Il cloud computing sta modificando il ruolo del CISO e, in generale, delle strutture che si occupano di garantirne la sicurezza. Alla luce di questo, è importante affrontare tali cambiamenti anche dal punto di vista della protezione tecnologica.
Indice degli argomenti
Cloud computing e sicurezza: quali evoluzioni
L’evoluzione più evidente che il cloud computing ha introdotto riguarda senza dubbio la modalità con cui si “virtualizzano” le componenti IT, con tutti i benefici conseguenti. Anche restando negli ambienti on premise tradizionali l’utilizzo dei sistemi virtuali (o virtual machine) è ormai diventato lo standard assoluto e sono rimasti davvero in pochi coloro che utilizzano sistemi fisici per eseguire singole applicazioni, che non sono eseguite in contesti virtualizzati.
Il modello di cloud computing, soprattutto in una fase iniziale, ha portato ad astrarre ulteriormente i sistemi, potendo contare sul modello IaaS (Infastructure as a Service), che ha inserito le virtual machine in un contesto di virtualizzazione ulteriore dell’infrastruttura sottostante. Il risultato si è tradotto in ulteriore flessibilità ed agilità nel gestire i sistemi e gli ambienti in cui operano gli stessi.
La rivoluzione del modello PaaS
Tuttavia, la vera rivoluzione del cloud computing è stata introdotta a livello applicativo o, come si definisce nel gergo diffuso in ambito cloud, dei workload tipici del modello PaaS (Platform as a Service).
Stiamo parlando in particolare del passaggio dal mondo delle virtual machine, nate per astrarsi dall’hardware, al mondo dei container, in cui ad essere virtualizzato è il sistema operativo o addirittura il mondo serverless, dove si virtualizza l’esecuzione dell’intera applicazione (potendo contare sull’esecuzione di singole “funzioni” applicative).
I moderni servizi applicativi che sono alla base dell’attuale trasformazione digitale sono oggigiorno, e lo saranno sempre di più in futuro, costituiti dall’utilizzo contemporaneo di questi molteplici workload.
Ad oggi l’esecuzione dei workload è distribuita attraverso una diversità di modelli di erogazioni delle funzionalità IT che devono coesistere tra loro, ad esempio tra il mondo on-premises e quello IaaS, spesso questi ultimi associati a public cloud diversi.
L’adozione di questi contesti ibridi, in architettura multicloud, rende la protezione delle stesse singole componenti alquanto complessa ed in molte circostanze poco omogeneea e granulare.
Macchine virtuali, resilienza dei sistemi e disponibilità dei dati: le soluzioni
Cloud computing e sicurezza: l’approccio DevOps
Dal punto di vista della sicurezza, a complicare ulteriormente lo scenario è l’approccio DevOps, pensato per iterare continuamente il processo di sviluppo, anche più volte al giorno.
L’unico modo per proteggere i workload in un contesto così dinamico è pertanto adottare un approccio più proattivo possibile, fin dalle prime fasi dello sviluppo. Ciò consente di far “nascere” workload protetti in origine, prima che gli stessi arrivino in produzione, sempre considerando la combinazione di virtual machine, containers e funzioni serverless PaaS che devono lavorano insieme per erogare il “servizio applicativo” di cui sopra.
I produttori di soluzioni tecnologiche in ambito cyber security hanno dovuto fare i conti con questo cambiamento rivoluzionario, dovendo rilasciare nuove tecnologie o adeguare quelle esistenti per adattarle alle nuove necessità di protezione dei workload.
La transizione del mercato verso questi nuovi paradigmi è tutt’altro che completata. Da un lato i produttori che devono investire in ricerca e sviluppo per produrre soluzioni di sicurezza cloud-native, ovvero nate in cloud per proteggere il cloud stesso; dall’altro gli utenti finali, spesso costretti ad acquistare singole soluzioni per proteggere singole componenti (IaaS, SaaS, PaaS), poco integrate tra loro, aumentando la complessità di gestione e non sempre garantendo un presidio completo dei rischi.
Garantire la security by default grazie al DevSecOps: ecco come
Soluzioni per garantire la sicurezza in ambiente cloud
Cosa dovrebbe pertanto garantire una soluzione integrata di protezione dei workload in ambiente cloud ? Le funzionalità sono molteplici e da applicare appunto a diverse componenti cloud (IaaS, PaaS, SaaS), ognuna con le sue caratteristiche specifiche.
Proteggere una virtual machine in una infrastruttura IaaS è diverso da garantire la sicurezza di un container in un contesto PaaS, così come è differente proteggere un utente in un contesto SaaS.
Sebbene siamo in molti casi ancora lontani da poter immaginare una unica soluzione per proteggere tutte queste componenti, vediamo quali sono gli ambiti tecnologici principali che stanno caratterizzando il mercato:
- soluzioni CASB. Forniscono visibilità e controllo sull’utilizzo del cloud in contesti SaaS e sui dati ivi memorizzati, proteggendo da minacce interne e account compromessi, attuando le policy di Data Loss Prevention (DLP), controllando gli accessi degli utenti finali e cifrando i dati in cloud;
- soluzioni CSPM. Nate per proteggere prevalentemente i contesti IaaS, consentono di gestire in maniera centralizzata le configurazioni di sicurezza dei servizi cloud, verificandone anche la compliance con standard e requisiti normativi e proteggendo da alcune tipologie di attacco, spesso associate ad errori di configurazione delle infrastrutture (e.g. servizi esposti, autorizzazioni di traffico di rete errate);
- soluzioni CWPP. Forniscono funzionalità di sicurezza incentrate sui workload (quindi anche per contesti PaaS), inclusi hardening dei sistemi, vulnerability management, segmentazione delle reti, integrity monitoring e whitelisting delle applicazioni.
Diversi produttori, che non hanno ancora completato la transizione da ambienti tradizionali a modelli di cloud computing ibridi con utilizzo esteso delle funzionalità di workload PaaS, stanno adattando le soluzioni esistenti di endpoint protection a tali ambienti.
Ciò accade, ad esempio, nel caso in cui le soluzioni più tradizionali di Endpoint Detection e Response (EDR) sono usate per proteggere ambienti PaaS. Tuttavia, questo approccio host based, ovvero ben consolidato per ambienti client e server “canonici”, monitora il comportamento potenzialmente malevolo di utenti e contesti applicativi, ma non consentono di proteggere completamente le funzioni applicative eseguite all’interno di un container o affidate a micro servizi tipici degli ambienti PaaS più moderni, come quelli descritti in precedenza.
Le soluzioni di CWPP in questo caso sono invece progettate per indirizzare i requisiti di protezione delle applicazioni cloud native, lavorando proprio a livello di container e processi DevOps.
I processi e le funzioni “malevoli” che possono compromettere le applicazioni vengono eseguiti in ambienti dove tutto avviene in secondi o minuti. Ciò rende ad esempio poco efficaci le soluzioni tradizionali basate sul caricamento e confronto con impronte (c.d. signature) dei malware, che richiederebbero tempi troppo lunghi per funzionare in un contesto così dinamico.
Al contrario, le funzionalità di scansione fornite dalle soluzioni CWPP consentono di seguire il ciclo di sviluppo continuo tipico del DevSecOps, lavorando contestualmente alle funzioni cloud in esecuzione.
Per farlo vengono spesso utilizzati degli agent che, inseriti nel container e/o essendo loro stessi un container, possono monitorare le attività con la stessa logica con cui si eseguono le funzioni nel contesto cloud.
Conclusioni
In attesa che i produttori forniscano soluzioni sempre più integrate e capaci di indirizzare i requisiti di sicurezza a prescindere dal modello cloud specifico (SaaS, IaaS, PaaS), l’approccio più corretto resta quello di definire architetture specifiche di cloud security, adottando soluzioni il più possibile cloud-native ed assicurando la copertura più ampia possibile delle vulnerabilità esistenti negli ambienti di cloud computing più moderni.
Ancora una volta, per fare in modo che tale transizione sia completa anche dal punto di vista della cyber security, non basta attendere l’evoluzione delle tecnologie, ma è necessario comprendere fino in fondo che i modelli operativi dei servizi IT sono profondamenti cambiati con il cloud computing.
Come esperti di sicurezza, per non restare emarginati rispetto a tale evoluzioni, bisogna velocemente adattare le soluzioni e le misure di sicurezza necessarie, affinché siano effettivamente progettate per il cloud e non solo nel cloud.
