Cos’è la sicurezza dell’infrastruttura cloud?

La sicurezza dell'infrastruttura cloud riguarda l’insieme di tecnologie, controlli e policy progettate per migliorare il livello di sicurezza dell’infrastruttura cloud sottostante. Una solida sicurezza dell’infrastruttura cloud contribuisce a difendersi da minacce come attacchi DDoS, perdita di dati o configurazioni errate che potrebbero provocare eventi di sicurezza imprevisti. La sicurezza dell’infrastruttura cloud è un componente fondamentale della sicurezza del cloud.

Il modello di responsabilità condivisa è un sistema che stabilisce chi è responsabile di specifiche misure di sicurezza informatica tra il fornitore di servizi cloud e l’utente. Le responsabilità possono ricadere sull’utente, sul fornitore cloud oppure essere condivise tra entrambe le parti.

Di seguito sono indicate le principali responsabilità di ciascuna parte nel modello di responsabilità condivisa.

Responsabilità dei fornitori di servizi cloud

Un fornitore di servizi cloud è responsabile della protezione dell’infrastruttura fisica che gestisce i propri servizi cloud. L’hardware, il software, la rete, le strutture collegate ai servizi rientrano interamente nella sfera di responsabilità del fornitore.

Le tue responsabilità

Le tue responsabilità nel modello di responsabilità condivisa sono determinate dai servizi cloud selezionati. Sommati, questi servizi determinano la quantità di lavoro di configurazione da eseguire nell’ambito delle responsabilità di sicurezza. Tra i compiti principali ci sono la gestione dei dati (inclusa la scelta delle opzioni di crittografia), la classificazione degli asset e l’uso di strumenti di Identity and Access Management (IAM) per applicare le autorizzazioni corrette.

Responsabilità condivisa

Alcuni controlli riguardano sia l’infrastruttura del fornitore sia gli ambienti gestiti dal cliente, seppur da prospettive diverse. In questi casi di responsabilità condivisa, il fornitore assicura i requisiti sulla propria infrastruttura, mentre il cliente implementa i controlli necessari nell’uso dei servizi cloud. Esempi tipici includono la gestione delle configurazioni e le attività di formazione e sensibilizzazione.

L’infrastruttura cloud costituisce la base di tutti i servizi cloud, rendendo la sua sicurezza fondamentale per qualsiasi carico di lavoro che vi venga eseguito.

Ecco alcuni motivi per cui proteggere l’infrastruttura cloud è importante per le aziende.

Prevenire accessi non autorizzati negli ambienti cloud

Gli attori malevoli prendono di mira gli ambienti cloud a causa dell’enorme quantità di dati che contengono. Configurazioni errate, controlli insufficienti o vulnerabilità sottostanti nell'infrastruttura cloud possono creare punti di ingresso per soggetti non autorizzati. Le misure di sicurezza dell’infrastruttura cloud servono a individuare e gestire questi punti di vulnerabilità, contribuendo a proteggere i dati aziendali e a garantire la loro riservatezza.

Ridurre le interruzioni della continuità aziendale

Le minacce informatiche specifiche, come gli eventi Distributed Denial of Service (DDoS), mirano a ridurre la capacità di un’organizzazione di funzionare come previsto. Le soluzioni di sicurezza dell’infrastruttura cloud, ad esempio la segmentazione delle reti, permettono di difendersi in modo proattivo da minacce interne ed esterne, aiutando le attività aziendali a mantenere un’elevata disponibilità dei servizi.

Mantenere la fiducia

Quando un’organizzazione subisce un evento di sicurezza informatica, soprattutto se riguarda dati dei clienti archiviati nel cloud, il rischio di danni reputazionali aumenta. La sicurezza dell’infrastruttura cloud protegge meglio i servizi virtualizzati eseguiti nel cloud, contribuendo a garantire che i dati aziendali sensibili rimangano privati.

Le soluzioni di sicurezza dell’infrastruttura cloud sono generalmente di per sé native del cloud.

Di seguito i principali elementi della sicurezza dell’infrastruttura cloud.

Identity and Access Management

Le organizzazioni ospitano dati e informazioni sensibili nel cloud e aiutano a garantire che gli utenti autorizzati possano accedere a queste risorse cloud. L’Identity and Access Management (IAM) definisce quali ruoli utente possono interagire o localizzare i dati. Insieme ai sistemi di autorizzazione, l’IAM può verificare la proprietà degli account cloud attraverso l’autenticazione a più fattori, contribuendo a impedire l’accesso a utenti non autorizzati.

Registrazione e telemetria

I servizi di registrazione e telemetria mirano a documentare azioni ed eventi specifici in un sistema cloud. Tramite la registrazione accurata degli eventi di accesso, dello spostamento delle informazioni e delle azioni di cybersecurity, le organizzazioni ottengono una maggiore visibilità sulla propria infrastruttura cloud. La telemetria operativa emessa dai sistemi critici può creare una serie di informazioni, spesso utilizzate negli audit.

Analisi dei dati

Le soluzioni di analisi possono sfruttare la telemetria operativa e i dati di log esistenti per determinare incongruenze, anomalie o eventi imprevisti che richiedono ulteriori indagini. I sistemi di analisi come le informazioni di sicurezza e gestione degli eventi (SIEM) aggregano i punti dati per avvisare e tracciare potenziali eventi di sicurezza e aiutano a garantire che i sistemi di monitoraggio della sicurezza dell’infrastruttura cloud funzionino come previsto.

Sicurezza della rete e dei dispositivi

I dipendenti accedono al tuo ambiente cloud e alle risorse cloud archiviate al suo interno da un’ampia varietà di posizioni e dispositivi. Per rafforzare questa vasta superficie contro potenziali minacce, è possibile implementare una varietà di soluzioni. Queste includono la sicurezza di rete e dei dispositivi per controllare il traffico in entrata e in uscita, filtrare traffico dannoso e isolare i carichi di lavoro, assicurando che le reti siano compartimentate.

Crittografia dei dati

La sicurezza dei dati riguarda in generale la protezione di tutte le informazioni, sia durante il trasferimento sia quando sono conservate, contro accessi non autorizzati. La sicurezza dell'infrastruttura cloud può sfruttare policy di classificazione dei dati per etichettarli in base alla loro sensibilità e applicare varie pratiche di sicurezza per salvaguardare i dati. I dati possono essere criptati sia a riposo sia in transito, garantendo l’accesso ai dati sensibili esclusivamente alle persone autorizzate. La sicurezza dei dati implica anche lo sviluppo e l’implementazione di strategie di prevenzione della perdita di dati per migliorare la sicurezza delle informazioni.

Ecco alcune delle best practice per migliorare la strategia di sicurezza del cloud e contribuire a salvaguardare l’infrastruttura di cloud computing sottostante.

Creare livelli di rete

Creare livelli di rete significa organizzare i componenti del carico di lavoro in gruppi logici in base alla loro funzione e alla loro sensibilità, come ad esempio i server web esposti a Internet o i database di backend. Inserendo questi componenti in sottoreti separate, si stabiliscono confini chiari e si creano opportunità per controllare come il traffico circola tra di essi.

Questo approccio a strati supporta una strategia di difesa approfondita, in cui ogni livello funge da punto di controllo della sicurezza. Ad esempio, solo le risorse del livello più esterno dovrebbero essere esposte a Internet, mentre i sistemi più sensibili, come i database, rimangono isolati e accessibili solo tramite reti interne.

I cloud privati virtuali e l’infrastruttura cloud privata consentono di creare reti e infrastrutture logicamente isolate nel cloud. Definire policy di sicurezza coerenti per le reti cloud e il loro utilizzo contribuisce a promuovere un ambiente cloud sicuro.

Controllare il flusso del traffico

Il controllo del flusso di traffico può comportare la segmentazione dell’ambiente in modo da consentire solo la comunicazione necessaria tra carichi di lavoro, utenti e sistemi esterni. Questo controllo del traffico include la gestione sia del traffico tra la rete e Internet (traffico nord-sud) sia tra la rete e Internet (traffico est-ovest).

Un errore comune consiste nel fare affidamento esclusivamente sulle difese perimetrali o nel presumere fiducia tra i livelli di rete. Le best practice enfatizzano invece un approccio con privilegi minimi, in cui si concede l’accesso punto a punto, tra utenti e risorse cloud, inclusi i server cloud. Il controllo del traffico in entrata e in uscita in questo modo aiuta a limitare l’impatto degli accessi non autorizzati e migliora i tempi di rilevamento e risposta durante gli eventi di sicurezza.

Implementare una protezione basata sulle ispezioni

Implementare una protezione basata sulle ispezioni implica l’analisi del traffico mentre si muove tra i diversi livelli di rete, a un livello granulare. Ad esempio, analizzando il contenuto, i metadati e il comportamento effettivi dei dati in transito. La protezione basata sulle ispezioni consente di rilevare anomalie o potenziali accessi non autorizzati sulla base di intelligence sulle minacce in tempo reale. È possibile creare regole basate sul contesto applicativo, sull’identità dell’utente o sulle minacce note, rendendo le protezioni più stringenti nelle vicinanze di carichi di lavoro sensibili.

Automatizzare la protezione della rete

L’automazione della protezione della rete utilizzando pratiche DevOps come infrastructure as code (IaC) e pipeline CI/CD aiuta le organizzazioni a implementare configurazioni di rete più sicure, coerenti e ripetibili. In caso di modifica, le pipeline automatizzate avviano i flussi di lavoro di test e distribuzione. Le modifiche vengono prima implementate in un ambiente di staging per la validazione, dove è possibile verificare che funzionino come previsto prima del rilascio in produzione.

Framework AWS Well-Architected

Il Framework AWS Well-Architected offre una serie di best practice e pratiche di progettazione della sicurezza del cloud per aiutare a proteggere i carichi di lavoro AWS. Il pilastro della sicurezza di questo framework offre una guida prescrittiva su come proteggere meglio i sistemi, i dati e le informazioni con una sicurezza cloud solida e a più livelli e protezioni proattive.

Rivedere periodicamente le linee guida del Well-Architected Framework permette alle organizzazioni di migliorare la propria postura di sicurezza nel cloud e di garantire che le strategie di protezione dell’infrastruttura rimangano efficaci.

La sicurezza nel cloud è una priorità assoluta per AWS, e la progettazione della nostra infrastruttura globale è pensata per garantire operazioni continue. Manteniamo la fiducia con clienti e partner offrendo strumenti e servizi che aiutano a proteggere applicazioni, dati e carichi di lavoro su larga scala. L'infrastruttura AWS si estende su più regioni geografiche e zone di disponibilità, ciascuna progettata con livelli di controlli fisici e logici. Queste misure di protezione si basano su un continuo monitoraggio delle minacce e su test rigorosi lungo tutto il ciclo di vita dei sistemi.

AWS mette a disposizione una gamma di servizi per la sicurezza dell’infrastruttura cloud, studiati per proteggere in modo efficace l’infrastruttura della tua organizzazione su AWS.

• Amazon GuardDuty protegge gli account degli utenti, i carichi di lavoro e i dati AWS con un rilevamento intelligente delle minacce.
• AWS Identity and Access Management (IAM) gestisce e scala l’accesso al carico di lavoro e alla forza lavoro supportando in modo sicuro l’agilità e l’innovazione in AWS.
• Amazon Inspector rileva automaticamente i carichi di lavoro, come le istanze Amazon Elastic Compute Cloud (Amazon EC2), le immagini dei container e le funzioni AWS Lambda, nonché i repository di codice, per poi sottoporli a scansione per rilevare le vulnerabilità del software e l’esposizione involontaria della rete.
• Amazon Macie individua i dati sensibili utilizzando il machine learning e i criteri di ricerca, offre visibilità sui rischi per la sicurezza dei dati e consente di automatizzare la protezione contro tali rischi.
• AWS Security Hub dà priorità ai problemi di sicurezza critici e aiuta a rispondere su larga scala per proteggere l’ambiente. Rileva le criticità correlando e arricchendo i segnali in approfondimenti concreti che consentono di adottare una risposta semplificata. AWS Security Hub include la gestione della postura di sicurezza nel cloud (CSPM) per comprendere il tuo attuale stato di sicurezza.

Inizia a utilizzare la sicurezza dell’infrastruttura cloud su AWS creando un account gratuito oggi stesso.