Adattamento ai cambiamenti nella protezione del cloud
L'esigenza di velocità e agilità nell'odierno business digitale sempre attivo e sempre connesso ha portato i team IT a trasformare la tradizionale infrastruttura on-premise in architetture cloud. L'ascesa di DevOps e l'uso di Platform as a Service (PaaS) e Infrastructure as a Service (IaaS) sono stati fondamentali per questo cambiamento e sono ormai la norma. Tuttavia, se tradizionalmente la sicurezza era affidata a team dedicati, ora spesso ricade sugli sviluppatori stessi e, di conseguenza, quando la velocità e l'agilità aumentano, aumenta anche il rischio di introdurre problemi di sicurezza.
Ciclo di vita del cyberattacco
A prima vista, il ciclo di vita degli attacchi nel cloud sembra simile a quello della rete tradizionale; tuttavia, esaminandoli più da vicino, ci sono alcune differenze fondamentali che cambiano il modo in cui la sicurezza deve essere considerata.
Quali sono i diversi tipi di implementazione cloud e le relative sfide di sicurezza?
Responsabilità condivisa nel cloud
Quando si adottano servizi cloud , la sicurezza diventa intrinsecamente un modello di responsabilità condivisa. In questo modello, spetta ai clienti del Cloud Service Provider (CSP) adattarsi costantemente e fornire la propria metà dell'operazione di sicurezza che si adatta perfettamente alla mutevole superficie di minaccia esposta dall'architettura del CSP.
Quali sono le maggiori sfide per la sicurezza cloud ?
Infrastruttura come servizio
Inizialmente, la sicurezza IaaS sembra essere quella che cambia meno rispetto all'ambiente on-premise. Dopo tutto, il cloud è solo la vostra applicazione in esecuzione sul computer di qualcun altro.
Ma i Cloud Security Provider (CSP) vi forniscono quel computer, insieme a un piano di gestione e controllo completamente nuovo e sconosciuto, a nuovi paradigmi di identità e accesso e a nuove forme di archiviazione.
La prima generazione di violazioni cloud è stata causata dal fatto che le organizzazioni non hanno compreso questo nuovo paradigma e hanno collocato le informazioni riservate nello storage cloud lasciando l'accesso aperto a Internet.
Questo non è mai successo in azienda, dove i firewall e la segmentazione della rete fornivano una protezione contro questo tipo di configurazione errata. Cosa è cambiato? Non c'è modo di circondare fisicamente tutte le risorse nel cloud con una rete e di posizionare i firewall ai margini di tale rete.
Il nocciolo della questione è semplice: I CSP offrono ecosistemi incredibilmente complessi che sono in costante evoluzione con l'aggiunta di nuove funzionalità.
Piattaforma come servizio
Le implicazioni per la sicurezza dell'adozione di PaaS non sono ben comprese da molte organizzazioni. I servizi in questione vanno da quelli semplici (ad esempio, lo storage) a quelli complessi (ad esempio, gli stack di analisi). E ognuno di questi servizi ha le proprie sfumature di sicurezza.
Tutti i servizi erogati tramite PaaS presentano una sfida più ampia: I team di sicurezza in genere non hanno modelli preesistenti su come proteggere un servizio incorporato in un'applicazione senza circondarlo con una rete sicura. Non c'è modo di applicare questo modello ai servizi forniti tramite PaaS.
Si noti inoltre che l'obiettivo dei CSP è diverso da quello dei loro clienti. Nel lancio di nuovi servizi, i CSP che li sviluppano sono giudicati in base all'adozione del servizio.
Nel prendere decisioni sulla postura di sicurezza predefinita di un nuovo servizio, i CSP generalmente rimuoveranno le barriere per facilitare l'implementazione da parte dei clienti, piuttosto che aggiungere controlli di sicurezza che potrebbero anche rallentare l'adozione da parte dei clienti.
Software come servizio
Con il SaaS non ci si può illudere che tutto sia uguale, poiché l'unica cosa a cui si ha accesso sono gli account e le identità. Tuttavia, il SaaS è stato ampiamente adottato in quanto le organizzazioni si sono rese conto che consente loro di introdurre nuove applicazioni letteralmente da un giorno all'altro, senza doversi preoccupare di aggiornamenti software, backup e altre banali attività di supporto.
Queste applicazioni SaaS possono essere accessibili da qualsiasi luogo ed elementi di rilevamento e risposta endpoint (EDR) sul dispositivo che vi accede, se si è fortunati, e forse un cloud access security broker (CASB) dovrebbero ricreare la sicurezza di un tempo.
Inoltre, le applicazioni SaaS sono diventate incredibilmente complesse. E tenete presente che questa è solo una parte di un lavoro molto più grande per le organizzazioni IT, incaricate di effettuare il provisioning e il deprovisioning degli accessi e di supervisionare i problemi di sicurezza delle applicazioni.
Quando un utente finale viene vittima di un phishing o viene commesso un errore nella configurazione di una parte dell'applicazione cloud , gli aggressori hanno rapidamente accesso ai vostri dati e un ottimo punto di accesso ad altri servizi.
Mappare le diverse soluzioni di sicurezza cloud al ciclo di vita dell'attacco
La copertura della sicurezza cloud varia in base alla soluzione di sicurezza cloud scelta. Qui di seguito vediamo come i diversi strumenti offrano una copertura di ampiezza e profondità diverse.
Definizioni
CASB
Broker di sicurezza per l'accesso Cloud
Si colloca tra i consumatori di servizi cloud e i fornitori di servizi cloud per applicare le politiche di sicurezza, conformità e governance per le applicazioni cloud .
CWPP
Piattaforma di protezione dei carichi di lavoro Cloud
Utilizzato principalmente per proteggere i carichi di lavoro dei server in ambienti cloud pubblici Infrastructure as a Service (IaaS) sfruttando un agente.
CSPM
Gestione della postura di sicurezza Cloud
Aiuta le organizzazioni a scoprire, valutare e risolvere le configurazioni errate cloud monitorando i criteri.
IDPS
Sistema di rilevamento e prevenzione delle intrusioni
Un dispositivo o un'applicazione software che monitora una rete o dei sistemi alla ricerca di attività dannose o di violazioni dei criteri, in genere basati sulle firme.
Firewall per applicazioni web
Un firewall per applicazioni web filtra, monitora e blocca il traffico HTTP da e verso un'applicazione web.
Sicurezza del web e delle e-mail
Strumenti di sicurezza vari mirati alla protezione di un servizio specifico, come la posta elettronica.
NAC
Controllo dell'accesso alla rete
Tenta di unificare la tecnologia di sicurezza endpoint (come antivirus, prevenzione delle intrusioni host e valutazione delle vulnerabilità), l'autenticazione degli utenti o dei sistemi e l'applicazione della sicurezza di rete.
Prevenire una compromissione è sempre più difficile, ma non lo è rilevare i comportamenti che si verificano, dal comando e controllo all'esfiltrazione dei dati.
Rilevare e rispondere
Se da un lato il passaggio al cloud comporta vantaggi immediati in termini di costi e agilità, dall'altro vi è un chiaro e tangibile aumento del rischio dovuto alla scarsa visibilità. L'approccio siloed al rilevamento delle minacce nel mondo cloud ibrido rende ciechi gli utenti, gli account, i ruoli e le configurazioni errate compromessi.
Il metodo tradizionale basato sull'hardware consentiva di aggiungere la sicurezza dopo la distribuzione sotto forma di firewall e patch virtuali, cosa che non è più possibile nella distribuzione cloud . Una volta che l'implementazione è attiva nel cloud, è già troppo tardi per pensare alla sicurezza preventiva.
Secondo Gartner, il 99% dei fallimenti della sicurezza cloud sarà colpa del cliente. La realtà è che il cloud non sarà mai configurato in modo sicuro a causa delle sue dimensioni e della sua scala, unite ai continui cambiamenti. L'ideale sarebbe avere visibilità sulla creazione e sulle modifiche agli account, nonché sull'utilizzo dei servizi, senza affidarsi ad agenti o a regole di policy statiche.
Le operazioni e le pratiche di sicurezza tradizionali non si adattano bene al cloud pubblico e la superficie cloud che deve essere protetta e controllata cambia continuamente.
Fiducia da parte di esperti e aziende di tutto il mondo
