Azure, AWS, Google Cloud: le funzionalità di sicurezza a confronto

I tre big del Cloud offrono modelli di responsabilità condivisa per la sicurezza sulle loro piattaforme. Ecco le loro caratteristiche e cosa occorre sapere per proteggere le proprie risorse

sicurezza cloud responsabilità condivisa

La sicurezza nel cloud pubblico si basa sul concetto di responsabilità condivisa: i più grandi fornitori di servizi cloud offrono un ambiente sicuro e iperscalabile, ma spetta al cliente proteggere tutto ciò che mette nel cloud. Questa separazione dei compiti può essere complessa per le aziende quando si passa a un singolo cloud, ma lo è ancora di più in un ambiente multi-cloud.

La sfida per i CIO e i responsabili della sicurezza è determinare in cosa differiscono le offerte dei tre grandi fornitori di servizi cloud Amazon AWS,Google Cloud e Microsoft Azure. Quale piattaforma offre i migliori strumenti nativi per proteggere le risorse cloud aziendali? Come determinarlo?

Gli esperti concordano sul fatto che tutti gli hyperscaler fanno un ottimo lavoro proteggendo il cloud stesso. Dopotutto, fornire un ambiente sicuro è fondamentale per il loro modello di business. A differenza delle aziende con vincoli di budget, i fornitori di servizi cloud sembrano avere risorse illimitate. Hanno la competenza tecnica e, come sottolinea Doug Cahill, analista presso Enterprise Strategy Group (ESG), “grazie alla loro massiccia presenza in tutto il mondo, tutte le zone di disponibilità, i punti di presenza, vedono un incredibile volume di attività dannose ogni giorno, il che li mette in condizione di fortificare le proprie difese in base a quel livello di visibilità”.

ADV
Webinar IVA spese di viaggio

Resilienza del business: le priorità digitali delle medie imprese italiane nel 2021

Come si stanno muovendo i tuoi concorrenti per affrontare le sfide poste dai nuovi modelli organizzativi del lavoro? Questo white paper di IDC indica le priorità di spesa delle PMI su tre filoni: remote working, sicurezza e protezione dei dati. SCARICA IL WHITE PAPER >>

Sebbene i Big 3 tendano a mantenere segreti i loro processi e procedure interni, fanno tutti un ottimo lavoro proteggendo la sicurezza fisica dei loro data center, difendendosi dagli attacchi interni e proteggendo il livello di virtualizzazione su cui vengono eseguite applicazioni e piattaforme di sviluppo”, afferma Richard Mogull, analista e CEO di Securosis.

Ciascuno dei Big 3 sta offrendo più servizi tramite API e cercando di ridurre qualsiasi confusione o attrito associati al modello di responsabilità condivisa. La sfida per le aziende è come distribuire la sicurezza su larga scala su più cloud.

Tuttavia, ci sono differenze tra i Big 3”, secondo Mogull, “che grosso modo corrispondono alla loro quota di mercato relativa”. AWS è in prima posizione con una quota di mercato del 31%. Azure, che ha lavorato duramente per recuperare terreno, è in seconda posizione con il 20%. Google si colloca al terzo posto con il 7%, secondo un’analisi delle entrate dei servizi cloud del 2020 condotta dalla società di analisi Canalys.

Amazon Web Services (AWS)

AWS è il più consolidato e maturo tra i fornitori di servizi cloud. “Il più grande vantaggio di AWS è che, in qualità di fornitore leader, è in grado di offrire molti strumenti e competenze”, afferma Mogull. “La maturità e la portata complessiva della piattaforma AWS consentono ai clienti di ottenere più facilmente risposte, trovare aiuto e trovare strumenti supportati”.

Il modello di sicurezza condivisa di Amazon afferma che la società è responsabile della sicurezza dell’infrastruttura cloud sottostante, mentre l’abbonato è responsabile della protezione dei carichi di lavoro distribuiti nel cloud. In particolare, i clienti sono responsabili di:

  • protezione dei dati dei clienti
  • protezione di piattaforme, applicazioni e sistemi operativi
  • implementazione della gestione delle identità e degli accessi (IAM)
  • configurazione dei firewall
  • crittografia dei dati lato client, file system lato server e traffico di rete

AWS mette a disposizione dei clienti un’ampia gamma di servizi:

  • monitoraggio attività API
  • informazioni di base sulle minacce
  • firewall per applicazioni web (WAF)
  • protezione dal furto di dati
  • valutazione di vulnerabilità
  • trigger di eventi di sicurezza per l’automazione

Inoltre le configurazioni sicure vengono attivate per impostazione predefinita.

Due delle migliori funzionalità di sicurezza di AWS sono l’eccellente implementazione di gruppi di sicurezza (firewall) e l’IAM granulare”, aggiunge Mogull. Tuttavia, la sicurezza di AWS si basa sull’isolamento dei servizi l’uno dall’altro, a meno che l’accesso non sia esplicitamente abilitato. Questo funziona bene dal punto di vista della sicurezza, ma il compromesso è che rende la gestione su scala aziendale più difficile di quanto dovrebbe essere e rende più difficile gestire IAM su larga scala. “Nonostante queste limitazioni, AWS è di solito il miglior punto di partenza, dove si incontrano meno problemi di sicurezza”, afferma Mogull.

Microsoft Azure

Microsoft Azure si basa su un modello simile di responsabilità condivisa. Per esempio, in uno scenario Infrastructure-as-a-Service (IaaS), il cliente è responsabile di classificazione e affidabilità dei dati, protezione di client ed endpoint, gestione dell’identità e dell’accesso, controlli a livello di applicazione e di rete. Mogull afferma che Azure è meno maturo rispetto ad AWS, in particolare nelle aree di coerenza e documentazione, e per il fatto che molti servizi utilizzano per impostazione predefinita configurazioni meno sicure.

Azure ha alcuni vantaggi. Azure Active Directory può essere collegato all’Active Directory aziendale per fornire un’unica fonte attendibile per la gestione di autorizzazioni e permessi, il che significa che tutto può essere gestito da un’unica directory. Il compromesso è che la gestione è più semplice e coerente, ma gli ambienti sono meno isolati e meno protetti l’uno dall’altro rispetto ad AWS. Un altro compromesso: la gestione delle identità e degli accessi di Azure è molto gerarchica e più facile da gestire rispetto ad AWS, ma AWS può diventare più granulare, secondo Mogull.

Azure offre altre due funzionalità importanti per gli utenti aziendali: Activity logs copre l’attività della console e dell’API per l’intera organizzazione per impostazione predefinita tra le regioni. Inoltre, la console di gestione Azure Security Center copre l’intera azienda e può essere configurata in modo che i team locali possano gestire i propri avvisi.

Google Cloud

Google Cloud è costruito “sulla competenza ingegneristica a lungo termine e sulle operazioni globali di Google, che sono incredibilmente impressionanti”, afferma Mogull. Google offre solidi strumenti di sicurezza integrati, tra cui:

  • loss prevention dei dati in cloud
  • gestione delle chiavi
  • inventario delle risorse
  • crittografia
  • firewall
  • macchine virtuali schermate

Google Security Command Center offre visibilità e controllo centralizzati, consente ai clienti di individuare configurazioni errate e vulnerabilità, monitora la conformità e rileva le minacce. Grazie all’acquisizione di Stackdriver (ora ampliata e rinominata Google Cloud Operations), Google offre un monitoraggio e un’analisi dei log di prim’ordine. Offre anche controlli di accesso e di identità attraverso la sua piattaforma BeyondCorp Enterprise Zero Trust.

Tuttavia, la quota di mercato del 7% di Google è un problema perché “ci sono meno esperti di sicurezza con una profonda esperienza di Google Cloud, il che si traduce in una comunità meno solida e meno strumenti”, afferma Mogull. Aggiunge che Google Cloud offre una forte centralizzazione e impostazioni predefinite per proteggere le impostazioni, che sono considerazioni importanti. Nel complesso, Google Cloud “non è maturo come AWS” e non ha la stessa ampiezza di funzionalità di sicurezza.

Formazione interna e competenze sono le chiavi del successo

I provider hyperscale forniscono alle aziende best practice, linee guida, controlli nativi, strumenti, visibilità nei log di flusso e possono avvisare un’azienda del fatto che si è verificata un’errata configurazione, ma “il cliente ha la responsabilità di agire in base alle best practice, rispondere agli avvisi, utilizzare controlli appropriati per proteggere tutte le risorse portate in cloud”, afferma Cahill.

Ciò significa che ha responsabilità continue, tra cui “gestire attentamente i controlli di accesso, monitorare il proprio ambiente cloud per le minacce alla sicurezza, condurre regolarmente test di penetrazione e formare i propri dipendenti sulle migliori pratiche di sicurezza del cloud”, afferma Michelle Moore, direttrice del Master of Science in Cyber Security Operations dell’Università di San Diego.

Mogull concorda sull’importanza di sviluppare competenze interne per ogni cloud pubblico e indica tre errori critici che le aziende commettono quando implementano la sicurezza del cloud.

  1. Pensare che la sicurezza del cloud sia equivalente alla protezione del data center aziendale o del cloud privato.All’apparenza le cose sembrano familiari, ma in realtà ogni piattaforma è fondamentalmente diversa”. Le aziende devono acquisire una profonda conoscenza della piattaforma tecnologica per avere successo nel cloud. “Non c’è possibilità di successo se non si hanno le competenze”, afferma Mogull.
  2. Entrare in un mondo multicloud prima di essere pronti. Se un’azienda vuole passare a tre cloud, deve sviluppare le competenze interne in tutti e tre gli ambienti. Mogull consiglia di fare un passo alla volta e acquisire competenze in una piattaforma cloud prima di passare alla successiva.
  3. Non focalizzarsi sulla governance. La maggior parte delle violazioni relative al cloud comporta la perdita o il furto di credenziali, che in ultima analisi è un errore di governance.

Cahill è d’accordo. “Affidarsi a un cloud provider significa esternalizzare il proprio data center a una terza parte”, afferma. E aggiunge che gli errori più comuni commessi dalle aziende sono la configurazione errata dei servizi cloud, la configurazione errata degli archivi di oggetti (bucket S3 aperti) e l’abbandono di credenziali o chiavi API nei repository pubblici. Troppo spesso, le console cloud sono protette da password deboli piuttosto che dall’autenticazione a più fattori.

Per proteggere i dati aziendali nel cloud Cahill offre questi consigli:

  • acquisire padronanza del modello di responsabilità condivisa della sicurezza del cloud
  • concentrarsi sul rafforzamento delle configurazioni cloud
  • implementare l’accesso con privilegi minimi per le identità cloud umane e non umane
  • implementare l’automazione in modo che la sicurezza sia al passo con la velocità di DevOps
  • automatizzare l’integrazione della sicurezza in tutto il ciclo di vita dell’applicazione
  • assicurarsi che l’implementazione della sicurezza sia ripetibile tra i team: spesso le grandi aziende dispongono di più team di progetto che implementano i propri controlli di sicurezza
  • adottare un approccio top-down per ottenere la coerenza delle policy di sicurezza in tutti i team di progetto.

Se questo articolo ti è stato utile, e se vuoi mantenerti sempre aggiornato su cosa succede nell’industria ICT e ai suoi protagonisti, iscriviti alle nostre newsletter:

CWI: notizie e approfondimenti per chi acquista, gestisce e utilizza la tecnologia in azienda
CIO:
approfondimenti e tendenze per chi guida la strategia e il personale IT
Channelworld: notizie e numeri per distributori, rivenditori, system integrator, software house e service provider

Iscriviti ora!