Best practice per la sicurezza IaaS da seguire

Resta al passo con le best practice di sicurezza IaaS per proteggere i tuoi dati.

Le decisioni sulla sicurezza dell'infrastruttura come servizio (IaaS) sono impegnative a causa della complessità intrinseca dei sistemi IaaS e, in alcuni casi, della mancanza di visibilità su come una piattaforma IaaS protegge le tue risorse.

Se sei un imprenditore, un manager o un professionista IT, questa guida alle best practice per la sicurezza IaaS può aiutarti a garantire che le tue risorse siano protette. Diamo un'occhiata ai rischi per la sicurezza associati a IaaS, prima di approfondire l'approccio migliore per ridurli al minimo.

Rischi per la sicurezza con IaaS

Nonostante la convenienza, la scalabilità e la bassa manutenzione dei sistemi IaaS, questi comportano rischi per la sicurezza unici, in particolare perché devi affidare i tuoi dati, l'elaborazione e il networking a un fornitore di servizi esterno.

Ma in fin dei conti, molti dei rischi per la sicurezza che devi affrontare con una soluzione IaaS sono simili a quelli che devono affrontare qualsiasi ambiente informatico connesso a Internet. Ecco alcuni dei principali rischi di cui essere a conoscenza:

• Esfiltrazione di dati . Quando utilizzi una soluzione IaaS, il tuo sistema di archiviazione dei dati aziendali potrebbe essere connesso a Internet, il che offre agli hacker la possibilità di provare a rubare informazioni sensibili. Anche se gli incidenti relativi ai dati vengono spesso definiti "fughe", in realtà sono spesso il risultato di attacchi complessi o avanzati.

• Perdita di dati : a differenza del furto di dati, la perdita di dati può derivare da un atto doloso o da un incidente. Ad esempio, un dipendente che non comprende il valore dei dati in un sistema potrebbe eliminare file importanti. Allo stesso tempo, gli aggressori possono anche penetrare nel tuo sistema e cancellare intenzionalmente le informazioni o tenerle in ostaggio come parte di un attacco ransomware

• Accesso non autorizzato : a differenza di un ambiente tradizionale in cui gli utenti dispongono di computer e dispositivi on-premise, chiunque disponga delle credenziali corrette può accedere a una configurazione IaaS tramite Internet. Ciò significa che, a meno che tutti gli utenti non pratichino un'adeguata igiene informatica, le loro credenziali potrebbero finire nelle mani di un attore malintenzionato che cerca di entrare nel sistema.

• Attacchi interni : gli attacchi interni in genere provengono da dipendenti scontenti o da coloro che sono stati pagati come parte di uno schema di spionaggio informatico. A volte, però, un ex dipendente che ha ancora le credenziali di accesso può entrare in un sistema IaaS e causare problemi. Eliminando i privilegi di accesso degli ex dipendenti, puoi prevenire molti attacchi interni.

• Malware e attacchi denial-of-service : come per tutti gli ambienti basati su server, le soluzioni IaaS potrebbero essere vulnerabili sia al malware che agli attacchi denial-of-service. Ma se il tuo provider dispone di firewall e sistemi di rilevamento delle intrusioni di nuova generazione, può prevenire molti di questi attacchi.

La buona notizia è che nessuna di queste minacce deve impedirti di adottare un modello IaaS, soprattutto se adotti le seguenti best practice.

Best practice per la sicurezza IaaS

Nonostante un aumento complessivo dell'attività degli hacker e dei tipi di minacce a cui le organizzazioni sono state esposte negli ultimi tempi, c'è molto che puoi fare per proteggere i tuoi sistemi. Quando si tratta di una soluzione IaaS, garantire un'adeguata sicurezza si riduce ad alcune considerazioni chiave.

Conoscere il modello di sicurezza IaaS del tuo provider

Il modello di sicurezza del tuo provider IaaS è la tua principale linea di difesa. In un certo senso, un ambiente IaaS è molto simile a qualsiasi altra situazione in cui affidi a un'entità remota la sicurezza di qualcosa a cui tieni, che si tratti di un deposito, una banca o una babysitter. Devi capire come proteggono le cose che sono elementi essenziali della tua vita.

Ecco alcuni strumenti e metodologie di sicurezza da chiedere al tuo provider IaaS:

• Quali sistemi vengono utilizzati per proteggere le API (Application Protocol Interface) dagli aggressori? Le API sono accessibili tramite Internet, quindi il tuo provider dovrebbe essere in grado di delineare esattamente come mantenere sicure quelle che controllano il tuo ambiente IaaS.

• I sistemi di prevenzione delle intrusioni (IPS) e i sistemi di rilevamento delle intrusioni (IDS) dovrebbero essere al centro di una soluzione di sicurezza IaaS. Il tuo provider non dovrebbe solo disporre di sistemi che bloccano le minacce, ma dovrebbe anche utilizzare soluzioni di monitoraggio della rete in grado di rilevare attività sospette.

• Alcuni provider IaaS utilizzano la segmentazione della rete per applicare singole soluzioni di sicurezza a parti specifiche dell'ambiente cloud. Ad esempio, possono mantenere separata un'area della rete utilizzando un firewall mentre un altro firewall protegge l'intera infrastruttura. Questo può essere utile per impedire alle minacce di spostarsi lateralmente attraverso il sistema.

• I firewall virtuali vengono utilizzati per salvaguardare carichi di lavoro specifici? Il tuo provider IaaS può offrire firewall virtuali che possono essere posizionati di fronte ad applicazioni business-critical. Per alcune organizzazioni, questo fornisce un ulteriore livello di fiducia nella protezione dei loro carichi di lavoro più importanti.

Comprendi l'approccio del tuo provider alla responsabilità condivisa

Indipendentemente dagli strumenti a disposizione del tuo provider IaaS, è importante capire di quali elementi di sicurezza sono responsabili e quali ricadono sulle tue spalle.

Ad esempio, alcuni provider possono garantire la sicurezza dei tuoi dati archiviati, ma molti non promettono che le applicazioni che utilizzi saranno al sicuro da violazioni, soprattutto perché tu (il cliente) fornisci le applicazioni che vengono eseguite nell'ecosistema IaaS.

Ma è importante capire chi deve proteggere cosa e metterlo per iscritto, in modo da poter collaborare con il proprio provider IaaS per proteggere tutte le risorse.

Impostare rigidi protocolli di accesso

Utilizzando rigidi protocolli di accesso, aumenti notevolmente il grado di difficoltà per gli hacker e, di conseguenza, riduci drasticamente la tua superficie di attacco.

Puoi utilizzare alcuni dei seguenti approcci per ridurre il rischio che una persona non autorizzata entri nel tuo ambiente IaaS:

• I controlli degli accessi in base al ruolo (RBAC) si concentrano sul fornire l'accesso solo alle persone che hanno bisogno di quel segmento della tua rete per svolgere il proprio lavoro. Ad esempio, qualcuno in contabilità probabilmente non avrebbe bisogno di accedere a una piattaforma di sviluppo web e un programmatore non avrebbe bisogno di accedere a un database di informazioni sui clienti, a meno che non stesse creando un'app che lo utilizza. Meno persone hanno accesso, meno è probabile che il tuo sistema subisca una violazione.

• I principi di sicurezza zero trust presumono che ogni persona, applicazione e rete che tenti di accedere al tuo sistema sia una minaccia. Solo dopo aver confermato la loro identità possono accedere alla tua rete. Ciò significa che anche i dipendenti non avranno il diritto di rientrare nelle sessioni da cui sono usciti pochi minuti prima, a meno che non possano verificare nuovamente chi sono.

• L'autenticazione a più fattori costringe gli utenti a fornire almeno un metodo aggiuntivo per verificare la propria identità, come una scansione delle impronte digitali o un dispositivo fisico, oltre a un nome utente e una password.

Crittografia per i dati inattivi

Crittografando i dati inattivi, ne mantieni l'integrità proteggendo al tempo stesso i sistemi che potrebbero utilizzarli in futuro. Con la maggior parte dei provider IaaS, la crittografia dei dati è la norma.

Ecco come funziona:

1. Il tuo provider IaaS utilizza un algoritmo per crittografare i tuoi dati, trasformandoli in un determinato numero di caratteri.

2. Solo i sistemi con cui i tuoi componenti di storage IaaS condividono una chiave possono decifrare i caratteri e renderli leggibili.

3. Gli algoritmi di crittografia sono progettati per rendere impossibile per qualcuno capire il sistema di crittografia anche se hanno il file originale e la sua forma crittografata.

Di conseguenza, se qualcuno dovesse penetrare nel tuo sistema e accedere all'archivio cloud del tuo provider, non sarebbe in grado di leggere i dati che stavano cercando di corrompere o rubare.

Protocolli di monitoraggio regolari e inventario

Monitorando regolarmente le tue risorse cloud, sia tu che il tuo provider IaaS potete rilevare anomalie di rete che indicano attività dannose. Individuare i problemi all'inizio del loro ciclo di vita impedisce loro di trasformarsi in impegnative interruzioni dell'attività.

Ad esempio, un sistema di monitoraggio della rete può rilevare quando una grande quantità di dati inizia improvvisamente a lasciare la rete. In alcune situazioni, questo potrebbe essere un segno di un utente malintenzionato esterno che ruba informazioni o che qualcuno all'interno invia dati a un attore malintenzionato con cui sta collaborando. Con un sistema di monitoraggio in atto, puoi catturare questa attività e fermarla immediatamente.

L'inventario, dal punto di vista di un provider IaaS, si riferisce alle macchine virtuali e ai carichi di lavoro di cui sono responsabili. Tenendo traccia del tuo inventario IaaS, puoi:

• Comprendi come i tuoi carichi di lavoro più impegnativi vengono gestiti dalle tue risorse cloud

• Apporta modifiche e richiedi più risorse se necessario

• Impedire che una risorsa di rete venga sovraccaricata, il che potrebbe causare vulnerabilità

Patching coerente

Quando applichi costantemente patch ai sistemi operativi (OS) e al software che utilizzi insieme al tuo ambiente IaaS, rendi molto più difficile per gli hacker che cercano frutti a basso rischio.

Ad esempio, alcuni aggressori cercheranno di sfruttare le vulnerabilità che i fornitori di software hanno già affrontato in una versione recente. Applicando semplicemente una patch gratuita, elimini questi aggressori al passaggio.

Questa è una delle responsabilità che potresti dover assumerti da solo, soprattutto perché sei tu a decidere quale software eseguire nel tuo ambiente cloud. Fortunatamente, l'applicazione di patch è spesso semplice e veloce e, se sei preoccupato per problemi di compatibilità, una breve chiacchierata con il tuo fornitore di software o sistema operativo può tranquillizzarti.