Principi e strategie chiave per proteggere il cloud aziendale...di servizi cloud, la distinzione...

WHITE PAPER

Le aziende usano

mediamente

61 diverse

app cloud, che

rappresentano

1/3 del totale delle

applicazioni utilizzate.1

PRINCIPI E STRATEGIE CHIAVE PER PROTEGGERE IL CLOUD AZIENDALE

SINTESI PRELIMINARELa strategia delle organizzazioni prevede in misura crescente la distribuzione di vari carichi di lavoro su più cloud. Ciò comporta una dispersione sempre maggiore di dati e servizi business-critical in questa infrastruttura distribuita. Adottando il modello di condivisione di responsabilità come principio guida, le aziende fanno affidamento sui fornitori di servizi cloud per proteggere i livelli di rete, archiviazione ed elaborazione, mentre le aziende (gli utenti finali) sono responsabili della sicurezza di tutto ciò che è costruito, distribuito o archiviato nel cloud. Poiché le soluzioni cloud adottate sono disparate, la maggior parte delle aziende mantiene ambienti eterogenei, con strumenti che differiscono significativamente da una piattaforma cloud all’altra.

Il risultato, per le organizzazioni, è un’infrastruttura di sicurezza di rete complessa e disomogenea. L’unica risposta adeguata in questo contesto è una soluzione di sicurezza unificata che copra più piattaforme cloud. Le organizzazioni che intendono distribuire applicazioni nel cloud devono implementare una soluzione di sicurezza caratterizzata da tre attributi fondamentali: 1) integrazione nativa con tutti i principali fornitori di servizi cloud, 2) un’ampia suite di strumenti di sicurezza per coprire l’intera superficie di attacco; 3) funzionalità di gestione centralizzata dell’infrastruttura di sicurezza e automazione delle operazioni di sicurezza. La soluzione deve offrire visibilità e controllo unificati e una gestione delle policy che supporti i requisiti di conformità e gestione dei rischi. L’architettura di sicurezza corrispondente deve supportare un’ampia varietà di casi d’uso della sicurezza per svariate distribuzioni cloud.

Un piano per la sicurezza cloud

Public Cloud Infrastructure Services

Cloud infrastructure secures the infrastructure

Storage Network Computer

Customer secures what runs IN the Cloud

Encryption & Network Traffic Protection

Applications, Platform & User Management

OS, Firewall & Network Settings & Configuration

Data & Content

Customer Deployment

La Digital Transformation (DX) sta alimentando una crescita senza precedenti nell’adozione del cloud; molte organizzazioni stanno trasferendo nel cloud una quantità crescente di processi aziendali. L’eterogeneità degli ambienti cloud risultanti espande la superficie di attacco complessiva. Per questo, le distribuzioni cloud sono sempre più difficili da proteggere. E anche se la fiducia del pubblico nel cloud è aumentata drasticamente nell’ultimo decennio, la sicurezza rimane una delle principali preoccupazioni dei responsabili del business e della tecnologia in termini di adozione del cloud. È pertanto fondamentale integrare la sicurezza nella fase di progettazione di qualsiasi soluzione cloud e dell’infrastruttura cloud complessiva di un’organizzazione.

IL MODELLO DI CONDIVISIONE DI RESPONSABILITÀ DEL CLOUDI fornitori di servizi cloud investono un notevole impegno nella protezione della loro infrastruttura. La protezione dei dati e delle applicazioni ospitati o distribuiti nel cloud è tuttavia responsabilità del cliente (l’utente finale). I clienti, però, non assolvono adeguatamente le loro responsabilità, tanto che le previsioni per il 2023 indicano che sarà loro imputabile il 99% dei malfunzionamenti del cloud. In molti casi la causa è un errore umano, che può essere attribuito a un fraintendimento del modello di condivisione di responsabilità tra i fornitori di servizi cloud e i loro clienti.2

Il modello di condivisione di responsabilità viene spesso descritto mediante un’analogia con il modello dei livelli OSI. In tale modello, i fornitori dell’infrastruttura cloud proteggono i livelli fisici inferiori, mentre ai clienti spetta il compito di proteggere i livelli superiori. Tuttavia il modello dei livelli OSI non sempre basta a descrivere la complessità delle relazioni e delle responsabilità relative alla sicurezza del cloud. Ad esempio, i clienti possono creare reti sovrapposte alla rete di un provider cloud o creare altri livelli di astrazione che assemblano servizi basati sull’infrastruttura cloud. Nonostante queste sfumature, i clienti sono responsabili della protezione di tutto ciò che aggiungono a un’infrastruttura cloud e di tutto ciò che gestiscono all’interno dell’ambiente cloud. Inoltre, ora i clienti sono tenuti a proteggere il livello di gestione API/cloud, dal momento che gran parte delle operazioni relative al cloud vengono eseguite tramite questa interfaccia.

UN PANORAMA COMPLESSO DI APPROCCI ALLA SICUREZZA Sebbene vi siano piccole differenze nel modo in cui il modello di condivisione di responsabilità viene rappresentato dai diversi fornitori di servizi cloud, la distinzione più importante riguarda il modo in cui sono implementate e gestite le funzionalità di sicurezza native del cloud. Spesso diversi fornitori di servizi cloud attuano gli stessi servizi di sicurezza utilizzando strumenti e approcci molto diversi. Ad esempio, Amazon Web Services (AWS) estende le policy di sicurezza in base a gruppi di sicurezza associati alle risorse cloud, mentre Google Cloud Platform (GCP) utilizza regole firewall che offrono funzionalità equivalenti ma gestite tramite interfacce diverse. Molte di queste differenze derivano dal modo specifico in cui è strutturata l’architettura sottostante ogni cloud e dalle diverse filosofie alla base delle operazioni cloud.

Per i clienti che operano in più cloud, lo stato di sicurezza predefinito è un’architettura eterogenea senza visibilità o controllo centrali e quindi senza un approccio uniforme all’applicazione e gestione della sicurezza. In questo contesto, ogni cloud pubblico e privato, nonché il data center locale, diventa un silo indipendente in un’infrastruttura di sicurezza di rete frammentata.

2

WHITE PAPER: PRINCIPI E STRATEGIE CHIAVE PER PROTEGGERE IL CLOUD AZIENDALE

IL CLIENTE E IL FORNITORE DI SERVIZI CLOUD SONO RESPONSABILI DELLA PROTEZIONE DI RISORSE DIVERSE.

Dati e contenuti

Crittografia e protezione del traffico di rete

Impostazioni e configurazione di sistema operativo, firewall e rete

Distribuzione del cliente

Servizi delle infrastrutture cloud pubbliche

Il fornitore di servizi cloud protegge l’infrastruttura

Storage Rete Computer

Il cliente protegge ciò che viene eseguito NEL cloud

Gestione di applicazioni, piattaforma e utenti

3


GLI ELEMENTI ESSENZIALI DI UNA SOLUZIONE COMPLETAIndipendentemente dai tipi di servizi cloud utilizzati da un’organizzazione e dal modo in cui sono strutturati, continuare a gestire la sicurezza della rete in modo eterogeneo e disarticolato non fa che aumentare i rischi. La gestione delle diverse piattaforme richiede al personale più competenze, nonché più tempo. Rende inoltre più complessi il reporting di conformità e la condivisione della threat intelligence in tutta l’azienda.

L’attuale panorama delle minacce richiede invece un approccio coerente e unificato alla sicurezza cloud. Una soluzione di sicurezza multi-cloud efficace deve prevedere tre elementi essenziali:

nn Integrazione nativa

nn Protezione estesa

nn Gestione e automazione

rete. Ciò rende più facile per i team di sicurezza analizzare la propria strategia di sicurezza cloud e implementare policy di sicurezza efficaci.

nn Ottimizzazione. Per stare al passo con le prestazioni raggiunte dalle risorse e dall’infrastruttura cloud, le soluzioni di sicurezza devono essere integrate con i diversi servizi cloud e fornire soluzioni software ottimizzate, che sfruttano le massime prestazioni possibili nel cloud. In tal modo le soluzioni di sicurezza proteggeranno i carichi di lavoro basati su cloud senza creare colli di bottiglia. Per ogni fattore di forma, come un contenitore o una VM su un particolare tipo di hardware, deve essere fornita la soluzione più adatta.

nn Script di automazione. La preparazione agli imprevisti nel cloud richiede script di automazione, che consentono di reagire rapidamente a malfunzionamenti del sistema, modifiche dell’infrastruttura o importanti eventi di sicurezza. Questi script devono avere accesso alle funzionalità di automazione native di ciascun sistema cloud, utilizzandole per automatizzare i processi in modo uniforme in tutti i sistemi cloud.

nn Feed sulle minacce. Una soluzione di sicurezza multi-cloud completa integra feed sulle minacce come oggetti dinamici, che vengono continuamente bloccati. Questi feed sulle minacce consistono in informazioni dettagliate, basate su eventi che si verificano nell’intera infrastruttura del fornitore di sicurezza, che includono pertanto la threat intelligence raccolta da tutte le distribuzioni dei clienti del fornitore. La capacità di integrare questi feed sulle minacce dai diversi cloud, uniti ad altre fonti di threat intelligence, è essenziale per proteggere l’intera infrastruttura di un’organizzazione.

nn High Availability. Ogni cloud supporta la High Availability sfruttando diverse funzionalità. L’infrastruttura di sicurezza sottostante deve supportare ogni ambiente cloud, in modo da offrire un’applicazione della sicurezza coerente e prevedibile. In questo caso, deve supportare diversi schemi active/active o active/passive, integrandosi nativamente con ciascun cloud per supportare la disponibilità di sistemi business-critical.

nn Scalabilità automatica. Tra i principali vantaggi di un’infrastruttura cloud vi sono l’elasticità e le capacità on-demand. Ciò include la possibilità di variare in scala l’utilizzo all’interno e all’esterno del cloud in base a esigenze aziendali variabili, pagando solo ciò che viene utilizzato. L’integrazione nativa con le funzionalità di scalabilità automatica del cloud consente all’infrastruttura di sicurezza di stare al passo con la variazione in scala dell’infrastruttura cloud in base al volume e alla domanda. Ciò garantisce la protezione continua delle applicazioni.

nn Modelli di configurazione. Un aspetto essenziale dell’integrazione con il modello operativo cloud è la possibilità di basare le distribuzioni su modelli di configurazione, che aiutano gli amministratori della sicurezza a eseguire il provisioning di soluzioni di sicurezza in modo rapido e preciso su varie piattaforme cloud e in base a diverse distribuzioni del carico di lavoro cloud. L’uso di modelli di configurazione riduce le possibilità di errore umano, in particolare nel modo in cui le soluzioni di sicurezza sono configurate. Consente inoltre di applicare rapidamente funzionalità di sicurezza ai nuovi carichi di lavoro, che possono così essere distribuiti con fiducia.

UNA SOLUZIONE DI SICUREZZA EFFICACE DEVE PREVEDERE TRE ELEMENTI ESSENZIALI.

Il cliente realizza e gestisce la sicurezza

NEL cloud

GESTIONE E AUTOMAZIONE

1. INTEGRAZIONE NATIVA

L’integrazione nativa riguarda la capacità di una soluzione di sicurezza di comprendere la classificazione delle informazioni basata su cloud come parte delle funzionalità generali di gestione e applicazione delle policy di sicurezza, nonché di sfruttare i servizi cloud nativi come parte della soluzione di sicurezza. Di seguito sono riportate alcune delle funzionalità chiave di una soluzione di sicurezza cloud con integrazione nativa:

nn Connettori cloud. Le soluzioni di sicurezza devono essere in grado di connettersi al cloud e di rappresentare tutte le risorse presenti nel cloud in modo che gli amministratori della sicurezza possano definire le policy e analizzare gli eventi di sicurezza in modo intuitivo. Devono inoltre consentire ai dispositivi di sicurezza di applicare le policy di sicurezza in modo dinamico, seguendo i continui cambiamenti che avvengono nell’infrastruttura cloud.

Poiché le risorse cloud utilizzano in genere metadati ed etichette per indicare la propria funzione logica o classificare le proprie informazioni, i connettori possono essere utilizzati per normalizzare i diversi tipi di metadati delle risorse di cloud diversi e potere in tal modo creare e applicare policy di sicurezza coerenti. Vi sono poi implementazioni più avanzate dei connettori cloud, in grado di apprendere ed elencare tutto l’insieme delle risorse cloud e di rappresentarle in modo più generale, ad esempio sotto forma di topologia di

PROTEZIONE ESTESA

INTEGRAZIONE NATIVA

4


BROAD PROTECTION

NATIVE INTEGRATION

AUTOMATEDMANAGEMENT

ANALYSIS CONTROL

POLICY

NETWORK SEGMENTATION

APPLICATION SECURITY

CLOUD RESOURCE ABSTRACTION

CLOUD SERVICE INTEGRATION

VISIBILITY

SECURE CONNECTIVITY

FORM FACTOR OPTIMIZATION

MANAGEMENT API CASB

NGFW MAIL FORTISANDBOX

INTEGRATIONS AUTOMATION STITCHES

WAF ENDPOINT

nn Integrazione di servizi. Le piattaforme cloud offrono servizi software e di piattaforma che semplificano l’utilizzo di varie funzionalità, eliminando la necessità che gli utenti padroneggino ognuna di queste tecnologie. La capacità di una soluzione di sicurezza di integrarsi con ogni piattaforma cloud e di offrire funzionalità di sicurezza come parte del modello nativo di utilizzo dei servizi è fondamentale. L’integrazione estende la protezione offerta dalle funzionalità di sicurezza a più casi d’uso e servizi come caratteristica fondamentale, assicurando una protezione di base agli ambienti di sperimentazione e a quelli non ancora inseriti in una routine più generale di gestione della sicurezza.

TRE SONO I PILASTRI DELLA SICUREZZA MULTI-CLOUD: INTEGRAZIONE NATIVA, PROTEZIONE ESTESA, GESTIONE E AUTOMAZIONE.

2. PROTEZIONE ESTESA

La rapida adozione dell’infrastruttura cloud per le applicazioni business-critical richiede nuove forme di soluzioni di sicurezza multilivello, ampie e coordinate. Ciò è particolarmente vero se si considera la continua evoluzione nel panorama delle minacce avanzate e la complessità delle infrastrutture multi-cloud distribuite. Le organizzazioni che utilizzano più piattaforme cloud devono assicurarsi che ogni parte della superficie di attacco sia protetta da ogni tipo di minaccia. Ecco alcuni elementi chiave della sicurezza della rete che devono far parte di una soluzione completa:

nn Protezione dalle minacce zero-day. FortiGuard Labs ha rilevato che fino al 40% del malware osservato mediamente in un giorno nel 2018 è sconosciuto o zero-day. Ciò è dovuto in parte al fatto che i cybercriminali tendono sempre più a usare malware autogenerato e monouso. L’analisi sandbox, in cui il potenziale malware viene osservato in un ambiente simulato prima che ne venga consentito l’accesso alla rete, è una parte essenziale di una strategia di sicurezza cloud. Tuttavia, l’analisi sandbox richiede tempo e notevoli risorse di elaborazione e può pertanto rallentare le prestazioni in modo inaccettabile se la maggior parte del traffico non viene filtrata a monte. L’uso robusto dell’intelligenza artificiale (IA) e dell’apprendimento automatico (ML, Machine Learning) per il rilevamento delle minacce tramite l’analisi delle caratteristiche rileva molte minacce prima che sia necessario sottoporle al sandboxing. La possibilità di implementare tecnologie di sandboxing, sia in ambienti IaaS (Infrastructure-as-a-Service) che SaaS (Software-as-a-Service), è una funzionalità essenziale che deve far parte di qualsiasi strategia di sicurezza multi-cloud.

nn VPN IPSec. La possibilità di estendere la connettività nel cloud e attraverso cloud di diversi siti è essenziale. Poiché è frequente il traffico tra ambienti cloud, la capacità di isolarlo e di creare policy di sicurezza di rete uniformi nell’intera infrastruttura è essenziale per poter unificare i diversi ambienti cloud. Per isolare le reti in modo coerente è essenziale il supporto sia di VPN IPsec da sito a sito, sia di VPN tra reti virtuali cloud. Le implementazioni VPN devono essere interoperabili con soluzioni VPN cloud diverse, per offrire flessibilità a organizzazioni e unità organizzative diverse.

nn VPN SSL. La VPN SSL è molto importante per fornire l’accesso a determinati servizi business-critical, ospitati sia nel cloud che in locale. La possibilità di estendere l’infrastruttura di accesso remoto di un’organizzazione al cloud abilita una connettività ottimale indipendentemente da dove è ospitato un servizio.

nn Application Control. In un contesto in cui le organizzazioni usano l’infrastruttura cloud per ospitare una varietà crescente di applicazioni, diventa più importante rispondere alla necessità di avere visibilità e gestire la sicurezza a livello di applicazione. La sicurezza è più efficace quando viene implementata in base all’applicazione effettivamente utilizzata e non solo in base alla risorsa o al servizio a cui si accede. La capacità di implementare la sicurezza con riconoscimento delle applicazioni nel cloud, tra cloud diversi e attraverso l’infrastruttura cloud ibrida è essenziale per realizzare un’infrastruttura multi-cloud ad alte prestazioni senza compromettere la sicurezza.

nn SD-WAN. Le organizzazioni stanno prendendo in considerazione soluzioni SD-WAN (Software-Defined Wide-Area Network) e molte le stanno distribuendo per ridurre i costi della connettività Internet e avere un accesso più ampio ad applicazioni basate su cloud. La possibilità di effettuare il backhaul del traffico diretto a Internet attraverso un’infrastruttura di sicurezza centralizzata nel cloud offre notevoli vantaggi alle organizzazioni che intendono ridurre le dimensioni fisiche dei loro data center. La disponibilità della funzionalità SD-WAN nei prodotti di sicurezza basati su cloud sta acquisendo sempre più importanza con il graduale passaggio delle organizzazioni a una strategia multi-cloud e la necessità di realizzare un’infrastruttura che supporti questa transizione.

GESTIONE AUTOMATIZZATA

POLICY

SICUREZZA DELLE APPLICAZIONI

INTEGRAZIONE DEI SERVIZI CLOUD

CONTROLLO

SEGMENTAZIONE DI RETE

ASTRAZIONE DELLE RISORSE CLOUD

VISIBILITÀ

CONNETTIVITÀ SICURA

OTTIMIZZAZIONE DEL FATTORE FORMA

PROTEZIONE ESTESA

INTEGRAZIONE NATIVA

ANALISI

NGFW

GESTIONE

EMAIL

API

WAF

CASB

ENDPOINT

INTEGRAZIONI

FORTISANDBOX

STITCH DI AUTOMAZIONE

5

WHITE PAPER: BUILDING SECURITY-AS-A-SERVICE MODELS AT THE STATE GOVERNMENT LEVEL

nn Firewall stateful. Per quanto i firewall stateful siano considerati una funzionalità di base, la segmentazione stateful delle reti e del traffico delle applicazioni resta una capacità fondamentale per l’isolamento della rete. Nello specifico, la capacità di applicare in modo stateful policy uniformi attraverso più reti e infrastrutture cloud offre alle organizzazioni la possibilità di trasferire applicazioni tra infrastrutture diverse con maggiore sicurezza.

nn Next-Generation Firewall (NGFW). Con l’aumento delle applicazioni business-critical distribuite nel cloud, le organizzazioni necessitano sempre più di funzionalità di sicurezza avanzate. È fondamentale che la soluzione scelta offra per i servizi cloud la stessa gamma di funzionalità di sicurezza disponibili per i servizi locali. Fra queste non possono mancare funzionalità di riferimento quali Intrusion Prevention, Web Filtering e Antimalware.

nn Web Application Firewall (WAF). I firewall WAF, che controllano specificamente le minacce associate alla categoria di applicazioni più ampia, ossia quella delle applicazioni Web, aiutano le organizzazioni a soddisfare i requisiti delle policy di gestione dei rischi e i requisiti normativi sulla protezione dei dati degli utenti finali e sulla Business Continuity. Alcune delle funzionalità chiave offerte da un servizio WAF sono la prevenzione delle perdite di dati, la comprensione contestuale del flusso delle applicazioni Web e la dipendenza tra i diversi elementi di un’applicazione.

nn Sicurezza email. L’email è tuttora il vettore più comune per la distribuzione di malware. Con il progressivo spostamento dei sistemi di posta elettronica aziendali nel cloud, quest’ultimo diventa spesso la scelta obbligata per posizionare un gateway di posta. Il cloud rimane inoltre l’infrastruttura preferita per l’implementazione di sistemi di backup e, in questi casi, un gateway di sicurezza email è il prodotto ideale da posizionare nel cloud a scopo di backup.

3. GESTIONE E AUTOMAZIONE

L’unificazione della gestione dell’infrastruttura di sicurezza di rete di un’organizzazione consente di implementare in modo pratico e agevole funzionalità di visibilità e controllo nell’intera infrastruttura, dal data center a più ambienti cloud. La gestione centralizzata

consente inoltre l’automazione dei processi di gestione del ciclo di vita della sicurezza e l’applicazione di policy di sicurezza uniformi su più cloud. L’obiettivo è quello di poter gestire le infrastrutture locali e cloud in modo analogo, sfruttando lo stesso livello di visibilità e controllo. Ciò consente alle organizzazioni di centrare i propri obiettivi di gestione dei rischi aziendali e di conformità normativa.

L’efficacia della gestione e dell’automazione della sicurezza è il prodotto di quattro fattori principali: visibilità, controllo, policy e conformità.

nn Visibilità. La visibilità del variegato insieme di applicazioni, reti e infrastrutture di un ambiente multi-cloud è un presupposto fondamentale per la valutazione della strategia di sicurezza di un’azienda. Tali valutazioni rappresentano sia un punto di partenza che un processo continuo nella gestione della sicurezza. Le organizzazioni devono essere in grado di identificare le risorse sparse nell’intera infrastruttura, associare i flussi di traffico a tali risorse, capire quali applicazioni vengono utilizzate da ciascuna risorsa e identificare i dati che attraversano la rete. Queste informazioni consentono alle organizzazioni di verificare se le policy di sicurezza sono efficaci e se sono necessarie policy di sicurezza aggiuntive per fornire livelli di sicurezza adeguati per l’infrastruttura. In un ambiente multi-cloud, dove le applicazioni comunicano tra le varie infrastrutture, la capacità di tracciare centralmente i flussi di traffico e di comprendere la sequenza di eventi in ogni ambiente cloud offre spesso informazioni più approfondite di quelle rivelate dagli strumenti di sicurezza standard. Inoltre, la capacità di correlare informazioni sull’infrastruttura di sicurezza e visibilità dell’infrastruttura cloud in una console di gestione unificata semplifica ulteriormente le operazioni.

nn Controllo. Una volta che un’organizzazione ha una visibilità completa della sicurezza, il passo successivo consiste nell’applicare controlli alle funzioni pertinenti. Ciò comporta l’applicazione di modifiche alla configurazione e il popolamento dell’infrastruttura di sicurezza con le informazioni sulle risorse riguardanti la strategia di sicurezza multi-cloud. Gli strumenti di gestione della sicurezza devono estendere un framework di controllo uniforme sull’intera serie di funzioni di sicurezza.

6


Questo framework di controllo deve inoltre estendersi alla funzionalità di sicurezza native fornite da ciascuna piattaforma cloud. In tal modo gli amministratori e gli operatori potranno applicare modifiche all’intera infrastruttura di sicurezza, indipendentemente dalla tecnologia sottostante.

nn Policy. Sfruttando le funzionalità di visibilità e controllo abilitate dall’infrastruttura multi-cloud scelta, un’organizzazione può disporre di funzionalità efficaci di gestione della sicurezza e può mantenere la promessa di una gestione e applicazione della sicurezza uniformi nell’intera infrastruttura. Ad esempio, la visibilità e il controllo centralizzati consentono al personale addetto alla sicurezza di implementare policy basate sulle applicazioni indipendentemente da dove risiedono i diversi componenti delle applicazioni. Poiché è dal ciclo di vita complessivo delle applicazioni che nascono le modifiche all’infrastruttura, si riducono significativamente il lavoro e il tempo necessari per interpretare il modo in cui le modifiche alle applicazioni influiscono sull’infrastruttura. Il personale addetto alla sicurezza può invece modificare le impostazioni di sicurezza in base agli eventi del ciclo di vita delle applicazioni per attuare policy di sicurezza più uniformi. A livello strategico, invece di investire tempo produttivo a capire come implementare una policy di sicurezza per ogni specifica piattaforma cloud per soddisfare i requisiti organizzativi, il personale addetto alla sicurezza può implementare rapidamente le policy in un livello di gestione della sicurezza unificato, che astrae le tecnologie sottostanti e consente aggiornamenti molto più rapidi.

nn Conformità. Infine, gli strumenti e le pratiche di sicurezza delle informazioni e delle applicazioni di rete consentono alle organizzazioni di gestire i rischi associati al funzionamento delle risorse digitali e la conformità alle normative di settore. In particolare, il mantenimento di una strategia di sicurezza uniforme e l’automazione delle operazioni di sicurezza aumentano significativamente la capacità di un’organizzazione di mantenere la conformità alle normative. Inoltre, la centralizzazione della gestione della sicurezza e l’automazione dei flussi di lavoro e della condivisione delle informazioni sulle minacce offrono alle organizzazioni la capacità di reagire rapidamente alle minacce emergenti. Possono inoltre attenuare più efficacemente i rischi sull’intera superficie di attacco senza richiedere interventi di sicurezza eccessivamente impegnativi.

UNA SOLUZIONE COMPLETA BASATA SU INTEGRAZIONE NATIVA, PROTEZIONE ESTESA E FUNZIONALITÀ DI GESTIONE E AUTOMAZIONE DELLA SICUREZZA DEVE FUNZIONARE SU DIVERSI MODELLI DI EROGAZIONE, MODELLI DI DISTRIBUZIONE E FORNITORI DI SERVIZI.

GESTIONE E AUTOMAZIONE

CASI D’USO SPECIFICI PER IL CLOUDLa sicurezza per i carichi di lavoro e le applicazioni cloud deve essere implementata in modo conveniente e intuitivo da realizzare e gestire. Il risultato deve essere una soluzione davvero completa nell’attenuazione dei rischi per uno specifico caso d’uso. Di seguito sono riportati alcuni degli esempi più rilevanti:

SICUREZZA IAAS COMPLETA

I fornitori di servizi cloud proteggono le rispettive infrastrutture. Le organizzazioni degli utenti finali devono tuttavia occuparsi della protezione delle proprie risorse e applicazioni cloud. Quando si distribuiscono applicazioni specifiche nel cloud, la protezione dell’infrastruttura di supporto di queste applicazioni presenta sfide uniche e deve essere affrontata in modo completo su tre dimensioni diverse:

PROTEZIONE ESTESA INTEGRAZIONE NATIVA

MODELLO DI EROGAZIONE

Pubblico Comunità

Cloud

CLIENTE FINALE

MODELLO DI DISTRIBUZIONE

FORNITORI DI SERVIZI

7


Cloud Services Hub

Public Cloud Based Infrastructure

VPC1 VPC2VM VM VM

Transit VPC

HUB SERVIZI CLOUD

Le organizzazioni possono sfruttare una VPN basata su cloud per fornire servizi condivisi alle reti cloud e locali. Le reti e le applicazioni sviluppate e gestite in modo indipendente da diverse unità organizzative (line-of-business) possono essere collegate all’hub dei servizi cloud tramite una connessione VPN. Possono quindi utilizzare servizi condivisi, come firewall a livello applicativo, protezione delle comunicazioni delle applicazioni, firewall WAF con riconoscimento del contesto e delle applicazioni, sicurezza email e servizi di Advanced Threat Protection basati su sandbox. Tutti questi servizi possono essere gestiti dal cloud.

nn A livello di carico di lavoro, con un agente che controlli la coerenza dell’applicazione e del traffico est-ovest.

nn A livello di rete, proteggendo le comunicazioni nord-sud con un NGFW in linea che offra anche funzionalità VPN.

nn A livello di API, è necessario che una terza parte gestisca la strategia di sicurezza di un’organizzazione tramite le API del cloud. Tale funzione è supportata da un servizio CASB (Cloud Access Security Broker).

I diversi prodotti che proteggono queste diverse dimensioni devono interagire ed essere gestiti centralmente tramite policy di sicurezza uniformi.

VPC1 VPC2

VM


Public Cloud Management API

Cloud Access Security Broker (CASB)

Endpoint Security

NGFW (VM)

VM VM

HUB SERVIZI CLOUDSICUREZZA IAAS COMPLETA

Infrastruttura basata su cloud pubblico Infrastruttura basata su cloud pubblico

API di gestione cloud pubblico

VPC1NGFW (VM)

Internet

VPC1

Transit VPC

Hub servizi cloud

VPC2

VPC2

Endpoint Security


8


Cloud Services HubTransit VPC

Web based and Mail Applications

Sandbox Web and Mail Security

NGFW


VMVM

NGFW (VM)

NGFW (VM)

Cloud Remote Access Points


Private Data Center Infrastructure

Cloud Network 1

VM VM VM

Cloud Network 2

VPN DI ACCESSO REMOTO

Sfruttando la presenza globale di data center e aree cloud, le organizzazioni possono creare punti di terminazione VPN di accesso remoto a livello globale e distribuire gateway in modo dinamico in base ai requisiti degli utenti finali. La gestione uniforme dei diversi punti di terminazione VPN offre la flessibilità necessaria per una distribuzione mondiale senza aggiungere spese di gestione evitabili. Inoltre, la natura dinamica del cloud significa che la distribuzione non è permanente, ma può essere configurata o disattivata secondo necessità. Questo scenario si applica sia quando le applicazioni risiedono nel cloud, sia quando risiedono in locale. Nel caso di applicazioni locali, queste possono connettersi al cloud utilizzando tunnel VPN IPsec da sito a sito.

PROTEZIONE AVANZATA DELLE APPLICAZIONI

In un contesto in cui le organizzazioni distribuiscono su cloud pubblici applicazioni business-critical contenenti dati sensibili, la sicurezza a livello di applicazione diventa fondamentale. Ciò aiuta a supportare gli obiettivi di gestione dei rischi aziendali, garantendo al tempo stesso la conformità a normative quali il Payment Card Industry Data Security Standard (PCI DSS) e il regolamento generale sulla protezione dei dati dell’Unione europea (GDPR).

Le soluzioni di sicurezza devono offrire una sicurezza ampia, multilivello e specifica per le applicazioni. Ciò consente alle organizzazioni di trasferire le applicazioni nel cloud in base ai requisiti aziendali anziché alla disponibilità dettata dalla sicurezza. Inoltre, le organizzazioni hanno la flessibilità di scegliere la piattaforma cloud più rispondente alle esigenze del business invece che ai vincoli tecnici.

CLOUD IBRIDO

Molte organizzazioni sfruttano il cloud pubblico per fornire l’infrastruttura per le soluzioni IT insieme ai data center locali. In molti casi, le nuove applicazioni vengono distribuite in modo uniforme sul cloud pubblico, mentre in altri casi vengono distribuite in cloud pubblici e privati in parallelo. È importante che una soluzione di sicurezza offra supporto sia per le tecnologie di cloud privato che di cloud pubblico. Deve inoltre offrire funzionalità di sicurezza rapide ed efficaci per far fronte ad alti volumi di trasferimento dati. Un’importanza critica è rivestita anche da una gestione uniforme delle policy di sicurezza, che garantisce che la migrazione delle applicazioni da un’infrastruttura all’altra non comporti indesiderati sovraccarichi operativi di sicurezza, i quali potrebbero favorire errori umani in grado di compromettere la sicurezza. Le funzionalità di sicurezza devono inoltre proteggere l’intera superficie di attacco ed essere scalabili per adattarsi ai continui cambiamenti.

Infrastruttura basata su cloud pubblico


Infrastruttura data center privato

Rete cloud 1 Rete cloud 2

NGFW (VM)

NGFW (VM)

NGFW

Sicurezza Web e emailSandbox

Applicazioni web e email

Access point cloud remoti

Hub Transit VPC di servizi cloud

9


SaaS Management API


Public Cloud Based Security Management

Public Cloud Based Security Management


Public Cloud Management API


Cloud Network 1

VM VM VM

Cloud Network 2

MONITORAGGIO E CONTROLLO DELL’USO DEL SAAS

Con la crescita dell’uso delle applicazioni SaaS nelle aziende a livello sia centrale che remoto, aumenta anche la necessità di applicare policy di sicurezza uniformi per gli utenti. La sicurezza cloud deve integrare controlli di sicurezza dai firewall perimetrali utilizzati per ispezionare tutto il traffico in uscita, incluso quello generato dalle applicazioni SaaS. In tale traffico, i contenuti dannosi e gli accessi non sicuri spesso possono essere individuati solo correlando diversi vettori di comunicazione. Ad esempio, la collaborazione su un file specifico in un’applicazione SaaS e l’invio di tale file tramite email possono essere monitorati solo da una protezione completa CASB e in linea, come un firewall locale.

GESTIONE DELLA SICUREZZA DAL CLOUD

L’espansione delle reti aziendali su scala globale e distribuita genera esigenze di connettività tra più filiali, data center e ambienti cloud. Le organizzazioni devono pertanto essere in grado di gestire la sicurezza in modo scalabile e con tolleranza di errore, semplificando le operazioni e la gestione del ciclo di vita della sicurezza. Le soluzioni di gestione della sicurezza devono sfruttare la presenza globale dei principali fornitori di infrastrutture cloud e l’elasticità delle risorse di storage e calcolo per sistemi di gestione delle operazioni e della sicurezza globali e centralizzati.

MONITORAGGIO E CONTROLLO DELL’USO DEL SAAS

MONITORAGGIO E CONTROLLO DELL’USO DEL CLOUD PUBBLICO

L’utilizzo del cloud pubblico spesso non viene monitorato. Inoltre, gli utenti possono eseguire quasi tutte le funzioni che desiderano, con l’unico limite delle autorizzazioni associate al proprio ruolo utente. Questa modalità senza supervisione porta a rischi per la sicurezza e a costi evitabili nell’uso delle risorse cloud.

Un servizio CASB può gestire la strategia di sicurezza di concerto con le funzionalità in linea dell’infrastruttura di sicurezza nel cloud, consentendo alle organizzazioni di ottenere piena visibilità sulle modifiche alla configurazione attraverso una varietà di infrastrutture cloud pubbliche. Le organizzazioni possono inoltre migliorare i propri processi decisionali e modificare le policy in modo da soddisfare i propri requisiti aziendali, applicando al tempo stesso policy di uso accettabile e di conformità alle normative e agli standard di sicurezza.


Gestione della sicurezza basata su cloud pubblico

Gestione della sicurezza basata su cloud pubblico

Rete cloud 1 Rete cloud 2

API di gestione cloud pubblico

API di gestione SaaS



Copyright © 2018 Fortinet, Inc. Tutti i diritti riservati. Fortinet®, FortiGate®, FortiCare®, FortiGuard® e altri marchi sono marchi registrati di Fortinet, Inc. Anche altri nomi Fortinet qui citati possono essere marchi registrati e/o marchi di diritto comune di Fortinet. Tutti gli altri nomi di prodotti o società possono essere marchi registrati dei rispettivi proprietari. I dati riportati relativi a prestazioni e altre caratteristiche sono stati ottenuti con prove interne di laboratorio in condizioni ideali e, pertanto, le prestazioni effettive e altri risultati possono variare. Elementi variabili della rete, diversi ambienti di rete e altre condizioni possono influenzare i risultati delle prestazioni. Nulla di quanto qui contenuto rappresenta un impegno vincolante per Fortinet, e Fortinet esclude qualsiasi garanzia, esplicita o implicita, eccetto quelle previste da un contratto scritto, firmato da un rappresentante legale di Fortinet, che garantisca esplicitamente all’acquirente che le prestazioni del prodotto indicato saranno conformi a determinati dati esplicitamente indicati. In tal caso, solo gli specifici dati delle prestazioni esplicitamente identificati in tale contratto scritto saranno vincolanti per Fortinet. Per chiarezza, qualsiasi garanzia è limitata alle prestazioni ottenute nelle stesse condizioni ideali delle prove interne di laboratorio di Fortinet. Fortinet esclude in toto qualsiasi convenzione, rappresentanza e garanzia, esplicita o implicita, sulla base del presente documento. Fortinet si riserva il diritto di cambiare, modificare, trasferire o comunque revisionare questa pubblicazione senza alcun preavviso. La versione applicabile della presente pubblicazione è quella più recente.

www.fortinet.com

aprile 25, 2019 12:00 p.

wp-key-principles-securing-the-enterprise-cloud-A4270835-0-1-IT


CONCLUSIONI

Il cloud offre alle organizzazioni immense opportunità di business. Ma senza l’infrastruttura di sicurezza e il framework operativo giusti, il cloud presenta serie sfide di sicurezza che possono avere ripercussioni di vasta portata. Applicazioni e dati business-critical sono sparsi su più cloud. L’adozione rapida e decentralizzata dei servizi cloud spesso si traduce in un insieme eterogeneo di strumenti e policy di sicurezza gestiti in ambienti isolati.

Il modello di condivisione di responsabilità per la sicurezza del cloud impone ai fornitori di servizi cloud solo di proteggere l’infrastruttura. Non rientrano nelle loro responsabilità le applicazioni distribuite e in esecuzione sul cloud e i dati archiviati nel cloud. Della protezione del livello applicativo sono responsabili gli utenti finali. Poiché ogni fornitore di servizi cloud utilizza strumenti e metodi di sicurezza diversi, si crea ulteriore complessità per le aziende, le quali devono coordinare tali strumenti e metodi con gli strumenti di sicurezza adottati per proteggere le proprie applicazioni.

Per proteggere gli ambienti multi-cloud, le aziende devono seguire tre principi:

nn Integrazione nativa con tutti i principali fornitori di servizi cloud

nn Un’ampia suite di strumenti di sicurezza che copra l’intera superficie di attacco

nn Gestione centralizzata della sicurezza, compresa l’automazione dei flussi di lavoro e la condivisione di informazioni sulle minacce

A causa dell’eterogeneità delle distribuzioni cloud, vi sono più casi d’uso della sicurezza che le organizzazioni devono prendere in considerazione. Ognuno di questi è accompagnato da requisiti di sicurezza, come l’integrazione di tutti gli elementi di sicurezza sull’intera superficie di attacco, l’automazione della sicurezza estesa su più cloud, framework di sicurezza specifici per il cloud con gestione centralizzata delle policy per la conformità normativa, sicurezza estesa all’intero ciclo di vita delle applicazioni, un hub di servizi cloud per la fornitura di servizi di sicurezza e altro ancora.

1 “Fortinet Threat Landscape Report Q3 2017,” Fortinet, 17 novembre 2017.

2 “Gartner Reveals Top Predictions for IT Organizations and Users for 2016 and Beyond,” Gartner, 6 ottobre 2015.

https://www.fortinet.com/content/dam/fortinet/assets/threat-reports/Threat-Report-Q3-2017.pdf

https://www.gartner.com/newsroom/id/3143718

Principi e strategie chiave per proteggere il cloud aziendale...di servizi cloud, la distinzione...

Documents

Transcript of Principi e strategie chiave per proteggere il cloud aziendale...di servizi cloud, la distinzione...