Molte aziende pensano che, nel complesso, il cloud sia sicuro. Anche più della loro stessa infrastruttura IT on-premise. Ma sanno anche che l'interazione tra questa e il cloud introduce nuovi rischi per la cyber security. Motivo per cui i cloud provider stanno sviluppando sempre più funzioni per proteggere i workload nel cloud e le informazioni che gestiscono. Al Re:Invent 2019 di Seattle, AWS ne ha presentate tre. Ciascuna collegata ad un diverso approccio alla cyber security.

Amazon Detective

Amazon Detective è un tool di machine learning e analisi statistica pensato per le analisi post-evento. Le analisi cioè che vengono condotte dopo una violazione alla sicurezza, come un accesso non autorizzato. Qualsiasi investigazione deve prima arrivare a definire cosa sia la normalità e cosa invece un evento anomalo. Non in generale, astrattamente, ma nello specifico scenario dell'azienda in quel dato momento.

Per questo si analizzano i dati che i sistemi di sicurezza hanno raccolto nel tempo sul funzionamento dell'infrastruttura IT. Questi dati delinano la "normalità" dell'infrastruttura: le relazioni più o meno costanti tra risorse, utenti, elementi infrastrutturali. Qualsiasi cosa si distacchi statisticamente da questa normalità, è un evento anomalo. E potenzialmente pericoloso.

È un lavoro continuo che di solito viene portato avanti dal team di cyber security aziendale. Che produce anche le dashboard e le visualizzazioni personalizzate sul funzionamento del sistema IT. Amazon Detective permette in sostanza di farlo automaticamente per le risorse in cloud. Raccoglie in autonomia dati di monitoraggio delle risorse in cloud e crea una mappatura delle relazioni "normali" tra di esse. Dà cioè una visualizzazione, anche personalizzata, del funzionamento regolare del cloud. Aiutando così ad identificare e comprendere eventuali anomalie.

AWS IAM Access Analyzer

Nei loro ambienti cloud, le aziende hanno un numero potenzialmente assai elevato di risorse allocate, dalle macchine virtuali agli spazi di storage. L'accesso a queste risorse è di norma regolato da policy definite caso per caso. Che stabiliscono chi o cosa (persona, applivazione, servizio, processo...) può accedere a ciascuna risorsa. E con quali privilegi.

Ma un numero elevato di risorse differenti significa anche un numero elevato di policy di accesso. E non è detto che tutte queste policy interagiscano correttamente. Potrebbero anche non essere sempre coerenti fra loro, aprendo così la porta a stati indefiniti che permettono accessi non preventivati. Oppure, più semplicemente, possono esserci policy mal definite che non bloccano davvero gli accessi come invece sarebbe opportuno.

Le policy si possono controllare con audit manuali. Ma secondo AWS questi non sono davvero efficaci: non sono completi e c'è sempre il rischio di errori umani. AWS IAM Access Analyzer offre invece un sistema automatico per il controllo esaustivo delle policy. Utilizza funzioni di intelligenza artificiale per identificare tutte le possibili interazioni fra risorse permesse dalle policy in uso. E lo fa con una completezza e velocità impossibili per i tecnici umani. Questa mappatura, che viene aggiornata ogni volta che una policy nasce o viene modificata, serve a capire se sono possibili accessi non preventivati alle risorse. E tappare di conseguenza le relative falle.

AWS Nitro Enclaves

Le aziende che usano risorse in cloud per elaborare dati particolarmente sensibili devono essere certe che a questi dati non possa accedere chi non è autorizzato a farlo. Questo non riguarda solo il rischio di esfiltrazioni di dati da parte di hacker esterni ostili. Comprende anche l'accesso ai dati da parte di personale interno, del cloud provider o dell'azienda utente.

Bloccare qualsiasi accesso ai dati gestiti da una generica istanza di computing in cloud è possibile. Ma richiede controlli e configurazioni complesse. Per questo AWS ha creato le Nitro Enclaves, che in estrema sintesi sono macchine virtuali completamente isolate all'interno di una istanza EC2. Hanno ovviamente le loro risorse di CPU e memoria, ma non usano storage persistente che si possa in qualche modo consultare. Non è possibile eseguire il login ad una Enclave e questa non ha connessioni di rete, se non un unico canale locale verso l'istanza EC2.