Jump to section

La sicurezza del cloud

Copia URL

La sicurezza del cloud prevede la protezione di dati, applicazioni e infrastrutture coinvolti nei servizi cloud e nel cloud computing. Molti aspetti della sicurezza degli ambienti cloud, che si tratti di cloud pubblico, privato o ibrido, corrispondono a quelli di qualsiasi architettura IT on-premise.

Sei responsabile della sicurezza degli spazi che ti appartengono all'interno di un cloud, a prescindere dal deployment cloud utilizzato. L'adozione di un cloud gestito da terzi non ti esonera da tale responsabilità. Spesso, è una scarsa attenzione alle misure di sicurezza a renderle inefficienti. La sicurezza del cloud è responsabilità di tutti e per preservarla occorre:

Impiego di software affidabile

Il contenuto del tuo cloud è importante. Come per qualsiasi altro codice scaricato da sorgenti esterne, devi conoscere l'origine dei pacchetti, sapere chi li ha realizzati e se contengono codice potenzialmente dannoso. Acquisisci il software da fonti note ed affidabili, e assicurati di disporre di meccanismi sicuri per installare e distribuire tempestivamente gli aggiornamenti.

Requisiti di conformità

Le informazioni personali, finanziarie e altrimenti sensibili custodite nel cloud possono essere soggette a severe normative sulla conformità. Le leggi variano in funzione dei paesi e delle aziende con cui si è in affari; ne è un esempio il regolamento generale sulla protezione dei dati (GDPR) ora in vigore in Europa. Prima di scegliere un deployment cloud è bene verificare i requisiti di conformità.

Gestione dei cicli di vita

Implementare nuove istanze negli ambienti cloud native è facile, così come lo è dimenticarsi di quelle meno recenti. Le istanze dimenticate sono attive, anche se non vengono monitorate. Possono diventare rapidamente obsolete, e quindi non essere protette dalle patch di sicurezza. Per questo è bene adottare policy di governance e sistemi di gestione dei cicli di vita.

Portabilità

È possibile trasferire facilmente i carichi di lavoro in un altro cloud? Gli accordi sul livello di servizio dovrebbero definire chiaramente quando e come il provider cloud restituisce i dati o le applicazioni del cliente. In futuro, potrebbe essere necessario trasferire i dati. Per evitare di trovarti vincolato, valuta la portabilità da subito.

Monitoraggio costante

Monitorare le attività può aiutare ad evitare le violazioni alla sicurezza, o almeno a contrastarne gli effetti.

Scegli il giusto provider di servizi cloud

Affidati a personale e partner qualificati e affidabili, che conoscono le complessità dei servizi e della sicurezza del cloud. In alcuni casi, l'infrastruttura di cloud pubblico può essere più sicura rispetto allo specifico cloud privato di un'azienda, perché il provider di cloud pubblico dispone di un team addetto alla sicurezza più informato e preparato.

È un dubbio legittimo. Potremmo elencare le differenze nella sicurezza tra i tre deployment cloud (pubblico, privato e ibrido), ma alla domanda "Il cloud pubblico è sicuro?" non esiste una risposta univoca.

I cloud pubblici, ad esempio, Amazon Web Services (AWS), Microsoft Azure e Google, sono sicuri per molti carichi di lavoro, ma ciò non significa che siano adatti a qualsiasi utilizzo, principalmente perché mancano dell'isolamento dei cloud privati. I cloud pubblici sono multi-tenant e ciò vuol dire che la potenza di elaborazione o lo spazio di storage vengono "presi a noleggio" dal provider del servizio cloud insieme ad altri tenant. Ogni tenant sottoscrive uno SLA con il provider del cloud, nel quale vengono definite le rispettive responsabilità. A grandi linee, è come affittare uno spazio fisico: il proprietario (provider cloud) si impegna a mantenere l'edificio (infrastruttura cloud), conserva le chiavi (accesso) e in generale non accede alla proprietà affidata al tenant (privacy). In cambio, il tenant si impegna a non agire con modalità che potrebbero danneggiare l'integrità dell'edificio o infastidire gli altri tenant (ad esempio eseguendo un'applicazione non sicura). Poiché tuttavia non si possono scegliere i propri vicini, può accadere che qualcuno di loro consenta l'accesso a qualche elemento dannoso. Mentre il team dedicato alla sicurezza del provider cloud si occupa di individuare eventi insoliti, gli altri tenant possono subire gli effetti negativi di furti o attacchi, ad esempio i pericolosi attacchi DDoS, o interruzioni di servizio.

Fortunatamente esistono standard, normative e framework per il controllo della sicurezza riconosciuti dal settore, ad esempio Cloud Controls Matrix di Cloud Security Alliance. Per garantire il proprio isolamento in un ambiente multi-tenant è possibile implementare altri strumenti di sicurezza (come crittografia e tecniche di contenimento degli attacchi DDoS), che proteggono i carichi di lavoro nel caso in cui l'infrastruttura venga compromessa. Se ciò non è sufficiente, è possibile rilasciare broker di sicurezza per l'accesso al cloud, che hanno il compito di monitorare e applicare policy di sicurezza per le funzioni aziendali a basso rischio. Queste misure potrebbero non essere sufficienti nei settori che operano con severe normative in termini di privacy, sicurezza e compliance.

Con il temine DevSecOps si intende l'unione di pratiche DevOps e strategie di sicurezza allo scopo di migliorare la sicurezza IT e ridurre i rischi negli ambienti software. Le tecnologie cloud native come Kubernetes, container, microservizi e service mesh sono molto popolari poiché forniscono gli elementi costitutivi necessari alle organizzazioni per creare, distribuire ed eseguire applicazioni cloud in modo più dinamico, affidabile e su una scala più ampia di quanto non fosse possibile in precedenza. 

I cambiamenti introdotti dalle tecnologie cloud native impongono alle organizzazioni di adattare la propria sicurezza adottando un modello DevSecOps. Di conseguenza, i team di sicurezza e tecnici devono collaborare per sviluppare strategie che consentano di realizzare ed eseguire applicazioni moderne e scalabili, con procedure shift-left che integrano la sicurezza nelle prime fasi del ciclo di sviluppo del software e flussi di lavoro che implementano la sicurezza come codice.

Multiple icons forming a circle around a business man icon

Nelle decisioni sulla sicurezza entrano in gioco aspetti come la tolleranza al rischio e l'analisi dei costi e dei benefici. In che modo i potenziali rischi e benefici influiscono sull'integrità dell'azienda? Quali aspetti sono prioritari? Non tutti i carichi di lavoro, ad esempio, richiedono i livelli di crittografia e sicurezza più elevati. Il senso è questo: chiudere a chiave la casa consente di tenere al sicuro tutti gli oggetti importanti, ma per quelli davvero preziosi potrebbe servire anche una cassaforte. È bene avere più possibilità di scelta,

ed è per questo che molte aziende si rivolgono al cloud ibrido, che sfrutta i vantaggi di tutte le tipologie cloud. Il cloud ibrido è una combinazione di 2 o più ambienti cloud interconnessi, pubblici o privati.

I cloud ibridi consentono di scegliere dove collocare carichi di lavoro e dati in base ai requisiti di compliance, auditing, policy o sicurezza, proteggendo i carichi di lavoro particolarmente sensibili su un cloud privato, mentre i carichi di lavoro meno sensibili risiedono nel cloud pubblico. Sebbene il cloud ibrido sia caratterizzato da alcune problematiche di sicurezza specifiche (come la migrazione dei dati, una maggiore complessità e una più ampia superficie vulnerabile agli attacchi), la presenza di più ambienti può essere una delle migliori difese contro i rischi legati alla sicurezza.

Scopri di più sull'approccio di Red Hat alla sicurezza e alla conformità

The referenced media source is missing and needs to be re-embedded.

Keep reading

ARTICOLO

Cos'è la metodologia DevSecOps?

Per sfruttare tutta l'agilità e la reattività di un approccio DevOps, occorre tenere conto anche di un altro elemento cruciale dell'intero ciclo di vita delle tue applicazioni: la sicurezza IT.

ARTICOLO

La sicurezza nel cloud

I problemi di sicurezza hanno un impatto sia sui sistemi IT tradizionali che su quelli cloud. Scopri perché la sicurezza nel cloud è differente.

ARTICOLO

Cosa si intende con SOAR?

L'acronimo SOAR indica 3 capacità chiave utilizzate dai team che si occupano di sicurezza: gestione dei casi e dei flussi di lavoro, automazione delle attività e sistema centralizzato di accesso, query e condivisione dei dati di intelligence sulle minacce.

Scopri di più sulla sicurezza

Prodotti

Un framework di sicurezza progettato per gestire le identità utente e garantire la privacy delle comunicazioni.

Una soluzione, Kubernetes native ed enterprise ready, per la sicurezza dei container che permette di creare, distribuire ed eseguire applicazioni cloud native in modo più sicuro.

Un servizio di analisi predittiva per identificare e contrastare le minacce a sicurezza, prestazioni e disponibilità della tua infrastruttura Red Hat.

Una soluzione che permette di controllare cluster e applicazioni Kubernetes da una singola console dotata di criteri di sicurezza integrati.

Risorse