Sysdig
Learn Cloud Native

Sign up to receive our newsletter

Monitoraggio e gestione della sicurezza del cloud: una breve panoramica

Non è necessario essere i massimi esperti di sicurezza informatica per capire che è fondamentale monitorare e gestire la sicurezza del cloud. In un’era di infinite violazioni della sicurezza del cloud, anche le aziende IT più intoccabili riconoscono il ruolo cruciale del monitoraggio e della gestione della sicurezza negli ambienti cloud da cui esse stesse dipendono.

Ciononostante, risulta spesso molto difficile per i team comprendere esattamente cosa comportino il monitoraggio e la gestione della sicurezza del cloud. Monitorare la sicurezza del cloud non significa semplicemente attivare un servizio e dichiarare vittoria nella lotta per la sicurezza. E la gestione della sicurezza del cloud non è un obiettivo che si raggiunge utilizzando uno strumento o contattando un particolare tipo di esperto.

Al contrario, il monitoraggio e la gestione della sicurezza del cloud sono questioni complesse che assumono forme diverse in aziende diverse. Devono essere personalizzati per l’architettura cloud e i workload specifici.

Forse il modo più efficiente per approcciare il monitoraggio e la gestione della sicurezza del cloud è suddividere i processi in base ai diversi tipi di workload e processi che li compongono. Questo articolo lo fa passando in rassegna i concetti chiave e le principali risorse alla base della sicurezza nativa del cloud e spiegando quali sono le migliori prassi da seguire quando si lavora con ciascuna di esse.

Gestione IAM

Molti ambienti cloud utilizzano strumenti di gestione delle identità e degli accessi (o IAM) per gestire il controllo e le autorizzazioni degli accessi per i workload sul cloud. Creando regole e policy IAM, le aziende possono definire quali soggetti possono fare cosa all’interno degli ambienti cloud. In altre parole, la gestione IAM stabilisce chi può creare una macchina virtuale, chi può accedere ai dati presenti su un bucket di archiviazione, eccetera.

Dato il ruolo centrale che l’IAM svolge nel controllo degli accessi al cloud, analizzare le configurazioni IAM alla ricerca di eventuali vulnerabilità è un passaggio chiave nel monitoraggio e nella gestione generali del cloud. Un team potrebbe infatti creare accidentalmente una policy IAM che rende un bucket di archiviazione accessibile a utenti anonimi, oppure che conferisce a qualcuno la possibilità di creare nuove macchine virtuali quando invece dovrebbe solo poter visualizzare le VM già esistenti.

Utilizzando strumenti di gestione del profilo di sicurezza sul cloud (o CSPM), le aziende possono scansionare automaticamente le configurazioni IAM alla ricerca di vulnerabilità come quelle descritte, quindi avvisare gli amministratori della presenza di impostazioni non sicure per consentire loro di risolverle prima che causino una violazione.

Configurazioni di rete

Gli ambienti cloud si poggiano tipicamente su configurazioni di rete complesse che definiscono quali workload possono comunicare con quali altri workload. Le impostazioni di rete definiscono anche quali risorse cloud sono accessibili da Internet e quali possono essere visualizzate solo da utenti autenticati che accedono all’ambiente cloud.

Come accade per le policy IAM, quando si configurano le reti cloud è facile commettere errori che potrebbero causare o aggravare un incidente di sicurezza. Si potrebbe, ad esempio, autorizzare una connessione tra cloud privati virtuali (o VPC) che consenta la comunicazione tra applicazioni che dovrebbero invece restare isolate, oppure si potrebbe configurare una VM basata sul cloud in maniera tale che esegua un servizio utilizzando una porta predefinita, il che facilita agli hacker il compito di trovare e sfruttare vulnerabilità collegate al servizio.

Una scansione continua e automatica delle configurazioni di rete aiuta a individuare e a correggere tali rischi e impedisce le violazioni prima che accadano.

Monitoraggio del traffico sulla rete

Oltre a scansionare le configurazioni di rete, si dovrebbe scansionare anche il traffico sulla rete al fine di rilevare segnali di attività dannose. I registri di rete possono infatti rivelare azioni dannose quali scansioni delle porte. Potrebbero, inoltre, fare luce su comunicazioni tra workload che dovrebbero essere isolati, ma che possono invece comunicare a causa di un errore di configurazione.

Registri di controllo del cloud

La maggior parte dei provider di servizi cloud offre soluzioni per la creazione di registri di controllo. I registri di controllo registrano in modo sistematico i cambiamenti che si verificano in un ambiente cloud quali la creazione di nuove risorse o le modifiche alla configurazione. Tengono anche traccia di chi o cosa ha apportato le modifiche.

Monitorando questi dati è possibile rilevare modelli che potrebbero indicare una violazione o un tentativo di violazione, ad esempio la creazione di workload non autorizzati o la modifica delle policy IAM.

Poiché i servizi nativi per la creazione di registri di controllo offerti dai provider solitamente funzionano solo all’interno dei loro stessi cloud e solo con account per utenti singoli, è necessario centralizzare e consolidare i registri di controllo di tutti i diversi ambienti e account cloud al fine di monitorare i dati nel modo più efficiente possibile.

Monitoraggio delle prestazioni cloud

Oltre ai registri di controllo, i provider di servizi cloud consentono agli utenti di registrare e monitorare diverse altre metriche dai workload. Le metriche esatte variano in base al tipo di cloud, ma offrono tutte visibilità sullo stato del servizio.

Sebbene lo scopo principale di questi dati sia aiutare i team a gestire le prestazioni del cloud, svolgono anche un ruolo fondamentale nella gestione della sicurezza del cloud, poiché forniscono un’altra opportunità per rilevare anomalie che potrebbero rappresentare problemi di sicurezza. Per esempio, un’improvvisa impennata nel consumo di risorse da parte di un’applicazione (o dell’infrastruttura cloud che ospita quell’applicazione) impossibile da spiegare con un aumento di domanda legittima potrebbe essere un segnale di un attacco DDoS o malware che svolge attività altamente impegnative in termini di risorse, come il mining di criptovalute.

Il punto è che, mentre in molti casi i dati vengono già utilizzati per il monitoraggio delle prestazioni del cloud per garantire l’efficienza e l’affidabilità dei workload, essi dovrebbero anche essere incorporati nel monitoraggio e nella gestione della sicurezza del cloud.

Sicurezza dei container nel cloud

Sebbene ogni tipo di servizio cloud sia caratterizzato dalle proprie sfide per la sicurezza, forse nessuna categoria di workload cloud è complessa tanto quanto i container. I container rappresentano in se stessi un ecosistema che richiede ai team di affrontare una vasta gamma di rischi diversi per la sicurezza dei container. Bisogna analizzare le immagini dei container alla ricerca di malware e vulnerabilità. E’ necessario rendere sicuro il sistema di orchestrazione dei container utilizzando configurazioni sicure. Bisogna monitorare l’ambiente di runtime del container alla ricerca di segnali di violazioni in corso.

Le specifiche della sicurezza dei container variano in base al tipo di servizio per container cloud in uso. Garantire la sicurezza di Kubernetes è, ad esempio, diverso da garantire la sicurezza di un servizio quale AWS ECS. Tuttavia, indipendentemente dalla configurazione con cui si lavora, la chiave è trattare la sicurezza dei container come una vera e propria sfida e utilizzare strumenti pensati appositamente per riconoscere e correggere le minacce alla sicurezza dei container.

Monitoraggio dell’archiviazione cloud

Le minacce alla sicurezza di dati archiviati sul cloud (database, bucket di archiviazione, dispositivi di archiviazione o altro) possono essere affrontate utilizzando molte delle prassi di sicurezza già descritte, ad esempio la scansione IAM e i registri di controllo.

Tuttavia, esiste un altro problema di sicurezza che deve essere gestito quando si lavora con le archiviazioni cloud, ovvero la potenziale presenza di dati sensibili in luoghi dove non dovrebbero esistere. Ad esempio, le informazioni di identificazione personale (o PII) archiviate sul cloud potrebbero essere soggette ad alcuni obblighi di sicurezza imposti da normative quali il GDPR o il CPRA. Sebbene tali obblighi non impediscano di archiviare dati sensibili sul cloud, richiedono di applicare alcune misure di protezione della privacy e della sicurezza.

A questo scopo, è importante “conoscere i dati” valutando l’effettivo contenuto delle informazioni archiviate sul cloud. I provider di servizi cloud offrono alcune opzioni (come AWS Macie) che aiutano a individuare i dati sensibili presenti negli archivi cloud, ma è possibile ottenere una visibilità ancora maggiore utilizzando strumenti terzi in grado di scansionare gli archivi presenti su più cloud.

Sicurezza multicloud e del cloud ibrido

A questo proposito, è importante riconoscere che oggi la stragrande maggioranza delle aziende utilizza più cloud allo stesso tempo e/o ricorre ad architetture ibride che combinano risorse di cloud pubblico e risorse on-premise o ospitate su centri dati privati.

Tali configurazioni richiedono una strategia di monitoraggio e gestione della sicurezza del cloud in grado di funzionare efficacemente in tutti i tipi di ambiente. In generale, ciò significa sfruttare gli strumenti che non dipendono da un cloud specifico. Gli strumenti di monitoraggio e gestione della sicurezza dovrebbero, inoltre, essere in grado di integrare e analizzare dati strutturati in molti modi, poiché cloud diversi potrebbero produrre tipi di file e metriche diversi.

Crea la tua strategia unica di monitoraggio del cloud

Ogni strategia di monitoraggio e gestione della sicurezza del cloud è unica nel suo genere, poiché deve essere realizzata appositamente per i workload e le configurazioni specifici che deve proteggere. Ma tutte le operazioni di sicurezza cloud nativa si basano su alcune sorgenti di dati e prassi di analisi comuni per prevenire, individuare e rispondere alle minacce. Dalla scansione IAM alle configurazioni di rete, dal monitoraggio delle reti e delle prestazioni alla protezione dei dati sensibili archiviati sul cloud, per gestire la sicurezza del cloud è necessario un approccio su più fronti che consenta di rilevare e correggere diversi tipi di rischi che potrebbero nascere negli ambienti cloud.