Multi-cloud e lavoro da remoto hanno reso molto più complessa la cybersecurity negli ultimi due anni. La maggior parte delle organizzazioni oggi si rivolge a fornitori di cloud diversi con modelli IaaS, SaaS e PaaS, anche le singole applicazioni spesso si estendono su vari modelli di servizi cloud proposti da vari provider. Consideriamo ad esempio un’applicazione service-based che
- utilizza AWS Lambda e Microsoft Azure Functions per spostare pagine di contenuto da container in Google Cloud Run;
- utilizza Fastly come rete di distribuzione dei contenuti;
- si integra con Salesforce;
- si connette a un back-end API per partner commerciali in Heroku
- utilizza i servizi di identità di Auth0.
È importante osservare il numero di fornitori di servizi e modelli diversi sono integrati in questo scenario. Non è irrealistico come può sembrare, anzi è molto meno complesso di molte situazioni reali e, in questo quadro, bisogna considerare anche la pandemia.
Mentre gli ecosistemi tecnologici si sono frammentati con la crescita del cloud, il Covid-19 ha decentralizzato la forza lavoro. Ora i dipendenti sono sparsi in tutto il paese o, in alcuni casi, in tutto il mondo, facendo impennare la domanda di tecnologia distribuita e l’adozione di servizi SaaS.
Le esigenze di sicurezza che emergono in questa nuova situazione non trovano risposta nelle architetture e nelle strategie tradizionali, serve un nuovo approccio. È qui che entra in gioco il cybersecurity mesh, per ridurre al minimo la necessità di avere un ambiente informatico specifico.
Che cos’è il cybersecurity mesh
La Cybersecurity Mesh Architecture (CSMA) non è una tecnologia o un segmento di mercato specifico, ma un vero e proprio approccio architettonico. Si può paragonare al concetto di zero trust ma con alcune differenze. Quest’ultimo infatti presuppone che ogni dispositivo di un ecosistema sia già compromesso e potenzialmente ostile, la CSMA considera invece gli ambienti come logicamente separati ed eterogenei. Si tratta di una semplificazione, ovviamente, ma intrinseca e incorporata.
In “Top Security Technology Trends for 2022: Cybersecurity Mesh”, Gartner ha così descritto la CSMA: “un approccio composito e scalabile per estendere i controlli di sicurezza anche a risorse ampiamente distribuite. … la CSMA consente agli strumenti di sicurezza di integrarsi fornendo un insieme di servizi abilitanti, come identity fabric distribuito, analisi di sicurezza, intelligence, automazione e trigger, nonché la gestione e orchestrazione centralizzata delle policy”.
Il Cybersecurity Mesh si basa su quattro livelli distinti:
- security analysis and intelligence
- identity fabric distribuito
- gestione consolidata di policy e posture di sicurezza
- dashboard integrata
Tutti e quattro vanno guardati attraverso la lente del multi-cloud e del work-from-anywhere. Le strategie per raggiungere un obiettivo di security policy per servizi cloud possono variare notevolmente da fornitore a fornitore. Memorizzare un’informazione riservata in Microsoft Azure Key Vault, ad esempio, è diverso dall’utilizzare AWS CloudHSM o Google Cloud Key Management. Ognuno di essi ha una propria API, un proprio modello di gestione e di sicurezza. Tuttavia, nonostante la diversità a livello tecnico e di implementazione tra i diversi provider, nelle maggior parte dei casi si raggiunge un obiettivo simile in ambito privacy: il secrets management.
Stesso obiettivo, quindi, ma offerte e dinamiche anche completamente diverse messe in campo a seconda del fornitore a cui ci si affida. Per questo, una gestione consolidata di policy e posture di sicurezza che traduca gli obiettivi astratti in configurazioni specifiche per i singoli provider può risultare estremamente utile. Ad esempio, se si desidera che tutti gli accessi alle chiavi crittografiche siano registrati o conformi a una determinata lunghezza di chiave, uno strumento di gestione della postura può aiutare a garantire che ciò accada in tutte le diverse situazioni.
Allo stesso modo, se si vogliono monitorare seriamente gli ambienti dal punto di vista della sicurezza – ovvero metriche, misurazioni, report e analisi – serve un modo per raccogliere e integrare le informazioni. Sarà anche necessario collegarle anche con quelle sugli asset e sulle minacce, attraverso analisi e intelligence, rivedendo la telemetria olistica.
Anche l’identità deve risultare trasversale ai diversi ambienti. Sarebbe infatti inaccettabile se gli utenti o i clienti dovessero ri-autenticarsi a un’applicazione ogni volta che i suoi diversi elementi risiedono in ambienti PaaS o IaaS diversi. Per sua natura, l’identity fabric deve coprire ambienti diversi.
Effetti a breve termine della rete di cybersicurezza
Chi opera sul campo potrebbe chiedersi come tutto questo impatti sul proprio lavoro quotidiano. Non impatta, almeno non direttamente o nel breve periodo. Oggi però ci sono molti prodotti per iniziare a mettere le basi di una CSMA, come descritto da Gartner. Allo stesso tempo, però, le organizzazioni devono allineare le loro strategie multi-cloud e di work-from-anywhere per disaccoppiare le policy dall’applicazione, eliminare i silos nel loro stack di sicurezza e adattarsi a un perimetro sempre più labile e frammentato. In alcuni casi è meglio optare direttamente per architetture che evitano eliminano in toto il concetto di perimetro.
Effetti a lungo termine della cybersecurity mesh
Da un punto di vista più lungimirante, il cybersecurity mesh descritto da Gartner è vantaggioso per tre motivi:
- porta cambi di mindset che guidano il mercato, a sua volta, in grado di influenzare le architetture reali.
- facilita l’integrazione del concetto negli approcci architetturali.
- aiuta a promuovere l’interoperabilità.
Per cogliere meglio il primo punto, si pensi allo zero trust. Questo approccio risale alla metà degli anni ’90, ma è diventato più popolare da quando è stato adottato da Google (BeyondCorp) nel 2009 e da Forrester Research nel 2010. Attorno a questo concetto sono nate nuove aziende e fornitori di tecnologia che hanno spinto l’innovazione. Nuove funzionalità sono comparse anche all’interno dei portafogli di prodotti dei provider esistenti favorendo iniziative da parte delle organizzazioni verso gli utenti finali.
Proprio come con lo zero trust, però, solo chi comprende il valore del modello CSMA può cercare prodotti che contribuiscano a realizzarlo e sfruttare l’attenzione dei C-level sui rischi informatici per accelerare il programma di sicurezza, volgendo la situazione a proprio vantaggio.
Se il settore riesce a cogliere l’importanza del concetto generale di cybersecurity mesh, può cambiare il modo in cui opera. La maggiore comprensione dello zero trust come modello architettonico praticabile ha impattato sul modo in cui si valutano le aziende cloud-native. Allo stesso modo, il considerare la CSMA una strategia valida può potenzialmente semplificare le diatribe sull’architettura legata alla sicurezza del multi-cloud, del cloud ibrido, dell’orchestrazione e della containerizzazione.
Le organizzazioni saprebbero riconoscere la complessità delle interrelazioni del cloud moderno, tenendone conto nei propri piani. Questo significherebbe maggior budget per migliorare il monitoraggio e la raccolta di informazioni e utili a collegare meglio ambienti come il cloud privato e ibrido.
Riconoscere che le differenze ambientali giocano un ruolo nella sicurezza del cloud favorisce anche l’interoperabilità. Più le policy astratte sono legate a configurazioni specifiche, più ci sono modi per sincronizzare, normalizzare e visualizzare in modo integrato le informazioni di monitoraggio provenienti da diversi fornitori, più si evita il lock-in. Il bilancio finale è assolutamente positivo.