Nella prima parte di questo articolo, SentinelOne si concentra su come siamo arrivati a soluzioni specifiche per la sicurezza cloud-native e descrive le prime tre best practice in questo ambito: Rotate, Repave e Repair.
(Te lo sei perso? Clicca qui per leggere la prima parte).
In questa seconda parte, invece, SentinelOne parla dell’adozione di un approccio a più livelli per ottimizzare la sicurezza cloud-native.
Adottare un Approccio a Più Livelli | Le 4 C della Sicurezza Cloud-Native
La sicurezza cloud-native può essere rappresentata da quattro livelli fondamentali: cloud (server o data center), cluster, container e codice. Tali livelli possono essere pensati come strati di un tutto in cui ogni livello informa il successivo.
Conosciuti come le 4 C, consentono ai team di sicurezza di considerare la sicurezza in modo olistico in tutte le parti di un ambiente cloud-native.
Cloud Layer
Il livello più esterno in questo approccio, il livello cloud rappresenta l'infrastruttura che ospita ed esegue le applicazioni nell'ambiente. Le aziende possono selezionare un provider di servizi cloud (Cloud Service Provider - CSP) affidabile che le aiuti a sviluppare una strategia cloud strutturata. I CSP dovrebbero avere un solido track record di sicurezza, un solido set di funzionalità e servizi di sicurezza. Per ottenere la sicurezza del cloud:
- Il CSP e l’organizzazione comprendono entrambi il modello di responsabilità condivisa e definiscono chiaramente le responsabilità di sicurezza tra di loro;
- Implementazione di forti controlli di accesso, applicazione dell'autenticazione a più fattori (MFA) e revisione e aggiornamento regolare delle autorizzazioni per garantire solo l'accesso autorizzato alle risorse cloud;
- Crittografare i dati sensibili inattivi e in transito, sfruttando i servizi di crittografia forniti dal CSP;
- Monitorare e rivedere regolarmente le notifiche e gli aggiornamenti di sicurezza CSP per rimanere informati su eventuali modifiche o vulnerabilità che potrebbero avere un impatto su un ambiente cloud.
Cluster Layer
Il livello cluster si concentra sulla protezione della piattaforma di orchestrazione dei container, come Kubernetes, e del cluster di nodi che eseguono le applicazioni containerizzate. Le best practice per proteggere i cluster sono:
- Seguire pratiche di configurazione sicura del cluster, come l'utilizzo di meccanismi di autenticazione avanzata e la gestione sicura delle credenziali di accesso al cluster;
- Implementare la segmentazione della rete e le regole del firewall per limitare il traffico e la comunicazione tra i diversi componenti del cluster;
- Aggiornare regolarmente e applicare patch ai componenti del cluster, inclusi il piano di controllo e i nodi di lavoro, per risolvere le vulnerabilità note;
- Sfruttare le soluzioni di networking sicuro e mesh di servizi per migliorare la sicurezza della rete all'interno del cluster;
- Implementare la scansione dell'immagine del container e le misure di sicurezza del runtime per rilevare e prevenire attività dannose all'interno del cluster.
Container Layer
Il livello del container è costituito da risorse in un'applicazione containerizzata, uno degli elementi più critici nella configurazione di un ambiente cloud-native. Poiché le immagini dei container sono spesso danneggiate da vulnerabilità di sicurezza o sono associate a contenuti provenienti da fonti non attendibili, essere in grado di colmare le lacune di sicurezza a livello di container mantiene sicura l’architettura cloud native.
Cosa è necessario attuare:
- Utilizzare immagini di container convalidate da fonti attendibili e aggiornarle regolarmente per includere le patch e le correzioni di sicurezza più recenti;
- Impiegare configurazioni di runtime del container sicure, come la limitazione dei privilegi del container, l'implementazione di vincoli di risorse e l'utilizzo di spazi dei nomi e profili seccomp;
- Implementare meccanismi di isolamento dei container, ad esempio l'esecuzione di container all'interno di sandbox sicure o l'utilizzo di tecnologie di virtualizzazione per una maggiore sicurezza;
- Scansionare regolarmente le immagini del container per le vulnerabilità e applicare le azioni correttive appropriate;
- Implementare pratiche di orchestrazione sicura dei container, come le policy di sicurezza dei pod e i controller di ammissione, per applicare le policy di sicurezza durante la distribuzione dei container.
Code Layer
Strategie più tradizionali sono spesso utilizzate per proteggere il livello di codice, come il monitoraggio degli endpoint e le scansioni regolari. Questo livello è influenzato da tutti i livelli esterni: cloud, cluster e container.
I rischi per la sicurezza basati su codice aumentano quando gli sviluppatori utilizzano software di terze parti per sviluppare app, hanno una pianificazione irregolare per le valutazioni dei rischi o immettono codice non sicuro o non testato.
Il Code Layer può fornire il livello più granulare di controllo della sicurezza in una strategia di sicurezza cloud-native. I team di sicurezza dovranno:
- Seguire pratiche di codifica sicure, come la convalida dell'input, la codifica dell'output e la corretta gestione dei dati sensibili per mitigare le vulnerabilità comuni a livello di applicazione;
- Condurre regolari revisioni del codice e test per identificare e risolvere potenziali problemi di sicurezza;
- Implementare robusti meccanismi di autenticazione e autorizzazione all'interno del codice dell'applicazione per garantire solo l'accesso autorizzato a dati e funzionalità sensibili;
- Utilizzare framework e librerie di sviluppo software sicuri, mantenendoli aggiornati con le ultime patch di sicurezza;
- Sfruttare le pipeline di distribuzione sicure, tra cui la scansione delle vulnerabilità e l'analisi del codice statico, per rilevare e risolvere i problemi di sicurezza durante il processo di creazione e distribuzione.
Unificazione delle Funzionalità di Sicurezza del Cloud | Come Entrano in Gioco le Piattaforme di Protezione delle Applicazioni Cloud-Native (CNAPP)
Le soluzioni di sicurezza patchwork non funzionano per proteggere i cloud moderni e complessi. Mentre alcune aziende possono combinare diverse funzionalità di sicurezza cloud separate in uno stack tecnologico funzionante, queste soluzioni puntuali spesso creano più lavoro di gestione per i team di sicurezza, limitano la visibilità del team e seminano incoerenze nello sviluppo, nell'implementazione e nel runtime.
Per affrontare i rischi associati alle app e ai carichi di lavoro cloud-native, molte aziende moderne si affidano a una piattaforma di protezione delle applicazioni nativa del cloud, o CNAPP (Cloud-Native Application Protection Platform).
Queste piattaforme end-to-end sono progettate specificamente per fornire un unico piano centrale che unifichi più misure di sicurezza per proteggere l'intero cloud. I CNAPP sono una combinazione di più funzionalità di sicurezza cloud che si trovano solitamente in singoli strumenti, tra cui:
- CSPM (Cloud Security Posture Management) – Combina due considerazioni principali relative al modo in cui i team di sicurezza monitorano, identificano e risolvono i rischi basati sul cloud: sicurezza del codice e conformità alle normative. Qui, CSPM mira a rilevare le configurazioni errate nelle prime fasi del ciclo di vita dello sviluppo del software per prevenire i rischi di runtime. La governance aiuta le aziende a gestire i requisiti e gli stati di conformità negli ecosistemi multi-cloud;
- CWPP (Cloud Workload Protection Platform) – Offre visibilità e controllo olistici su macchine virtuali (VM), container, carichi di lavoro serverless e macchine fisiche in ecosistemi ibridi e multi-cloud;
- CIEM (Cloud Infrastructure Entitlements Management) – Aiuta i team di sicurezza a mitigare il rischio di violazioni dei dati attraverso il monitoraggio continuo delle autorizzazioni e delle attività all'interno del cloud;
- KSPM (Kubernetes Security Posture Management) – Sfrutta gli strumenti di automazione della sicurezza per identificare gli errori umani, applicare la conformità Kubernetes, gestire la sicurezza man mano che i cluster evolvono e convalidare le configurazioni di terze parti.
Movimento Shift Left con le Funzionalità Cloud-Native di SentinelOne
Tradizionalmente, la sicurezza è stata trattata come un processo separato e isolato che si verifica verso la fine del ciclo di sviluppo o durante la fase di distribuzione. Tuttavia, negli ambienti cloud-native, in cui le pratiche di integrazione continua e distribuzione continua (CI/CD) sono comuni, affrontare i problemi di sicurezza fin dall'inizio aiuta a mitigare i rischi e garantire una sicurezza solida durante l'intero ciclo di vita dell'applicazione.
Attraverso la funzionalità “shift left”, le aziende sono in grado di identificare e affrontare le vulnerabilità e i rischi di sicurezza il prima possibile, idealmente durante la fase di sviluppo o anche durante la fase di progettazione. Si tratta di un approccio proattivo che comporta rilevamento e correzione più rapidi dei problemi di sicurezza e riduce significativamente le possibilità che le vulnerabilità raggiungano gli ambienti di produzione.
SentinelOne fornisce queste funzionalità di shift left necessarie per rilevare, prevenire, indagare e rispondere alle minacce alla sicurezza del cloud, consentendo ai Leader IT di ridurre drasticamente i rischi basati sul cloud della propria organizzazione.
SentinelOne offre alle aziende una maggiore visibilità e protezione dei loro carichi di lavoro cloud, approvvigionamento semplificato e implementazione semplificata. Questo guida i team a proteggere meglio la propria infrastruttura cloud e i carichi di lavoro senza ostacolare la velocità o l'agilità dei team di sviluppo delle applicazioni.
In Conclusione
Con così tante organizzazioni che fanno affidamento sui cloud per conservare i propri dati sensibili, la superficie di attacco del cloud si è ampliata, continuando a essere un problema critico per le aziende moderne.
La creazione di una strategia di sicurezza cloud-native è fondamentale per affrontare le minacce cloud attuali.
SentinelOne può aiutare le organizzazioni a migliorare la propria strategia di sicurezza nel cloud attraverso una combinazione di capacità di rilevamento e risposta degli endpoint (EDR), ricerca autonoma delle minacce e soluzioni di runtime in grado di sconfiggere le minacce basate sul cloud senza compromettere l'agilità o la disponibilità.
Scopri di più su come la Cloud Workload Protection Platform (CWPP) di SentinelOne basata sull'intelligenza artificiale consente alle aziende di ottimizzare le operazioni nel cloud e proteggere i carichi di lavoro cloud dal momento della creazione al tempo di esecuzione.
Contattaci per sviluppare oggi una solida strategia di sicurezza cloud, invia una mail a cio@florence-consulting.it o chiama lo (055) 538-3250. Visita la pagina dedicata sul sito per ricevere ulteriore materiale informativo, in alternativa puoi compilare il form sottostante con la tua domanda.