Video: Cloud Security Fundamentals | Cloud Computing Tutorial | Simplilearn (Settembre 2024)
Il prossimo anno promette una crescita sostanziale per i fornitori di servizi di cloud pubblico e i fornitori di soluzioni SaaS (Software-as-a-Service). Per uno, le nuove tecnologie a livello di fondazione come le implementazioni di microservizi e la blockchain, tra gli altri, stanno offrendo strade non sfruttate per l'innovazione. Ma forse ancora più importante, uno dei più frequentemente bloccati dall'adozione di cloud CIO (vale a dire, sicurezza e protezione dei dati) sembra finalmente spostarsi in secondo piano, specialmente per le imprese e le medie imprese.
Mentre gli analisti concordano sul fatto che la maggior parte delle aziende di oggi, inclusi i segmenti enterprise e di medie dimensioni, hanno implementazioni cloud in varia misura, concordano anche sul fatto che le organizzazioni più grandi sono state lente nel trasferire i principali carichi di lavoro nel cloud, con la ragione principale data dalla sicurezza e dai dati del cloud sicurezza. Questo è importante per questi clienti non solo a causa dell'enorme quantità di dati che queste organizzazioni migrerebbero, ma anche perché il passaggio di rigorosi controlli di conformità e normative, come la Health Insurance Portability and Accountability Act (HIPAA) e ISO 27001, è fondamentale per loro fare affari. La sicurezza è fondamentale per questi CIO e, fino a poco tempo fa, semplicemente non era abbastanza solida per loro di adottare il cloud su larga scala.
Ma, secondo le previsioni degli analisti per il 2017, tutto sta per cambiare. La sicurezza del cloud ha fatto molta strada nell'ultimo mezzo decennio e sembra che molti professionisti IT e CIO siano d'accordo. Ciò significa che gli analisti prevedono che nel 2017 vedremo un assorbimento molto più ampio dell'infrastruttura e dei servizi cloud dal settore aziendale.
Ho condotto un'intervista via e-mail con Brian Kelly, Chief Security Officer del noto provider di cloud gestito Rackspace, per scoprire cosa cambierà la sicurezza del cloud nel prossimo anno e per vedere se è d'accordo con le previsioni di questi analisti.
PCMag: esattamente come fa Rackspace a vedere il suo ruolo rispetto a quello del personale IT dei suoi clienti quando si tratta di sicurezza e protezione dei dati?
Brian Kelly (BK): Stiamo vedendo prove dirette che i clienti stanno arrivando sul cloud a causa della sicurezza piuttosto che scappare da esso. Con poche eccezioni, le aziende semplicemente non hanno le risorse e le competenze per difendere efficacemente le loro organizzazioni dalle minacce più sofisticate e persistenti. Allo stesso modo, i fornitori di servizi cloud riconoscono che il futuro delle nostre attività dipende dalla fiducia e dalla fiducia attraverso pratiche di sicurezza efficaci. Nonostante i maggiori investimenti dei fornitori di servizi cloud nella sicurezza, la protezione delle risorse organizzative rimarrà sempre una responsabilità condivisa. Mentre il fornitore di servizi cloud è direttamente responsabile della protezione di strutture, data center, reti e infrastrutture virtuali, i consumatori hanno anche la responsabilità di proteggere sistemi operativi, applicazioni, dati, accesso e credenziali.
Forrester ha coniato il termine "stretta di mano irregolare" in riferimento a questa responsabilità condivisa. Per alcuni aspetti, i consumatori ritengono di assumersi l'onere della sicurezza dei propri dati. Questo potrebbe essere vero alcuni anni fa; tuttavia, stiamo assistendo a un bilanciamento della stretta di mano. Cioè, i fornitori di servizi cloud possono e dovrebbero fare di più affinché i consumatori condividano la responsabilità della sicurezza. Ciò può assumere la forma di fornire semplicemente maggiore visibilità e trasparenza ai carichi di lavoro ospitati, fornire accesso a piani di controllo o offrire servizi di sicurezza gestiti. Mentre le responsabilità di sicurezza di un consumatore non scompariranno mai, i fornitori di servizi cloud continueranno ad assumersi maggiori responsabilità e offrire offerte di sicurezza gestite a valore aggiunto per creare la fiducia necessaria affinché entrambe le parti possano operare in sicurezza nel cloud.
PCMag: hai qualche consiglio per i professionisti IT e i clienti delle aziende su cosa possono fare oltre a ciò che un fornitore offre per aiutare a proteggere i propri dati basati su cloud?
BK: devono continuare ad attuare le migliori pratiche di sicurezza all'interno delle loro enclavi. Devono segmentare i carichi di lavoro nell'enclave in modo responsabile per limitare la portata dei compromessi, garantire che gli ambienti dei carichi di lavoro (sistemi operativi, container, LAN virtuali) siano adeguatamente protetti e patchati, sfruttando le tecnologie di rilevamento e risposta a livello di endpoint e di rete (IDS / IPS, rilevamento malware e contenimento) e gestire attivamente account e accessi. Spesso, i clienti possono includere questi servizi e tecnologie nei loro contratti di utilizzo del cloud, ma in caso contrario, il consumatore deve assicurarsi che accada dalla loro parte.
PCMag: una domanda chiave che i lettori hanno posto è quella di una difesa efficace contro attacchi DDoS (Distributed Denial of Service) potenziati dall'Internet of Things (IoT), simile all'incidente dello scorso ottobre in cui un fornitore cinese di IoT ha contribuito inavvertitamente a l'attacco. Tali attacchi funzionano con provider di servizi Internet (ISP) a monte? E come mantengono un attacco a un cliente dall'abbattimento di tutti in una struttura?
BK: l'obiettivo principale della difesa DDoS è mantenere la disponibilità quando si è sotto attacco. Le funzionalità di attacco DDoS di IoT sono ben note e possono essere mitigate con successo implementando le migliori pratiche di sicurezza e utilizzando sistemi di mitigazione DDoS intelligenti. La più grande minaccia non è il metodo degli attacchi dell'IoT, ma l'immenso numero di dispositivi vulnerabili abilitati a Internet. Le reti devono essere bloccate per limitare l'esposizione alle minacce su Internet. Gli operatori di rete devono essere proattivi nel rilevare tutte le possibili minacce e conoscere le tecniche più efficaci per mitigarle, pur mantenendo la capacità di analizzare e classificare tutto il traffico di rete.
Una forte strategia di mitigazione DDoS richiede un approccio difensivo stratificato. L'ampio numero di dispositivi IoT rende difficile mitigare gli attacchi IoT per le reti su piccola scala. L'efficacia di un attacco IoT è la sua flessibilità per generare diversi vettori di attacco e produrre traffico DDoS massiccio e ad alto volume. Anche la rete più avanzata può essere rapidamente sopraffatta dall'enorme volume di traffico che l'IoT può generare nelle mani di un aggressore capace. Gli ISP a monte sono spesso meglio equipaggiati e dotati di personale per affrontare questi attacchi su larga scala che saturerebbero rapidamente i collegamenti di rete di piccole dimensioni. Inoltre, la portata della gestione di una rete e gli strumenti necessari per mitigare tali attacchi rendono il rilevamento e la risposta efficaci fuori dalla portata della maggior parte delle organizzazioni. Una soluzione migliore è quella di esternalizzare tali operazioni agli ISP upstream dei provider di cloud che stanno già lavorando con questa scala di rete.
Gli ISP a monte presentano numerosi vantaggi grazie alla solida diversità dei punti di accesso a Internet attraverso i quali possono spostare il traffico. Generalmente hanno anche pipe di dati abbastanza grandi da assorbire inizialmente molto traffico DDoS mentre le attività di risposta del reindirizzamento del traffico stanno aumentando. "A monte" è un buon termine perché è in qualche modo analogo a una serie di dighe lungo un fiume. Durante un'alluvione, è possibile proteggere le case a valle usando ciascuna diga per catturare progressivamente più acqua in ogni lago creato dalla diga e misurare il flusso per prevenire inondazioni a valle. La larghezza di banda e la diversità dei punti di accesso per gli ISP a monte offrono lo stesso tipo di resilienza. Hanno anche protocolli negoziati in tutta la comunità di Internet per deviare il traffico DDoS più vicino alle fonti che possono attivare.
Come per altre attività di risposta agli incidenti, la pianificazione, la preparazione e la pratica sono essenziali. Non esistono due attacchi esattamente uguali, quindi anticipare opzioni e circostanze, quindi pianificare e praticare per loro è cruciale. Per gli scenari di attacco IoT, che include la scansione della rete alla ricerca di dispositivi vulnerabili e l'esecuzione di azioni correttive. Dovresti anche essere sicuro di inibire la scansione dall'esterno della tua rete per dispositivi IoT vulnerabili. Per aiutare, implementare il rigoroso controllo degli accessi e il rafforzamento del sistema operativo e sviluppare procedure per patchare diverse versioni di codice, dispositivi di rete e applicazioni.
Clicca sull'immagine per una infografica completa. Credito immagine: Twistlock
PCMag: Un'altra domanda che i lettori ci pongono riguarda la sicurezza dei container. Ti preoccupi dei container armati che potrebbero contenere sistemi di attacco complessi o pensi che l'architettura protegga da exploit del genere?
BK: La sicurezza con qualsiasi tecnologia appena enfatizzata è sempre una preoccupazione maggiore: i contenitori non sono unici in questo aspetto. Ma, come per molte sfide alla sicurezza, ci sono dei compromessi. Sebbene possa esserci un aumento del rischio, crediamo anche che esistano strategie di mitigazione efficaci per i rischi che possiamo controllare.
Un contenitore, in sostanza, è un ambiente di sistema operativo virtualizzato altamente transitorio e leggero. Le macchine virtuali sono meno sicure dei server fisici separati? Lo sono, nella maggior parte dei casi. Tuttavia, molte aziende vedono i vantaggi in termini di costi derivanti dalla virtualizzazione (meno spesa, più facile da gestire, possono riutilizzare facilmente le macchine) e scelgono di sfruttare quelle mentre mitigano il maggior numero possibile di rischi. Intel ha anche capito di poter aiutare a mitigare alcuni dei rischi stessi ed è da lì che Intel VT è nata.
I container aumentano ulteriormente i risparmi iniziali e la flessibilità della virtualizzazione. sono anche più rischiosi poiché esiste una parete molto sottile tra ciascun contenitore e il sistema operativo host. Non sono a conoscenza di alcun supporto hardware per l'isolamento, quindi spetta al kernel mantenere tutti in linea. Le aziende devono valutare i vantaggi in termini di costi e flessibilità di questa nuova tecnologia insieme a questi rischi.
Gli esperti di Linux sono preoccupati perché ogni container condivide il kernel dell'host, il che rende la superficie per exploit molto più ampia rispetto alle tecnologie di virtualizzazione tradizionali, come KVM e Xen. Quindi, c'è un potenziale per un nuovo attacco in cui un utente malintenzionato viola i privilegi in un contenitore per accedere o influenzare le condizioni all'interno di un altro contenitore.
Non abbiamo ancora molto in termini di sensori di sicurezza specifici per container interni. Quella zona del mercato deve maturare, secondo me. Inoltre, i contenitori non possono utilizzare le funzionalità di sicurezza integrate nelle CPU (come Intel VT) che consentono l'esecuzione del codice in diversi anelli a seconda del suo livello di privilegi.
Alla fine, ci sono tonnellate di exploit per server fisici, macchine virtuali e container. Ne spuntano sempre di nuovi. Anche le macchine con intercapedine d'aria vengono sfruttate. I professionisti IT dovrebbero essere preoccupati per i compromessi di sicurezza a tutti questi livelli. Gran parte delle difese sono le stesse per tutti questi tipi di distribuzione, ma ognuna ha le proprie difese di sicurezza extra che devono essere applicate.
Il provider di hosting deve utilizzare i moduli di sicurezza Linux (come SELinux o AppArmor) per isolare i contenitori e tale sistema deve essere attentamente monitorato. È anche fondamentale mantenere aggiornato il kernel host per evitare exploit di escalation di privilegi locali. L'isolamento dell'ID univoco (UID) aiuta anche poiché impedisce a un utente root nel contenitore di essere effettivamente root sull'host.
PCMag: uno dei motivi per cui PCMag.com non ha eseguito un confronto su larga scala dei provider di servizi di sicurezza gestiti (MSSP) è perché c'è confusione nel settore su cosa significhi esattamente quel termine e cosa possa e debba offrire quella classe di provider. Puoi rompere il servizio di sicurezza gestito di Rackspace? Cosa fa, in che modo differisce dagli altri provider e dove lo vedi in modo che i lettori possano avere una buona idea di ciò a cui si stanno iscrivendo quando impiegano un tale servizio?
BK: gli MSSP devono accettare che la sicurezza non ha funzionato e adattare la propria strategia e le proprie operazioni per renderle più efficaci nel panorama delle minacce odierne, che contiene avversari più sofisticati e persistenti. In Rackspace abbiamo riconosciuto questo cambiamento di minaccia e sviluppato nuove funzionalità necessarie per mitigarli. Rackspace Managed Security è un'operazione avanzata di rilevamento e risposta 24/7/365. È stato progettato non solo per proteggere le aziende dagli attacchi, ma anche per ridurre al minimo l'impatto aziendale in caso di attacchi, anche dopo che un ambiente è stato violato con successo.
Per raggiungere questo obiettivo, abbiamo adattato la nostra strategia in tre modi:
Ci concentriamo sui dati, non sul perimetro. Per rispondere efficacemente agli attacchi, l'obiettivo deve essere quello di ridurre al minimo l'impatto sul business. Ciò richiede una comprensione completa dell'attività dell'azienda e del contesto dei dati e dei sistemi che stiamo proteggendo. Solo così possiamo capire che aspetto ha la normalità, comprendere un attacco e rispondere in modo da ridurre al minimo l'impatto sull'azienda.
Supponiamo che gli aggressori abbiano ottenuto l'accesso alla rete e utilizzino analisti altamente qualificati per cacciarli. Una volta sulla rete, gli strumenti sono difficili da identificare per gli strumenti perché, agli strumenti di sicurezza, gli aggressori avanzati sembrano amministratori che svolgono normali funzioni aziendali. I nostri analisti cercano attivamente schemi di attività su cui gli strumenti non possono avvisare: questi schemi sono le impronte che ci portano all'attaccante.
Sapere di essere sotto attacco non è abbastanza. È fondamentale rispondere agli attacchi quando si verificano. Il nostro Centro operativo per la sicurezza dei clienti utilizza un portafoglio di "azioni preapprovate" per rispondere agli attacchi non appena li vedono. Questi sono essenzialmente libri che abbiamo provato e testato per affrontare con successo gli attacchi quando si verificano. I nostri clienti vedono questi manuali e approvano i nostri analisti per eseguirli durante il processo di onboarding. Di conseguenza, gli analisti non sono più osservatori passivi: possono bloccare attivamente un aggressore non appena vengono rilevati, e spesso prima che venga raggiunta la persistenza e prima che il business venga influenzato. Questa capacità di rispondere agli attacchi è unica di Rackspace perché gestiamo anche l'infrastruttura che stiamo proteggendo per i nostri clienti.
Inoltre, scopriamo che la conformità è un sottoprodotto della sicurezza fatto bene. Abbiamo un team che sfrutta il rigore e le migliori pratiche che implementiamo nell'ambito dell'operazione di sicurezza, evidenziando e riferendo sui requisiti di conformità che aiutiamo i nostri clienti a soddisfare.
PCMag: Rackspace è un grande sostenitore, anzi un fondatore accreditato, di OpenStack. Alcuni dei nostri lettori IT hanno chiesto se lo sviluppo della sicurezza per una piattaforma così aperta sia effettivamente più lento e meno efficace di quello di un sistema chiuso come Amazon Web Services (AWS) o Microsoft Azure a causa del dilemma "troppi cuochi" percepito che affligge molti grandi progetti open source. Come rispondi a questo?
BK: con il software open source, i "bug" vengono rilevati nella comunità aperta e risolti nella comunità aperta. Non è possibile nascondere l'estensione o l'impatto del problema di sicurezza. Con il software proprietario, sei in balia del fornitore del software per correggere le vulnerabilità. E se non facessero nulla su una vulnerabilità per sei mesi? E se perdessero un rapporto di un ricercatore? Consideriamo tutti quei "troppi cuochi" a cui ti riferisci come un enorme attivatore della sicurezza del software. Centinaia di ingegneri intelligenti guardano spesso ogni parte di un importante pacchetto open source come OpenStack, il che rende davvero difficile che i difetti scivolino attraverso le crepe. La discussione del difetto e la valutazione delle opzioni per ripararlo avvengono all'aperto. I pacchetti di software privati non possono mai ricevere questo tipo di analisi a livello di riga di codice e le correzioni non otterranno mai un controllo così aperto.
Il software open source consente anche mitigazioni al di fuori dello stack del software. Ad esempio, se viene visualizzato un problema di sicurezza OpenStack ma un provider cloud non è in grado di aggiornare o correggere immediatamente la vulnerabilità, è possibile apportare altre modifiche. È possibile disabilitare temporaneamente la funzione o impedire agli utenti di utilizzarla tramite i file delle politiche. L'attacco potrebbe essere efficacemente mitigato fino a quando non verrà applicata una correzione a lungo termine. Il software a sorgente chiuso spesso non lo consente poiché è difficile vedere cosa deve essere mitigato.
Inoltre, le comunità open source diffondono rapidamente la conoscenza di queste vulnerabilità di sicurezza. La domanda "Come possiamo evitare che ciò accada più tardi?" viene chiesto rapidamente e la deliberazione viene condotta in modo collaborativo e all'aperto.
PCMag: terminiamo con la domanda originale per questa intervista: sei d'accordo con gli analisti sul fatto che il 2017 sarà un anno di "breakout" in termini di adozione del cloud aziendale, principalmente o almeno in parte a causa dell'accettazione aziendale della sicurezza del provider cloud?
BK: Facciamo un passo indietro per un momento per discutere dei diversi ambienti cloud. La maggior parte delle domande punta al mercato del cloud pubblico. Come accennato in precedenza, i ricercatori di Forrester hanno notato la "stretta di mano irregolare" tra i fornitori di servizi cloud e i consumatori in quanto i fornitori di servizi cloud offrono una serie di servizi, ma i consumatori di servizi cloud spesso assumono di ricevere molto di più in termini di sicurezza, backup, resilienza, ecc. Da quando ho aderito a Rackspace ho sostenuto che i fornitori di servizi cloud devono uniformare questa stretta di mano essendo più trasparenti con i nostri consumatori. In nessun luogo la stretta di mano è meno uniforme, ancora oggi, che negli ambienti di cloud pubblico.
Gli ambienti di cloud privato, tuttavia, e specialmente quelli implementati per conto del consumatore, non soffrono così tanto di tali illusioni. I consumatori sono molto più chiari su ciò che stanno acquistando e su ciò che i fornitori stanno offrendo loro. Tuttavia, poiché i consumatori hanno aumentato le aspettative nel processo di acquisto e i fornitori di servizi cloud hanno intensificato i nostri giochi per offrire servizi e trasparenza più completi, le barriere emotive e legate al rischio per spostare i carichi di lavoro da un data center tradizionale a un ambiente cloud pubblico stanno rapidamente diminuendo.
Ma non credo che ciò creerà un forte slancio verso il cloud nel 2017. Lo spostamento di carichi di lavoro e interi data center comporta un cambiamento significativo nella pianificazione e nell'organizzazione. È molto diverso dall'aggiornamento dell'hardware in un data center. Incoraggio i tuoi lettori a studiare la transizione di Netflix; hanno trasformato il loro business passando al cloud ma ci sono voluti sette anni di duro lavoro. Per uno, hanno ripensato e riscritto la maggior parte delle loro app per renderle più efficienti e adattate meglio al cloud.
Vediamo anche molti consumatori che adottano cloud privati nei loro data center usando un'architettura cloud ibrida come punto di partenza. Questi sembrano accelerare. Credo che la curva di adozione potrebbe vedere un gomito nel 2017, ma ci vorranno alcuni anni prima che l'onda si sviluppi davvero.
