precauzioni per la protezione da eventuali minacce informatiche.
Il modello di responsabilità condivisa è il principale elemento di differenziazione rispetto agli ambienti on-premise legacy. Una volta compreso il modello, documentato in maniera chiara e approvato all'interno di una matrice di assegnazione responsabilità (RACI), è raccomandabile effettuare un risk assessment.
I fattori critici legati al cloud risk assessment riguardano la comprensione degli attuali processi di sicurezza e in che modo le soluzioni già presenti aiutino a gestire il rischio. Sfortunatamente, è comune saltare questo passaggio per andare direttamente alle fasi di progettazione e sviluppo, errore da evitare assolutamente.
Perché? Perché inevitabilmente porta il team security a riprogettare il proprio modello di sicurezza on-premise all'interno del cloud, non prendendo in considerazione l’idea di trasformare il programma di sicurezza, ad esempio attraverso una metodologia DevSecOps.
Quando le aziende pianificano un approccio al cloud, solitamente si focalizzano su uno dei principali player di mercato tra: Google, AWS o Azure. Ognuno di questi provider offre solidi servizi con tutte le principali certificazioni di sicurezza e conformità per l’avvio.
Una volta deciso quale piattaforma cloud integrare in azienda, i team IT e sicurezza devono capire in che modo ciò che avevano sviluppato per il primo provider possa essere utilizzato per il nuovo.
Le funzionalità AWS GuardDuty o AWS Config possono essere utili per la sicurezza delle piattaforme cloud di Google o Azure? La risposta è semplice: No.
Quindi, come possiamo proteggere il nostro ambiente multi-cloud?
Date le APIs radicalmente divergenti tra fornitori di cloud, proteggere un ambiente multi-cloud non è semplice.
Il miglior punto di partenza è uno standard di sicurezza affidabile. Invece di progettare uno standard dall'inizio, è utile iniziare dal Center for Internet Security’s Benchmark.
Il benchmark AWS esiste da diversi anni, mentre quelli di Azure e Google Cloud sono stati rilasciati nel 2018.
Gli standard di sicurezza hanno il vantaggio di essere i precursori dell'automazione. Non è possibile automatizzare ciò che non è standardizzato. Una volta concordato uno standard, è possibile automatizzare il proprio programma di sicurezza cloud.
Passare dalla Teoria alla Pratica
I responsabili della sicurezza devono sviluppare una strategia che sia mirata alla protezione da nuovi rischi e minacce rivolte ai cloud pubblici.
Ciò può essere attuato solo con una conoscenza approfondita del modello di responsabilità condivisa e un chiaro focus sull'analisi del processo da cui i team di sviluppo e di business utilizzano il cloud pubblico.
La piattaforma di Cloud Security RedLock Cloud 360 permette ad un’organizzazione di estendere la gestione della propria sicurezza in Cloud, in particolare permette di rilevare le minacce e consentire una risposta rapida ed automatica nell'intero ambiente cloud pubblico di un’organizzazione (Amazon AWS, Microsoft Azure, Google Cloud).
Per avere maggiori informazioni su Redlock o su altre soluzioni Palo Alto Networks invia una mail a cio@florence-consulting.it o chiama lo (055) 538-3250. Visita questa pagina per ricevere ulteriore materiale informativo o per richiedere una demo gratuita.
In alternativa, puoi compilare il form sottostante con la tua domanda.