Conformità NIST per container e cloud
Per chi gestisce o protegge gli ambienti cloud, il NIST potrebbe sembrare un nemico, quando in realtà non lo è affatto.
Il NIST offre, tra le altre informazioni, linee guida che aiutano le aziende a proteggere i propri asset IT. Sebbene la conformità NIST possa sembrare un enorme peso, in effetti è piuttosto una risorsa che può aiutare i team IT e gli sviluppatori a determinare quali prassi seguire nella progettazione e nella gestione degli ambienti cloud nativi.
Esistono diverse linee guida e raccomandazioni NIST e leggerle tutte potrebbe rivelarsi una grande impresa. Ecco perché questo articolo offre una panoramica sulle principali raccomandazioni NIST relative al cloud e ai container e spiega quali sono le migliori prassi da seguire per raggiungere la conformità in ambienti cloud nativi.
Cos’è il NIST?
NIST sta per National Institute of Standards and Technology, un’agenzia federale statunitense che ha il compito di sviluppare standard e migliori prassi per le aziende. Il NIST non si concentra in modo specifico sulla sicurezza informatica e la conformità, tuttavia uno dei suoi principali domini di riferimento è proprio la protezione dei sistemi IT.
Cos’è la conformità NIST?
La conformità NIST è la conformità con una o più linee guida o raccomandazioni emanate dal NIST.
La conformità NIST è piuttosto complessa, perché i documenti pubblicati dall’Istituto sono davvero moltissimi. Per i team IT e gli sviluppatori di oggi, tuttavia, le pubblicazioni più rilevanti ricadono all’interno delle seguenti categorie:
- NIST SP 800, che fornisce linee guida per raggiungere alcuni obiettivi di sicurezza informatica. Alcuni documenti NIST SP 800 si concentrano su tipi specifici di sistemi, compresi quelli cloud e container, mentre altri riguardano argomenti informatici più generici.
- NIST SP 1800, che include le migliori prassi per la sicurezza informatica. Come per SP 800, alcuni documenti SP 1800 riguardano sistemi specifici, mentre altri si occupano di requisiti di sicurezza in generale. Attualmente, nessuna pubblicazione SP 1800 analizza nel dettaglio il cloud o i container, sebbene alcune di esse si concentrino su argomenti collegati e rilevanti per i team che gestiscono ambienti cloud o container.
Chi deve conformarsi al NIST?
A differenza di ciò che accade per molti dei quadri sviluppati da agenzie governative, quali il GDPR e l’HIPAA, le linee guida NIST non sono normative. Ciò significa che non esiste alcun obbligo di legge specifico che imponga alle aziende di conformarsi ai requisiti stabiliti dal NIST, e che il NIST non penalizza le aziende per la mancata conformità.
Tuttavia, alcune aziende e agenzie governative potrebbero richiedere ai propri fornitori o partner di rispettare alcune raccomandazioni NIST. Pertanto, sebbene non sia un obbligo di legge conformarsi a queste regole, alcune aziende potrebbero doverlo fare per rispettare i termini di accordi sottoscritti con le agenzie governative o con altre organizzazioni che utilizzano le linee guida NIST per regolare la gestione della sicurezza IT di partner e fornitori.
Più in generale, seguire le linee guida NIST è una migliore prassi anche per le aziende che non sono tenute a farlo in modo specifico. Le linee guida NIST sono infatti pensate come raccomandazioni dirette e applicabili che consentono alle aziende di mitigare i rischi per la sicurezza informatica. Seguire le raccomandazioni NIST aiuta a stabilire il più forte profilo di rischio possibile del cloud e a individuare alcuni rischi per la sicurezza che potrebbero altrimenti essere trascurati.
Si noti che, rispetto ad altri quadri normativi, le raccomandazioni NIST tendono a essere piuttosto chiare e dettagliate, dato che specificano i dettagli tecnici relativi a ciò che team IT e sviluppatori dovrebbero e non dovrebbero fare in ambienti specifici. Questo è un aspetto decisamente positivo, perché elimina molte delle ambiguità che i team tecnici si trovano ad affrontare quando devono interpretare regole di conformità come quelle dell’HIPAA, che si concentrano su requisiti di alto livello ma non contengono molte raccomandazioni pratiche.
Conformità NIST per container e cloud
Una volta compreso come funziona in generale la conformità NIST, occorre esaminare le raccomandazioni più importanti per la sicurezza del cloud e dei container. Le suddivideremo in base alle pubblicazioni specifiche.
Conformità a NIST SP 800-53
SP 800-53 è uno dei più ampi set di raccomandazioni del NIST che si occupa di protezione degli ambienti IT di qualunque tipo. Definisce decine di controlli di sicurezza che le aziende possono applicare per mitigare il rischio di accessi non autorizzati a risorse cloud sensibili e per correggere le violazioni qualora dovessero verificarsi.
Per esempio, si consiglia di archiviare almeno una copia di backup in un punto offsite per consentire un rapido recupero dei dati se il sito principale viene violato. Si consigliano inoltre prassi quali l’assegnazione di privilegi minimi per gli accessi.
La versione più recente di NIST SP 800-53, conosciuta come SP-800-53 Revisione 5, è stata pubblicata a settembre 2020. Aggiunge diverse raccomandazioni, soprattutto quelle relative alla sicurezza della catena di approvvigionamento, ovvero alla gestione dei rischi per la sicurezza IT che si originano sui sistemi di fornitori, partner o venditori. La Revisione 5 offre anche raccomandazioni aggiornate sulla resilienza informatica, la governance e la responsabilità in base all’analisi compiuta dal NIST delle attuali minacce alla sicurezza. Consigliamo di leggere maggiori informazioni sulle linee guida NIST 800-53 per cloud e container.
Conformità a NIST SP 800-210
SP 800-210, pubblicata nel 2020, offre linee guida sul controllo degli accessi specifiche per gli ambienti cloud. Si occupa di ambienti cloud a ciascun livello: rete, hypervisor, macchine virtuali, API e IaaS. Affronta anche argomenti quali il controllo degli accessi per le applicazioni SaaS.
SP 800-210 non si concentra molto su argomenti quali la sicurezza degli ambienti ibridi o multicloud, il che rappresenta un limite dato che molte aziende oggi hanno adottato almeno una di queste architetture. Ciononostante, SP 800-210 è una lettura d’obbligo per chi desidera conoscere le linee guida sulla compliance NIST specifiche per il cloud.
Conformità a NIST SP 800-190
Introdotta nel 2017, SP 800-190 fornisce linee guida per la protezione delle applicazioni containerizzate e per gli ambienti nei quali esse sono eseguite.
SP 800-190 analizza la sicurezza dei container soprattutto in base all’architettura degli ambienti: parla dei rischi relativi all’infrastruttura degli host, agli agenti di orchestrazione, agli ambienti di runtime e ai singoli container. Analizza inoltre in che modo i controlli di sicurezza basati su hardware possono aiutare ad affrontare i rischi per la sicurezza.
Dato che la SP 800-190 è stata pubblicata quattro anni fa (ed è stata introdotta appena prima che Kubernetes divenisse lo strumento di orchestrazione predominante), non parla dei rischi per la sicurezza specifici di Kubernetes in modo così ampio come molti tecnici e sviluppatori desidererebbero. Per ottenere linee guida specifiche per Kubernetes, bisogna guardare oltre NIST. Ciononostante, questa rimane sempre una base di partenza molto utile per garantire la conformità alle migliori prassi standard per la sicurezza dei container.
Conclusione
Le pubblicazioni NIST che parlano di sicurezza informatica sono centinaia. In base al tipo di workload utilizzato nel cloud o nei container, è possibile consultare ulteriori documenti pubblicati dal NIST e relativi ad argomenti quali il mobile computing o l’IoT.
Ovviamente, è necessario integrare le linee guida del NIST con informazioni e prassi più aggiornate. Uno degli aspetti negativi dell’approccio del NIST all’elaborazione di linee guida, infatti, è che le sue pubblicazioni non vengono aggiornate continuamente, il che significa che non si occupano sempre delle minacce più recenti. Inoltre, non analizzano in modo dettagliato tecnologie (come Kubernetes) che non erano così diffuse nel momento in cui sono state redatte.
Ciononostante, il NIST resta una risorsa fondamentale per determinare quali sono le prassi da seguire per proteggere i moderni ambienti cloud nativi. Anche se conformarsi alle linee guida NIST non è un obbligo, resta sempre un’idea molto intelligente.