Le applicazioni cloud-native hanno aperto la strada a un nuovo livello di agilità e scalabilità per molte aziende. Al tempo stesso, però, hanno portato a un incremento dei rischi e a una maggiore difficoltà nel mantenere la compliance di un portfolio di risorse in cloud in continua crescita.
Quali sono le principali sfide di compliance relative alle applicazioni cloud-native? Eccone di seguito alcune:
- La possibilità di una scalabilità illimitata comporta difficoltà di osservabilità e visibilità. Un numero infinito di asset può essere creato e distrutto in ogni momento, rendendo il tracciamento manuale di tali risorse quasi impossibile.
- L’infrastruttura programmabile e la comodità dei container implica la possibilità di propagare configurazioni errate. Se l’immagine viene creata in modo scorretto, anche tutti i container successivi presenteranno problemi.
- La diffusione del cloud porta con sé una maggior complessità nel mantenere una traccia di controllo centralizzata. Il volume dei dati generati e la complessità della gestione di più ambienti cloud possono mettere a dura prova sistemi non progettati a tal fine
- Alla luce di queste sfide, esaminiamo alcune cinque best practices per gli esperti di DevSecOps, al fine di garantire la compliance nei moderni ambienti cloud.
Scott Fanning, Senior Director of Product Management, Cloud Security di Crowdstrike
Fare l’inventario delle risorse e degli asset
La scoperta e la visibilità degli asset sono essenziali per assicurarsi di operare entro le normative di conformità. È impossibile proteggere ciò che non si vede e ciò che non si conosce: in un ambiente cloud si può parlare di centinaia di migliaia di istanze.
In ogni processo di rilevazione e inventario sono quattro le domande da porsi:
- quali asset e risorse appartengono all’azienda?
- dove si trovano tali risorse e chi vi ha accesso?
- quando si attivano nuove risorse o si riducono quelle esistenti, come se ne tiene traccia?
- ci sono altri stakeholder (team addetti alla compliance e al DevSecOps) coinvolti nella comprensione di tali risorse dalla “loro” prospettiva?
È bene non effettuare l’inventario manualmente. La sicurezza tradizionale non funziona nel cloud e il monitoraggio manuale può tralasciare dei punti ciechi. L’adozione di nuovi servizi cloud creati da fornitori specializzati e da sviluppatori avviene molto velocemente; ne consegue un aumento del gap di comprensione da parte dei professionisti della sicurezza.
In un ambiente cloud, automatizzare il processo di scoperta e visibilità è essenziale. Una piattaforma di protezione delle applicazioni native in cloud (Cnapp - Cloud Native Application Protection Platform) scansionerà, catalogherà e monitorerà gli ambienti cloud in tempo reale, eliminando i punti ciechi e facendo emergere il vero stato della rete. L’approccio “a piattaforma” consente, inoltre, di avere visibilità sui cambiamenti nel cloud da diverse prospettive, affinchè le azioni incontrino le specifiche esigenze. Qui ha inizio il viaggio verso la compliance.
Implementare l’osservabilità per tutte le risorse
Una volta scoperto dove si trovano gli asset e le risorse è possibile monitorarne lo stato con l’osservabilità. Essa, infatti, consente di sapere in tempo reale lo stato di ogni risorsa. Nel caso di problemi a una risorsa, gli strumenti di osservabilità forniscono insight sulla causa che ne sta alla base e risposte a domande sullo stato di ogni risorsa e su come fare a capire che è avvenuto un cambiamento.
Sia la portata che la scalabilità dei moderni ambienti cloud rendono impraticabile l'osservazione manuale; ecco perché una soluzione di osservabilità dovrebbe aggregare ampie quantità di dati, fornire rapido accesso a tali dati e analizzare e generare statistiche significative basate su tali dati.
Sulla base di tali presupposti, una soluzione di osservabilità può ridurre il Mttr (Mean Time To Repair, tempo medio di riparazione) aziendale. Le aziende dovrebbero utilizzare una soluzione di osservabilità in grado di fornire dashboard compliant ai benchmark del Center for Internet Security (Cis). In questo modo la soluzione di osservabilità può contribuire al monitoraggio delle risorse per mantenerle compliant.
Stabilire un piano di rilevamento e di risposta alle minacce
Una volta che gli asset sono stati rilevati e posti sotto osservazione, è bene stabilire un piano su come rispondere e mitigare le minacce. Prima che si verifichi un attacco, è bene avere un piano che definisca sia le modalità di rilevamento delle minacce in corso sia il processo di risposta alle minacce rilevate.
Per il rilevamento delle minacce il fattore “tempo” è fondamentale: le aziende devono essere rapide nella risposta a ogni attacco. A questa sfida si aggiunge la natura effimera del cloud, che crea una visione dinamica della superficie delle minacce. Una soluzione Cnapp con rilevamento delle minacce automatizzato e in tempo reale può filtrare il rumore, combattere l’alert fatigue e ridurre i tempi di indagine sulle minacce stesse. I sistemi di rilevamento delle minacce forniscono inoltre dashboard e alert che semplificano agli esperti l’attività di monitoraggio e di risposta agli eventi.
I problemi di compliance sono simili alle minacce, in quanto dovrebbero essere rilevate e neutralizzate in tempo reale. La migliore Cnapp include anche il monitoraggio della compliance: ciò significa che ogni problema di conformità nelle risorse può essere scoperto velocemente e in tempo reale. Il sistema può dunque fornire fasi di ripristino e informazioni dettagliate, rendendo più semplice e veloce ristabilire la compliance per gli esperti in DevSecOps.
Tracciare e monitorare le configurazioni
Un asset configurato in modo errato è una delle cause più comuni di intrusione nel cloud. Siccome software e piattaforme vengono continuamente aggiornate e si scoprono nuove vulnerabilità di sicurezza, la configurazione e la compliance devono essere convalidate e monitorate in tempo reale. Inoltre, gli ambienti cloud si prestano alla diffusione di qualsiasi problema di configurazione su centinaia o migliaia di risorse contemporaneamente, aumentando i problemi.
Ne consegue che non è sufficiente configurare un asset una volta sola e confidare nella sua conformità. Al contrario, è bene chiedersi come facciamo ad accorgerci di un cambio di configurazione di un qualsiasi asset. Per affrontare questo problema, dobbiamo monitorare le configurazioni in tempo reale. La miglior soluzione di Cnapp non solo monitora, ma può anche suggerire le configurazioni migliori e le misure di neutralizzazione per ogni problema conosciuto.
Adottare una strategia per la Data Governance
Infine, i dati sono una parte significativa della compliance: un’adeguata strategia di governance dei dati è necessaria. Le applicazioni cloud generano un numero sempre maggiore di dati, rendendo difficile l’approccio tradizionale alla data governance. Come per la scoperta, l’osservabilità e il monitoraggio degli asset, la supervisione dell'intero ciclo di vita dei dati è fondamentale. Per una corretta governance dei dati, è necessario capire come i dati nei sistemi vengono acquisiti, trasmessi e archiviati, e questo deve essere fatto su scala. Ciò vale non solo per i dati delle applicazioni, ma anche per i metadati generati dalle soluzioni di sicurezza che osservano e monitorano le applicazioni.
Dalla scoperta all’osservabilità e molto altro, gli ambienti cloud estendono il ventaglio di nuove opportunità a vantaggio delle aziende, ma portano con sé anche nuove sfide per gli esperti di DevSecOps. Sfruttando una piattaforma di sicurezza unificata che integra soluzioni Cnapp e di osservabilità, gli esperti in DevSecOps posso stare un passo avanti rispetto a tali sfide e consentire alle aziende in cui operano di continuare a perseguire i propri obiettivi di sicurezza.