Sysdig
Learn Cloud Native

Sign up to receive our newsletter

Capire la visibilità e la sicurezza del cloud

Gli ambienti cloud sono complessi. Comprendere cosa accade al loro interno può rivelarsi una vera sfida e gli strumenti di monitoraggio e visibilità offerti dai provider rappresentano solo una soluzione parziale.

Per ottenere la massima visibilità sul cloud sono necessarie regole di governance e alcuni strumenti appositi. La governance del cloud è l’insieme delle regole che definiscono come il cloud è configurato e quali tipi di workload possono esistere al suo interno. Stabilendo regole di governance del cloud e applicandole automaticamente, le aziende possono massimizzare la sicurezza dell’infrastruttura cloud anche negli ambienti multicloud, i quali non possono essere monitorati attraverso strumenti nativi pensati per ambienti con cloud singolo.

Questo articolo spiega il ruolo della governance del cloud per ottenere visibilità e sicurezza e presenta gli strumenti che i team possono utilizzare per applicare le regole di governance.

Governance del cloud: il fondamento del monitoraggio

In senso stretto, non sono necessarie regole di governance per ottenere visibilità sul cloud. È possibile monitorare quello che accade senza predisporre regole di governance.

Tuttavia, il monitoraggio ha poco valore se non si accompagna a regole che definiscono in che modo interpretare i dati. Se mancano regole che definiscono quali tipi di configurazione cloud sono e non sono consentiti in un’azienda, non si sa bene come rispondere, ad esempio, a una policy IAM che garantisce accesso anonimo ai bucket di archiviazione né si conoscono i tipi di configurazione di rete da adottare affinché il cloud rispetti i requisiti di sicurezza.

In breve, la governance del cloud rappresenta le fondamenta di una strategia efficace di monitoraggio e visibilità del cloud.

Ottenere la sicurezza dell’infrastruttura cloud

Sebbene la governance del cloud definisca quali configurazioni dovrebbero essere adottate per rendere sicuro il cloud, non garantisce effettivamente l’esistenza di tali configurazioni. Quando si applicano requisiti di governance, entrano in gioco gli strumenti per la sicurezza dell’infrastruttura cloud. Gli strumenti per la sicurezza dell’infrastruttura cloud valutano automaticamente gli ambienti cloud e rilevano violazioni alle regole di governance o altri rischi per la sicurezza.

In senso più ampio, gli strumenti per la sicurezza dell’infrastruttura cloud possono essere suddivisi in tre tipi principali di soluzioni.

Sicurezza dell’infrastruttura come codice

Innanzi tutto, è possibile utilizzare strumenti che scansionano automaticamente le configurazioni dell’infrastruttura come codice, o IaC, alla ricerca di violazioni delle policy o rischi per la sicurezza.

Le configurazioni IaC sono file che definiscono in che modo gli ambienti cloud (o altri tipi di risorse) dovrebbero essere configurati. I team possono utilizzare gli strumenti IaC per preparare macchine virtuali nel cloud oppure per gestire bucket di archiviazione di oggetti. Creando un set di regole IaC una volta e applicandole automaticamente ad un ambiente cloud, le aziende risparmiano tempo ed evitano i rischi associati agli errori umani durante la configurazione manuale di workload sul cloud.

Tuttavia, il principale rischio per la sicurezza posto dall’utilizzo dei file IaC sta nel fatto che configurazioni non sicure in un modello IaC verranno automaticamente applicate a tutto il cloud a meno che non vengano rilevate per tempo. Ecco perché analizzare i file IaC è fondamentale per applicare le regole di governance e proteggere l’infrastruttura cloud. Scansionando automaticamente i modelli IaC alla ricerca di configurazioni non sicure (quali l’assegnazione di permessi di accesso all’utente sbagliato o l’accesso anonimo a dati sensibili) tutte le volte in cui vengono create o modificate delle regole IaC, le aziende possono evitare molti degli errori che portano a violazioni della governance del cloud.

Errori di configurazione del cloud

Sebbene la scansione dei file IaC possa aiutare a prevenire alcune violazioni prima che vengano applicate, alcune configurazioni non sicure potrebbero superare le scansioni e causare errori di configurazione nell’ambiente cloud. Potrebbero anche verificarsi casi in cui i workload del cloud vengono configurati manualmente e non attraverso i modelli IaC, determinando un rischio di configurazioni non sicure dovute a errore umano.

Gli strumenti per la gestione del profilo di sicurezza sul cloud, o CSPM, aiutano a difendersi da questa categoria di minacce. Scansionando automaticamente e in modo continuo le configurazioni cloud in base alle politiche IAM, la sicurezza di rete e le liste di controllo degli accessi, le impostazioni di crittografia dei dati e così via, gli strumenti CSPM avvisano i team di configurazioni non sicure che violano le regole di governance o introducono vulnerabilità conosciute nell’ambiente. Il team potrà poi adottare le misure necessarie per aggiornare le configurazioni (e, se del caso, modificare i modelli IaC che hanno dato vita alle configurazioni non sicure).

In alcuni casi, gli strumenti CSPM possono addirittura correggere automaticamente gli errori di configurazione aggiornando le impostazioni. La correzione automatizzata garantisce che le violazioni delle regole vengano risolte nel più breve tempo possibile, senza dover attendere la risposta di operatori umani. 

Visibilità del cloud

L’ultima tra le principali linee di difesa contro i rischi di sicurezza dell’infrastruttura cloud è rappresentata dagli strumenti di visibilità, che aiutano a rilevare attività che segnalano configurazioni non sicure. Tali attività potrebbero essere il risultato di una violazione in corso, oppure potrebbero semplicemente essere modelli di traffico di rete o di comportamento di un’applicazione che riflettono una configurazione non sicura che potrebbe causare o aggravare una violazione.

La visibilità del cloud interessa una vasta gamma di strumenti in grado di raccogliere e analizzare molti tipi di sorgenti di dati (come registri di controllo, registri di rete e metriche sulle prestazioni dell’infrastruttura) al fine di rilevare comportamenti che potrebbero riflettere una violazione. Per esempio, gli strumenti di visibilità del cloud potrebbero segnalare la presenza di traffico di rete tra due cloud privati virtuali, o VPC, che dovrebbero essere isolati secondo i termini delle regole di governance. Oppure, potrebbero consentire di individuare account che creano workload nel cloud che non sarebbero autorizzati a generare, in base alle regole di governance.

Anche se il primo obiettivo deve sempre essere quello di evitare in ogni modo le violazioni delle regole e le configurazioni non sicure, gli errori sono inevitabili. Le soluzioni di visibilità del cloud consentono di rilevare e rispondere in modo efficace ai rischi quando si presentano.

Nota sulla governance e la sicurezza in ambiente multicloud

Parte del valore delle regole di governance del cloud sta nel fatto che esse possono essere applicate non solo a un ambiente con cloud singolo, ma anche agli ambienti multicloud. Indipendentemente dal tipo di cloud o servizio specifico utilizzato, le regole generali definite come parte della governance possono consentire di gestire i rischi relativi a tutte le risorse basate sul cloud. Ciò rappresenta un vantaggio in un mondo in cui tipicamente le aziende usano ambienti multicloud.

Detto questo, applicare regole di governance in ambienti multicloud (o in ambienti con cloud ibridi) è più complesso che in ambienti con un unico cloud. La ragione sta nel fatto che molti dei servizi IaC, di monitoraggio e di controllo offerti dai provider funzionano solo all’interno dei rispettivi cloud. In pratica, non è possibile utilizzare gli strumenti di AWS per gestire la visibilità o applicare le regole di governance in Azure o GCP.

Quando si lavora su un’architettura multicloud, dunque, è necessario affidarsi a soluzioni di governance e visibilità di terze parti in grado di identificare i rischi in qualunque tipo di configurazione cloud. È anche possibile utilizzare i servizi di monitoraggio offerti dal provider per raccogliere i dati, i quali, però, dovranno essere comunque aggregati e analizzati mediante una soluzione esterna in grado di fornire una visibilità centralizzata su tutto l’ambiente.

La governance del cloud fa un passo avanti

Una cosa è definire regole di governance del cloud, un’altra è elaborare una strategia e utilizzare un insieme di strumenti in grado di applicare le regole di governance in tutti gli ambienti cloud e in tutte le fasi del ciclo di vita del cloud. Fare questo, però, è fondamentale per ottenere una strategia di visibilità efficace e per ottimizzare la sicurezza dell’infrastruttura cloud.