Mentre le aziende fanno a gara per adottare la tecnologia cloud, si trovano di fronte a una combinazione di nuove possibili minacce derivanti dall’implementazione rapida e spesso non organizzata di diverse tecnologie basate su cloud. Particolari preoccupazioni riguardano l’adozione delle cosiddette tecnologie cloud ibride, come ha sottolineato la scorsa settimana Sean Metcalf, fondatore della società di consulenza sulla sicurezza cloud Trimark Technologies, all’evento DEF CON.

Il cloud ibrido è una miscela di infrastruttura locale (on-premises) e infrastruttura ospitata nel cloud (infrastruttura come servizio o IaaS) e servizi (software come servizio o SaaS). I provider IaaS sono solitamente giganti come AWS di Amazon, Azure di Microsoft o Cloud Platform di Google. L’estensione dei data center locali nel cloud significa fondamentalmente che il cloud funziona efficacemente come host di virtualizzazione come VMware o Microsoft Hyper V.

A causa di questa virtualizzazione efficace, qualsiasi attacco associato a quegli elementi del data center cloud è simile a come attacchereste VMware e Hyper V “ma con il particolare non irrilevante che ci sono di mezzo Microsoft, Amazon o Google” ha detto Metcalf.

Ciascuno di questi giganti dell’hosting ha capacità e configurazioni diverse, il che rende la loro sicurezza ancora più complicata per le aziende. Queste complessità sono particolarmente vere per le organizzazioni più grandi, che spesso dispongono di istanze di macchine virtuali (VM) installate su più server cloud. L’uso di più fornitori di servizi cloud è comune per le organizzazioni perché “chiunque abbia una carta di credito può registrarsi per un abbonamento o un account cloud, il che significa che qualsiasi unità aziendale può impostare il proprio abbonamento o il proprio account”.

Le sfide crescono quando si prendono in considerazione gli altri elementi del cloud ibrido, ovvero le applicazioni SaaS come Salesforce, Workday o Office 365. Ciascuno di questi elementi SaaS ha i propri requisiti e utilizza i propri strumenti di sincronizzazione configurati nell’ambiente on-premises.

La corsa al cloud stressa la sicurezza e i team IT

Il ritmo con cui i responsabili delle decisioni aziendali spingono le proprie organizzazioni al cloud si aggiunge al carico dei team di sicurezza. “Molto spesso i team operativi e i team di sicurezza vengono trascinati in questo approccio”, afferma Metcalf. I leader aziendali dicono: “Qui è dove siamo diretti”. Quindi, i team operativi e i team di sicurezza sono quelli che vengono messi maggiormente sotto stress.

Un altro grande problema nell’ambiente cloud ibrido è la gestione dell’identità e degli accessi (IAM), che garantisce agli utenti l’accesso solo a quegli elementi di sistema a cui dovrebbero avere accesso, il che è una sfida cronica per tutte le organizzazioni anche nelle migliori circostanze.

I team tecnici hanno bisogno di supporto per comprendere il cloud ibrido

Oltre a tutte queste potenziali insidie per la sicurezza, c’è il fatto che poche persone capiscono davvero l’ambiente cloud. “Quando parliamo di cloud e passiamo al cloud, è prima di tutto una cosa molto complicata perché il cloud è nuovo per molte persone”, afferma Metcalf. “Cambia ogni settimana o ogni mese. Stare al passo con esso è un lavoro piuttosto impegnativo in sé e per sé, o almeno può esserlo.”

Questo è il motivo per cui Metcalf consiglia alle organizzazioni di garantire che il personale, il personale tecnico, operativo e di sicurezza riceva il supporto di cui ha bisogno per comprendere meglio l’ambiente cloud. Oltre a fornire questo supporto, “assicuratevi che tutti gli account amministratore dispongano di un’autenticazione a più fattori configurata tramite il provider di servizi cloud” o di qualsiasi sistema pertinente.

Metclaf indica dati raccolti nel 2019 che mostrano come meno dell’8% di tutti gli amministratori abbia utilizzato l’autenticazione a più fattori per l’accesso al cloud. “Se non è disponibile, richiedete con forza al fornitore di fornirla perché è un ottimo modo per mitigare la possibilità che un utente malintenzionato assuma il controllo di quell’account.”

Mantenere l’amministrazione del cloud lontana dalle workstation di produzione

Un altro consiglio fondamentale è garantire che le attività o le attività amministrative non vengano eseguite utilizzando una normale workstation dell’utente. Le tipiche workstation configurate nella maggior parte delle aziende non sono infatti sufficientemente protette da un utente malintenzionato in grado di comprometterle. “Dobbiamo assicurarci che quelle credenziali privilegiate siano ben protette e isolate dal normale modo in cui gli utenti svolgono attività sui loro sistemi”.

La gestione del cloud spesso coinvolge il browser web. “Sappiamo che il browser web non è l’applicazione più sicura sulla maggior parte dei sistemi”, afferma Metcalfe. “Ma spesso gli amministratori utilizzano questi portali web, il che significa che probabilmente apriranno solo Firefox o Chrome proprio accanto a Facebook, proprio accanto a Google. C’è un enorme rischio in tutto questo.”

Sebbene la maggior parte dei rischi nell’ambiente cloud ibrido derivi dalle complesse sfide tecniche che le organizzazioni devono affrontare, gli stessi fornitori di cloud non sono immuni dai rischi per la sicurezza. Mentre esaminava gli ambienti Active Directory gestiti per i tre grandi fornitori di cloud (Amazon, Microsoft e Google), Metcalf ha scoperto una vulnerabilità in uno di essi.

Infine, la velocità del cambiamento nell’ambiente cloud sostiene fortemente la costante diligenza per contrastare i malintenzionati. “Una delle cose interessanti del cloud dal punto di vista della sicurezza è che quando vengono aggiunte queste nuove funzionalità, spesso il cliente non lo sa, ma molto probabilmente gli aggressori saranno i primi a identificarlo e inizieranno a sfruttarlo. Ci sono sicuramente cose che forniscono funzionalità che gli aggressori amano e potrebbero essere molto utili per gli utenti o per l’organizzazione attraverso i loro flussi di lavoro IT. Inevitabilmente qualsiasi di quel potere può andare in entrambe le direzioni se non c’è un controllo o una gestione adeguati”, conclude Metcalf.