La corsa verso l’adozione del cloud pubblico presenta nuovi rischi per la sicurezza. Il più grande è probabilmente l’errata configurazione del cloud.

L’aspetto più critico del cloud pubblico è forse il più ovvio: il fatto che sia “pubblico”. Se un’organizzazione commette un errore durante la migrazione o durante la creazione del cloud, i dati potrebbero diventare immediatamente di dominio pubblico e costare molto caro.

Ma quali sono gli elementi più critici e quelli più comunemente mal configurati del cloud pubblico? Chi è responsabile della configurazione e della protezione del cloud pubblico, l’organizzazione o il provider cloud? Quali strumenti e/o misure di sicurezza dovrebbero essere poste in atto per evitare questo tipo di rischio nel cloud?

adv
Cloud Communication Business

Nell’era digitale il centralino va in Cloud

La telefonia di nuova generazione è in software-as-a-service: non richiede di installare centralini hardware, gestisce fisso e mobile, e consente di attivare nuove linee o filiali con un clic, abilitando Smart Working e Unified Communication. SCOPRI DI PIÙ >>

Occorre partire dalla comprensione del cloud e dei processi seguiti dagli sviluppatori. I team di sviluppo devono affrontare una forte pressione aziendale per effettuare rilasci velocemente. E spesso si parte dal presupposto che la sicurezza rallenterà il rilascio. Ma la vera sfida è che siamo in un mondo software-defined, in cui una semplice riga di codice può rappresentare il punto di svolta per gli hacker per ottenere l’accesso al più prezioso degli asset – i dati. Se a ciò aggiungiamo che i team di sviluppo riutilizzeranno, replicheranno e automatizzeranno il codice, se passa una configurazione errata il rischio è che venga replicata su altri sistemi, amplificando la superficie di attacco e il potenziale per una violazione.

Malintesi e confusione sulle responsabilità

Ecco che in questo scenario emerge la questione della responsabilità. Chi è responsabile della configurazione e della protezione del cloud pubblico, l’organizzazione o il provider cloud? I fornitori di cloud sono molto chiari a riguardo – si tratta di un modello di responsabilità condivisa.

Tuttavia rimangono molti malintesi e confusione su cosa significhi tutto questo, dove si trova effettivamente il confine di responsabilità e “chi” è responsabile di “cosa”. I team interni rischiano di esacerbare ulteriormente questo malinteso legato alle responsabilità a causa della mancanza di competenze in materia di sicurezza da parte di alcuni team di sviluppo e della mancanza di esperienza nel cloud da parte di alcuni team di sicurezza. Ciò può comportare che il team di sviluppo non capisca i rischi e il team di sicurezza non comprenda come difendere efficacemente un ambiente software-defined agile. Questi silos di conoscenze e competenze stanno creando sfiducia e riluttanza per una vera collaborazione tra i team di sicurezza e sviluppo.

Specialisti di cybersecurity nel team DevOps

Una soluzione per ricucire queste rotture nelle organizzazioni è quella di creare un ruolo specialistico di cybersecurity all’interno di ogni team DevOps, passando così a team “DevSecOps“. Lo specialista della sicurezza DevOps può guidare gli sviluppatori di applicazioni verso un modello di responsabilità condivisa, aiutandoli a rispettare sia i requisiti di sviluppo che di sicurezza. Può anche fornire strategie per semplificare e automatizzare la sicurezza per questi team agili che lavorano su ambienti cloud diversi.

Ad esempio, un approccio basato su tag può astrarre la sicurezza, abilitando policy di sicurezza coerenti ma su misura per ogni ambiente cloud, preservando al contempo la missione DevOps di raggiungere prestazioni e velocità. È un bel cambiamento di cultura e richiede un approccio collaborativo, ma il risultato sono team che sfruttano l’esperienza di ogni individuo per raggiungere un obiettivo condiviso, abbattendo così i silos.

Security by design come standard

Anche la sicurezza stessa deve evolversi e abbracciare la collaborazione per far fronte a questa nuova dinamica. Le soluzioni di cybersecurity software-defined progettate per il funzionamento nativo del cloud devono sfruttare il cloud e i servizi a disposizione per il deploy, la protezione e la scalabilità automatizzati sulla base dei carichi di lavoro dinamici che stanno difendendo. Possono identificare in modo proattivo e correggere automaticamente i rischi in modo che un errore venga risolto automaticamente, anziché compromettere l’intero ambiente.

E incorporando tecnologie avanzate come machine learning (ML) e intelligenza artificiale (AI) la sicurezza è più intelligente e più facile per i team delle operation già stressati al limite. Ad esempio, man mano che le app cambiano, il ML consente alle soluzioni di sicurezza di apprendere automaticamente il nuovo comportamento, in modo che le nuove funzionalità non vengano bloccate e il ciclo di deployment proceda senza intoppi, senza richiedere un intervento manuale.

L’intelligenza artificiale consente di rilevare automaticamente l’attività e il comportamento anomali in tutta la gamma di diversi ambienti cloud che un’organizzazione può avere, e quindi di essere riparato istantaneamente. Questo è particolarmente importante nel cloud pubblico in cui le configurazioni errate possono avere enormi conseguenze e in modo estremamente veloce.

La verità è che siamo passati dallo sviluppo tradizionale a team DevOps agile in uno qualsiasi dei vari ambienti cloud. Gli strumenti di sicurezza sono spesso considerati ingombranti e old-school ma la realtà è che, allineando team, strumenti e processi, la progettazione della sicurezza può essere una parte agile, automatizzata e integrante del ciclo di vita dello sviluppo, consentendo alle organizzazioni di innovare alla velocità che desiderano e accelerare la loro strada verso un futuro digitale.

Exclusive Networks e Fortinet, una partnership consolidata per la cybersecurity

Per vincere le nuove sfide alla sicurezza servono tecnologie e competenze. Fortinet ed Exclusive Networks sono alleate da anni per sbarrare le porte ai criminali informatici.

Fortinet logoFortinet con la sua Fortinet Security Fabric offre soluzioni integrate e automatizzate che consentono un accesso alla rete zero-trust, sicurezza dinamica del cloud e sicurezza basata su intelligenza artificiale (IA).

Exclusive networks logo Exclusive Networks grazie al suo PowerLab consente di vedere e toccare con mano queste soluzioni in azione ed è al fianco dei propri partner per individuare, caso per caso, le tecnologie più efficaci, ma anche per offrire formazione, consulenza e la propria esperienza di polo di eccellenza della distribuzione specialistica a valore aggiunto.

Se questo articolo ti è stato utile, e se vuoi mantenerti sempre aggiornato su cosa succede nell’industria ICT e ai suoi protagonisti, iscriviti alle nostre newsletter:

CWI: notizie e approfondimenti per chi acquista, gestisce e utilizza la tecnologia in azienda
CIO:
approfondimenti e tendenze per chi guida la strategia e il personale IT
Channelworld: notizie e numeri per distributori, rivenditori, system integrator, software house e service provider

Iscriviti ora!