Sysdig
Learn Cloud Native

Sign up to receive our newsletter

Conformità e governance del cloud

Una cosa è creare un ambiente cloud sicuro, ben altra cosa è garantire la conformità e la governance del cloud.

Raggiungere la conformità del cloud spesso non significa solo applicare protezioni di base per la sicurezza. Bisogna anche dimostrare che il cloud sia conforme a tutte le normative di governance, interne o esterne, vigenti in un settore.

Continua a leggere per scoprire il significato della conformità del cloud, il suo funzionamento e come sia possibile ottenerla sui tre cloud principali: AWS, Azure e GCP.

Cos’è la conformità del cloud?

La conformità del cloud è l’insieme delle procedure e delle prassi che garantiscono il rispetto delle normative in materia di governance in un ambiente cloud. In altre parole, quando si costruisce un ambiente cloud conforme, questo rispetta uno o più set specifici di standard relativi alla sicurezza e alla privacy.

Questi standard possono essere stabiliti da un ente governativo, come nel caso di quadri normativi quali il regolamento generale sulla protezione dei dati (GDPR) dell’Unione europea o il California Privacy Rights Act (CPRA). Potrebbe inoltre trattarsi di uno standard di settore, quale il Payment Card Industry Data Security Standard (PCI DSS). Oppure, potrebbe trattarsi di normative interne di governance che un’azienda stabilisce autonomamente.

Le condizioni che influenzano una determinata azienda dipendono da fattori quali la giurisdizione in cui l’azienda opera, il settore di riferimento e il numero di utenti. Ad esempio, il GDPR si applica a molte delle aziende che trattano dati di proprietà di o associati a residenti nei paesi dell’Unione, indipendentemente dal settore in cui opera l’azienda o dal fatto che essa abbia effettivamente una presenza fisica nell’Ue. Al contrario, lo standard PCI DSS riguarda solo le società che elaborano pagamenti.

Ciascun quadro normativo contiene regole uniche. In generale, tuttavia, i requisiti comprendono obblighi quali garantire un livello di “sicurezza ragionevole” dei workload, crittografare i dati sensibili e dimostrare che l’azienda svolge controlli regolari allo scopo di individuare e correggere eventuali problemi di sicurezza.

Conformità del cloud e modello di responsabilità condivisa

La conformità e la governance sono leggermente più complicate nel cloud rispetto a quanto non lo siano in un luogo fisico, poiché i provider di cloud pubblici operano sulla base di un modello di responsabilità condivisa. In base a questo modello, i provider di soluzioni cloud sono responsabili della gestione di alcuni aspetti legati alla sicurezza, ad esempio di rendere sicuri i server fisici che ospitano le istanze di VM e i bucket di archiviazione. Solitamente svolgono anche controlli regolari sui propri sistemi, come richiesto da diversi standard di conformità nazionali e di settore.

Tuttavia, la responsabilità di garantire la sicurezza di quasi tutti gli aspetti delle risorse utilizzate dagli utenti finali spetta, appunto, a questi ultimi. I provider di servizi cloud si aspettano che i propri utenti si accertino del fatto che, ad esempio, i dati che caricano su un bucket di archiviazione siano protetti tramite controllo degli accessi, come stabilito nei regolamenti sulla conformità, o che rendano sicuro il sistema operativo utilizzato su un’istanza di una VM sul cloud.

Per la conformità del cloud ciò significa che i provider di servizi cloud devono rispettare alcuni dei requisiti stabiliti dalle normative di riferimento di un’azienda, ma non tutti. Per maggiori informazioni su quello che un host cloud fa e non fa esattamente rispetto alla conformità, bisogna fare riferimento alla relativa documentazione. AWS, ad esempio, descrive nel dettaglio le sue politiche sulla conformità qui, mentre Azure le presenta qui. 

Come funziona la conformità del cloud

Sebbene le specifiche di conformità del cloud dipendono dai tipi di workload che vengono ospitati nel cloud e alle regole di conformità che valgono per l’azienda, la maggior parte dei workflow di conformità può essere suddivisa in alcune fasi di base.

  1. Valutazione dei requisiti di conformità

La prima fase consiste nel determinare quali sono effettivamente i requisiti di conformità dei workload sul cloud. Molti quadri normativi descrivono le regole di conformità in termini piuttosto generici. Il GDPR richiede un livello di “sicurezza ragionevole” per proteggere i dati sensibili, ma non specifica gli strumenti esatti o le impostazioni di cui le aziende hanno bisogno per implementare o raggiungere questa sicurezza ragionevole.

Ciò significa che tocca alle aziende valutare i requisiti di conformità e determinare in che modo questi si traducano in strumenti e processi specifici.

  1. Definire le regole di conformità

Dopo aver determinato in che modo un’azienda implementerà gli strumenti e le prassi necessari a rispettare i requisiti di conformità del cloud, è necessario definire regole specifiche che aiutino a tracciare l’applicazione di tali requisiti.

Per esempio, una regola di conformità potrebbe affermare che i dati degli utenti non devono mai essere archiviati in un ambiente cloud se non crittografati. Oppure, si potrebbe stabilire una regola che afferma che l’accesso SSH è disattivato in modo predefinito per VM sul cloud.

  1. Effettuare controlli di conformità

Dopo aver definito le regole di conformità, è necessario effettuare controlli per verificare che esse vengano effettivamente rispettate.

Di certo, è possibile svolgere questo compito manualmente, valutando le configurazioni dei workload cloud e determinando se sono in linea con le regole stabilite.

Tuttavia, è molto più efficiente automatizzare questa operazione mediante strumenti di controllo che scansionano automaticamente i file di configurazione cloud, i registri e altre fonti di dati al fine di rilevare violazioni della conformità in base alle regole stabilite.

Conformità e governance, cloud per cloud

Sebbene il processo per ottemperare ai requisiti di conformità e governance sia più o meno lo stesso per qualunque tipo di ambiente cloud, è utile conoscere quali sono gli strumenti offerti da ognuno dei principali provider di servizi cloud per raggiungere i requisiti di conformità.

Conformità in AWS

In AWS, il principale strumento a supporto della conformità è Audit Manager. Audit Manager è un servizio opzionale che i clienti di AWS possono utilizzare per raccogliere informazioni dall’ambiente in cui operano e valutare automaticamente se le configurazioni dei workload si allineano ai requisiti specifici di conformità.

Audit Manager offre regole preconfigurate per il controllo della conformità con le principali normative, come il GDPR e il PCI DSS, ma è necessario creare regole personalizzate per consentire di verificare l’applicazione di normative meno comuni o programmi di conformità interni.

Più in generale, i registri di AWS CloudTrail aiutano a monitorare l’ambiente. Ma poiché CloudTrail non è appositamente pensato come soluzione per la conformità né come strumento avanzato per il monitoraggio della sicurezza, i registri di CloudTrail devono essere integrati in uno strumento di controllo esterno per ottenere il massimo dai dati.

Conformità in Azure

Al contrario di AWS, Azure non dispone di uno strumento di controllo centralizzato, ma offre una sofisticata architettura di registrazione. Configurando e analizzando correttamente i registri Azure, è possibile verificare la conformità in tutto l’ambiente Azure.

Anche in questo caso, sarà necessario utilizzare uno strumento di controllo esterno per sfruttare al meglio i registri di Azure per scopi di conformità. I servizi di monitoraggio nativi di Azure, come Azure Monitor, sono pensati per aiutare a gestire le prestazioni e la disponibilità delle applicazioni, non per valutare la conformità o effettuare un controllo automatico.

Conformità in Google Cloud

Google Cloud prevede un servizio di registrazione di controllo che le aziende possono utilizzare per generare audit trail. I registri di controllo raccolgono informazioni sulle azioni svolte nell’ambiente cloud, quando sono state svolte e da chi.

Il principale limite dei registri di controllo in Google Cloud è che non consentono di controllare le configurazioni dei workload in uso, ma consentono solo di tracciare le attività. Pertanto, sarà necessario utilizzare strumenti esterni se si desidera garantire che le regole IAM, le configurazioni di rete e altre parti dell’ambiente siano allineate ai requisiti di conformità.

La conformità e la governance del cloud possono variare largamente da un’azienda all’altra e da un cloud all’altro, in base al quadro normativo di riferimento e ai tipi di workload utilizzati dall’azienda. Tuttavia, tutte le strategie di conformità del cloud dovrebbero essere orientate alla scansione continua e automatica sia dei file di configurazione che dei registri, al fine di rilevare violazioni rispetto a qualunque normativa l’azienda debba rispettare. Rilevando velocemente i problemi, le aziende possono correggerli prima che portino a sanzioni e/o violazioni della sicurezza.