Il Cloud Computing può ormai considerarsi un paradigma consolidato che le aziende adottano per sfruttare al meglio le capacità della propria infrastruttura IT (adottando un Cloud Privato e/o Ibrido) o, passando completamente ad una modalità di utilizzo a consumo o pay-per-use, per ridurre drasticamente i costi di investimento e gestione dell’IT interna (Cloud Pubblico).
L’elevata maturità delle soluzioni offerte, tipicamente in Cloud pubblico, e la diffusione di competenze in ambito Cloud stanno supportando la crescente adozione da parte delle aziende di soluzioni in Cloud dove l’utente può totalmente delegare la gestione del servizio al fornitore avendo così la possibilità di essere maggiormente concentrato sui processi di business (vendita, acquisti, marketing, formazione,…). L’adozione di nuovi servizi esterni all’azienda implica tuttavia una minore capacità di controllo sulle loro effettive performance e stabilità offerte dai fornitori (tipicamente di Cloud pubblico) ed espone l’azienda a potenziali rischi di cyber attacchi o perdita di dati. La gestione ed esecuzione dei servizi applicativi e memorizzazione dei dati al di fuori dei perimetri aziendali aumenta, inoltre, il possibile impatto causato da comportamenti non idonei da parte di utenti o amministratori di sistema che possono, volontariamente o involontariamente, portare ad accessi indesiderati, perdita o manipolazione di informazioni sensibili. Questa prospettiva è confermata dall’analisi di Gartner[1] che evidenzia come entro il 2020, il 95% dei incidenti di sicurezza saranno dovuti a responsabilità dirette degli utenti. Per questa ragione, è fondamentale per le aziende dotarsi di sistemi, politiche di sicurezza e processi in grado di mitigare tali rischi.
La ricerca accademica e i principali fornitori di tecnologia ICT hanno studiato diverse modalità e approcci per mitigare questi problemi di sicurezza, giungendo alla definizione di un “punto di controllo” che si frappone tra gli utenti e il fornitore Cloud in modo da intervenire nell’applicazione delle politiche di sicurezza aziendale nel momento in cui si accede alle risorse in Cloud. Questo servizio di protezione aggiuntivo è oggi noto con il nome di Cloud Access Security Broker (CASB) che, malgrado siano oggi ancora poco utilizzati, gli analisti definiscono come futura best practice con una previsione di adozione pari all’85% entro il 2020.
I CASB supportano e consolidano molteplici aspetti della gestione della sicurezza aziendale, tra cui:
Per gestire efficacemente la sicurezza dei sistemi e dei dati aziendali i CASB sono in grado di monitorare le policy di sicurezza sia per i dispositivi direttamente collegati alla rete aziendale sia per i dispositivi mobili in dotazione a dipendenti e partner commerciali. I servizi Software as a Service (SaaS), infatti, sono in gran parte utilizzati da dispositivi mobili che possono essere compromessi se rubati o collegati a connessioni internet non sicure (es. Wi-Fi pubblico) causando potenziali impatti alla sicurezza di servizi e dati sensibili.
Figure 1- CASB architettura logica
I CASB offrono una serie di funzionalità che possono essere raggruppate in quattro principali categorie:
Lo studio di CSA “The Treacherous 12: Cloud Computing Top Threats 2016”[3] aiuta a capire i rischi associati all’adozione di servizi in Cloud pubblico, focalizzando l’attenzione su 12 principali minacce di sicurezza che devono essere gestite per garantire la stabilità dei sistemi e la corretta gestione dei relativi dati.
Ben nove delle dodici minacce individuate dalla ricerca possono essere mitigate e costantemente monitorate grazie alla adozione di sistemi CASB:
I servizi CASB si stanno affermando sostanzialmente attraverso i modelli di erogazione del servizio Proxy-based e API-based. Le aziende devono quindi prestare attenzione alla architettura del CASB e ai servizi da esso supportati per garantire la massima copertura possibile. Le architetture Proxy e API sono molto diverse tra loro ed assicurano un diverso livello di protezione.
Il modello Proxy-based gestisce la sicurezza di utenti e dispositivi conosciuti attraverso un singolo punto di controllo o proxy dove l’intero traffico viene convogliato e controllato ed in cui vengono applicate le diverse policy di sicurezza in tempo reale. Utilizzare un singolo punto di controllo introduce però il rischio di impatti diretti sulle performance della rete (in particolare la latenza, ovvero i tempi di risposta del servizio) che può direttamente riflettersi sulle prestazioni generali del servizio cloud utilizzato, compromettendo la corretta fruibilità dello stesso (user experience). Inoltre, il proxy richiede particolari configurazioni sui diversi dispositivi di accesso (es. notebook, tablet, smartphone, ecc.) e permette quindi il controllo dei soli dispositivi ed utenti conosciuti e direttamente gestiti dalla azienda.
Figure 2 – CASB proxy based
Il modello API-based può considerarsi una soluzione “out-of-band”[7] che non segue lo stesso percorso dei dati gestiti dai servizi Cloud. L’integrazione diretta con i servizi Cloud non impatta le performance della network ed è in grado di gestire i collegamenti eseguiti da dispositivi ed utenti conosciuti e non conosciuti. A supporto dell’adozione di tale modello, Cloud Security Alliance (CSA) sta lavorando allo sviluppo di un set standard di API in grado di garantire la corretta compatibilità tra CASB e i principali servizi Cloud.
Figure 3 – CASB APIs based
Nel breve futuro, gli analisti di mercato ed esperti Cloud prevedono l’adozione di un approccio multimodale in modo da beneficiare delle diverse funzionalità offerte e diversificare la gestione della sicurezza tra le tipologie di utenti.
Di seguito viene riportato un breve confronto tra le modalità Proxy-based e API-based precedentemente descritte:
In grado di scansionare archivi Cloud esistentiNessuna capacità di scansionare archivi Cloud esistenti
Visibilità | Tutti i tipi di traffico | Solo su utenti e i dispositivi gestiti |
Compliance | Supporta la certificazione di HIPAA, PCI DSS e di altri mandati di data governance | Supporta la compliance solo per gli utenti gestiti e i dati in transito |
Modelli Cloud | Assicura tutti i modelli di delivery (IaaS, PaaS, SaaS) | Assicura solo SaaS |
Controllo accessi | Integrazione con servizi di Identity as a service (IDaaS) | Supporto incorporato nel proxy |
Data loss prevention | In grado di scansionare archivi Cloud esistenti | Nessuna capacità di scansionare archivi Cloud esistenti |
Scalabilità | Nessun particolare limite di scalabilità | Capacità del proxy da gestire per evitare latenza |
Scansione | Identifica l’utilizzo di applicazioni autorizzate e non | Identifica l’utilizzo di applicazioni autorizzate e non |
Le aziende che vorranno far leva sui servizi in Public Cloud per applicazioni mission-critical e dati sensibili dovranno rivedere i requisiti di governo delle sicurezza dei dati sotto una diversa lente. L’aumento della maturità delle soluzioni in Cloud pubblico e la massiccia spinta verso la mobilità del lavoro (es. BYOD, smart working, ecc.) introducono una serie di variabile scarsamente controllabili con gli attuali sistemi in dotazione alle aziende. L’adozione di sistemi CASB come punti di controllo della sicurezza dei servizi Cloud aumenta la visibilità sugli accessi e le transazioni effettuati a sistemi, applicazioni e dati garantendo un diretto controllo sulla policy di sicurezza aziendale. La combinazione delle funzioni dei CASB, strettamente integrate con il fornitore Cloud e le policy di sicurezza aziendale, possono indirizzare i principali requisiti di governo della sicurezza dei servizi mitigando i rischi intrinsechi alla migrazione nel Cloud pubblico.
[1] Gartner Press Release, “Gartner Reveals Top Predictions for IT Organizations and Users for 2016 and Beyond” October 6, 2015, http://www.gartner.com/newsroom/id/3143718
[2] UEBA – User Behavior Analytics
[3] https://cloudsecurityalliance.org/download/the-treacherous-twelve-cloud-computing-top-threats-in-2016/
[4] Application Programming Interface
[5] https://digitalguardian.com/blog/what-cloud-account-hijacking
[6] https://digitalguardian.com/blog/what-data-exfiltration
[7] https://en.wikipedia.org/wiki/Out-of-band_management
A cura di: Nicola Sfondrini e Domenico Catalano
Da qualche tempo il mondo della sicurezza informatica ha subito una trasformazione significativa. Il cambiamento,…
I modelli di Intelligenza Artificiale (AI) stanno assumendo molto velocemente un grande ruolo nella vita…
Si avvicina la data del Forum Cyber 4.0, che il 3 e 4 Giugno 2024 riunirà a…
Nel panorama odierno della sicurezza informatica, la protezione degli endpoint rappresenta un obiettivo imprescindibile per…
I numeri dell’evento Oltre 1000 ospiti, 42 relatori, 20 interventi tematici e 5 Tavole Rotonde:…
Group-IB è un fornitore, con sede a Singapore, di sistemi ad elevata attendibilità per il…