Quando si lavora in un ambiente multicloud e crosscloud, l'approccio ideale è di gestire centralmente gli strumenti di sicurezza e le policy create all'interno di questi strumenti su tutti i cloud pubblici e privati occupati dalla propria azienda. Tuttavia, non vi è alcuna garanzia che gli strumenti siano ottimali o addirittura utilizzabili in infrastrutture cloud di terze parti. Pertanto, è importante scegliere strumenti e criteri che soddisfino tutti gli standard di sicurezza interni, oltre a offrire la flessibilità di funzionare in modo coerente in ogni infrastruttura cloud. È necessario mappare, analizzare e rivedere tutti strumenti e processi per verificare quali di questi si adatteranno facilmente alla nuova infrastruttura e quali invece dovranno essere modificati o abbandonati a favore di qualcosa che funziona su tutte le infrastrutture gestite in multicloud.
In tutto questo, mantenere la visibilità in un ambiente multicloud deve essere parte fondamentale di un'architettura sicura.
Idealmente, la visibilità dovrebbe estendersi al livello di rete. Sono disponibili diversi strumenti, tutti gestibili centralmente, per fornire visibilità multicloud.
Gli strumenti SIEM
I SIEM (Security Information and Event Management) di ultima generazione integrano tecnologie che includono l'analisi del comportamento degli utenti e delle entità (User and Entity Behavior Analytics - UEBA) e l'orchestrazione della sicurezza e la risposta automatizzata (Security Orchestration and Automated Response - SOAR). Attraverso una serie di algoritmi euristici, che contemplano la probabilità di identificare cyber attacchi di vario tipo, come gli exploit zero-day, gli attacchi DDOS e brute force, i SIEM 4.0 sfruttano una baseline che gli permette di effettuare operazioni di corrispondenza degli schemi (pattern matching) e di aggregare log per innescare processi analitici avanzati. Il sistema intercetta e localizza velocemente anche tutte le attività anomale che avvengono sulla rete, interoperando con le politiche di security stabilite dall'organizzazione per arrivare a determinare quali azioni dovrebbero essere intraprese e quali no.
Tuttavia, gli strumenti SIEM fanno molto affidamento sui dati di registro, che offrono diversi livelli di granularità a seconda del provider di servizi cloud.
Di conseguenza, la visibilità attraverso l'uso di uno strumento SIEM potrebbe non essere così vantaggiosa come si potrebbe pensare.
Gli strumenti NDR
Un campo emergente nella sicurezza IT, noto come Network Detection and Response (NDR), potrebbe rivelarsi molto più adatto a fornire il livello necessario di visibilità attraverso le reti ibride e multicloud.
Rispetto al networking aziendale, l'NDR monitora il traffico estraendo i dati di telemetria di rete da varie posizioni, inclusi cloud privati e pubblici.
I dati vengono ottenuti da fonti che includono NetFlow, ispezione approfondita dei pacchetti e altri dati di telemetria della rete di streaming. Le informazioni vengono poi inviate a uno strumento di analisi che decodifica e aggrega i dati per capire esattamente quali dispositivi si trovano sulla rete e con chi stanno parlando. Una volta completata l'elaborazione, vengono create le linee di base del traffico e il traffico viene analizzato da una prospettiva di sicurezza per identificare anomalie del modello di traffico, indicatori di prestazioni non ottimali e corrispondenze con minacce note e sconosciute. Da una prospettiva di visibilità multicloud, una piattaforma NDR può essere implementata nei cloud IaaS per automatizzare la creazione di una mappa di visibilità della rete che identifica tutti i componenti di rete e i server/dispositivi collegati, mostrando le interazioni tra le macchine. Questo è precisamente il livello di dettaglio che gli amministratori della sicurezza cercano, con l'ulteriore vantaggio di utilizzare un'unica piattaforma per monitorare tutte le risorse on-premise e del cloud pubblico in una piattaforma centralizzata.
Come e perché affidarsi a un Managed Security Service Provider (MSSP)
Dall'obiettivo iniziale di monitoraggio e gestione in remoto di server e reti, negli anni la missione degli MSSP si è progressivamente ampliata, per stare al passo dello sviluppo tecnologico. Oggi i Managed Security Service Provider prendono in carico anche la gestione delle infrastrutture fisiche e virtuali nonché di tutti i servizi in cloud e in multicloud, presidiando anche tutti gli aspetti legati alla compliance che, con il GDPR, oggi impone ulteriori criteri di attenzione e di servizio associati alla gestione dei dati e della sicurezza.
Dalla progettazione di sistemi complessi alla data protection, dalla cyber security alla business continuity fino al disaster recovery, gli MSSP sono sempre al fianco del cliente proteggendo dati, informazioni e processi aziendali.
Vendor indipendent, questo tipo di provider offre, integra e amministra le migliori tecnologie dei migliori brand su base cloud computing, hybrid e on premise, gestendo direttamente le soluzioni in ottica full outsourcing oppure fornendo al cliente la soluzione realizzata e consegnata in base alle specifiche esigenze. Il tutto in maniera efficace e totalmente flessibile, garantendo la massima personalizzazione dei servizi.
I vantaggi dei servizi di sicurezza in cloud
Ma quali sono i principali vantaggi dei servizi di sicurezza gestiti ed erogati in cloud?
- Aggiornamenti e patching - Questi processi sono in genere secondari rispetto alle priorità operative e di business e devono entrare in una finestra di manutenzione specifica. Nel caso dei servizi cloud, i clienti non hanno bisogno di occuparsi della manutenzione di questi processi: sono i fornitori dei servizi ad occuparsi di tutto, condividendo con tutti i referenti dell'azienda dati e informazioni su ogni livello di servizio, presidiando aggiornamenti e patch in modalità continua.
- Ridimensionamento rapido - I servizi cloud consentono ai clienti di ottenere rapidamente una maggiore capacità di elaborazione ma anche modalità di presidio evolute. Dal punto L'utilizzo di SOAR (Security Orchestration Automation Response) e di altri strumenti di gestione unificati consente di automatizzare alcuni servizi (ad es. per i casi di tipo Denial-of-Service il phishing o lo IAM - Identity Access Management).
- Federazione delle identità (FDI) - La FDI, in una logica multicloud, consente agli utenti di accedere a dati e servizi utilizzando le stesse informazioni di accesso dei sistemi interni in modo sicuro e senza soluzione di continuità. Chi presidia l'attività amministrazione lato utenti evita inutili ridondanze, avendo sempre massima visibilità sulle dinamiche di accesso. Tramite l'uso di standard aperti, la FDI fa in modo che più parti possano conseguire un'interoperabilità cross-domain sicura.
- Posizione dei dati remotizzati - Quando si parla di multicloud, i dati vengono generalmente archiviati in più copie nei data center geograficamente remoti (la cui qualità è associata alla qualifica Tier). In caso di guasto di uno di essi (ad es. per una calamità naturale) e conseguente distruzione di tutti i dati ivi archiviati, si perderanno solo i dati in un centro; ciò significa che non si verificherà una perdita permanente dei dati, poiché esistono altre copie in diversi data center.
- Sicurezza su larga scala ed expertise - I prodotti cloud offerti dai cloud provider sono protetti in modo molto migliore rispetto alle risorse IT nelle organizzazioni tradizionali. Inoltre, i fornitori hanno SOC e NOC dove lavorano più esperti di sicurezza, che sono direttamente responsabili della sicurezza dei servizi. Inoltre, se ci si rivolge a un MSSP, le aziende devono sapere che questo tipo di fornitori può farsi carico e assolvere pienamente il ruolo del Data Protection Officer.
Un altro punto di forza di un MSSP è la SIG (Sicurezza Informatica Gestita), erogata secondo i più alti standard qualitativi e tecnologici offerti dal mercato. A fare la differenza è un approccio olistico alla sicurezza, ovvero integrato e capace di includere un'analisi preliminare rispetto a un programma completo di gestione del rischio. Gli MSSP hanno un SOC (Security Operation Center) e un NOC (Networking Operation Center) in cui lavorano decine di specialisti che controllano i flussi informativi di ogni servizio, decodificando ogni tipo di log, di alert e di segnale non solo per verificare la qualità dei processi ma anche per identificare le possibili curve di miglioramento che portano all'ulteriore ottimizzazione di funzioni e prestazioni. Le aziende hanno sempre contezza di ciò che succede: tramite un accesso web-based, un cruscotto centralizzato condivide aggiornamenti in tempo reale e una reportistica personalizzata sulle esigenze dell'organizzazione.
Come scegliere i fornitori
Consolidata la scelta di ricorrere a una soluzione cloud rispetto all'approccio on premise, un'azienda deve affrontare la fase di selezione del servizio/soluzione/fornitore che meglio garantisce la copertura delle proprie esigenze. Ecco i principali aspetti da valutare.
- Compliance: il primo punto sta nel sondare la capacità del provider di soddisfare i requisiti di conformità a leggi, regolamenti e standard di riferimento aziendali. Oltre alla conformità alle normative privacy (ad esempio, il GDPR), vanno capite l'ubicazione geografica dei data center e di conseguenza dei dati, eventuali coperture assicurative nel caso di data breach e la disponibilità a fornire evidenze di conformità a standard e regolamenti;
- Business Continuity: è fondamentale testare la capacità del provider di garantire la continuità dei servizi offerti e la disponibilità di procedure e dati. Vanno ispezionate tutte le soluzioni tecniche (facility, sistemi, reti, backup e via dicendo, arrivando alla disponibilità di siti di disaster recovery) atte a coprire scenari di crisi di diversa natura e portata (dal guasto limitato al disastro esteso) dovuti sia a eventi naturali che ad azioni deliberate o errori;
- Infrastructure Security: include le misure di sicurezza fisica e ambientale (dal controllo degli accessi fisici a impianti anti-incendio e allagamento), di sicurezza delle reti (segmentazione, sicurezza perimetrale, accessi remoti sicuri, IDS/IPS e così via) e delle architetture di virtualizzazione (ad esempio, multi tenancy per segregare i dati di clienti diversi);
- Identity & Access Management: fanno parte di questa categoria le misure per il controllo degli accessi logici a sistemi, apparati, servizi e applicazioni, sia da parte del personale del provider per finalità di gestione sia da parte degli utenti dei clienti per accedere a servizi e dati. Include soluzioni di user e password management, strong authentication, nonché la capacità di integrazione con i sistemi di user management dei clienti;
- Data Protection: consente di valutare la capacità del provider di proteggere i dati dei clienti da accessi e modifiche non autorizzati. Include la crittografia sia dei dati memorizzati "at rest" sia di quelli in transito (ad esempio a/da i sistemi dei clienti), le procedure di gestione delle chiavi crittografiche (key management), le soluzioni/procedure di backup e restore e la gestione/restituzione dei dati alla cessazione dei contratti;
- Host, Middleware & Application Security: comprende la valutazione delle misure per la sicurezza dei server fisici, quali antivirus, hardening e patching, del middleware (quali API security, database security) e delle applicazioni (adozione di best practice di sviluppo di codice sicuro, web application firewall, code inspecting e via dicendo);
- Operation & Monitoring: include l'assessment di procedure di patch management, interventi di vulnerability assessment, il tracciamento, il monitoraggio dei log, strumenti e procedure per la gestione e la notifica degli incidenti di sicurezza.