La fase di ripresa post emergenza sanitaria sarà caratterizzata da una ulteriore crescita del Public Cloud. In controtendenza rispetto a un mercato IT in decrescita complessiva dell’8% per il 2020, il cloud pubblico e il multicloud rappresentano la scelta primaria per le aziende. Anche in Italia. Nel nostro Paese, secondo l’Osservatorio del Politecnico di Milano, il cloud è il modello preferito nello sviluppo di progetti digitali per il 42% delle aziende consultate. E registra un +18% di incremento nell’ultimo anno, sfiorando i 3 miliardi di euro di valore complessivo.

Ma c’è un problema da affrontare. Dal 2018 al 2019 si è rilevata una crescita del 7% degli exploit gravi a strutture cloud in tutto il mondo. Con una media di 139 attacchi al mese e un impatto alto e molto critico per il 54% delle aziende. Il cybercrime, dunque, guarda con notevole interesse verso gli ambienti cloud, soprattutto public cloud. Ponendo la security come prima sfida in assoluto per i responsabili IT nella gestione dei loro cloud pubblici.

Secondo Gartner, che entro il 2022 il 95% degli attacchi agli ambienti cloud sarà da imputare a responsabilità del cliente. Qualsiasi contratto di servizio public cloud, infatti, prevede il concetto di mutua responsabilità tra il Cloud Provider e l’azienda cliente. Ciò significa che il fornitore dei servizi e della piattaforma è responsabile della sicurezza del cloud, della sua piattaforma. Ma non della sicurezza nel cloud. Per garantire una protezione completa lungo tutta la “filiera” cloud, è necessario che anche l’azienda cliente si doti di strumenti adeguati.
Per definizione, i servizi in public cloud sono esposti all’esterno in quanto disponibili in rete. E non sono supportati da una protezione predefinita integrata, completa e realmente efficiente, nonostante gli sforzi compiuti dagli hyperscaler. Inoltre, è impensabile applicare modelli e architetture di sicurezza tipiche di un’infrastruttura on-premise. Nell’interfacciarsi con una piattaforma di cloud pubblico, insomma, il classico Network Gateway Approach è fondamentale ma non sufficiente.

È necessario affiancare alle metodologie di protezione tradizionali sul perimetro aziendale nuove misure di sicurezza cloud-native implementando correttamente i security group, la microsegmentazione o ricorrendo a strumenti di controllo e monitoraggio di accessi e privilegi. Inoltre, l’impossibilità di usare metodologie agent-based tipiche dei servizi applicativi on premise, richiede di utilizzare metodi di protezione API-driven agentless. Il ricorso alle API richiede sviluppo e lo sviluppo è foriero di errori e vulnerabilità, spesso involontarie.

Public cloud e consapevolezza della security

Sempre secondo Gartner, la metà delle aziende avrà esposto a rete pubblica inconsapevolmente o erroneamente i propri servizi IaaS e SaaS, segmenti di rete, applicazioni e API. Un valore, questo, raddoppiato rispetto al 2018. La messa in sicurezza nel public cloud sarà dunque la prossima sfida per le aziende che stanno già usufruendo del cloud pubblico, i vendor specializzati in soluzione di protezione e i loro partner come Lutech.

Nell’approccio iniziale, risulta fondamentale rendere consapevole l’azienda cliente del concorso di responsabilità in caso di attacco al proprio ambiente cloud e specificarne gli ambiti di competenza. Parliamo della rete aziendale in primis, della protezione del traffico da e verso il public cloud, della protezione dei dati mediante opportuni sistemi di crittografia, di Identity & Access Management e, infine, di protezione intrinseca degli applicativi che sono stati trasformati in servizi cloud e del sistema operativo on premise.
Ma non basta. Tra le maggiori cause di vulnerabilità ce ne sono due particolarmente sfruttate dagli attaccanti. Gli errori nelle configurazioni dell’infrastruttura e nello sviluppo delle API necessarie al dialogo tra gli applicativi. In entrambi i casi, gli sviluppatori sono le risorse preposte alle attività, e loro non sono esperti di sicurezza. Una procedura corretta, dunque, richiederebbe di analizzare ogni singolo pezzo di codice aggiuntivo e validarlo in termini di sicurezza. Ciò risulterebbe, però, dispendioso in termini di tempi e risorse.

In generale, applicare controlli di sicurezza per garantire che nulla sia incompleto o compromesso in un ambiente public cloud dinamico può essere difficile con i metodi tradizionali. Fare controlli di conformità ad hoc non è più sufficiente. Serve un monitoraggio su base continuativa dell’infrastruttura che assicuri l’allineamento con gli standard richiesti dalle normative e dai modelli di gestione ottimale.

Le aziende devono essere certe che gli hacker non ottengano privilegi non autorizzati: per questo, sistemi di allerta sulle intrusioni che controllino che non vengano creati asset non autorizzati possono essere molto utili. Deve essere assicurato che solo gli amministratori della sicurezza gestiscano le regole / i criteri dei firewall, per esempio con l’enforcement di policy di sicurezza. Ancora, si deve essere sicuri di disattivare l'accesso alle porte o agli IP di servizi non in uso al fine di prevenire attacchi.

Marco Ceccon è Advisory Pratice Manager del Gruppo Lutech