Negli ultimi vent’anni, il processo di innovazione dell’IT, a livello software, è stato segnato profondamente, oltre che dal paradigma cloud, dalla diffusione nelle organizzazioni di due tecnologie: la virtualizzazione, già comparsa sulla scena dell’informatica negli anni Sessanta per razionalizzare l’utilizzo delle risorse mainframe, e la containerizzazione, che ha permesso di innovare lo sviluppo applicativo. Virtualizzazione e containerizzazione implicano però anche la necessità per i chief information officer (CIO) di affrontare nuove sfide di gestione della sicurezza IT, in scenari di business in cui dati, applicazioni e servizi digitali diventano oggetto di crescenti e via via più sofisticati attacchi informatici.
Macchine virtuali e container: cosa sono, e in cosa sono differenti
La virtualizzazione permette di emulare via software, tramite un hypervisor, varie risorse, funzionalità, dispositivi hardware, come le risorse di elaborazione (CPU), memoria (RAM), storage (unità disco, controller), o le risorse di rete (schede, adattatori di rete), creando una macchina virtuale (VM) sulla quale diventa possibile eseguire sistemi operativi o applicazioni come se fossero installati su hardware fisico dedicato.
All’interno dei data center, la virtualizzazione consente agli IT manager di ottimizzare in vari modi l’infrastruttura IT: ad esempio, attuando la cosiddetta virtualizzazione dei server si può ospitare su un singolo server fisico (server host), su cui viene installato l’hypervisor, molteplici server virtuali, o VM.
In questo modo, il reparto IT è in grado di pianificare politiche di consolidamento dei server fisici, che non solo permettono di sfruttare appieno le risorse hardware disponibili su ciascuna macchina, ma anche di risparmiare spazio prezioso nel data center. Inoltre consentono di ridurre i consumi di energia assorbita dai sistemi di alimentazione e raffreddamento, ottenendo una complessiva diminuzione dei costi di gestione. I server virtuali sono poi amministrabili con maggior flessibilità rispetto ai tradizionali server fisici.
Emulando le risorse hardware di una macchina fisica, ciascuna macchina virtuale si caratterizza a tutti gli effetti come un’entità software completamente isolata, dotata di un proprio sistema operativo e delle proprie applicazioni.
Ciò differenzia una VM da un container, che invece condivide con altri container il kernel del sistema operativo host, virtualizzando soltanto l’ambiente di esecuzione dell’applicazione, che include l’ambiente runtime (librerie e dipendenze necessarie per l’esecuzione dell’applicazione, file di configurazione specifici, linguaggio, strumenti, utility) e il codice dell’applicazione stessa.
Le diversità architetturali esistenti tra macchine virtuali e container implicano l’adozione di metodi di mitigazione delle minacce e tecniche di protezione specifiche, anche se alcune misure di sicurezza sono applicabili a entrambe le tipologie di entità software.
Misure di sicurezza comuni e specifiche
Prima di illustrare le similarità e le diversità nelle misure di sicurezza da adottare per VM e container, è importante ricordare alcuni concetti generali.
Nelle tradizionali infrastrutture IT la superficie di attacco, rappresentata da server, PC ed altri dispositivi hardware, è sostanzialmente statica, e il perimetro di rete viene in genere protetto tramite security appliance hardware e soluzioni software con funzionalità di firewall, rilevamento (IDS) e prevenzione (IPS) delle intrusioni.
Nelle infrastrutture virtualizzate, invece, la superficie di attacco sfruttabile dai criminali informatici è più ampia, può espandersi in maniera dinamica, e necessita di difese appropriate. Qui entrano infatti in gioco le potenziali vulnerabilità esistenti in hypervisor, VM, piattaforme di gestione (vSphere, Hyper-V, KVM), sistemi operativi ospite (guest OS), reti virtuali, container, volumi persistenti di storage e workload creati in modo automatico e dinamico.
Non basta più quindi identificare e risolvere le vulnerabilità presenti nei sistemi operativi delle macchine fisiche, nelle applicazioni che eseguono, o nelle configurazioni dei singoli dispositivi (server, PC, router, switch). Di conseguenza, negli ambienti IT virtualizzati la gestione delle patch di sicurezza risulta più complessa, dovendo includere tutti i componenti sopra menzionati.
Inoltre, le tradizionali tecnologie di sicurezza informatica, per essere efficaci in ambienti virtualizzati e dinamici in cui coesistono VM e container, devono evolvere da un paradigma hardware-based verso un modello software-based, che permetta di dispiegare con flessibilità, in automatico, e con elevato livello di controllo (granularity) servizi e funzionalità di sicurezza là dove e quando servono: nella rete aziendale, nel cloud ibrido o negli ambienti multicloud.
Le similarità
Detto questo, vi sono alcune similarità che accomunano le misure di protezione per VM e container. Una è la scansione delle vulnerabilità, che va eseguita per entrambe le entità software, includendo sistemi operativi guest, hypervisor, immagini dei contenitori. Anche i meccanismi di controllo accessi devono essere implementati sia su VM sia su container, per limitare l’accesso a tali risorse e prevenire operazioni non autorizzate.
La stessa cosa vale per le misure dedicate alla sicurezza di rete, come firewall, IDS, IPS e tecniche di segmentazione e microsegmentazione della rete, che servono in tutti e due i casi, per isolare i workload, controllare i flussi di traffico e ridurre la superficie di attacco.
Per quanto attiene invece alle differenze nelle misure di difesa, nel caso delle macchine virtuali è fondamentale ottimizzare la sicurezza di ciascun sistema host, della piattaforma di gestione e dell’hypervisor, eseguendo un hardening del sistema operativo guest. Va detto che quest’ultimo, essendo un sistema operativo completo, fornisce maggior isolamento tra la VM e il sistema operativo host, rispetto a un container che invece ne condivide il kernel. D’altra parte, il guest OS, proprio in quanto sistema operativo completo, può manifestare maggiori vulnerabilità e quindi esporre una più ampia superficie d’attacco.
Le misure di difesa per i container devono focalizzarsi fortemente sulla sicurezza delle immagini, verificandone la provenienza (software supply chain security), e utilizzando strumenti di scansione in grado di rilevare eventuali malware e vulnerabilità.
Ugualmente importante è proteggere l’ambiente runtime e il codice applicativo, che nel loro insieme espongono una superficie di attacco comunque inferiore in confronto a quella di una VM, con vulnerabilità più limitate. Per contro, condividendo il kernel del sistema host, i container forniscono minore isolamento da quest’ultimo, e possono incrementare l’impatto potenziale derivante da una compromissione.
Modernizzare l’IT con applicazioni containerizzate sicure
In ragione della loro differente natura, macchine virtuali e container giocano un ruolo complementare nelle iniziative di modernizzazione dell’IT, rispondendo ai requisiti di differenti casi d’uso. Come accennato, le VM si possono adottare per il consolidamento di server fisici, o per migrare velocemente su cloud, ad esempio attraverso strategie “lift and shift” (rehosting), applicazioni legacy che al momento non si prevede di modificare o riscrivere.
D’altro canto, i container sono indicati per lo sviluppo di applicazioni moderne, basate su architettura a microservizi e improntate su un approccio cloud-native. Con l’obiettivo di cogliere appieno i benefici che macchine virtuali e container possono fornire, le organizzazioni implementano quindi infrastrutture ibride, costituite sia da macchine virtuali, sia da applicazioni containerizzate, che, come visto, vanno entrambe messe in sicurezza adottando le metodologie, i meccanismi e gli strumenti di protezione più idonei.
Nel caso dei container, utilizzati da un numero crescente di organizzazioni per implementare applicazioni che devono rispondere a requisiti di scalabilità, efficienza e costi contenuti, la domanda di solide soluzioni di sicurezza, stima la società di ricerche di mercato e consulenza Imarc Group, sta espandendosi per salvaguardare questi ambienti.
Secondo un rapporto Imarc, il comparto globale della container security, dai 2,4 miliardi di dollari del 2024, raggiungerà un valore di 16,6 miliardi di dollari entro il 2033, registrando un tasso annuo di crescita composto (CAGR) pari al 24,14% nel periodo della previsione (2025-2033).
Tale mercato è principalmente guidato dalla progressiva adozione di applicazioni containerizzate negli ambienti DevOps e cloud-native, ma anche dal crescente ricorso alle strategie di cloud ibrido, e dalla forte necessità di gestire con un approccio unificato la sicurezza in ambienti multicloud, dove i workload containerizzati vanno protetti assicurando visibilità, coerenza delle misure di difesa e capacità di controllo. In tutti questi ambienti, la crescita della domanda di soluzioni di container security è alimentata dall’aumento delle minacce cyber, delle violazioni di dati, e dei requisiti di conformità, che sempre più impongono l’implementazione di un’infrastruttura containerizzata sicura.
