ambienti cloud

Cloud security in azienda: le sfide che non possono attendere

Il passaggio al cloud, accelerato dalla pandemia richiede forte attenzione anche verso la sicurezza. Le applicazioni devono essere protette da attacchi e deve essere impedito l’accesso non autorizzato ai dati. Ecco le maggiori difficoltà incontrate dalle aziende mentre cercano di mettere in sicurezza le loro infrastrutture

23 Mag 2022
Marco Fanuli

Security Engineer Team Leader di Check Point Italia

piattaforme composable cloud native

L’adozione del cloud è cresciuta molto velocemente negli ultimi anni. Se è vero che tante aziende stavano già lavorando per migrare verso il cloud, la pandemia ha accelerato questo processo e, con la normalizzazione del remote working, hanno dovuto dimostrarsi in grado di erogare e mettere a disposizione i servizi essenziali per i loro dipendenti.

Il risultato di questo trend è che oggi il 98% delle aziende si affida ad alcune forme di infrastruttura cloud-based e oltre tre quarti di esse (76%) possiedono installazioni multi-cloud, composte da due o più service provider diversi. Questi ambienti supportano applicazioni essenziali per le aziende insieme a dati sensibili, sia dei clienti sia dell’azienda stessa.

Multi-cloud, così le aziende tagliano i costi: scenari di migrazione e strategie anti lock-in

Però, la cloud transition richiede una particolare attenzione anche verso la sicurezza. Le applicazioni basate su cloud devono essere protette dagli attacchi dei cyber-criminali e deve essere impedito l’accesso non autorizzato ai dati che si trovano su cloud, coerentemente con le legislazioni in vigore.

Tuttavia, gli ambienti cloud sono molto diversi dalle infrastrutture on-prem, di conseguenza gli approcci e gli strumenti di sicurezza tradizionale non sempre funzionano con la stessa efficacia. Molte aziende, così, stanno riscontrando difficoltà significative mentre cercano di mettere in sicurezza le loro nuove infrastrutture cloud.

Le sei sfide per il 2022

L’adozione del cloud cresce di anno in anno, il che significa che anche la security diventa sempre più importante. Negli ultimi anni, molte aziende hanno scelto frettolosamente di passare a infrastrutture cloud-based per soddisfare le loro esigenze di business, ma tutto questo non è andato di pari passo con la messa in sicurezza di queste stesse infrastrutture. Oggi, molte aziende stanno cercando di risolvere questi problemi, riscontrando però diverse difficoltà, Check Point Software Technologies le elenca di seguito:

WHITEPAPER
I documenti aziendali che condividi durante le video riunioni online sono davvero al sicuro?
Amministrazione/Finanza/Controllo
CIO

Le sfide del multi-cloud

La maggior parte delle aziende possiede infrastrutture multi-cloud e, se da una parte questo permette loro di godere di vantaggi esclusivi dei diversi ambienti ottimizzati per specifici utilizzi, dall’altra alza decisamente il livello di complessità dell’infrastruttura stessa.

E, più il livello di complessità è elevato, più significative sono le difficoltà legate alla sicurezza dell’ambiente multi-cloud. Alcune delle principali sfide con cui si misurano gli utenti multi-cloud sono queste:

  • Data protection e privacy: il 57% delle aziende pensa sia difficile proteggere adeguatamente i dati negli ambienti multi-cloud e rispettare al tempo stesso le policy aziendali e le regolamentazioni vigenti. Ambienti differenti presentano infatti diversi strumenti incorporati di controllo, il che rende difficile avere un tipo di protezione coerente e uniforme.
  • Ottenere le cloud skill: il 56% delle aziende ha difficoltà nell’acquisire le competenze indispensabili per implementare e gestire in modo appropriato la sicurezza di ambienti multi-cloud. Fare questo richiede infatti una competenza approfondita per ciascuno degli ambienti in uso, cosa che diventa sempre più difficile via via che cresce il numero degli ambienti.
  • Integrare soluzioni diverse: gli ambienti multi-cloud riuniscono soluzioni che provengono da vendor diversi. Il 50% delle aziende fatica a comprendere come queste soluzioni di sicurezza funzionino insieme.
  • Perdita di visibilità e controllo: a causa del modello di responsabilità condivisa e della necessità di affidarsi a una infrastruttura controllata dal vendor, il 46% delle aziende afferma che la maggiore difficoltà che incontra è legata alla mancanza di visibilità e controllo, in situazioni multi-cloud.

Provider di Cloud

Più di tre quarti delle aziende (76%) utilizzano due o più service cloud provider, mentre circa un quarto (24%) ne utilizza più di cinque. Questa complessità che caratterizza l’infrastruttura cloud rende difficile monitorare e mettere in sicurezza i diversi ambienti. Inoltre, più della metà delle organizzazioni (54%) crede che le offerte di sicurezza incorporate nelle soluzioni proposte dai cloud provider non siano efficaci come quelle di un vendor di terze parti.

La difficoltà di mettere in sicurezza un ambiente multi-cloud può mettere a rischio il raggiungimento dei principali obiettivi di sicurezza da parte delle aziende, tra cui:

  • Evitare di configurare il cloud in maniera scorretta: con molte impostazioni di sicurezza specifiche per ogni singolo vendor, è difficile assicurarsi che tutto venga fatto correttamente
  • Mettere in sicurezza le principali app su cloud già in uso: il rapido passaggio al cloud ha messo in difficoltà molti team dedicati alla sicurezza IT.
  • Essere conformi alle regole: la velocità della digital transformation e uno scenario legislativo in continua evoluzione rendono complessa la compliance.
  • Difendersi dal malware: nel momento in cui le aziende si concentrano sul cloud, anche gli hacker fanno lo stesso, di conseguenza la gestione del malware diventa prioritaria.

Automazione e gestione

Se le organizzazioni scelgono implementazioni complesse e multi-cloud, l’automazione e la gestione diventano elementi essenziali per mantenere la sicurezza su scala. Sono diversi i tool di sicurezza utilizzati dalle aziende per facilitare i controlli e i processi di sicurezza. Tra questi ricordiamo:

  • Infrastruttura come codice (IaC) e Sicurezza come codice (Terraform o AWS CloudFormation): 48%
  • Tecnologie serverless (Lamba o alcune funzioni di Azure): 44%
  • Integrazione e delivery continua (CI/CD) di plugin (Jenkins o TeamCity): 44%
  • Tool di gestione, automazione e risposta della sicurezza (SOAR): 41%
  • Tool di configurazione e gestione (Chef o Ansible): 41%
  • Web Application Firewall (WAFs): 5%

Il ciclo di vita DevOps

Integrare la security nelle fasi iniziali dello sviluppo del ciclo di vita del software (SDLC) può sensibilmente ridurre il costo e l’impatto delle vulnerabilità, nonché le conseguenze di un codice non conforme ai requisiti normativi. Le aziende effettuano test di sicurezza e DevOps compliance in diverse fasi dello sviluppo del ciclo di vita del software tra cui:

  • Test di sistema e produzione: 52%
  • Sviluppo delle funzionalità e testing unitario: 42%
  • Pre-produzione: 42%
  • Nessun test: 10%
  • Altro: 27%

Sicurezza operativa

Mettere il cloud in sicurezza può essere difficile, soprattutto in ambienti complessi e multi-cloud. Alcune delle più grandi sfide che le organizzazioni devono affrontare quando vogliono mettere in sicurezza i workload su cloud includono:

  • Mancanza di personale qualificato: il mercato della sicurezza informatica è alle prese con una significativa mancanza di competenze, in particolare mancano dei set skill. Come risultato, meno della metà delle aziende (45%) riesce a trovare personale qualificato in grado di ricoprire ruoli dedicati alla cloud security.
  • Compliance: la maggior parte delle aziende deve sottostare a molte e diverse regole di compliance, e lo scenario normativo è in continua evoluzione. Il 39% delle aziende impegnate nella cloud migration afferma che ottenere, mantenere e dimostrare la compliance alla normativa in un ambiente IT nuovo è una sfida significativa.
  • Mancanza di visibilità della sicurezza dell’infrastruttura: gli ambienti cloud funzionano secondo un modello di responsabilità condivisa in cui la sicurezza è a carico sia del cloud provider sia del cliente. Senza visibilità e controllo sui livelli più bassi dello stack dell’infrastruttura e con l’impossibilità di servirsi delle tradizionali soluzioni di sicurezza, il 35% delle aziende fatica a ottenere la visibilità necessaria della propria infrastruttura di sicurezza sottostante.
  • Difficoltà nell’identificare configurazioni errate: ogni piattaforma cloud ha il suo insieme specifico di configurazioni di sicurezza, e la maggior parte delle aziende lavora con diversi cloud provider. Per il 33% delle aziende, la complessità dei loro ambienti cloud rende difficile identificare velocemente e correggere errori di configurazione, prima che possano essere sfruttati da qualche tipo di attacco.
  • Impostare policy di sicurezza coerenti: negli ambienti multi-cloud le organizzazioni devono gestire diversi tool e con le impostazioni di sicurezza in essi incorporate. Il risultato è che il 32% delle aziende afferma che mettere in atto policy coerenti per tutta l’infrastruttura cloud è una sfida significativa.
  • Cloud security automation: controlli di sicurezza continui e automatizzati sono essenziali per minimizzare il rischio e le conseguenze degli attacchi informatici alle risorse allocate su cloud. Tuttavia, il 31% delle aziende ha difficoltà a implementare questi controlli automatizzati.
  • Esecuzione della sicurezza automatizzata: il modo in cui sono realizzati gli ambienti multi-cloud rende impossibile configurare e eseguire manualmente la sicurezza di un intero ambiente aziendale. L’esecuzione automatizzata è essenziale, ma risulta una delle difficoltà principali per il 28% delle aziende.

Cloud Compliance

La compliance a diverse normative di data protection e a diversi standard di mercato è un must per la maggior parte delle aziende. Tuttavia, progettare e implementare policy di compliance per ambienti cloud è molto diverso rispetto al farlo per sistemi on-prem. Alcune delle maggiori difficoltà legate alla cloud compliance che le organizzazioni devono affrontare sono queste:

  • Mancanza di expertise e conoscenze: la compliance su cloud richiede conoscenze e competenze specialistiche perché non serve soltanto sapere quali sono i controlli richiesti, ma anche come implementarli in ambienti cloud. Oltre la metà (55%) delle aziende indica la mancanza di queste competenze tecniche e legislative come la principale sfida per la cloud compliance.
  • Ambienti in continua evoluzione: la compliance sul cloud è un lavoro senza fine perché sia le regolamentazioni che gli ambienti cloud si evolvono continuamente. Riuscire a essere sempre conformi nonostante i cambiamenti è una difficoltà che viene citata dal 43% delle aziende.
  • Audit complessi: gli audit di compliance e le valutazioni dei rischi possono essere frustranti anche in ambienti on-prem, in cui le aziende sono nel pieno controllo della loro infrastruttura. Fare la stessa cosa nel cloud, con accesso all’infrastruttura sottostante limitato è difficile per il 42% delle organizzazioni.
  • Compliance monitoring: per essere sempre conformi è necessario avere completa visibilità sui sistemi e sui controlli di sicurezza di un’azienda. Essendo difficile ottenere questo livello di visibilità su cloud, il 42% delle aziende trova che il monitoring sia difficile per le loro infrastrutture basate su cloud.
  • Requisiti in continua evoluzione: negli anni più recenti, nuove regole vengono adottate rapidamente e gli standard in vigore vengono aggiornati. Mantenersi al passo con l’evolversi dei requisiti rappresenta una sfida per il 36% delle aziende.
  • Gestione delle vulnerabilità su cloud: con il maggior numero delle infrastrutture multi-cloud, anche la superficie digitale di attacco si allarga. Monitorare eventuali vulnerabilità di app e servizi su cloud è essenziale per prevenire perdite di dati e mancata compliance alle regolamentazioni.
  • Compliance automation: rispettare e documentare la compliance manualmente, a fronte di regolamentazioni diverse e in ambienti multi-cloud è complesso e rende impossibile scalare. Il 27% delle aziende afferma che scalare e automatizzare la compliance è una delle difficoltà più grandi.

Conclusioni

L’infrastruttura cloud-based può portare vantaggi significativi a un’organizzazione. Offre una maggiore flessibilità e scalabilità, e la possibilità di ridurre i costi e le spese generali esternalizzando la gestione di gran parte dello stack dell’infrastruttura di un’organizzazione al cloud provider.

Tuttavia, questi benefici hanno anche un costo. Quando le organizzazioni passano da ambienti on-prem a infrastrutture basate sul cloud, hanno bisogno di integrare le loro implementazioni cloud nelle loro policy e architetture di sicurezza esistenti. Le differenze significative tra l’infrastruttura on-prem e quella cloud-based possono rendere questa operazione piuttosto impegnativa e le aziende possono trovarsi di fronte alle sfide citate.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4