Principi e strategie chiave per proteggere il cloud aziendale...di servizi cloud, la distinzione...
Transcript of Principi e strategie chiave per proteggere il cloud aziendale...di servizi cloud, la distinzione...
WHITE PAPER
Le aziende usano
mediamente
61 diverse
app cloud, che
rappresentano
1/3 del totale delle
applicazioni utilizzate.1
PRINCIPI E STRATEGIE CHIAVE PER PROTEGGERE IL CLOUD AZIENDALE
SINTESI PRELIMINARELa strategia delle organizzazioni prevede in misura crescente la distribuzione di vari carichi di lavoro su più cloud. Ciò comporta una dispersione sempre maggiore di dati e servizi business-critical in questa infrastruttura distribuita. Adottando il modello di condivisione di responsabilità come principio guida, le aziende fanno affidamento sui fornitori di servizi cloud per proteggere i livelli di rete, archiviazione ed elaborazione, mentre le aziende (gli utenti finali) sono responsabili della sicurezza di tutto ciò che è costruito, distribuito o archiviato nel cloud. Poiché le soluzioni cloud adottate sono disparate, la maggior parte delle aziende mantiene ambienti eterogenei, con strumenti che differiscono significativamente da una piattaforma cloud all’altra.
Il risultato, per le organizzazioni, è un’infrastruttura di sicurezza di rete complessa e disomogenea. L’unica risposta adeguata in questo contesto è una soluzione di sicurezza unificata che copra più piattaforme cloud. Le organizzazioni che intendono distribuire applicazioni nel cloud devono implementare una soluzione di sicurezza caratterizzata da tre attributi fondamentali: 1) integrazione nativa con tutti i principali fornitori di servizi cloud, 2) un’ampia suite di strumenti di sicurezza per coprire l’intera superficie di attacco; 3) funzionalità di gestione centralizzata dell’infrastruttura di sicurezza e automazione delle operazioni di sicurezza. La soluzione deve offrire visibilità e controllo unificati e una gestione delle policy che supporti i requisiti di conformità e gestione dei rischi. L’architettura di sicurezza corrispondente deve supportare un’ampia varietà di casi d’uso della sicurezza per svariate distribuzioni cloud.
Un piano per la sicurezza cloud
Public Cloud Infrastructure Services
Cloud infrastructure secures the infrastructure
Storage Network Computer
Customer secures what runs IN the Cloud
Encryption & Network Traffic Protection
Applications, Platform & User Management
OS, Firewall & Network Settings & Configuration
Data & Content
Customer Deployment
La Digital Transformation (DX) sta alimentando una crescita senza precedenti nell’adozione del cloud; molte organizzazioni stanno trasferendo nel cloud una quantità crescente di processi aziendali. L’eterogeneità degli ambienti cloud risultanti espande la superficie di attacco complessiva. Per questo, le distribuzioni cloud sono sempre più difficili da proteggere. E anche se la fiducia del pubblico nel cloud è aumentata drasticamente nell’ultimo decennio, la sicurezza rimane una delle principali preoccupazioni dei responsabili del business e della tecnologia in termini di adozione del cloud. È pertanto fondamentale integrare la sicurezza nella fase di progettazione di qualsiasi soluzione cloud e dell’infrastruttura cloud complessiva di un’organizzazione.
IL MODELLO DI CONDIVISIONE DI RESPONSABILITÀ DEL CLOUDI fornitori di servizi cloud investono un notevole impegno nella protezione della loro infrastruttura. La protezione dei dati e delle applicazioni ospitati o distribuiti nel cloud è tuttavia responsabilità del cliente (l’utente finale). I clienti, però, non assolvono adeguatamente le loro responsabilità, tanto che le previsioni per il 2023 indicano che sarà loro imputabile il 99% dei malfunzionamenti del cloud. In molti casi la causa è un errore umano, che può essere attribuito a un fraintendimento del modello di condivisione di responsabilità tra i fornitori di servizi cloud e i loro clienti.2
Il modello di condivisione di responsabilità viene spesso descritto mediante un’analogia con il modello dei livelli OSI. In tale modello, i fornitori dell’infrastruttura cloud proteggono i livelli fisici inferiori, mentre ai clienti spetta il compito di proteggere i livelli superiori. Tuttavia il modello dei livelli OSI non sempre basta a descrivere la complessità delle relazioni e delle responsabilità relative alla sicurezza del cloud. Ad esempio, i clienti possono creare reti sovrapposte alla rete di un provider cloud o creare altri livelli di astrazione che assemblano servizi basati sull’infrastruttura cloud. Nonostante queste sfumature, i clienti sono responsabili della protezione di tutto ciò che aggiungono a un’infrastruttura cloud e di tutto ciò che gestiscono all’interno dell’ambiente cloud. Inoltre, ora i clienti sono tenuti a proteggere il livello di gestione API/cloud, dal momento che gran parte delle operazioni relative al cloud vengono eseguite tramite questa interfaccia.
UN PANORAMA COMPLESSO DI APPROCCI ALLA SICUREZZA Sebbene vi siano piccole differenze nel modo in cui il modello di condivisione di responsabilità viene rappresentato dai diversi fornitori di servizi cloud, la distinzione più importante riguarda il modo in cui sono implementate e gestite le funzionalità di sicurezza native del cloud. Spesso diversi fornitori di servizi cloud attuano gli stessi servizi di sicurezza utilizzando strumenti e approcci molto diversi. Ad esempio, Amazon Web Services (AWS) estende le policy di sicurezza in base a gruppi di sicurezza associati alle risorse cloud, mentre Google Cloud Platform (GCP) utilizza regole firewall che offrono funzionalità equivalenti ma gestite tramite interfacce diverse. Molte di queste differenze derivano dal modo specifico in cui è strutturata l’architettura sottostante ogni cloud e dalle diverse filosofie alla base delle operazioni cloud.
Per i clienti che operano in più cloud, lo stato di sicurezza predefinito è un’architettura eterogenea senza visibilità o controllo centrali e quindi senza un approccio uniforme all’applicazione e gestione della sicurezza. In questo contesto, ogni cloud pubblico e privato, nonché il data center locale, diventa un silo indipendente in un’infrastruttura di sicurezza di rete frammentata.
2
WHITE PAPER: PRINCIPI E STRATEGIE CHIAVE PER PROTEGGERE IL CLOUD AZIENDALE
IL CLIENTE E IL FORNITORE DI SERVIZI CLOUD SONO RESPONSABILI DELLA PROTEZIONE DI RISORSE DIVERSE.
Dati e contenuti
Crittografia e protezione del traffico di rete
Impostazioni e configurazione di sistema operativo, firewall e rete
Distribuzione del cliente
Servizi delle infrastrutture cloud pubbliche
Il fornitore di servizi cloud protegge l’infrastruttura
Storage Rete Computer
Il cliente protegge ciò che viene eseguito NEL cloud
Gestione di applicazioni, piattaforma e utenti
3
WHITE PAPER: PRINCIPI E STRATEGIE CHIAVE PER PROTEGGERE IL CLOUD AZIENDALE
GLI ELEMENTI ESSENZIALI DI UNA SOLUZIONE COMPLETAIndipendentemente dai tipi di servizi cloud utilizzati da un’organizzazione e dal modo in cui sono strutturati, continuare a gestire la sicurezza della rete in modo eterogeneo e disarticolato non fa che aumentare i rischi. La gestione delle diverse piattaforme richiede al personale più competenze, nonché più tempo. Rende inoltre più complessi il reporting di conformità e la condivisione della threat intelligence in tutta l’azienda.
L’attuale panorama delle minacce richiede invece un approccio coerente e unificato alla sicurezza cloud. Una soluzione di sicurezza multi-cloud efficace deve prevedere tre elementi essenziali:
nn Integrazione nativa
nn Protezione estesa
nn Gestione e automazione
rete. Ciò rende più facile per i team di sicurezza analizzare la propria strategia di sicurezza cloud e implementare policy di sicurezza efficaci.
nn Ottimizzazione. Per stare al passo con le prestazioni raggiunte dalle risorse e dall’infrastruttura cloud, le soluzioni di sicurezza devono essere integrate con i diversi servizi cloud e fornire soluzioni software ottimizzate, che sfruttano le massime prestazioni possibili nel cloud. In tal modo le soluzioni di sicurezza proteggeranno i carichi di lavoro basati su cloud senza creare colli di bottiglia. Per ogni fattore di forma, come un contenitore o una VM su un particolare tipo di hardware, deve essere fornita la soluzione più adatta.
nn Script di automazione. La preparazione agli imprevisti nel cloud richiede script di automazione, che consentono di reagire rapidamente a malfunzionamenti del sistema, modifiche dell’infrastruttura o importanti eventi di sicurezza. Questi script devono avere accesso alle funzionalità di automazione native di ciascun sistema cloud, utilizzandole per automatizzare i processi in modo uniforme in tutti i sistemi cloud.
nn Feed sulle minacce. Una soluzione di sicurezza multi-cloud completa integra feed sulle minacce come oggetti dinamici, che vengono continuamente bloccati. Questi feed sulle minacce consistono in informazioni dettagliate, basate su eventi che si verificano nell’intera infrastruttura del fornitore di sicurezza, che includono pertanto la threat intelligence raccolta da tutte le distribuzioni dei clienti del fornitore. La capacità di integrare questi feed sulle minacce dai diversi cloud, uniti ad altre fonti di threat intelligence, è essenziale per proteggere l’intera infrastruttura di un’organizzazione.
nn High Availability. Ogni cloud supporta la High Availability sfruttando diverse funzionalità. L’infrastruttura di sicurezza sottostante deve supportare ogni ambiente cloud, in modo da offrire un’applicazione della sicurezza coerente e prevedibile. In questo caso, deve supportare diversi schemi active/active o active/passive, integrandosi nativamente con ciascun cloud per supportare la disponibilità di sistemi business-critical.
nn Scalabilità automatica. Tra i principali vantaggi di un’infrastruttura cloud vi sono l’elasticità e le capacità on-demand. Ciò include la possibilità di variare in scala l’utilizzo all’interno e all’esterno del cloud in base a esigenze aziendali variabili, pagando solo ciò che viene utilizzato. L’integrazione nativa con le funzionalità di scalabilità automatica del cloud consente all’infrastruttura di sicurezza di stare al passo con la variazione in scala dell’infrastruttura cloud in base al volume e alla domanda. Ciò garantisce la protezione continua delle applicazioni.
nn Modelli di configurazione. Un aspetto essenziale dell’integrazione con il modello operativo cloud è la possibilità di basare le distribuzioni su modelli di configurazione, che aiutano gli amministratori della sicurezza a eseguire il provisioning di soluzioni di sicurezza in modo rapido e preciso su varie piattaforme cloud e in base a diverse distribuzioni del carico di lavoro cloud. L’uso di modelli di configurazione riduce le possibilità di errore umano, in particolare nel modo in cui le soluzioni di sicurezza sono configurate. Consente inoltre di applicare rapidamente funzionalità di sicurezza ai nuovi carichi di lavoro, che possono così essere distribuiti con fiducia.
UNA SOLUZIONE DI SICUREZZA EFFICACE DEVE PREVEDERE TRE ELEMENTI ESSENZIALI.
Il cliente realizza e gestisce la sicurezza
NEL cloud
GESTIONE E AUTOMAZIONE
1. INTEGRAZIONE NATIVA
L’integrazione nativa riguarda la capacità di una soluzione di sicurezza di comprendere la classificazione delle informazioni basata su cloud come parte delle funzionalità generali di gestione e applicazione delle policy di sicurezza, nonché di sfruttare i servizi cloud nativi come parte della soluzione di sicurezza. Di seguito sono riportate alcune delle funzionalità chiave di una soluzione di sicurezza cloud con integrazione nativa:
nn Connettori cloud. Le soluzioni di sicurezza devono essere in grado di connettersi al cloud e di rappresentare tutte le risorse presenti nel cloud in modo che gli amministratori della sicurezza possano definire le policy e analizzare gli eventi di sicurezza in modo intuitivo. Devono inoltre consentire ai dispositivi di sicurezza di applicare le policy di sicurezza in modo dinamico, seguendo i continui cambiamenti che avvengono nell’infrastruttura cloud.
Poiché le risorse cloud utilizzano in genere metadati ed etichette per indicare la propria funzione logica o classificare le proprie informazioni, i connettori possono essere utilizzati per normalizzare i diversi tipi di metadati delle risorse di cloud diversi e potere in tal modo creare e applicare policy di sicurezza coerenti. Vi sono poi implementazioni più avanzate dei connettori cloud, in grado di apprendere ed elencare tutto l’insieme delle risorse cloud e di rappresentarle in modo più generale, ad esempio sotto forma di topologia di
PROTEZIONE ESTESA
INTEGRAZIONE NATIVA
4
WHITE PAPER: PRINCIPI E STRATEGIE CHIAVE PER PROTEGGERE IL CLOUD AZIENDALE
BROAD PROTECTION
NATIVE INTEGRATION
AUTOMATEDMANAGEMENT
ANALYSIS CONTROL
POLICY
NETWORK SEGMENTATION
APPLICATION SECURITY
CLOUD RESOURCE ABSTRACTION
CLOUD SERVICE INTEGRATION
VISIBILITY
SECURE CONNECTIVITY
FORM FACTOR OPTIMIZATION
MANAGEMENT API CASB
NGFW MAIL FORTISANDBOX
INTEGRATIONS AUTOMATION STITCHES
WAF ENDPOINT
nn Integrazione di servizi. Le piattaforme cloud offrono servizi software e di piattaforma che semplificano l’utilizzo di varie funzionalità, eliminando la necessità che gli utenti padroneggino ognuna di queste tecnologie. La capacità di una soluzione di sicurezza di integrarsi con ogni piattaforma cloud e di offrire funzionalità di sicurezza come parte del modello nativo di utilizzo dei servizi è fondamentale. L’integrazione estende la protezione offerta dalle funzionalità di sicurezza a più casi d’uso e servizi come caratteristica fondamentale, assicurando una protezione di base agli ambienti di sperimentazione e a quelli non ancora inseriti in una routine più generale di gestione della sicurezza.
TRE SONO I PILASTRI DELLA SICUREZZA MULTI-CLOUD: INTEGRAZIONE NATIVA, PROTEZIONE ESTESA, GESTIONE E AUTOMAZIONE.
2. PROTEZIONE ESTESA
La rapida adozione dell’infrastruttura cloud per le applicazioni business-critical richiede nuove forme di soluzioni di sicurezza multilivello, ampie e coordinate. Ciò è particolarmente vero se si considera la continua evoluzione nel panorama delle minacce avanzate e la complessità delle infrastrutture multi-cloud distribuite. Le organizzazioni che utilizzano più piattaforme cloud devono assicurarsi che ogni parte della superficie di attacco sia protetta da ogni tipo di minaccia. Ecco alcuni elementi chiave della sicurezza della rete che devono far parte di una soluzione completa:
nn Protezione dalle minacce zero-day. FortiGuard Labs ha rilevato che fino al 40% del malware osservato mediamente in un giorno nel 2018 è sconosciuto o zero-day. Ciò è dovuto in parte al fatto che i cybercriminali tendono sempre più a usare malware autogenerato e monouso. L’analisi sandbox, in cui il potenziale malware viene osservato in un ambiente simulato prima che ne venga consentito l’accesso alla rete, è una parte essenziale di una strategia di sicurezza cloud. Tuttavia, l’analisi sandbox richiede tempo e notevoli risorse di elaborazione e può pertanto rallentare le prestazioni in modo inaccettabile se la maggior parte del traffico non viene filtrata a monte. L’uso robusto dell’intelligenza artificiale (IA) e dell’apprendimento automatico (ML, Machine Learning) per il rilevamento delle minacce tramite l’analisi delle caratteristiche rileva molte minacce prima che sia necessario sottoporle al sandboxing. La possibilità di implementare tecnologie di sandboxing, sia in ambienti IaaS (Infrastructure-as-a-Service) che SaaS (Software-as-a-Service), è una funzionalità essenziale che deve far parte di qualsiasi strategia di sicurezza multi-cloud.
nn VPN IPSec. La possibilità di estendere la connettività nel cloud e attraverso cloud di diversi siti è essenziale. Poiché è frequente il traffico tra ambienti cloud, la capacità di isolarlo e di creare policy di sicurezza di rete uniformi nell’intera infrastruttura è essenziale per poter unificare i diversi ambienti cloud. Per isolare le reti in modo coerente è essenziale il supporto sia di VPN IPsec da sito a sito, sia di VPN tra reti virtuali cloud. Le implementazioni VPN devono essere interoperabili con soluzioni VPN cloud diverse, per offrire flessibilità a organizzazioni e unità organizzative diverse.
nn VPN SSL. La VPN SSL è molto importante per fornire l’accesso a determinati servizi business-critical, ospitati sia nel cloud che in locale. La possibilità di estendere l’infrastruttura di accesso remoto di un’organizzazione al cloud abilita una connettività ottimale indipendentemente da dove è ospitato un servizio.
nn Application Control. In un contesto in cui le organizzazioni usano l’infrastruttura cloud per ospitare una varietà crescente di applicazioni, diventa più importante rispondere alla necessità di avere visibilità e gestire la sicurezza a livello di applicazione. La sicurezza è più efficace quando viene implementata in base all’applicazione effettivamente utilizzata e non solo in base alla risorsa o al servizio a cui si accede. La capacità di implementare la sicurezza con riconoscimento delle applicazioni nel cloud, tra cloud diversi e attraverso l’infrastruttura cloud ibrida è essenziale per realizzare un’infrastruttura multi-cloud ad alte prestazioni senza compromettere la sicurezza.
nn SD-WAN. Le organizzazioni stanno prendendo in considerazione soluzioni SD-WAN (Software-Defined Wide-Area Network) e molte le stanno distribuendo per ridurre i costi della connettività Internet e avere un accesso più ampio ad applicazioni basate su cloud. La possibilità di effettuare il backhaul del traffico diretto a Internet attraverso un’infrastruttura di sicurezza centralizzata nel cloud offre notevoli vantaggi alle organizzazioni che intendono ridurre le dimensioni fisiche dei loro data center. La disponibilità della funzionalità SD-WAN nei prodotti di sicurezza basati su cloud sta acquisendo sempre più importanza con il graduale passaggio delle organizzazioni a una strategia multi-cloud e la necessità di realizzare un’infrastruttura che supporti questa transizione.
GESTIONE AUTOMATIZZATA
POLICY
SICUREZZA DELLE APPLICAZIONI
INTEGRAZIONE DEI SERVIZI CLOUD
CONTROLLO
SEGMENTAZIONE DI RETE
ASTRAZIONE DELLE RISORSE CLOUD
VISIBILITÀ
CONNETTIVITÀ SICURA
OTTIMIZZAZIONE DEL FATTORE FORMA
PROTEZIONE ESTESA
INTEGRAZIONE NATIVA
ANALISI
NGFW
GESTIONE
API
WAF
CASB
ENDPOINT
INTEGRAZIONI
FORTISANDBOX
STITCH DI AUTOMAZIONE
5
WHITE PAPER: BUILDING SECURITY-AS-A-SERVICE MODELS AT THE STATE GOVERNMENT LEVEL
nn Firewall stateful. Per quanto i firewall stateful siano considerati una funzionalità di base, la segmentazione stateful delle reti e del traffico delle applicazioni resta una capacità fondamentale per l’isolamento della rete. Nello specifico, la capacità di applicare in modo stateful policy uniformi attraverso più reti e infrastrutture cloud offre alle organizzazioni la possibilità di trasferire applicazioni tra infrastrutture diverse con maggiore sicurezza.
nn Next-Generation Firewall (NGFW). Con l’aumento delle applicazioni business-critical distribuite nel cloud, le organizzazioni necessitano sempre più di funzionalità di sicurezza avanzate. È fondamentale che la soluzione scelta offra per i servizi cloud la stessa gamma di funzionalità di sicurezza disponibili per i servizi locali. Fra queste non possono mancare funzionalità di riferimento quali Intrusion Prevention, Web Filtering e Antimalware.
nn Web Application Firewall (WAF). I firewall WAF, che controllano specificamente le minacce associate alla categoria di applicazioni più ampia, ossia quella delle applicazioni Web, aiutano le organizzazioni a soddisfare i requisiti delle policy di gestione dei rischi e i requisiti normativi sulla protezione dei dati degli utenti finali e sulla Business Continuity. Alcune delle funzionalità chiave offerte da un servizio WAF sono la prevenzione delle perdite di dati, la comprensione contestuale del flusso delle applicazioni Web e la dipendenza tra i diversi elementi di un’applicazione.
nn Sicurezza email. L’email è tuttora il vettore più comune per la distribuzione di malware. Con il progressivo spostamento dei sistemi di posta elettronica aziendali nel cloud, quest’ultimo diventa spesso la scelta obbligata per posizionare un gateway di posta. Il cloud rimane inoltre l’infrastruttura preferita per l’implementazione di sistemi di backup e, in questi casi, un gateway di sicurezza email è il prodotto ideale da posizionare nel cloud a scopo di backup.
3. GESTIONE E AUTOMAZIONE
L’unificazione della gestione dell’infrastruttura di sicurezza di rete di un’organizzazione consente di implementare in modo pratico e agevole funzionalità di visibilità e controllo nell’intera infrastruttura, dal data center a più ambienti cloud. La gestione centralizzata
consente inoltre l’automazione dei processi di gestione del ciclo di vita della sicurezza e l’applicazione di policy di sicurezza uniformi su più cloud. L’obiettivo è quello di poter gestire le infrastrutture locali e cloud in modo analogo, sfruttando lo stesso livello di visibilità e controllo. Ciò consente alle organizzazioni di centrare i propri obiettivi di gestione dei rischi aziendali e di conformità normativa.
L’efficacia della gestione e dell’automazione della sicurezza è il prodotto di quattro fattori principali: visibilità, controllo, policy e conformità.
nn Visibilità. La visibilità del variegato insieme di applicazioni, reti e infrastrutture di un ambiente multi-cloud è un presupposto fondamentale per la valutazione della strategia di sicurezza di un’azienda. Tali valutazioni rappresentano sia un punto di partenza che un processo continuo nella gestione della sicurezza. Le organizzazioni devono essere in grado di identificare le risorse sparse nell’intera infrastruttura, associare i flussi di traffico a tali risorse, capire quali applicazioni vengono utilizzate da ciascuna risorsa e identificare i dati che attraversano la rete. Queste informazioni consentono alle organizzazioni di verificare se le policy di sicurezza sono efficaci e se sono necessarie policy di sicurezza aggiuntive per fornire livelli di sicurezza adeguati per l’infrastruttura. In un ambiente multi-cloud, dove le applicazioni comunicano tra le varie infrastrutture, la capacità di tracciare centralmente i flussi di traffico e di comprendere la sequenza di eventi in ogni ambiente cloud offre spesso informazioni più approfondite di quelle rivelate dagli strumenti di sicurezza standard. Inoltre, la capacità di correlare informazioni sull’infrastruttura di sicurezza e visibilità dell’infrastruttura cloud in una console di gestione unificata semplifica ulteriormente le operazioni.
nn Controllo. Una volta che un’organizzazione ha una visibilità completa della sicurezza, il passo successivo consiste nell’applicare controlli alle funzioni pertinenti. Ciò comporta l’applicazione di modifiche alla configurazione e il popolamento dell’infrastruttura di sicurezza con le informazioni sulle risorse riguardanti la strategia di sicurezza multi-cloud. Gli strumenti di gestione della sicurezza devono estendere un framework di controllo uniforme sull’intera serie di funzioni di sicurezza.
6
WHITE PAPER: PRINCIPI E STRATEGIE CHIAVE PER PROTEGGERE IL CLOUD AZIENDALE
Questo framework di controllo deve inoltre estendersi alla funzionalità di sicurezza native fornite da ciascuna piattaforma cloud. In tal modo gli amministratori e gli operatori potranno applicare modifiche all’intera infrastruttura di sicurezza, indipendentemente dalla tecnologia sottostante.
nn Policy. Sfruttando le funzionalità di visibilità e controllo abilitate dall’infrastruttura multi-cloud scelta, un’organizzazione può disporre di funzionalità efficaci di gestione della sicurezza e può mantenere la promessa di una gestione e applicazione della sicurezza uniformi nell’intera infrastruttura. Ad esempio, la visibilità e il controllo centralizzati consentono al personale addetto alla sicurezza di implementare policy basate sulle applicazioni indipendentemente da dove risiedono i diversi componenti delle applicazioni. Poiché è dal ciclo di vita complessivo delle applicazioni che nascono le modifiche all’infrastruttura, si riducono significativamente il lavoro e il tempo necessari per interpretare il modo in cui le modifiche alle applicazioni influiscono sull’infrastruttura. Il personale addetto alla sicurezza può invece modificare le impostazioni di sicurezza in base agli eventi del ciclo di vita delle applicazioni per attuare policy di sicurezza più uniformi. A livello strategico, invece di investire tempo produttivo a capire come implementare una policy di sicurezza per ogni specifica piattaforma cloud per soddisfare i requisiti organizzativi, il personale addetto alla sicurezza può implementare rapidamente le policy in un livello di gestione della sicurezza unificato, che astrae le tecnologie sottostanti e consente aggiornamenti molto più rapidi.
nn Conformità. Infine, gli strumenti e le pratiche di sicurezza delle informazioni e delle applicazioni di rete consentono alle organizzazioni di gestire i rischi associati al funzionamento delle risorse digitali e la conformità alle normative di settore. In particolare, il mantenimento di una strategia di sicurezza uniforme e l’automazione delle operazioni di sicurezza aumentano significativamente la capacità di un’organizzazione di mantenere la conformità alle normative. Inoltre, la centralizzazione della gestione della sicurezza e l’automazione dei flussi di lavoro e della condivisione delle informazioni sulle minacce offrono alle organizzazioni la capacità di reagire rapidamente alle minacce emergenti. Possono inoltre attenuare più efficacemente i rischi sull’intera superficie di attacco senza richiedere interventi di sicurezza eccessivamente impegnativi.
UNA SOLUZIONE COMPLETA BASATA SU INTEGRAZIONE NATIVA, PROTEZIONE ESTESA E FUNZIONALITÀ DI GESTIONE E AUTOMAZIONE DELLA SICUREZZA DEVE FUNZIONARE SU DIVERSI MODELLI DI EROGAZIONE, MODELLI DI DISTRIBUZIONE E FORNITORI DI SERVIZI.
GESTIONE E AUTOMAZIONE
CASI D’USO SPECIFICI PER IL CLOUDLa sicurezza per i carichi di lavoro e le applicazioni cloud deve essere implementata in modo conveniente e intuitivo da realizzare e gestire. Il risultato deve essere una soluzione davvero completa nell’attenuazione dei rischi per uno specifico caso d’uso. Di seguito sono riportati alcuni degli esempi più rilevanti:
SICUREZZA IAAS COMPLETA
I fornitori di servizi cloud proteggono le rispettive infrastrutture. Le organizzazioni degli utenti finali devono tuttavia occuparsi della protezione delle proprie risorse e applicazioni cloud. Quando si distribuiscono applicazioni specifiche nel cloud, la protezione dell’infrastruttura di supporto di queste applicazioni presenta sfide uniche e deve essere affrontata in modo completo su tre dimensioni diverse:
PROTEZIONE ESTESA INTEGRAZIONE NATIVA
MODELLO DI EROGAZIONE
Pubblico Comunità
Cloud
CLIENTE FINALE
MODELLO DI DISTRIBUZIONE
FORNITORI DI SERVIZI
7
WHITE PAPER: PRINCIPI E STRATEGIE CHIAVE PER PROTEGGERE IL CLOUD AZIENDALE
Cloud Services Hub
Public Cloud Based Infrastructure
VPC1 VPC2VM VM VM
Transit VPC
HUB SERVIZI CLOUD
Le organizzazioni possono sfruttare una VPN basata su cloud per fornire servizi condivisi alle reti cloud e locali. Le reti e le applicazioni sviluppate e gestite in modo indipendente da diverse unità organizzative (line-of-business) possono essere collegate all’hub dei servizi cloud tramite una connessione VPN. Possono quindi utilizzare servizi condivisi, come firewall a livello applicativo, protezione delle comunicazioni delle applicazioni, firewall WAF con riconoscimento del contesto e delle applicazioni, sicurezza email e servizi di Advanced Threat Protection basati su sandbox. Tutti questi servizi possono essere gestiti dal cloud.
nn A livello di carico di lavoro, con un agente che controlli la coerenza dell’applicazione e del traffico est-ovest.
nn A livello di rete, proteggendo le comunicazioni nord-sud con un NGFW in linea che offra anche funzionalità VPN.
nn A livello di API, è necessario che una terza parte gestisca la strategia di sicurezza di un’organizzazione tramite le API del cloud. Tale funzione è supportata da un servizio CASB (Cloud Access Security Broker).
I diversi prodotti che proteggono queste diverse dimensioni devono interagire ed essere gestiti centralmente tramite policy di sicurezza uniformi.
VPC1 VPC2
VM
Public Cloud Based Infrastructure
Public Cloud Management API
Cloud Access Security Broker (CASB)
Endpoint Security
NGFW (VM)
VM VM
HUB SERVIZI CLOUDSICUREZZA IAAS COMPLETA
Infrastruttura basata su cloud pubblico Infrastruttura basata su cloud pubblico
API di gestione cloud pubblico
VPC1NGFW (VM)
Internet
VPC1
Transit VPC
Hub servizi cloud
VPC2
VPC2
Endpoint Security
Cloud Access Security Broker (CASB)
8
WHITE PAPER: PRINCIPI E STRATEGIE CHIAVE PER PROTEGGERE IL CLOUD AZIENDALE
Cloud Services HubTransit VPC
Web based and Mail Applications
Sandbox Web and Mail Security
NGFW
Public Cloud Based Infrastructure
VMVM
NGFW (VM)
NGFW (VM)
Cloud Remote Access Points
Public Cloud Based Infrastructure
Private Data Center Infrastructure
Cloud Network 1
VM VM VM
Cloud Network 2
VPN DI ACCESSO REMOTO
Sfruttando la presenza globale di data center e aree cloud, le organizzazioni possono creare punti di terminazione VPN di accesso remoto a livello globale e distribuire gateway in modo dinamico in base ai requisiti degli utenti finali. La gestione uniforme dei diversi punti di terminazione VPN offre la flessibilità necessaria per una distribuzione mondiale senza aggiungere spese di gestione evitabili. Inoltre, la natura dinamica del cloud significa che la distribuzione non è permanente, ma può essere configurata o disattivata secondo necessità. Questo scenario si applica sia quando le applicazioni risiedono nel cloud, sia quando risiedono in locale. Nel caso di applicazioni locali, queste possono connettersi al cloud utilizzando tunnel VPN IPsec da sito a sito.
PROTEZIONE AVANZATA DELLE APPLICAZIONI
In un contesto in cui le organizzazioni distribuiscono su cloud pubblici applicazioni business-critical contenenti dati sensibili, la sicurezza a livello di applicazione diventa fondamentale. Ciò aiuta a supportare gli obiettivi di gestione dei rischi aziendali, garantendo al tempo stesso la conformità a normative quali il Payment Card Industry Data Security Standard (PCI DSS) e il regolamento generale sulla protezione dei dati dell’Unione europea (GDPR).
Le soluzioni di sicurezza devono offrire una sicurezza ampia, multilivello e specifica per le applicazioni. Ciò consente alle organizzazioni di trasferire le applicazioni nel cloud in base ai requisiti aziendali anziché alla disponibilità dettata dalla sicurezza. Inoltre, le organizzazioni hanno la flessibilità di scegliere la piattaforma cloud più rispondente alle esigenze del business invece che ai vincoli tecnici.
CLOUD IBRIDO
Molte organizzazioni sfruttano il cloud pubblico per fornire l’infrastruttura per le soluzioni IT insieme ai data center locali. In molti casi, le nuove applicazioni vengono distribuite in modo uniforme sul cloud pubblico, mentre in altri casi vengono distribuite in cloud pubblici e privati in parallelo. È importante che una soluzione di sicurezza offra supporto sia per le tecnologie di cloud privato che di cloud pubblico. Deve inoltre offrire funzionalità di sicurezza rapide ed efficaci per far fronte ad alti volumi di trasferimento dati. Un’importanza critica è rivestita anche da una gestione uniforme delle policy di sicurezza, che garantisce che la migrazione delle applicazioni da un’infrastruttura all’altra non comporti indesiderati sovraccarichi operativi di sicurezza, i quali potrebbero favorire errori umani in grado di compromettere la sicurezza. Le funzionalità di sicurezza devono inoltre proteggere l’intera superficie di attacco ed essere scalabili per adattarsi ai continui cambiamenti.
Infrastruttura basata su cloud pubblico
Infrastruttura basata su cloud pubblico
Infrastruttura data center privato
Rete cloud 1 Rete cloud 2
NGFW (VM)
NGFW (VM)
NGFW
Sicurezza Web e emailSandbox
Applicazioni web e email
Access point cloud remoti
Hub Transit VPC di servizi cloud
9
WHITE PAPER: PRINCIPI E STRATEGIE CHIAVE PER PROTEGGERE IL CLOUD AZIENDALE
SaaS Management API
Cloud Access Security Broker (CASB)
Public Cloud Based Security Management
Public Cloud Based Security Management
Public Cloud Based Infrastructure
Public Cloud Management API
Cloud Access Security Broker (CASB)
Cloud Network 1
VM VM VM
Cloud Network 2
MONITORAGGIO E CONTROLLO DELL’USO DEL SAAS
Con la crescita dell’uso delle applicazioni SaaS nelle aziende a livello sia centrale che remoto, aumenta anche la necessità di applicare policy di sicurezza uniformi per gli utenti. La sicurezza cloud deve integrare controlli di sicurezza dai firewall perimetrali utilizzati per ispezionare tutto il traffico in uscita, incluso quello generato dalle applicazioni SaaS. In tale traffico, i contenuti dannosi e gli accessi non sicuri spesso possono essere individuati solo correlando diversi vettori di comunicazione. Ad esempio, la collaborazione su un file specifico in un’applicazione SaaS e l’invio di tale file tramite email possono essere monitorati solo da una protezione completa CASB e in linea, come un firewall locale.
GESTIONE DELLA SICUREZZA DAL CLOUD
L’espansione delle reti aziendali su scala globale e distribuita genera esigenze di connettività tra più filiali, data center e ambienti cloud. Le organizzazioni devono pertanto essere in grado di gestire la sicurezza in modo scalabile e con tolleranza di errore, semplificando le operazioni e la gestione del ciclo di vita della sicurezza. Le soluzioni di gestione della sicurezza devono sfruttare la presenza globale dei principali fornitori di infrastrutture cloud e l’elasticità delle risorse di storage e calcolo per sistemi di gestione delle operazioni e della sicurezza globali e centralizzati.
MONITORAGGIO E CONTROLLO DELL’USO DEL SAAS
MONITORAGGIO E CONTROLLO DELL’USO DEL CLOUD PUBBLICO
L’utilizzo del cloud pubblico spesso non viene monitorato. Inoltre, gli utenti possono eseguire quasi tutte le funzioni che desiderano, con l’unico limite delle autorizzazioni associate al proprio ruolo utente. Questa modalità senza supervisione porta a rischi per la sicurezza e a costi evitabili nell’uso delle risorse cloud.
Un servizio CASB può gestire la strategia di sicurezza di concerto con le funzionalità in linea dell’infrastruttura di sicurezza nel cloud, consentendo alle organizzazioni di ottenere piena visibilità sulle modifiche alla configurazione attraverso una varietà di infrastrutture cloud pubbliche. Le organizzazioni possono inoltre migliorare i propri processi decisionali e modificare le policy in modo da soddisfare i propri requisiti aziendali, applicando al tempo stesso policy di uso accettabile e di conformità alle normative e agli standard di sicurezza.
Infrastruttura basata su cloud pubblico
Gestione della sicurezza basata su cloud pubblico
Gestione della sicurezza basata su cloud pubblico
Rete cloud 1 Rete cloud 2
API di gestione cloud pubblico
API di gestione SaaS
Cloud Access Security Broker (CASB)
Cloud Access Security Broker (CASB)
Copyright © 2018 Fortinet, Inc. Tutti i diritti riservati. Fortinet®, FortiGate®, FortiCare®, FortiGuard® e altri marchi sono marchi registrati di Fortinet, Inc. Anche altri nomi Fortinet qui citati possono essere marchi registrati e/o marchi di diritto comune di Fortinet. Tutti gli altri nomi di prodotti o società possono essere marchi registrati dei rispettivi proprietari. I dati riportati relativi a prestazioni e altre caratteristiche sono stati ottenuti con prove interne di laboratorio in condizioni ideali e, pertanto, le prestazioni effettive e altri risultati possono variare. Elementi variabili della rete, diversi ambienti di rete e altre condizioni possono influenzare i risultati delle prestazioni. Nulla di quanto qui contenuto rappresenta un impegno vincolante per Fortinet, e Fortinet esclude qualsiasi garanzia, esplicita o implicita, eccetto quelle previste da un contratto scritto, firmato da un rappresentante legale di Fortinet, che garantisca esplicitamente all’acquirente che le prestazioni del prodotto indicato saranno conformi a determinati dati esplicitamente indicati. In tal caso, solo gli specifici dati delle prestazioni esplicitamente identificati in tale contratto scritto saranno vincolanti per Fortinet. Per chiarezza, qualsiasi garanzia è limitata alle prestazioni ottenute nelle stesse condizioni ideali delle prove interne di laboratorio di Fortinet. Fortinet esclude in toto qualsiasi convenzione, rappresentanza e garanzia, esplicita o implicita, sulla base del presente documento. Fortinet si riserva il diritto di cambiare, modificare, trasferire o comunque revisionare questa pubblicazione senza alcun preavviso. La versione applicabile della presente pubblicazione è quella più recente.
www.fortinet.com
aprile 25, 2019 12:00 p.
wp-key-principles-securing-the-enterprise-cloud-A4270835-0-1-IT
WHITE PAPER: PRINCIPI E STRATEGIE CHIAVE PER PROTEGGERE IL CLOUD AZIENDALE
CONCLUSIONI
Il cloud offre alle organizzazioni immense opportunità di business. Ma senza l’infrastruttura di sicurezza e il framework operativo giusti, il cloud presenta serie sfide di sicurezza che possono avere ripercussioni di vasta portata. Applicazioni e dati business-critical sono sparsi su più cloud. L’adozione rapida e decentralizzata dei servizi cloud spesso si traduce in un insieme eterogeneo di strumenti e policy di sicurezza gestiti in ambienti isolati.
Il modello di condivisione di responsabilità per la sicurezza del cloud impone ai fornitori di servizi cloud solo di proteggere l’infrastruttura. Non rientrano nelle loro responsabilità le applicazioni distribuite e in esecuzione sul cloud e i dati archiviati nel cloud. Della protezione del livello applicativo sono responsabili gli utenti finali. Poiché ogni fornitore di servizi cloud utilizza strumenti e metodi di sicurezza diversi, si crea ulteriore complessità per le aziende, le quali devono coordinare tali strumenti e metodi con gli strumenti di sicurezza adottati per proteggere le proprie applicazioni.
Per proteggere gli ambienti multi-cloud, le aziende devono seguire tre principi:
nn Integrazione nativa con tutti i principali fornitori di servizi cloud
nn Un’ampia suite di strumenti di sicurezza che copra l’intera superficie di attacco
nn Gestione centralizzata della sicurezza, compresa l’automazione dei flussi di lavoro e la condivisione di informazioni sulle minacce
A causa dell’eterogeneità delle distribuzioni cloud, vi sono più casi d’uso della sicurezza che le organizzazioni devono prendere in considerazione. Ognuno di questi è accompagnato da requisiti di sicurezza, come l’integrazione di tutti gli elementi di sicurezza sull’intera superficie di attacco, l’automazione della sicurezza estesa su più cloud, framework di sicurezza specifici per il cloud con gestione centralizzata delle policy per la conformità normativa, sicurezza estesa all’intero ciclo di vita delle applicazioni, un hub di servizi cloud per la fornitura di servizi di sicurezza e altro ancora.
1 “Fortinet Threat Landscape Report Q3 2017,” Fortinet, 17 novembre 2017.
2 “Gartner Reveals Top Predictions for IT Organizations and Users for 2016 and Beyond,” Gartner, 6 ottobre 2015.