Sysdig
Learn Cloud Native

Sign up to receive our newsletter

Cos’è la Cloud Security Posture Management (CSPM)?

La sicurezza del cloud dipende in parte dalla capacità dei tecnici di rispondere alle minacce quando si presentano. Ma come ha affermato una volta un antico americano, un grammo di prevenzione è sempre meglio di un chilo di cure. Idealmente, in molti casi è possibile impedire che alcuni rischi per la sicurezza si materializzino gestendo il profilo di sicurezza del cloud. 

Ecco perché la Cloud Security Posture Management, o CSPM, deve diventare una componente della strategia di sicurezza del cloud. Questo articolo spiega cos’è la CSPM, perché è importante e come si applica agli ambienti cloud.

Cos’è la CSPM?

La Cloud Security Posture Management (CSPM) consiste nell’utilizzo di strumenti automatici che aiutano le aziende a raggiungere il profilo di sicurezza più sicuro possibile e a difendersi dalle minacce che potrebbero avere gravi conseguenze sugli ambienti cloud. Aggiungendo velocità ed efficienza alla gestione della sicurezza del cloud e consentendo una strategia flessibile in grado di adattarsi a tutti i workload, la CSPM è una pietra miliare delle strategie di sicurezza del cloud.

La CSPM può aiutare a gestire virtualmente qualunque tipo di minaccia. Per esempio, può aiutare le aziende a rilevare le configurazioni non sicure, come una policy IAM che garantisce accesso pubblico a dati sensibili. Oppure, può aiutare a individuare le configurazioni di rete che non isolano adeguatamente i workload nel cloud.

La metafora della “gestione del profilo”

All’inizio, il concetto di “gestione del profilo di sicurezza” potrebbe sembrare un arcano. Dopotutto, ci si potrebbe aspettare che gestire un profilo spetti a un medico, non a un team che si occupa di sicurezza informatica.

Ma, in effetti, l’idea alla base della CSPM è che, se si stabilisce un “profilo” solido nell’ambiente cloud creando configurazioni sicure per definizione, gli hacker incontreranno più difficoltà a scardinare le difese e a violare l’ambiente.

In questo senso, la CSPM equivale a difendersi in uno sport come il wrestling o le arti marziali: creando una base solida per tutte le altre operazioni. Esattamente come non si fa molta strada nel Taekwondo se ci si posiziona in modo tale da facilitare all’avversario la possibilità di atterrarci, non si eccellerà nella protezione del cloud se mancano configurazioni sicure in tutto l’ambiente.

Perché la Cloud Security Posture Management è importante?

Come parte di una più ampia strategia di sicurezza del cloud, la CSPM offre diversi vantaggi.

Automazione ed efficienza della sicurezza

Innanzi tutto, la CSPM aiuta ad automatizzare i workflow di sicurezza. Invece che valutare le configurazioni cloud, indagare e correggere ogni situazione rischiosa a mano, i team possono utilizzare gli strumenti CSPM per scansionare tutte le configurazioni cloud automaticamente e in modo continuo. In questo modo, posso rilevare i rischi non appena si presentano, in pochissimo tempo e con pochissimo impegno da parte degli operatori umani.

In alcuni casi, gli strumenti CSPM possono addirittura automatizzare le correzioni, ad esempio aggiornando una regola corrotta per il controllo degli accessi o disattivando un account utente obsoleto.

Visibilità centralizzata sulla sicurezza

Dal momento che gli strumenti CSPM possono scansionare le configurazioni alla ricerca di qualunque tipo di workload cloud e perfino operare su più cloud, consentono di centralizzare la visibilità sulla sicurezza. Con una piattaforma CSPM, è possibile individuare, valutare e gestire i rischi in tutte le risorse cloud da un unico luogo. È questo è decisamente meglio che dover valutare ogni cloud o ogni risorsa disponibile separatamente.

Assegnazione di priorità ai rischi

Gli strumenti CSPM avanzati non solo consentono di individuare i rischi per la sicurezza, ma li categorizzano in base alla loro gravità.

Per esempio, una piattaforma CSPM potrebbe categorizzare un bucket S3 pubblicamente accessibile da Internet come una priorità molto elevata, poiché potrebbe causare una grave fuga di dati. Al contempo, un bucket S3 accessibile da molti utenti ma non esposto ad accesso pubblico da Internet sarebbe categorizzato come una priorità inferiore. Si tratta infatti di un rischio che il team dovrebbe comunque analizzare, poiché potrebbe rivelarsi una situazione nella quale non vengono applicati i privilegi minimi, ma non pone un rischio così grave in grado di esporre i dati alla mercè di chiunque su Internet.

Assegnare le priorità ai rischi è importante perché aiuta i team a gestire elevati volumi di avvisi di sicurezza consentendo loro di utilizzare il proprio tempo in modo più efficiente rimediando le situazioni più gravi.

Le quattro fasi del processo CSPM

Le specifiche della gestione del profilo di sicurezza del cloud variano in base agli strumenti CSPM utilizzati e alla piattaforma cloud alla quale si applicano. In generale, tuttavia, il processo comprende quattro fasi principali.

Definizione dei requisiti CSPM

Innanzitutto, i team definiscono i rischi per la sicurezza che vogliono individuare e gestire. Molte piattaforme CSPM offrono diverse regole preconfigurate per il rilevamento degli errori di configurazione più comuni, ma è possibile aggiungere definizioni personalizzate in base ai workload e/o alle regole di sicurezza necessarie a scopo di conformità.

Scansione continua degli ambienti cloud

In base alle regole definite dagli amministratori, gli strumenti CSPM scansionano continuamente gli ambienti cloud e analizzano le configurazioni per rilevare rischi per la sicurezza. Ogni volta in cui viene introdotto un nuovo file di configurazione o viene modificato un file esistente, viene effettuata una scansione per rilevare eventuali rischi.

Valutazione della gravità del rischio

Quando viene rilevato un rischio, gli strumenti CSPM possono valutarne la gravità e assegnare un livello di priorità, per aiutare i team a comprendere quali rischi devono essere affrontati per primi.

Correzione dei rischi

La fase finale del processo CSPM consiste nella correzione dei rischi aggiornando la configurazione che li genera. In generale, gli ingegneri informatici o gli amministratori gestiscono questo compito, ma gli strumenti CSPM potrebbero essere in grado di correggere alcuni problemi automaticamente.

Cosa fa e cosa non fa un sistema CSPM

Sebbene la CSPM sia un elemento fondamentale della sicurezza del cloud, è importante riconoscere che non affronta tutti i tipi di minacce alla sicurezza del cloud.

Lo scopo principale della CSPM è individuare i rischi per la sicurezza contenuti nelle configurazioni che definiscono i workload nel cloud. In altre parole, la CSPM può aiutare le aziende a individuare configurazioni non intenzionali che potrebbero facilitare una violazione degli ambienti o l’accesso a dati sensibili.

Ma il sistema CSPM non è appositamente pensato per rilevare attacchi attivi in corso. La CSPM non è una soluzione per l’analisi dei registri cloud, degli audit trail o di altre sorgenti di dati allo scopo di individuare una violazione in corso. Con questo fine sarebbe necessario utilizzare strumenti quali Securing Information and Event Management (SIEM) o una piattaforma di Security Automation, Orchestration and Response (SOAR).

La CSPM, inoltre, non si occupa di rischi per la sicurezza a livello di applicazione. Ad esempio, non scansiona il codice sorgente né le immagini dei container per rilevare eventuali vulnerabilità. E qui, entrano in gioco strumenti per l’analisi del codice sorgente, scanner di immagini e altri strumenti simili.

CSPM e responsabilità condivisa

Per sviluppare una strategia CSPM efficace, è necessario comprendere il concetto di responsabilità condivisa nel cloud.

La responsabilità condivisa si riferisce al modo in cui i provider di cloud pubblico condividono la responsabilità di proteggere gli ambienti cloud con i propri clienti. I provider di cloud gestiscono le proprie responsabilità proteggendo l’accesso fisico alle infrastrutture cloud e i server bare metal che ospitano i workload sul cloud.

Tuttavia, i provider lasciano ai clienti la responsabilità di garantire che i workload che utilizzano nel cloud siano adeguatamente protetti. I cloud pubblici offrono strumenti utili in questo processo, ad esempio gli strumenti IAM e le configurazioni di reti virtuali. Ma spetta ai clienti utilizzarli in modo adeguato per proteggere i propri ambienti cloud.

In questo, la CSPM svolge un ruolo fondamentale. Scansionando automaticamente le configurazioni alla ricerca di eventuali rischi per la sicurezza, gli strumenti CSPM aiutano a garantire che le impostazioni utilizzate dagli utenti finali del cloud siano in linea con le migliori prassi e le regole di conformità.

CSPM come prerequisito per un cloud protetto

In breve, non si può sperare di creare un ambiente cloud sicuro di qualunque dimensione senza utilizzare uno strumento CSPM. Sebbene potrebbe essere possibile controllare manualmente le configurazioni di ambienti cloud molto piccoli, è necessario automatizzare il processo CSPM per garantire la sicurezza di base di ambienti cloud grandi e complessi contro qualunque tipo di minaccia.