Sysdig
Learn Cloud Native

Sign up to receive our newsletter

Conformità ISO 27001 per container e cloud

Non sarebbe fantastico se esistesse uno standard internazionale che stabilisse le migliori prassi per la gestione della sicurezza che tutte le aziende devono seguire?

A quanto pare, esiste: si chiama ISO 27001 ed è una norma internazionale che include oltre 100 controlli di sicurezza che le aziende devono rispettare quando progettano e gestiscono i sistemi IT.

Questo articolo spiega cos’è la conformità ISO 27001 e come questa può essere applicata ai moderni ambienti cloud nativi, anche quelli basati su container.

Cos’è la ISO 27001?

La ISO 27001 è lo standard internazionale di sicurezza delle informazioni. È definita dalla Organizzazione internazionale per la normazione (ISO) e dalla Commissione elettrotecnica internazionale (IEC). (A causa del coinvolgimento della IEC, la norma è a volte indicata come ISO/IEC 270001 e non solo come ISO 27001; nella pratica, ci si riferisce sempre allo stesso standard.)

La norma è stata pubblicata per la prima volta nel 2005 ed è stata ampiamente revisionata nel 2013. Da quel momento, sono state apportate altre modifiche ma di natura più lieve.

Quali sono i requisiti previsti dalla ISO 27001?

ISO e IEC hanno pubblicato diversi documenti per definire in cosa consista la conformità alla norma ISO 27001. Sono disponibili sulla libreria ISO, che contiene la pubblicazione della norma e tutta la documentazione a corredo.

In breve, la conformità alla norma ISO 27001 si articola attorno a 14 categorie di controlli di sicurezza:

  1. Politiche per la sicurezza delle informazioni: Le aziende devono definire politiche per la sicurezza da applicare a tutti i sistemi e a tutti gli asset che possiedono o gestiscono.
  2. Organizzazione della sicurezza delle informazioni: Le aziende devono adottare un quadro specifico per l’applicazione delle politiche per la sicurezza delle informazioni.
  3. Sicurezza delle risorse umane: Le aziende devono definire politiche per la sicurezza dei dipendenti e di parti esterne quali fornitori e partner.
  4. Gestione degli asset: Le aziende devono gestire in modo sistematico gli asset in loro possesso e applicare controlli di sicurezza adeguati per ciascuno di essi.
  5. Controllo degli accessi: Le aziende devono limitare gli accessi al minimo necessario per consentire a un dipendente di svolgere il proprio lavoro.
  6. Crittografia: Le aziende devono utilizzare tecniche di crittografia per proteggere i dati sensibili.
  7. Sicurezza fisica e ambientale: Le aziende devono garantire la sicurezza fisica dei propri asset.
  8. Sicurezza delle attività operative: Questa categoria include diverse politiche e procedure operative che le aziende devono seguire per applicare le operazioni di sicurezza.
  9. Segretezza delle comunicazioni: Le aziende devono proteggere le comunicazioni che avvengono sulla rete.
  10. Acquisizione, sviluppo e manutenzione dei sistemi: La sicurezza deve essere integrata nella gestione dell’intero ciclo di vita di un asset.
  11. Relazione con i fornitori: Le aziende devono richiedere controlli di sicurezza ragionevoli ai propri fornitori e alle proprie catene di approvvigionamento.
  12. Trattamento degli incidenti relativi alla sicurezza delle informazioni: Le aziende devono adottare procedure adeguate per rispondere e segnalare gli incidenti relativi alla sicurezza.
  13. Gestione della business continuity: Le aziende devono stabilire procedure per la gestione della business continuity anche in caso di incidenti.
  14. Rispetto normativo: Le aziende devono determinare quali requisiti normativi le regolano e devono assicurarsi di conformarsi ad essi.

Come si nota leggendo l’elenco, alcune di queste categorie si concentrano più di altre sul modo in cui vengono gestite risorse IT quali il cloud e i container. Per i team IT e gli sviluppatori, i punti fondamentali della ISO 27001 sono i numeri 1, 2, 6 e 8 dell’elenco.

Detto questo, poiché tutti i controlli forniscono informazioni sul modo in cui viene applicata la sicurezza informatica in generale, i tecnici dovrebbero familiarizzare con i requisiti della norma ISO 27001 anche se alcuni aspetti, ad esempio la sicurezza delle risorse umane, non sono strettamente rilevanti.

Chi deve rispettare la norma ISO 27001?

Dal momento che la norma ISO 27001 è uno standard internazionale definito da due organizzazioni non governative, non rappresenta un quadro normativo. A nessuna azienda è richiesto per legge di conformarsi alle sue disposizioni e non sono previste penali per il mancato rispetto degli standard ISO 27001.

Tuttavia, molte aziende scelgono di applicare il quadro ISO 27001 per definire le migliori prassi da seguire nella gestione della sicurezza IT. Fare questo consente di raggiungere due obiettivi fondamentali:

  • Dimostrare il proprio impegno per la sicurezza: La possibilità di dimostrare l’aderenza alla norma ISO 27001 può aiutare le aziende a provare ai propri partner e ai propri clienti di avere adottato adeguati strumenti di controllo della sicurezza delle informazioni.
  • Rilevare rischi per la conformità: I controlli di conformità ISO 27001 possono aiutare le aziende a scoprire rischi per la sicurezza che potrebbero generare violazioni di altri quadri normativi. Se un audit volontario individua alcune vulnerabilità, un’azienda può adottare tutte le misure necessarie per risolvere il problema prima di incorrere in multe o sanzioni comminate in base a regolamenti quali il GDPR o l’HIPAA.

Applicare i controlli ISO 27001 nel cloud

Come accade per molte altre norme, i controlli previsti dalla ISO 27001 non definiscono rigorosamente strumenti, processi o prassi specifici che le aziende devono adottare per proteggere gli ambienti cloud. Al contrario, lasciano alle aziende il compito di determinare in che modo interpretare i controlli di sicurezza e come applicarli al cloud. Esistono pertanto molti approcci alla conformità alla ISO 27001 nel cloud, e non tutte le aziende adottano le stesse prassi.

Ciononostante, ecco alcune prassi di base per ottenere la conformità alla norma ISO 27001 nel cloud.

Scegliere un provider cloud conforme

Per prima cosa, è bene assicurarsi che il provider (o i provider) di servizi cloud sia certificato ISO 27001 per la propria infrastruttura.

Questo compito non è arduo. In generale, tutti i principali cloud pubblici sono certificati ISO 27001, ma ovviamente esistono delle sfumature. Per esempio, su AWS solo alcune regioni cloud specifiche sono attualmente certificate ISO 27001. È anche possibile esaminare i report dei controlli effettuati sui provider (come quelli che Azure offre qui) per valutare quanto adeguatamente siano in grado di dimostrare la propria conformità.

Utilizzare strumenti di controllo e conformità

Scegliere un cloud conforme alla norma ISO 27001 ovviamente non garantisce la totale conformità per i clienti. I provider di cloud possono garantire solo la conformità della propria infrastruttura o di altre risorse da essi gestite in base al modello di responsabilità condivisa. La conformità alla norma ISO 27001 all’interno delle applicazioni o dei dati utilizzati sul cloud è responsabilità dei clienti.

Alcuni strumenti di controllo e conformità possono aiutare a garantire che i workload utilizzati dai clienti siano conformi a ISO 27001. Questi strumenti scansionano automaticamente gli ambienti cloud e le configurazioni associate e valutano se rispettano gli standard predefiniti. I provider di cloud offrono alcuni di questi strumenti, basti pensare a Azure Blueprint. Tuttavia, alcuni strumenti esterni potrebbero dimostrarsi più utili per le aziende che utilizzano più di un cloud pubblico o che presentano un ambiente ibrido.

Utilizzare IAM nel cloud

Gli strumenti di Identity and Access Management (IAM) per il cloud consentono di controllare gli accessi come richiesto dalla norma ISO 27001. Oltre a creare policy IAM, le aziende devono sottoporre a controllo le proprie configurazioni IAM allo scopo di rilevare sviste che potrebbero porre rischi per il controllo degli accessi.

Crittografia dei dati

Abilitare la crittografia predefinita dei dati è un’altra prassi standard per l’applicazione dei controlli definiti dalla ISO 27001. Gli approcci alla crittografia dei dati nel cloud variano da un servizio all’altro, ma il loro obiettivo fondamentale dovrebbe essere garantire che i dati siano sempre crittografati a meno che non siano presenti specifiche ragioni contrarie. Per esempio, se si utilizza un servizio di archiviazione di oggetti quale S3 di AWS, è possibile configurare la crittografia predefinita dei dati lato server per i bucket di archiviazione.

Isolamento della rete

I cloud privati virtuali e altre reti virtualizzate possono aiutare a isolare i workload nel cloud. Questo è un altro modo per applicare i controlli degli accessi e alcuni dei controlli di sicurezza previsti dalla norma ISO 27001.

Conformità dei container alla norma ISO 27001

La norma ISO 27001 non presenta disposizioni specifiche per la protezione dei container, ma esistono alcune migliori prassi generiche adatte a tutti gli ambienti basati su container.

Scansione delle immagini

Scansionare le immagini dei container aiuta ad applicare i controlli di sicurezza operativi definiti dalla ISO 27001, soprattutto per quanto concerne il rilevamento di malware.

Registri di controllo

I registri di controllo di Kubernetes rappresentano un altro modo per rilevare le vulnerabilità e i rischi secondo i termini degli standard di sicurezza delle attività operative della norma ISO 27001.

Controllo degli accessi:

Oltre a utilizzare gli strumenti IAM per gestire gli accessi ai servizi cloud, si può pensare di utilizzare controlli specifici per i container quali RBAC di Kubernetes e i contesti di protezione, per applicare controlli granulari ai container.

Conclusione

Nessuno è obbligato per legge a rispettare le disposizioni della norma ISO 27001, ma ottenere la conformità è una migliore prassi per dimostrare a partner e clienti un’adeguata applicazione dei controlli di sicurezza e per estirpare i rischi alla radice. E sebbene la ISO 27001 non preveda linee guida specifiche per gli ambienti cloud e i container, esistono alcuni strumenti e alcune prassi in grado di applicare in modo efficace i controlli ISO 27001 nei moderni contesti cloud nativi.