Rani Osnat, collaboratore di Infosec Insider, è SVP Strategy di Aqua Security
La combinazione di infrastruttura cloud privata e pubblica, che la maggior parte delle organizzazioni sta già utilizzando, pone sfide di sicurezza uniche. Ci sono molte ragioni per cui le organizzazioni adottano il cloud pubblico: dall'abilitazione di una rapida crescita senza l'onere della pianificazione della capacità allo sfruttamento della flessibilità e dell'agilità nella fornitura di servizi incentrati sul cliente. Tuttavia, questo uso può lasciare le aziende esposte alle minacce.
Poiché i requisiti normativi o altre preferenze impongono che determinate applicazioni rimangano su un'infrastruttura privata (on-premise), molte organizzazioni scelgono di mantenere un mix di infrastrutture private e pubbliche. Inoltre, le organizzazioni in genere utilizzano più provider di cloud contemporaneamente o conservano l'opzione di spostarsi tra i provider. Tuttavia, questo approccio ibrido presenta sfide di sicurezza uniche e diversificate. Diversi provider di cloud e piattaforme di cloud privato possono offrire funzionalità simili ma modi diversi di implementare i controlli di sicurezza, insieme a strumenti di gestione disparati.
La domanda diventa quindi: come può un'organizzazione mantenere una governance, l'applicazione delle policy e i controlli coerenti su diversi cloud? E come può garantire che mantenga la sua posizione di sicurezza quando si sposta tra di loro? Fortunatamente, ci sono misure che i professionisti possono adottare per garantire che le applicazioni siano continuamente sicure, a partire dalle prime fasi di sviluppo e estendendosi per tutto il ciclo di vita.
I vecchi strumenti di sicurezza non sono più efficaci nel cloud
Gli strumenti di sicurezza non nati nel cloud sono mal equipaggiati per proteggere le applicazioni in esecuzione nel cloud per molte ragioni. In primo luogo, non sono in grado di far fronte ai cicli di sviluppo notevolmente accelerati delle applicazioni cloud native, rispetto ai tradizionali metodi a cascata. Invece di rilasciare versioni ogni pochi mesi, le organizzazioni che utilizzano CI/CD nativi del cloud integrano e distribuiscono continuamente applicazioni e aggiornamenti, a volte più volte al giorno. Ciò impone un approccio automatizzato per garantire la sicurezza, incorporato nelle prime fasi dello sviluppo in modo che non diventi il collo di bottiglia che rallenta lo sviluppo e le operazioni.
Inoltre, nell'ambiente cloud dinamico e diversificato, le soluzioni di sicurezza non possono più aspettarsi o fare affidamento su infrastrutture e posizioni permanenti. Se, in passato, sapevamo che un determinato server eseguiva una determinata applicazione (ad esempio, un server o un database di Microsoft Exchange), non possiamo presumere che lo stesso scenario si applichi oggi. Le moderne soluzioni applicative cloud sono legate all'applicazione stessa, non al suo indirizzo IP o a una posizione server specifica. L'orchestrazione automatizzata dei carichi di lavoro significa che un database potrebbe essere in esecuzione su un contenitore ora e su uno diverso, con un indirizzo IP diverso, 10 minuti dopo. O, forse, domani, l'intero cluster passerà completamente a un provider cloud diverso. Questo è il motivo per cui le organizzazioni devono utilizzare soluzioni più moderne e specifiche per il cloud piuttosto che quelle meno recenti non pensate per il cloud.
Gli strumenti di sicurezza dei fornitori di servizi cloud: una risposta limitata
I principali fornitori di cloud utilizzano tutti quello che viene chiamato "il modello di responsabilità condivisa", che, a un livello molto semplicistico, distingue tra sicurezza "del cloud" (responsabilità del provider) e sicurezza "nel cloud" (responsabilità del cliente). La "responsabilità condivisa" non si traduce in responsabilità condivisa. Quando si tratta della sicurezza fisica dei data center del cloud pubblico, le organizzazioni non devono preoccuparsi; I fornitori di servizi cloud gestiscono tale sicurezza secondo gli standard più elevati, simili a quelli impiegati dalle principali banche e agenzie governative. Ma per tutto il resto, la responsabilità ricade direttamente sulle organizzazioni dei clienti: infatti, Gartner prevede che fino al 2025, il 99% dei fallimenti della sicurezza cloud si verificherà dalla parte del cliente.
Gli strumenti offerti dai provider di sicurezza cloud (CSP) di solito forniscono una copertura parziale per le esigenze dei clienti e aumentano la dipendenza dei clienti dal provider cloud, ma non sono ugualmente efficaci nella protezione dell'ambiente multi-cloud, in particolare i cloud privati.
Il nuovo stack è ottimo per la sicurezza
La buona notizia è che le tecnologie utilizzate per eseguire il nuovo stack, come container e Kubernetes, consentono una sicurezza migliore di quanto fosse mai stato possibile prima e con visibilità e automazione più granulari. Semplificano inoltre il trasferimento della sicurezza tra ambienti cloud privati e pubblici, a condizione che i controlli di sicurezza siano applicati correttamente.
Poiché i container sono fatti per essere portatili e Kubernetes è stato creato per essere intraoperatorio con qualsiasi ambiente cloud, se si collegano strumenti di sicurezza specificamente progettati per proteggere i container, è possibile eseguirli ovunque in modo uniforme, indipendentemente da dove si trovino le applicazioni.
A causa della complessità degli ambienti cloud e delle numerose parti mobili coinvolte, la pianificazione dello stack tecnologico richiede un approccio olistico per difendere le applicazioni durante l'intero ciclo di vita, dallo sviluppo alla produzione. Tale approccio dovrebbe essere in grado di gestire molteplici lacune di sicurezza sia tra i componenti dell'infrastruttura che il codice dell'applicazione, sia che si tratti di gestire vulnerabilità, configurazioni errate, malware o anomalie comportamentali.
L'approccio Born-in-the-Cloud
Le aziende ora non sono solo nate nel cloud, ma specificamente impostate per proteggere il nuovo stack nativo del cloud, dai container alle VM e serverless. Cloud Native Application Protection Platform (CNAPP), una nuova categoria denominata da Gartner, protegge le applicazioni aziendali dagli attacchi, che aumentano con la crescita dell'adozione del cloud.
Mentre il futuro della sicurezza del cloud è luminoso, il presente è incerto. Ciò è dovuto all'aumento del volume e della sofisticazione degli attacchi che prendono di mira specificamente l'infrastruttura cloud e le supply chain. Un nodo Kubernetes vulnerabile o mal configurato verrà preso di mira in soli 20 minuti. Questi attacchi sofisticati potrebbero causare una varietà di risultati dannosi, dal mining di criptovaluta al furto di credenziali, dall'installazione del rootkit all'attraversamento della rete.
Il ritardo tra la corsa a spostare più carichi di lavoro nel cloud e la capacità di proteggere tali carichi di lavoro deriva da deficit di conoscenze e competenze, ma ci sono piattaforme per colmare tali lacune. Ancora più importante, le aziende possono raggiungere un livello di sicurezza senza precedenti grazie all'elevato livello di automazione basata su policy, alla riduzione della superficie di attacco e alla capacità di rilevare la più piccola deriva o anomalie comportamentali dei componenti dell'applicazione. I metodi di sicurezza che sono parte integrante dello sviluppo, della distribuzione e dell'esecuzione di applicazioni cloud sono la strada da seguire.
Rani Osnat, collaboratore di Infosec Insider, è SVP Strategy di Aqua Security
Ulteriori approfondimenti dalla community Infosec Insiders di Threatpost visitando il nostro microsito.