Sì è vero, la migrazione al cloud può mettere a repentaglio la sicurezza di qualsiasi azienda.

L’articolo al quale faccio riferimento (https://ubm.io/2JNJinj), suggerisce alcune ‘best practice’ per far sì che questo non accada, ma leggendole è immediato realizzare quanto difficili esse siano da seguire.

Procediamo con ordine e cerchiamo di capire perché “andare nel cloud” ci potrebbe rendere meno sicuri. Innanzitutto perché è ‘mainstream’: è una tendenza dominante alla quale nessuno si sottrae più. 

La strategia IT delle aziende oggi è “andiamo nel cloud e andiamoci ora” e, siccome le strategie sono decise da chi solitamente non fa execution, tendono a non considerare le esigenze delle IT Operations quelli che poi, di fatto, devono muovere le cose nel cloud. Nell’articolo questa strategia è chiamata ‘cloud-first’ lasciando intendere che tutto il resto, anche la sicurezza, viene dopo.

Questa tendenza poi, lasciatemi dire, è popolare nel senso che è stata seguita per prima, e spinta, soprattutto dalla moltitudine di aziende piccole e medie: proprio quelle che sono meno attrezzate nell’IT security e con il livello di consapevolezza del rischio cyber più basso.

La disponibilità di nuovi software, infrastrutture, piattaforme e servizi è sempre più limitata alla sola offerta cloud-based che spinge le aziende a fare scelte eterogenee che portano ad avere un ambiente ‘multicloud’ che, molto probabilmente, deve coesistere con un’infrastruttura ancora in-house e che determina quindi ambienti ‘hybrid-cloud’.

Tutto questo porta a una dilatazione della superfice di attacco, a una sua maggiore permeabilità e a una difficoltà di gestione centralizzata e integrata di questi ambienti ibridi e multicloud.

Non esiste ancora un ‘one-tool-fits-all-clouds’ per la gestione e la sicurezza di questi ambienti, ma qualcosa che rende più sicuri e facili da gestire gli ambienti hybrid-cloud e multicloud c'è, unitamente alle buone pratiche riportate nell’articolo e la ‘security-by-design’ invocata dal GDPR.

Mi riferisco per esempio alla soluzione Illumio ASP che consente di inventariare tutte le comunicazioni fra servizi e applicazioni (workload) che esistono fra i server di qualsiasi natura (bare metal, VM,containers) e ovunque distribuiti (datacenter privati, cloud pubblici, ibridi e multicloud).

Dopo questa fase che rende visibili tutti i workload, è possibile organizzarli, separandoli logicamente (micro-segmentazione), in una mappa delle interdipendenze disegnata sull’intersezione di quattro insiemi: quello del luogo fisico dove i server risiedono, del ruolo del server, del tipo di applicazione e dell’ambiente d’utilizzo (development, test, staging,production). 

A questo punto si interviene con le policy di sicurezza inbound e outbound (di tipo ‘allow only’ e gestibili in tre modalità diverse: design, test, production) che vengono applicate a entrambi i capi del workload e che, per questa ragione, consentono di proteggere ogni singolo server da quello eventualmente compromesso e di impedire all’origine i movimenti laterali (east-west) che i next-generation malware utilizzano per propagarsi. Queste policy di sicurezza sono applicabili su un livello di scala che supera le diverse centinaia di migliaia di workload.

Le policy sono scritte con un metalinguaggio molto vicino a quello naturale che prescinde dalle conoscenze tecniche sistemistiche e di network. 

Illumio è programmabile quindi anche da chi è più vicino alle specificità del business e che più di ogni altro sa se quella comunicazione fra applicazioni (workload) deve avvenire.

Sempre grazie alle policy è possibile incrementare ulteriormente il livello di segmentazione portandola da micro a nano e facendo sì che uno specifico utente comunichi solo con una specifica applicazione.

Le policy si adattano dinamicamente alle mutate condizioni che vengono riscontrate sui server (modifica dei parametri di network, della configurazione delle IP table, dell’integrità di alcuni processi e delle vulnerabilità che ne modifichino il livello di sicurezza) e fra server (tentativi di comunicazione non previsti) o a quelle che governano le aree della mappa (intersezione degli insiemi) dove eventualmente viene spostato il workload (es. da cloud privato a pubblico, etc..).

I workload possono essere spostati (es. in un’area di quarantena) manualmente o con delle procedure automatiche che si attivano a seguito di determinati trigger. Ovviamente la mappa delle interdipendenze e gli allarmi attivati dalle situazioni anomale sono integrabili in un qualsiasi servizio SOC.

Illumio ASP crea e gestisce policy in un numero e di comprensione umanamente accettabile, elevando di molto la sicurezza, migliorando la qualità di gestione, minimizzando il TCO, semplificando i processi e liberando risorse. Tutto questo a beneficio dell’operatività di infrastrutture IT distribuite su ambienti eterogenei.

Grazie ad Illumio la strategia ‘cloud-first’ diventa perseguibile senza pensieri.