Secondo Gartner, gran parte delle aziende utilizza molteplici servizi di cloud pubblico e in molti casi investono sempre di più nell'utilizzo di applicazioni cloud-native e basate su container.
Il passaggio al cloud computing porta vantaggi significativi all'azienda, ma aggiunge anche nuovi fattori di rischio che potrebbero essere al di fuori dell'ambito delle consuete pratiche di sicurezza informatica.
Proteggere macchine virtuali, container, Kubernetes e workload serverless in cloud pubblici, privati o ibridi significa sviluppare una comprensione efficace dei problemi di sicurezza che interessano i carichi di lavoro all’interno del cloud.
Cos’è la Sicurezza del Cloud?
La sicurezza di ambienti cloud può essere vista come un elemento di cybersecurity che riguarda specificamente il mantenimento di riservatezza, integrità e disponibilità di dati, applicazioni e servizi presenti su server controllati parzialmente o interamente da una o più terze parti.
Al fine di proteggere dati, servizi e business continuity quando si utilizzano provider cloud e/o servizi cloud, è fondamentale comprendere che la natura del rischio è piuttosto diversa dalla gestione di dati su un server tradizionale, che è in genere gestito, controllato e protetto dall’azienda stessa.
Con il cloud computing, la differenza principale è che ogni volta che si utilizza qualsiasi tipo di architettura cloud che contiene qualche elemento di un servizio cloud pubblico, il proprietario dei dati non ha né il controllo fisico né l'accesso fisico all'hardware sottostante.
Inoltre, il proprietario dei dati in genere ha bisogno di comunicare con il cloud provider o il servizio attraverso la rete Internet pubblica, invece di proteggere il traffico all'interno del perimetro di una intranet locale e di un firewall.
Infine, anche i container stessi, le immagini Docker, i cluster Kubernetes e simili, presentano sfide di sicurezza uniche.
Date queste differenze architetturali, le organizzazioni devono pensare a una serie di problematiche di sicurezza che rientrano in quattro categorie:
- il fornitore di servizi cloud;
- il titolare dei dati (o cliente / utente);
- comunicazione e trasmissione di dati tra 1 e 2;
- lo stack del software contenitore.
Quali Sono le Sfide della Sicurezza Cloud?
Per comprendere quali sono le sfide relative alla sicurezza cloud possiamo esaminare alcuni esempi recenti di cosa succede quando le cose non vanno come dovrebbero.
Supponiamo che i nostri dati siano all’interno di più server non sotto il nostro controllo. In genere, i provider di cloud pubblico ospitano molteplici “tenant” sullo stesso server.
Sebbene ci possiamo aspettare che qualsiasi provider rispettabile mantenga un buon isolamento dei dati tra diversi “tenant”, viene scoperta una vulnerabilità nello stack di elaborazione utilizzato dal provider di servizi cloud che consente a un utente malintenzionato di compromettere i cloud privati gestiti da tale provider.
Supponiamo che un tale bug sia stato sfruttato su un server remoto appartenente al tuo provider cloud. La domanda da porre al team di sicurezza in uno scenario del genere è questa: quale visibilità avete attualmente su ciò che sta accadendo ai workload?
Quali strumenti abbiamo per il rilevamento di accessi non autorizzati o che consentano di rilevare minacce attraverso i container dopo che una tale vulnerabilità è venuta alla luce?
Altre considerazioni sulla sicurezza cloud vengono sollevate dalla campagna di hacking denominata Cloud Hopper.
Diverse organizzazioni di alto livello, tra cui grandi nomi come Philips e Rio Tinto, hanno perso la proprietà intellettuale a causa di un attacco APT penetrato in almeno una dozzina di diversi fornitori di servizi cloud, tra cui Hewlett-Packard e IBM.
I criminali informatici hanno rilasciato un malware ad-hoc, hanno sfruttato il dynamic-DNS e si sono impossessati di grandi quantità di dati.
Una soluzione EPP sviluppata principalmente per la protezione di dispositivi come laptop e pc non sarà d’aiuto in un contesto del genere: infatti l’utilizzo di soluzioni in cloud progettate per endpoint mettono maggiormente a rischio dati e applicazioni aziendali.
Le problematiche legate alla sicurezza in cloud non finiscono qui. Gartner ha affermato che forse la più grande minaccia legata alla sicurezza cloud nei prossimi anni sarà dovuta alla "cattiva gestione delle identità, degli accessi e dei privilegi", con almeno la metà di tutti gli incidenti di sicurezza nel cloud derivanti da tali problemi entro il 2023.
I controlli di accesso deboli a causa di una configurazione errata possono essere sfruttati da criminali informatici o da addetti ai lavori e possono portare a perdite di dati non intenzionali ma comunque dannose.
Infine, le vulnerabilità o l'errata configurazione nello stack del container stesso, come gli escape del container, rappresentano un problema tecnico importante per i team di sicurezza i cui membri potrebbero avere un'esperienza limitata nella tecnologia Docker e Kubernetes.
Risolvere il Problema della Sicurezza Cloud
La tipologia di problemi menzionati nella sezione precedente con bug, immagini Docker configurate in modo errato e attacchi agli MSP, ovvero problemi di sicurezza lato provider, possono essere gestiti solo attraverso un'adeguata visibilità e controllo sui workload containerizzati.
Le protezioni pre-runtime che scansionano l'host e assicurano che l'immagine del container sia priva di infezioni sono importanti, ma non sono sufficienti, in quanto non proteggono il container dagli attacchi una volta in uso né consentono al Team SOC di rilevare minacce o rispondere a eventuali incidenti.
La soluzione migliore è utilizzare un Application Control Engine, che elimina la necessità di whitelist e protegge i workload cloud nativi con funzionalità di "lockdown" avanzate che garantiscono lo stato immutabile di workload containerizzati, proteggendo i carichi di lavoro dall'installazione non autorizzata e dal conseguente abuso di strumenti legittimi come Weave Scope.
I bug che consentono gli escape del container Linux vengono risolti al meglio distribuendo funzionalità di rilevamento comportamentale sui carichi di lavoro stessi. A tal fine, è essenziale la protezione dei workload in grado di fornire EDR e protezione del runtime per i server cloud.
Tale soluzione deve essere leggera in modo da non influire sulle performance e idealmente dovrebbe offrire funzionalità come secure remote shell, controllo dei nodi dei firewall, isolamento della rete e recupero dei file.
Con una soluzione efficace per la protezione del carico di lavoro, è possibile ottenere visibilità e controllo sui carichi di lavoro containerizzati.
In termini di protezione del client, oltre a disporre di una protezione affidabile degli endpoint, è essenziale che l'accesso degli utenti sia adeguatamente gestito. Consentire agli amministratori o ad altri utenti un accesso non necessario a dati critici su piattaforme cloud è un rischio per la sicurezza dei dati stessi.
Una soluzione di Identity and Access Management (IAM) consente di definire e gestire i ruoli corretti e i livelli di accesso ai dati.
Il controllo degli accessi basato sui ruoli (RBAC) deve essere implementato con i cluster Kubernetes. Proteggere i workload con una soluzione EDR consentirà al team SOC di rilevare abusi relativi ai privilegi degli utenti, siano essi minacce interne o attacchi esterni condotti attraverso il furto di credenziali.
Per quanto riguarda la protezione della comunicazione tra il cloud e il client, ci sono almeno due considerazioni da tenere a mente.
La prima è assicurarsi che tutti i dati siano crittografati sia in fase di rest che di migrazione. In questo modo, anche se si verifica una perdita di dati, le informazioni sono inutilizzabili per i criminali informatici.
La seconda è che in caso di attacco DoS, è fondamentale disporre di un piano di business continuity. Ciò può includere la capacità ridondante di far fronte a traffico di rete aggiuntivo (più facile in situazioni di cloud pubblico o ibrido) o l'utilizzo di un servizio di mitigazione DDoS, entrambi offerti dal provider di servizi cloud.
In Conclusione
La sicurezza del cloud richiede un approccio diverso rispetto alla sicurezza degli endpoint, poiché è necessario proteggere sia i dispositivi che controlliamo sia quelli che non controlliamo.
I server al di fuori del nostro controllo possono eseguire uno stack software con vulnerabilità che non è possibile vedere o correggere, e tali server potrebbero essere gestiti da un numero sconosciuto di persone che sono ugualmente fuori dal nostro controllo.
Ovviamente, ci aspettiamo che qualsiasi provider cloud rispettabile prenda sul serio le proprie responsabilità in materia di sicurezza, ma il problema principale è che la superficie di attacco aumenta quando si ha a che fare con dispositivi e personale di terze parti.
Inoltre, i container che distribuiamo possono contenere bug o configurazioni errate. Per garantire la sicurezza dei carichi di lavoro in cloud, è necessario informare il team di sicurezza dei punti sopra indicati e implementare una soluzione ad-hoc per la protezione del workload del proprio container.
Se sei interessato ad avere maggiori informazioni su come SentinelOne può aiutarti a proteggere gli ambienti cloud invia una mail a cio@florence-consulting.it o chiama lo (055) 538-3250. Visita la pagina dedicata sul nostro sito per ricevere ulteriore materiale informativo o per richiedere una demo gratuita.
In alternativa, puoi compilare il form sottostante con la tua domanda.