La sicurezza basata su proxy in ambienti cloud può essere inefficace o rischiosa? Nel 2018, Microsoft sosteneva che tale approccio può portare svantaggi in termini di interoperabilità, prestazioni e supporto, quindi lo sconsigliava per l’ecosistema Office 365, senza tuttavia negarlo.
Come valutare allora la bontà di una strategia proxy-based? Per un giudizio oggettivo, bisogna innanzitutto capire come funziona.
Come funziona la sicurezza basata su proxy
Importante è chiarire le logiche dei cloud access security brokers (Casb), che forniscono funzionalità di sicurezza aggiuntive (ad esempio, l’autenticazione avanzata e la crittografia) per soluzioni Saas nativamente sprovviste.
I Casb operano tipicamente in due modi: sfruttando le API offerte dal servizio Saas oppure prendendo in carico il traffico dell’applicazione (tramite reverse o forward proxying) e agendo direttamente sul flusso di dati Http sottostante. I proxy infatti sono server intermedi tra il client e il sistema che eroga l’applicazione as-a-service, con il compito di intercettare le richieste e le risposte scambiate, intervenendo all’occorrenza.
Utilizzando le API, lo svantaggio è creare funzioni compatibili solo per una determinata applicazione o piattaforma di servizi Saas. Ad esempio, le funzionalità di sicurezza sviluppate per Office 365 non funzioneranno su altro ecosistema cloud.
La sicurezza basata su proxy invece è più versatile: pur richiedendo una certa personalizzazione, funziona genericamente con pochi adattamenti proprio perché la maggioranza dei provider Saas utilizza il protocollo Http.
Tuttavia, la flessibilità presenta il conto: cosa succede se il proxy non risponde o è sovraccarico? Oppure se il provider Saas (ignaro o consapevole della presenza del proxy) apporta modifiche sostanziali all’applicazione? E se il servizio cloud non si comporta come il proxy si aspetta?
In effetti, come sottolineava Microsoft, la sicurezza basata su proxy può inficiare le performance dell’applicazione senza che il provider Saas possa risolvere il problema poiché causato da un prodotto di terze parti.
Come scegliere la soluzione ottimale
Valutare cosa abbia più senso per la propria organizzazione non è semplice.
Innanzitutto, prima di acquistare una funzionalità di sicurezza aggiuntiva, bisogna capire l’approccio utilizzato dal Casb (solo proxy, solo API oppure una combinazione di entrambi).
Successivamente, occorre valutare caso per caso le implicazioni che una soluzione basata su proxy o sull’integrazione delle API può avere sull’infrastruttura It aziendale. La sicurezza basata su proxy può implicare diverse sfide, ma anche aprire la strada all’utilizzo di soluzioni Saas in azienda. Insomma, la gestione del rischio è strettamente legata alle politiche di sicurezza dell’organizzazione e alla strategicità delle applicazioni.
Prendere una decisione consapevole significa sondare l’utilizzo aziendale delle soluzioni Saas; analizzare il comportamento e la vulnerabilità delle applicazioni esistenti o di prossimo acquisto (ricorrendo anche framework metodologici come l’application threat modeling); chiarire l’approccio architetturale delle funzionalità offerte dai Casb anche se occorrerà intavolare con i fornitori discussioni delicate.
Solo con queste informazioni a disposizione sarà possibile prendere decisioni corrette trovando il giusto equilibrio tra obiettivi di sicurezza e necessità degli utenti aziendali.
