La fase di ripresa post emergenza sanitaria sarà caratterizzata da una ulteriore crescita del segmento Public Cloud.
Già previsto in forte positività – Gartner immagina un incremento a doppia cifra almeno fino al 2024 – e in controtendenza rispetto a un mercato IT in decrescita complessiva dell’8% per il 2020, il cloud pubblico e il multicloud rappresentano la scelta primaria per le aziende, anche in Italia.
Nel nostro Paese, secondo i dati dell’Osservatorio del Politecnico di Milano, il
cloud è il modello preferito nello sviluppo di progetti digitali per il 42% delle aziende consultate e registra un +18% di incremento nell’ultimo anno, sfiorando i 3 miliardi di euro di valore complessivo.
Ma c’è un problema da affrontare. Dal 2018 al 2019 si è rilevata una crescita del 7% degli exploit gravi a strutture cloud in tutto il mondo, con una media di 139 attacchi al mese e un impatto alto e molto critico per il 54% delle aziende.
Il cybercrime, dunque, guarda con notevole interesse verso gli ambienti cloud, soprattutto pubblici, ponendo la security come prima sfida in assoluto per i responsabili IT nella gestione dei loro cloud pubblici. Lo sostiene Flexera nel suo State of the Cloud Report.
Ancora, Gartner nel suo Emerging Risk Report and Monitor segnala che entro il 2022 il 95% degli attacchi agli ambienti cloud sarà da imputare a responsabilità del cliente.
Qualsiasi contratto di servizio cloud, infatti, prevede il concetto di mutua responsabilità tra il Cloud Provider e l’azienda cliente. Ciò significa che il fornitore dei servizi e della piattaforma, Amazon, Microsoft, Google e tutti gli hyperscaler, sono responsabili della sicurezza DEL cloud, della loro piattaforma, ma non della sicurezza NEL cloud.
Per garantire una protezione completa lungo tutta la “filiera” cloud, è necessario
che anche l’azienda cliente si doti di strumenti adeguati.
Per definizione, i servizi in cloud sono esposti all’esterno in quanto disponibili in Rete , e non sono supportati da una protezione predefinita integrata, completa e realmente efficiente, nonostante gli sforzi compiuti dagli hyperscaler.
Inoltre, è impensabile applicare modelli e architetture di sicurezza tipiche di un’infrastruttura on premise. Nell’interfacciarsi con una piattaforma di cloud pubblico, insomma, il classico Network Gateway Approach, benché fondamentale, non è sufficiente.
È necessario affiancare alle metodologie di protezione tradizionali sul perimetro aziendale nuove misure di sicurezza cloud native implementando correttamente i security group, la microsegmentazione o ricorrendo a strumenti di controllo e monitoraggio di accessi e privilegi. E, inoltre, l’impossibilità di usare metodologie Agent Based tipiche dei servizi applicativi on premise, richiede di utilizzare metodi di protezione API driven agentless.
Il ricorso alle API richiede sviluppo e lo sviluppo è foriero di errori e vulnerabilità, spesso
involontarie.
Sempre secondo Gartner, la metà delle aziende avrà esposto a rete pubblica inconsapevolmente o erroneamente i propri servizi IaaS e SaaS, segmenti di rete, applicazioni e API. Un valore, questo, raddoppiato rispetto al 2018.
La messa in sicurezza nel cloud sarà dunque la prossima sfida per le aziende che stanno già usufruendo del cloud pubblico, i vendor specializzati in soluzione di protezione e i loro partner come Lutech.
Nell’approccio iniziale, risulta fondamentale rendere consapevole l’azienda cliente del concorso di responsabilità in caso di attacco al proprio ambiente cloud e specificarne gli ambiti di competenza. Parliamo della rete aziendale in primis, della protezione del traffico da e verso il cloud, della protezione dei dati mediante opportuni sistemi di crittografia, di Identity & Access Management e, infine, di protezione intrinseca degli applicativi che sono stati trasformati in servizi cloud e del sistema operativo on premise.
Ma non basta. Tra le maggiori cause di vulnerabilità ce ne sono due particolarmente sfruttate dagli attaccanti: gli errori nelle configurazioni dell’infrastruttura e nello sviluppo delle Api necessarie al dialogo tra gli applicativi. In entrambi i casi, gli sviluppatori sono le risorse preposte alle attività, e loro non sono esperti di sicurezza. Una procedura corretta, dunque, richiederebbe di analizzare ogni singolo pezzo di codice aggiuntivo e validarlo in termini di sicurezza. Ciò risulterebbe, però, dispendioso in termini di tempi e risorse.
Per questo è fondamentale introdurre soluzioni applicative aggiuntive come, per esempio, CloudGuard IaaS di Check Point Software, un NextGen Firewall che integra diverse componenti come CloudGuard Dome9 per la configurazione delle macchine virtuali.
In generale, applicare controlli di sicurezza per garantire che nulla sia incompleto o compromesso in un ambiente cloud dinamico può essere difficile con i metodi tradizionali.
Fare controlli di conformità ad hoc non è più sufficiente. Serve un monitoraggio su base continuativa dell’infrastruttura che assicuri l’allineamento con gli standard richiesti dalle normative e dai modelli di gestione ottimale.
Le aziende devono essere certe che gli hacker non ottengano privilegi non autorizzati: per questo, sistemi di allerta sulle intrusioni che controllino che non vengano creati asset non autorizzati possono essere molto utili; deve essere assicurato che solo gli amministratori della sicurezza gestiscano le regole / i criteri dei firewall, per esempio con l’enforcement di policy di sicurezza; ancora si deve essere sicuri di disattivare l’accesso alle porte o agli IP di servizi non in uso al fine di prevenire attacchi (port-scanner, botnet, ecc.)
Per tutti questi motivi è importante utilizzare strumenti come CloudGuard Dome9 che offrano una gestione unificata del multicloud con funzionalità di visibilità, gestione delle policy, monitoraggio in tempo reale, reportistica, intelligence e logging.
Scarica a questo link i White Paper gratuiti, realizzati da Lutech e Check Point, per massimizzare la sicurezza delle applicazioni in Cloud.
A cura di Marco Ceccon, Advisory Pratice Manager del Gruppo Lutech
