Cos'è la sicurezza del cloud ibrido?

La sicurezza del cloud ibrido consiste nella protezione di dati, applicazioni e infrastruttura associati a un'architettura IT che prevede una qualche forma di portabilità, orchestrazione e gestione dei carichi di lavoro su più ambienti IT, tra cui almeno un cloud pubblico o privato.

I cloud ibridi possono ridurre l'esposizione potenziale dei dati perché consentono di tutelare i dati sensibili o critici non esponendoli al cloud pubblico e, al contempo, di sfruttare i vantaggi del cloud per quei dati a cui non sono associati gli stessi rischi.

Il cloud ibrido garantisce la sicurezza avanzata?

Scegliendo il cloud ibrido, le aziende possono decidere dove collocare i carico di lavoro e i dati per rispettare i requisiti di conformità, controllo, policy o sicurezza.

Sebbene i diversi ambienti che costituiscono un cloud ibrido siano comunque entità uniche e separate, la migrazione tra questi è semplificata dai container o dalle interfacce di programmazione delle applicazioni (API) crittografate, che facilitano la trasmissione di risorse e carichi di lavoro. È proprio questa architettura separata ma connessa che consente alle aziende di eseguire carichi di lavoro critici nel cloud privato e carichi di lavoro meno sensibili nel cloud pubblico. Questo approccio riduce al minimo l'esposizione dei dati e permette alle aziende di ottenere un portafoglio IT personalizzato e flessibile.

Come la sicurezza informatica in generale, anche la sicurezza del cloud ibrido è costituita da tre componenti: fisico, tecnico e amministrativo.

I sistemi di controllo fisici proteggono l'hardware, e ne sono esempi serrature, sorveglianti e videocamere di sicurezza.

I sistemi di controllo tecnici sono le misure di protezione intrinseche dei sistemi IT, come la crittografia, l'autenticazione di rete e i software di gestione. In genere, i controlli tecnici includono alcuni tra gli strumenti di sicurezza più validi.

Infine, i controlli amministrativi sono quei programmi che permettono agli utenti di agire in modo da promuovere la sicurezza, come la formazione e la pianificazione delle emergenze.

Checklist: 6 vantaggi per la sicurezza degli ambienti di cloud computing

Essendo i cloud ibridi per loro natura estesi su più posizioni, la loro protezione fisica può rivelarsi particolarmente complicata, in quanto non è possibile contenere entro una recinzione tutti i sistemi.

Nel caso delle risorse condivise come quelle di un cloud pubblico, è possibile sottoscrivere con il provider cloud accordi sul livello di servizio nei quali vengono dichiarati gli standard di sicurezza fisica garantiti. Alcuni provider di cloud pubblico, ad esempio, prevedono accordi con i clienti della pubblica amministrazione per limitare le persone che possono accedere all'hardware fisico.

Anche con SLA efficienti, tuttavia, quando ci si affida a un provider di cloud pubblico si cede una qualche forma di controllo sugli ambienti, il che rende ancora più importanti gli altri metodi di sicurezza.

I controlli tecnici sono imprescindibili per la sicurezza del cloud ibrido. La gestione centralizzata di questo tipo di cloud li rende più semplici da implementare.

Alcuni tra i controlli tecnici più efficienti disponibili sono la crittografia, l'automazione, l'orchestrazione, il controllo degli accessi e la sicurezza degli endpoint.

Crittografia

La crittografia riduce nettamente il rischio di esposizione di qualsiasi tipo di dato leggibile, anche in caso di compromissione di una macchina fisica.

È possibile crittografare sia i dati inattivi che quelli in transito. Ecco come:

Proteggi i dati inattivi:

• La crittografia completa del disco o della partizione protegge i dati anche quando il computer è spento. Con il formato Linux Unified Key Setup-on-disk (LUSK) puoi crittografare le partizioni del disco in blocco.
• La crittografia hardware protegge il disco rigido dagli accessi non autorizzati. Prova il modulo Trusted Platform Module (TPM), un chip hardware che consente di archiviare le chiavi di crittografia. Quando TPM è attivato, il disco rigido viene bloccato finché l'utente non esegue l'accesso con le proprie credenziali.
• La crittografia dei volumi root non richiede l'inserimento manuale delle password. Se è già disponibile un ambiente cloud ad alta automazione, questo può rappresentare la base da cui partire con la crittografia automatizzata. Se utilizzi Linux, prova Network Bound Disk Encryption (NBDE), un approccio che funziona sia sulle macchine fisiche che su quelle virtuali. Integrando TPM e NBDE, puoi fornire due livelli di sicurezza: NMDE aiuta a proteggere gli ambienti in rete, mentre TPM agisce in locale.

Proteggi i dati in transito:

• Crittografa la sessione di rete, perché i dati in transito sono esposti a rischi più elevati di intercettazione e manomissione. Prova Internet Protocol Security (IPsec), un'estensione del protocollo (IP) che utilizza la crittografia.
• Scegli prodotti che già prevedano l'implementazione di standard di sicurezza,  preferibilmente che supportino già lo standard Federal Information Processing Standard (FIPS) Publication 140-2, che utilizza moduli crittografici per proteggere i dati ad alto rischio.

Automazione

Per capire i motivi che rendono l'automazione così adatta ai cloud ibridi, è sufficiente riflettere sugli svantaggi del monitoraggio e delle correzioni manuali.

Il monitoraggio manuale della sicurezza e della conformità comporta spesso più rischi che vantaggi. Le correzioni manuali e la gestione della configurazione rischiano di essere implementate in maniera asincrona e anche l'implementazione dei sistemi self service può risultare più complessa. Se si verifica una violazione della sicurezza, si rischia di perdere i record delle correzioni e delle configurazioni manuali, il che può causare conflitti e rimpalli di responsabilità tra i team. Infine, i processi manuali richiedono più tempo e sono soggetti a errori.

Al contrario, con l'automazione puoi affrontare i rischi in modo proattivo e non reattivo. L'automazione consente di impostare e condividere le regole e di verificare i processi, semplificando così il superamento degli audit di sicurezza. Quando si valutano gli ambienti cloud ibridi, è bene considerare l'automazione dei seguenti processi:

• Monitoraggio degli ambienti
• Gestione dei dati
• Controllo della conformità
• Implementazione delle correzioni
• Implementazione dei valori di riferimento per la sicurezza personalizzati o normativi

Orchestrazione

L'orchestrazione del cloud compie un ulteriore passo in avanti. Possiamo immaginare l'automazione come la definizione di ingredienti specifici e l'orchestrazione come un libro di ricette in cui gli ingredienti vengono combinati insieme.

Gli strumenti di orchestrazione permettono di gestire le risorse cloud e i componenti software come una singola unità, per poi distribuirli in modo automatico e ripetibile grazie alla creazione di un modello.

Il principale vantaggio offerto dall'orchestrazione alla sicurezza è la standardizzazione. Permette infatti di fornire la flessibilità del cloud verificando al contempo che i sistemi distribuiti soddisfino gli standard di sicurezza e conformità.

Controllo degli accessi

I cloud ibridi dipendono anche dal controllo degli accessi. Gli account degli utenti devono limitarsi ai soli privilegi necessari per operare ed è bene valutare l'adozione dell'autenticazione a due fattori. Anche limitare l'accesso agli utenti connessi a una rete VPN può contribuire al rispetto degli standard di sicurezza.

Sicurezza degli endpoint

La sicurezza degli endpoint implica spesso l'uso di un software per revocare da remoto l'accesso o cancellare i dati sensibili nel caso in cui lo smartphone, il tablet o il computer di un utente venga smarrito, rubato o attaccato dagli hacker.

Gli endpoint di sicurezza rappresentano un sistema di controllo fondamentale, perché gli utenti possono connettersi a un cloud ibrido con i dispositivi personali ovunque si trovino. Gli hacker possono infiltrarsi nei sistemi con attacchi di phishing indirizzati a specifici utenti e con malware in grado di danneggiare i singoli dispositivi.

La sicurezza degli endpoint è elencata qui come un controllo tecnico, ma in realtà prevede anche controlli fisici e amministrativi: proteggi i dispositivi fisici, applica i controlli tecnici per contenere il rischio nel caso in cui il dispositivo finisca nelle mani sbagliate e offri agli utenti la necessaria formazione sulle buone pratiche di sicurezza.

I controlli amministrativi per la sicurezza del cloud ibrido devono prevedere anche il fattore umano. Poiché sono fortemente connessi, la sicurezza degli ambienti di cloud ibrido è una responsabilità che gli utenti condividono.

Sono esempi di controllo amministrativo la preparazione alle emergenze e al ripristino. Se una parte del cloud ibrido viene disconnessa, chi è responsabile di intraprendere quali azioni? Sono stati previsti protocolli per il ripristino dei dati?

Un'architettura ibrida offre vantaggi significativi in termini di sicurezza amministrativa. Dopo aver distribuito le risorse tra hardware on-site o off-site, hai a disposizione diverse opzioni per backup e ridondanze. Nei cloud ibridi che prevedono cloud pubblici e privati, puoi eseguire il failover nel cloud pubblico se si verifica un errore nel datacenter privato nel cloud.

Cosa sono SPIFFE e SPIRE?

La sicurezza dell'IT richiede tempo e iterazione. Il panorama della sicurezza è in continua evoluzione. Invece di puntare a una condizione di sicurezza perfetta (che non esiste), è bene muoversi con passaggi graduali e agire in modo razionale e ponderato, così da potenziare la sicurezza nel tempo.

Ebook: Gestisci i rischi relativi a sicurezza e conformità con una piattaforma open source Linux