Le Best Practices per rendere sicure le App in ambienti multicloud

0
298

This post is also available in: Inglese Francese Tedesco Portoghese, Brasile Spagnolo Russo

Da sofisticati motori di e-commerce  a soluzioni di produttività cloud-based e  strumenti personali sui cellulari, le applicazioni determinano in che modo le cose vengano fatte.   Le aziende continuano la veloce transizione di queste applicazioni sul cloud. 

Secondo il C-Suite Perspectives Report di Radware, il 76% delle aziende intervistate ha accelerato i suoi piani di migrazione di applicazioni e infrastrutture sul cloud.   Le aziende non stanno soltanto effettuando una migrazione sul cloud, ma anche adottando una strategia multicloud. Secondo i risultati dell’indagine svolta da Flexera, il 93% delle aziende ha adottato una strategia cloud ibrida. 

La presenza online è normalmente di vitale importanza per molte aziende. Ne consegue che tanto la sicurezza quanto la disponibilità delle applicazioni dovrebbero essere in cima ai loro pensieri.

Adottare un ambiente cloud eterogeneo comporta una mancanza di continuità in termini di gestione, sicurezza e reporting. Ogni ambiente cloud pubblico ha strumenti di gestione, monitoraggio, application deliverye servizi di sicurezza propri.

Le sfide

Questa mancanza di uniformità si traduce in una serie sfide per l’Application Security:

Protezione delle applicazioni – Oggi gli attacchi alle applicazioni sono così diversificati che non è più sufficiente proteggerle soltanto con un Web Application Firewall (WAF). La protezione è necessaria anche per la Application Programming Interface (API) e contro BOT molto sofisticati. Dal momento che gli hacker sondano le vulnerabilità di rete e di applicativa per lanciare i loro attacchi e accedere a dati sensibili, la protezione delle applicazioni diventa essenziale per proteggere l’azienda e il suo brand.  

Le aziende spesso devono configurare e gestire svariati prodotti di Application Security con diverse capacità e su diversi ambienti. Da ultimo, una volta che l’applicazione lascia i confini del data center aziendale on-premise, la superficie di attacco aumenta. 

[Ti potrebbe interessare anche: Managing Applications Across Multiple Data Centers: A Case Study]

Complessità – Portare le applicazioni sul cloud complica ulteriormente la sicurezza informatica.   I vendor cloud non forniscono controlli di sicurezza completi e le strutture di sicurezza variano da vendor a vendor.

I servizi cross-domain che abbracciano networking, applicazioni e sicurezza richiedono competenze di dominio e collaborazione tra team, generando conflitti e ritardi nei test e nella fornitura.

Tutto ciò si traduce in applicazioni scarsamente protette.

Visibilità azionabile – Con le applicazioni implementate su cloud privati e cloud pubblici, monitorarne performance e user experience, individuare le violazioni SLA, gestire gli eventi concernenti la sicurezza delle applicazioni e diagnosticarne le cause sono tutti elementi imprescindibili.  Un unico pannello che dia visibilità e consenta l’analisi di tutti questi fattori è essenziale per assicurarsi che le applicazioni di un’azienda forniscano una digital experience superiore.

[Ti potrebbe interessare anche: How WAFs Can Mitigate The OWASP Top 10]

Costi imprevisti – La possibilità di tenere sotto controllo i costi nell’allocare dinamicamente l’application delivery e i servizi di protezione in ambienti eterogenei, se necessario, è fondamentale.    Perché? In quanto molte organizzazioni con deployment in ambienti cloud pubblici spesso si ritrovano a dover sostenere costi imprevisti legati all’aumento dell’utilizzo dei servizi. 

Automazione – Automatizzare rapidamente il deployment dei servizi o scalare dinamicamente le risorse applicative diventa imprescindibile in quanto il prezzo è basato sull’utilizzo/consumo delle risorse.   Qualsiasi componente di questa filiera ha bisogno dell’automazione per trasformare processi manuali in operazioni automatizzate che non richiedano competenze.

Service Availability – La disponibilità a soddisfare le richieste dell’utente e scalare automaticamente è essenziale per le società che cercano di automatizzare le operazioni supportate.   Ciò significa essere in grado di aggiungere e rimuovere servizi su richiesta, senza alcun intervento manuale nel licensing e liberare la capacità non più utilizzata. Tutto ciò consente di risparmiare tempo e denaro.

Lock-In – Può prodursi in quanto un fornitore di servizi cloud potrebbe fornire capacità di sicurezza e scalabilità delle applicazioni che un altro non offre.   Inoltre, la mancanza di standardizzazione sui cloud può richiedere servizi di consulenza a valore aggiunto, per es. consulenze tecniche e di altro tipo.

Capacità critiche

Qualsiasi soluzione volta ad affrontare le sfide precedenti deve includere i seguenti elementi per migrare, rendere sicure e gestire le app sul cloud:

  • Set completo di tecnologie di application security facilmente integrato 
  • Stessa soluzione e stesse capacità sui diversi ambienti fisici, virtuali e cloud
  • Fornire KPI sui diversi ambienti e facilitare la risoluzione dei problemi negli stessi
  • Da ultimo, l’adozione di una strategia multicloud non dovrebbe andare a scapito del costo, essendo questo uno dei motivi iniziali che spingono ad adottare il cloud!

Sicurezza integrata delle applicazioni: La soluzione scelta deve includere un set completo di moduli di protezione delle applicazioni che fornisca la migliore copertura su tutta la superficie esposta a minacce:

  • Un Web Application Firewall a protezione contro gli attacchi web-based (OWASP Top 10 o superiore).
  • Bot Manager a protezione contro le minacce automatizzate da bad bot.
  • Una protezione API completa per proteggere le API e dare piena visibilità alle minacce contro le stesse.
  • Threat Intelligence a protezione contro aggressori ignoti e attivi.

Deployment più rapido: Deve essere semplice da implementare, gestire e mantenere senza dover ricorrere a esperti. Per esempio, se hai diversi elementi costitutivi quali NetOps, SecOps e DevOps, la soluzione deve essere semplice da implementare dal primo giorno, possibilmente da NetOps. Il giorno 2, i team DevOps e SecOps dovrebbero usare policy di sicurezza precostituite come modelli self-service. Dovresti rivolgerti ad esperti di sicurezza per creare questi modelli semplici da usare. Il giorno 3 e seguenti dovrebbero riguardare l’ottimizzazione e l’evoluzione delle policy implementate. Assicurati che ogni soluzione implementata consenta l’apprendimento.

[Ti potrebbe interessare anche: Distribute Application Workloads Across Multiple Clouds & Data Centers]

Standardizzata e coerente: Quando avevi il controllo delle app in sede, era facile. Assicurati di poter implementare le stesse policy in modo uniforme nei diversi cloud. Utilizza un piano di controllo centralizzato per gestire e aggiornare le policy su tutti gli ambienti.

Azionabile: Seguire i KPI e la security posture è fondamentale. Queste informazioni dovrebbero poter essere messe in pratica e utilizzabili.   Per esempio, diciamo che hai troppi falsi positivi. Non dovresti dipendere da esperti in sicurezza per rifinire una policy.

Costi ottimizzati: Il mondo si sta già orientando verso un controllo centralizzato dei costi e sconti sui volumi. Indipendentemente dalle diverse tecnologie che usi per la protezione delle applicazioni, assicurati di avere una certa elasticità sul prezzo laddove una capacità disattivata possa essere riutilizzata in un altro ambiente senza dover pagare tutto di nuovo.

Garantire un deployment ibrido o multicloud non deve essere complicato o dispendioso per le aziende. Con la soluzione e gli strumenti adeguati, è possibile trarre vantaggio da cloud on premise, pubblici e privati per portare valore al tuo business.

Previous articleSicurezza e DevOps: tieni il passo
Next articleMitigare gli attacchi low-and-slow ad applicazioni e API
Prakash Sinha is a technology executive and evangelist for Radware and brings over 29 years of experience in strategy, product management, product marketing and engineering. Prakash has been a part of executive teams of four software and network infrastructure startups, all of which were acquired. Before Radware, Prakash led product management for Citrix NetScaler and was instrumental in introducing multi-tenant and virtualized NetScaler product lines to market. Prior to Citrix, Prakash held leadership positions in architecture, engineering, and product management at leading technology companies such as Cisco, Informatica, and Tandem Computers. Prakash holds a Bachelor in Electrical Engineering from BIT, Mesra and an MBA from Haas School of Business at UC Berkeley.

LEAVE A REPLY

Please enter your comment!
Please enter your name here