Il cloud security assessments è fondamentale per garantire la sicurezza della propria infrastruttura cloud e in particolare per determinare se sono stati implementati i livelli appropriati di sicurezza e governance in grado di contrastare i rischi e prevenire possibili attacchi informatici. Le sfide alla sicurezza nel cloud sono diverse da quelle che riguardano un ambiente fisico ma i processi generali per la sicurezza sono fondamentalmente gli stessi.
Gartner, nell’Hype Cycle Cloud Security, 2020 dove ha valutato 33 tecnologie e stabilito la fase del ciclo di adozione e l’impatto di ognuna, ha annunciato che l’adozione completa di cloud security assessments avrà raggiunto la maturità in meno di due anni. Infatti, come nell’anno precedente è collocata nell’ultima fase del Hype Cycle, il plateau of productivity il che sta a significare che la tecnologia ha raggiunto un alto grado di affidabilità.
Gartner è anche convinta che il 99% degli incidenti di sicurezza del cloud fino al 2025 saranno da addossare ai consumatori in particolare per quanto riguarda le migrazioni al cloud che comportano una serie di nuovi rischi e nuove sfide per la sicurezza.
Le valutazioni sulla sicurezza del cloud possono rendere palese o visibile lo stato di sicurezza del cloud e dei rischi in modo trasversale sia riguardo alla gestione dell’identità e degli accessi, alle reti, alla tutela e riservatezza dei dati, alla ridondanza dei sistemi, ad archivi, carichi di lavoro e applicazioni.
L’obiettivo è sempre mantenere un ambiente sicuro.
La valutazione del cloud
Per trarre vantaggi dal cloud computing e ottenere così servizi IT flessibili, on-demand, scalabili e self-service occorre gestire in modo corretto i rischi per la sicurezza. Questo significa implementare e gestire policy, procedure, linee guida e controlli che risultino efficaci ed in grado di prevenire errori o violazioni. Ma significa anche che i servizi basati su cloud devono essere adeguatamente valutati prima di essere utilizzati.
In particolare, cloud security assessments deve:
- Assicurare che i controlli di sicurezza siano integrati nella progettazione e nell’implementazione di un servizio basato su cloud.
- Identificare le lacune tra i requisiti di controllo della sicurezza e la loro effettiva attuazione.
- Constatare che i controlli di sicurezza del cloud funzionino in modo efficace.
- Essere decisiva per prevenire o mitigare i rischi.
Cloud Security Assessments
Una valutazione della sicurezza del cloud deve in sostanza identificare i rischi per la sicurezza del cloud ma anche eseguire audit di sicurezza cloud per documentare i controlli in atto e fornire visibilità sui punti di forza e di debolezza dei sistemi esistenti. Deve valutare le lacune che possono indebolire la sicurezza del cloud prima di implementare o passare a nuovi servizi. Valutare la maturità della sicurezza attraverso un confronto tra le pratiche in atto rispetto ai metodi e agli standard principali. Tutto questo deve essere in linea con una valutazione dei propri obiettivi legati all’utilizzo di soluzioni o sistemi cloud based.
Responsabilità della valutazione del rischio
Ma chi ha la responsabilità di valutare eventuali rischi?
La valutazione della sicurezza del cloud è una responsabilità condivisa che varia in base alla distribuzione cloud e al modello di servizio. Nel modello Infrastructure as a Service (IaaS), l’organizzazione è responsabile della valutazione diretta di più componenti e controlli, mentre nei modelli PaaS e SaaS, l’organizzazione deve avvalersi di certificazioni o attestazioni formali di terze parti indipendenti a garanzia di controlli che siano realmente svolti e in modo efficace.
A condividere le responsabilità ci sono i consumatori di cloud (cloud consumer o cloud service consumer, CSC) e i fornitori di servizi cloud (CSP). I consumatori devono conoscere i controlli di sicurezza che sono sotto la propria responsabilità, assicurarsi che certificazione o attestazione provengano da una terza parte indipendente e che le caratteristiche di sicurezza siano mantenute per tutta la durata del contratto. Il cloud consumer utilizza degli accordi sui livelli di servizio (Service Level Agreements o SLAs) per specificare i requisiti sulle prestazioni tecniche che devono essere soddisfatti dal provider.
Dall’altra parte, i responsabili dei servizi cloud devono documentare i controlli di sicurezza e le funzionalità utilizzate dai loro servizi cloud, garantire il rispetto degli accordi contrattuali e dei livelli di servizio e fornire ai consumatori le informazioni che descrivono servizi e controlli implementati. Inoltre, devono monitorare continuamente i propri servizi cloud per rilevare i cambiamenti e riferire sugli incidenti e su eventuali modifiche. Il cloud provider può anche includere negli SLAs restrizioni e obblighi che il cloud consumer deve accettare.
Gartner consiglia in generale alle aziende che si rivolgono a fornitori cloud di mettere per iscritto la garanzia di servizi come la protezione dall’accesso non autorizzato da parte di terzi, la certificazione annuale degli standard di security o lo svolgimento di regolari test delle vulnerabilità.
Alle attività di consumer e provider si aggiungono gli audit di terze parti in grado di occuparsi anche della verifica delle conformità in base alle diverse normative e forniscono certificazioni.
Il Consensus Assessments Initiative Questionnaire (CAIQ)
La Cloud Security Alliance (CSA) una organizzazione mondiale dedicata alla definizione e alla sensibilizzazione delle migliori pratiche per garantire un ambiente di cloud computing sicuro, ha istituito il Security Trust and Assurance Registry (STAR) un registro accessibile a tutti ma anche un programma di garanzia della sicurezza del cloud che comprende i principi di trasparenza e gli standard in grado di aiutare le organizzazioni. La stessa CSA fornisce anche un sondaggio, il Consensus Assessments Initiative Questionnaire (CAIQ) che aiuta i consumatori cloud a valutare la posizione di sicurezza dei potenziali fornitori di servizi cloud fornendo trasparenza del controllo di sicurezza e in un certo senso, garanzia. Il questionario si compone di domande sulla base del Sì/No da fare a un provider di cloud per accertare la propria conformità alla matrice dei controlli cloud (CCM).
Gli approcci per la valutazione della sicurezza del cloud
Nella valutazione della sicurezza, oltre a far riferimento ad audit, framework di reporting e certificazioni di terze parti indipendenti per valutare i controlli di sicurezza si possono adottare pratiche di automazione e DevSecOps.
Le valutazioni di sicurezza tradizionali generalmente si basano su un processo manuale che richiede tempo e non si allinea bene con l’agilità di un ambiente cloud based. Per questo le nuove piattaforme cloud offrono strumenti di automazione, modelli e linguaggi di scripting che possono essere utilizzati per l’applicazione e la creazione di report sulle configurazioni di base della sicurezza. La pratica DevSecOps estende il flusso di lavoro DevOps incorporando attività e processi di sicurezza automatizzati nei modelli di integrazione continua (CI) e di distribuzione continua (CD). I test di sicurezza automatizzati in sostanza aiutano a evitare errori che derivano dalle attività di valutazione manuale e garantiscono continuità di valutazione della sicurezza. Inoltre, riducono la quantità di tempo necessaria per identificare eventuali problemi.
