TECHTARGET

5 passaggi per la protezione del cloud control plane

La sicurezza del cloud control plane è fondamentale per l’intera infrastruttura, specialmente negli ambienti multicloud. Ecco cinque passi per dormire sonni tranquilli

Pubblicato il 08 Apr 2020

cloud control plane 1

Quando in azienda cresce il numero dei servizi e delle risorse cloud che vengono utilizzate, ci si ritrova con una varietà di console amministrative e di interfacce da gestire. Considerate come un unico elemento, esse prendono il nome di cloud control plane.

Se non adeguatamente protetto, il control plane potrebbe risultare vulnerabile a un’ampia varietà di attacchi, come dimostrano i diversi casi di abuso di privilegi amministrativi. Ad esempio, il servizio di code hosting Code Spaces è stato completamente chiuso nel 2014 a causa di un attacco brute force alla sua console di gestione AWS, mentre nel 2018 diverse console amministrative di Kubernetes sono state usate per creare istanze di container da usare per il mining di criptovalute. Di esempi ce ne sarebbero molti altri.

Per rendere più sicuro il cloud control plane, è fondamentale che le aziende seguano (almeno) queste cinque best practice.

Account Inventory

Gli Admin devono definire con cura a quali utenti e account fornire accesso amministrativo agli ambienti cloud. Pur essendo questa una funzione di base dell’Identity and Access Management, in aziende di grandi dimensioni può essere complesso definire ruoli e funzioni per ognuno dei servizi cloud adottati. Alcuni SaaS, infatti, possono avere un solo tipo di amministratore, ma la maggior parte dei PaaS e IaaS hanno una vasta gamma di policy e di livelli di privilegi.

La creazione di un modello sostenibile incentrato sulla sicurezza può richiedere tempo e risorse, ma è una delle aree più critiche su cui concentrarsi. È buona norma creare una directory centrale ( come Active Directory) con Single Sign-On, mediante degli Identity Gateway on-premise o un servizio di identity-as-a-service. Tutto ciò abilita provisioning e deprovisioning semplice degli account, nonché una facile supervisione centrale, indipendentemente dal servizio cloud in uso.

Strong Authentication

Code Spaces sarebbe ancora attivo se avesse attivato la Strong Authentication (o Multi Factor Authentication) per l’accesso alla console AWS. Per tutti gli account con privilegi di amministrazione, occorre abilitare MFA e imporre rigorosamente il suo utilizzo. Idealmente, tutti gli utenti e gli account che interagiscono con il cloud control plane dovrebbero usare l’accesso a due fattori, ma è peraltro vero che questo potrebbe interferire con alcune strategie di automazione. Bisogna dunque cercare di far rispettare l’MFA laddove possibile, ma essere anche consapevoli che non sempre questo è fattibile.

Logging

Un terzo aspetto chiave per la messa in sicurezza del cloud control plane è il logging dell’intero ambiente. Questa operazione è facilmente realizzabile in tutti i principali cloud: AWS cloudTrail, per esempio, ma anche Azure Activity Log e Google cloud Platform (GCP) Stackdriver. I responsabili della sicurezza devono poi monitorare e valutare costantemente questi log.

Limitare l’accesso alle API

Occorre assicurarsi che qualsiasi accesso alle API sia limitato a utenti selezionati e attentamente monitorati. L’interfaccia di AWS, Azure PowerShell o l’accesso alle API di GCP possono essere soggetti ad abusi, specialmente da parte di utenti con accessi privilegiati. Il consiglio è quello di limitare l’accesso solo a indirizzi IP o fonti affidabili.

Limitare l’uso delle risorse

I responsabili della sicurezza dovrebbero limitare l’uso di risorse cloud a quelle che vengono solitamente utilizzate. Le policy di identity possono essere usate per limitare l’accesso a determinati servizi cloud, e la maggior parte dei provider consente di disattivare le regioni che le organizzazioni non utilizzano o non prevedono di farlo.

Qualche passo extra

Le azioni di cui sopra riducono al minimo la superficie di cui i professionisti della sicurezza devono occuparsi, ma ci sono altre azioni che le imprese possono intraprendere. Per monitorare e rafforzare il cloud control plane, i team di sicurezza potrebbero anche prendere in considerazione l’uso di strumenti e servizi di Cloud Security Posture Management (CSPM). Questi si rivelano particolarmente utili nelle implementazioni multi-cloud: i servizi CSPM possono essere integrati con molti dei principali fornitori di servizi cloud per analizzare e valutare continuamente lo stato dei controlli di sicurezza del control plane, segnalando eventuali vulnerabilità e suggerendo le best practice all’interno di un’unica dashboard centralizzata.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Speciale Digital360Awards e CIOsumm.it

Tutti
Update
Keynote
Round table
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo

Articoli correlati

Articolo 1 di 4