La IaaS security tra tutti i servizi in cloud è quella meno facile da presidiare. Perché è vero che il fornitore cloud gestisce le infrastrutture IT come risorse di archiviazione, server e rete erogando questo tipo di servizi alle organizzazioni abbonate tramite macchine virtuali accessibili tramite Internet. Ma è vero anche che il cliente ha maggiori responsabilità in termini di sicurezza rispetto agli ambienti PaaS o SaaS. Il modello di responsabilità condivisa prevede che quanto più basso viene inserito nello stack, tanti più compiti di sicurezza operativa si assume il cliente.
Ad esempio, con il SaaS, le attività incentrate sul sistema operativo, come l’applicazione delle patch, sono fuori dal controllo del cliente. Nel modello IaaS, invece, la responsabilità spetta ai clienti perché hanno il controllo sui carichi di lavoro che, in questo caso, sono delle immagini di elaborazione virtuale.
IaaS security: le cose da sapere
Con il controllo arriva la responsabilità. Assumendo un maggiore controllo sull’infrastruttura sottostante, i clienti IaaS si assumono anche l’onere di assicurarsi che sia protetta. Poiché lo IaaS è più in basso nello stack, è più difficile ottenere indicazioni specifiche sulla sua sicurezza perché le best practice devono adattarsi a utilizzi diversi. Tuttavia, esiste una selezione di best practice per la IaaS security che possono essere applicate universalmente a tutti i provider cloud e agli scenari di utilizzo. Di seguito i cinque passaggi fondamentali di una checklist di sicurezza IaaS per i clienti:
1. Comprendere il modello di sicurezza del fornitore
Una sicurezza cloud efficace non significa semplicemente implementare controlli efficaci di accesso e autenticazione o crittografare i dati inattivi e in transito. Ciò che serve è un insieme di regole su come viene gestita la sicurezza del cloud e la chiave per raggiungere questo obiettivo è una policy di sicurezza del cloud. Prima di utilizzare un’offerta IaaS, dunque, i responsabili della sicurezza informatica devono assicurarsi di comprendere il modello di sicurezza del fornitore. Questo è importante per due ragioni:
- La prima è che i provider utilizzano una terminologia diversa per concetti simili. Ad esempio, gli utenti potrebbero organizzare le risorse utilizzando i tag in AWS ma organizzarle in un progetto in Google Cloud. Ciò influisce sul modo in cui vengono implementate le modifiche alle policy di sicurezza del cloud, per cui riconoscere le terminologie può aiutare a evitare fraintendimenti e a prevenire errori.
- In secondo luogo, è importante dal punto di vista operativo. Gli utenti devono capire bene non solo quali funzionalità di sicurezza sono disponibili ma anche il potenziale valore o i limiti di queste funzionalità. Tenendo presente questo contesto, i leader della sicurezza informatica possono identificare eventuali modifiche necessarie al profilo operativo per garantire che le funzionalità siano utilizzate in modo efficace.
Servizi come Amazon GuardDuty e Microsoft Defender for Identity, precedentemente noti come Azure Advanced Threat Protection, sono concettualmente simili ad alto livello, ma sono drasticamente diversi nel modo in cui operano e nel modo in cui il personale operativo degli utenti riceve valore da essi. Per questo è opportuno creare una mappa di controllo con cui confrontare le funzionalità tra i fornitori, il che è particolarmente importante in un contesto multi-cloud.
2. Crittografare i dati inattivi
La maggior parte dei provider, in particolare quelli più grandi, offrono la possibilità di crittografare le virtual machine create nella propria piattaforma IaaS. Questa funzionalità di crittografia è in genere gratuita o disponibile a basso costo: è possibile scegliere di gestire le proprie chiavi od optare per farle gestire al proprio fornitore.
Dato il basso impatto finanziario e operativo, utilizzare questa funzionalità di crittografia, se non è già attiva per impostazione predefinita, è una decisione più che saggia. Secondo il passaggio precedente dell’elenco di controllo della IaaS security è bene assicurarsi se o come la crittografia dei dati inattivi influisca su altri servizi offerti dal provider come, ad esempio, nel caso delle funzionalità di backup e ripristino.
3. Patch coerenti
Come già anticipato, i clienti IaaS sono i principali responsabili del mantenimento aggiornato dei carichi di lavoro. Nella maggior parte dei casi, ciò include il sistema operativo stesso e qualsiasi software installato su tali immagini. Proprio come i server locali devono essere aggiornati e mantenuti in modo appropriato, la stessa attenzione va posta per i carichi di lavoro in cloud. Il problema è che l’applicazione di patch coerenti può essere più difficile di quanto sembri. Ciò è particolarmente vero quando le risorse cloud vengono gestite all’interno di un gruppo diverso o utilizzando un processo operativo diverso.
4. Monitoraggio e inventario
Tenere d’occhio qualsiasi risorsa, basata su cloud o meno, è sempre una questione di buon senso. Analogamente all’applicazione delle patch, quando si parla di IaaS security bisogna considerare come le funzioni di monitoraggio possano essere collocate in diversi gruppi all’interno dell’organizzazione. I fornitori offrono vari meccanismi di monitoraggio utilizzando diverse interfacce. Queste sfide operative richiederanno una pianificazione e una lungimiranza significative per garantire un monitoraggio del cloud coerente ed efficiente. Pertanto, i leader della sicurezza dovrebbero riservare tempo sufficiente per sviluppare una strategia di monitoraggio ben pianificata.
La premessa alla sua efficacia è avere sempre un inventario aggiornato delle immagini. La console IaaS elencherà cosa c’è, ma non includerà necessariamente dettagli su chi nell’organizzazione utilizza una VM e per cosa. A questo proposito è utile mantenere le informazioni di inventario con una sua sistematizzazione nella console IaaS utilizzando note o tag associati. Ciò consente ai team di sicurezza di fare riferimenti incrociati alle informazioni, tenere traccia dei carichi di lavoro tra fornitori e identificare i carichi di lavoro a colpo d’occhio dalla cabina di regia dello IaaS.
5. Gestione degli accessi
Nel modello dell’Infrastruttura gestita come servizio in cloud esistono più dimensioni di gestione delle identità e degli accessi (IAM) da considerare come parte della checklist della IaaS security. Innanzitutto, è possibile accedere al sistema operativo e a qualsiasi applicazione e middleware installato su di esso. In secondo luogo, è opportuno considerare l’accesso privilegiato, incluso l’accesso root o amministrativo a livello del sistema operativo.
Queste considerazioni IAM per lo IaaS dovrebbero essere gestite e controllate attentamente considerando anche come esistano ulteriori livelli di accesso unici. Questi includono l’accesso alla console IaaS e ad altre funzionalità del provider che offrono informazioni o influenzano il funzionamento delle risorse cloud. Queste altre funzionalità, come backup e ripristino, gestione delle chiavi e controllo, hanno tutte un ruolo da svolgere nel mantenere sicura una risorsa. Pertanto, è fondamentale capire chi ha accesso a queste aree della console del provider e per quale scopo.
Laddove opportuno, gli esperti suggeriscono di utilizzare funzionalità come l’accesso just-in-time in modo che l’accesso venga fornito solo quando necessario.
Infine, per consolidare centralmente le autorizzazioni di accesso, garantire che il monitoraggio venga applicato in modo uniforme e ridurre al minimo la superficie di attacco del carico di lavoro il consiglio è di utilizzare un server jump.