Chiedete a qualsiasi professionista della sicurezza e vi dirà che la protezione degli ambienti cloud è impegnativa per una serie di motivi, tre in particolare. Il primo problema è legato alla maggiore complessità. Il secondo, alla dipendenza da service provider nelle operazioni di sicurezza quotidiane. Il terzo, alle dinamiche di adozione rapide e talvolta non pianificate.
Non sorprende, quindi, che i framework di sicurezza per il cloud stiano guadagnando terreno nella comunità dei responsabili della sicurezza su entrambi i fronti. Per i clienti, i framework possono far parte di una strategia per aiutare a proteggere l’uso del cloud. Per i fornitori, possono fungere da strumento primario in pratiche e contromisure di sicurezza. I cloud security framework possono anche aiutare nella convalida della sicurezza e nel controllo preventivo.
Indipendentemente dal punto di vista, cliente o utente finale, i framework di sicurezza del cloud possono dare valore. Con questo in mente, di seguito cerchiamo di capire che cosa sono i framework di sicurezza cloud, perché sono utili e come incorporarli in una strategia di sicurezza aziendale.
Che cos’è un cloud security framework
Sono disponibili numerosi framework di sicurezza, tra questi quelli per la governance (Cobit), l’architettura (Sabsa), gli standard di gestione (ISO/IEC 27001) e il Cybersecurity Framework del Nist. Esattamente come possono essere ampiamente applicati alla tecnologia, questi noti framework sono applicabili anche al cloud. Ce ne sono anche molti altri specializzati che potrebbero essere utili a seconda del caso d’uso e del contesto; ad esempio, il Common Security Framework di HItrust in un contesto sanitario.
I fornitori possono utilizzare security framework specifici per il cloud per le attività di validazione e certificazione. Per esempio, ISO/IEC 27017:2015, Cloud Controls Matrix (CCM) di Cloud Security Alliance (CSA) e FedRAMP. Tra gli altri, questi tre sono particolarmente utili perché sono usati frequentemente e ben noti, specifici sia per il cloud sia per la sicurezza. Inoltre, hanno un programma (o registro) di certificazione di supporto e sono utili per i fornitori di servizi cloud (CSP) come per i clienti.
I cloud security framework forniscono informazioni sulle misure di sicurezza applicabili agli ambienti cloud. Come qualsiasi framework di sicurezza, includono una serie di controlli con indicazioni specifiche (inclusi intento e rigore), control management, convalida e altre informazioni relative alla protezione di un caso d’uso.
Perché i cloud security framework sono utili
Attuare un insieme ben preciso di controlli e di pratiche è vantaggioso sia per i service provider sia per i clienti di operazioni cloud. Soprattutto perché un framework fornisce sia il quadro di riferimento all’interno del quale discutere le pratiche di sicurezza sia le misure specifiche. Esiste una gamma quasi infinita di possibili contromisure che un’organizzazione potrebbe adottare per proteggere il proprio ambiente. Avere un elenco definito di controlli condivisi aiuta i CSP a ottimizzare tempo e budget, e ai clienti fornisce indicazioni su cosa dovrebbero cercare tra i meccanismi di sicurezza standard nella valutazione di un cloud service provider.
I framework possono anche servire da base di valutazione. Forniscono infatti un utile benchmark cloud che i clienti possono utilizzare per valutare i fornitori o per confrontare le pratiche di sicurezza tra i diversi fornitori. Possono anche consentire ai fornitori di servizi di dimostrare le loro pratiche di sicurezza, nella fase pre-engagement e a sostegno della loro narrativa di vendita. Chiaro che, quanto più specifici e prescrittivi sono i controlli previsti dal framework, tanto più sono idonei a svolgere la funzione di valutazione.
Se utilizzati in modo strategico, i framework riducono il lavoro del cliente e del cloud service provider. Riducono il lavoro del cliente perché i controlli previsti dal framework possono costituire la base per una checklist di valutazione o un insieme di criteri di valutazione, il che limita la necessità per un’organizzazione di creare un elenco specifico. Il lavoro per il CSP, invece, i framework lo riducono riducendo il numero di disparati questionari di valutazione una tantum a cui i clienti chiedono loro di rispondere.
Come scegliere un cloud security framework
L’adozione e l’utilizzo di un framework di sicurezza cloud è un processo relativamente semplice, ma varia leggermente a seconda che si tratti di un cliente o di un cloud service provider.
Per i clienti, la scelta del framework più adatto dipende dal contesto aziendale. Ad esempio, un’agenzia del governo federale degli Stati Uniti quasi sicuramente prenderà in considerazione FedRAMP, un framework progettato per offrire una serie di criteri di convalida basati su misure di sicurezza standard e per semplificare l’onboarding dei CSP per uso governativo. Viceversa, una grande organizzazione multinazionale con un programma di sicurezza già validato su ISO/IEC 27001, che incorpora controlli ISO/IEC 27002, potrebbe trovare che ISO/IEC 27017 sia più adatto perché i controlli saranno più familiari e si allineeranno direttamente con il programma di sicurezza esistente.
I cloud service provider dovrebbero impiegare una serie di framework, sia cloud sia di sicurezza, riconosciuti e accettati nei mercati in cui operano. Come detto, uno dei motivi per prendere in considerazione questi particolari framework è la loro funzione di garanzia. Nel caso di FedRAMP, un CSP può diventare un fornitore di servizi autorizzato FedRAMP. Per lo standard ISO/IEC, i CSP possono certificarlo come con qualsiasi altro standard di sistema di gestione ISO. CSA ha il suo Consensus Assessment Initiative Questionnaire, costruito su CCM, e il suo registro STAR, che certifica la convalida dell’adesione. In buona sostanza, il framework che i CSP dovrebbero preferire è quello più attrattivo e riconosciuto dai loro clienti.
Indipendentemente dalla scelta, i cloud security framework possono contribuire alla sicurezza cloud. Forniscono un linguaggio comune nella discussione di controlli specifici e sono un punto di riferimento per la valutazione e la certificazione di una infrastruttura. Conoscere le opzioni disponibili è dunque tempo ben speso.
