Le quattro principali sfide di gestione delle identità e dell’accesso nel cloud pubblico

0
40

This post is also available in: Inglese Francese Tedesco Portoghese, Brasile Spagnolo Russo

Operare nel cloud pubblico è tutta una questione di agilità e flessibilità. Dal momento che organizzazioni e team DevOps si concentrano maggiormente sulla distribuzione di codici e funzionalità il più rapidamente possibile, il cloud pubblico è il luogo deputato della trasformazione digitale. Secondo la ricerca Radware, il 70% delle applicazioni di produzione gira ora nel cloud pubblico. Ciò significa che sempre più spesso la sicurezza “cloud” è sinonimo di sicurezza informatica.

La natura rapida e dinamica degli ambienti cloud fa sorgere determinate considerazioni sulla sicurezza, di cui le organizzazioni devono tener conto nel godere della flessibilità che il cloud può offrire. In particolare, a preoccupare è la questione della gestione delle identità e dell’accesso nel cloud pubblico.

Il tuo permesso = la tua superficie di minaccia

I workloads ospitati sul cloud pubblico sono ora, per definizione, remoti. Tutto l’accesso avviene tramite connessione remota, utilizzando i meccanismi e le API forniti dall’hosting provider sul cloud pubblico. Gli amministratori non hanno più il controllo fisico sulle loro risorse e tutto l’accesso alle stesse avviene da remoto. Tuttavia, hacker, operatori malevoli e altre terze parti non autorizzate possono accedere a quelle stesse risorse usando i medesimi protocolli standardizzati, API e metodi di accesso.

Pertanto, la sicurezza dei tuoi workloads dipende da chi vi ha accesso e dall’accesso di cui dispone.

Ciò significa che li tuoi permessi corrispondono alla tua superficie di minaccia. E proteggersi dalle minacce nel cloud pubblico inizia con la messa in sicurezza dei permessi e della gestione delle identità e dell’accesso (IAM).

Reti diverse, sfide analoghe

Con sempre più clienti Radware che distribuiscono applicazioni in ambienti cloud abbiamo potuto osservare diverse sfide e preoccupazioni comuni.

Come sopra menzionato, molte di tali sfide di sicurezza riguardano permessi e gestione dell’identità:

  • Permessi eccessivi concessi a utenti senza alcuna necessità aziendale
  • Configurazioni errate di ambienti cloud e policy di sicurezza cliente
  • Esposizione pubblica di asset senza controlli di sicurezza adeguati (o con controlli inesistenti).
  • Accesso malevolo all’ambiente cloud da parte di terzi non autorizzati 

Analizziamo ciascuna sfida in dettaglio e vediamo perché si tratta di un problema:


Sfida 1: Permessi eccessivi

La gestione di permessi e accessi è un argomento critico per la sicurezza IT, indipendentemente da dove si è ospitati, ma il cloud la rende un problema.

Ciò accade perché la migrazione sul cloud è spinta frequentemente dal desiderio di maggiore agilità e flessibilità. Il cloud rende incredibilmente semplice far girare nuove risorse, distribuire nuovi codici e accelerare i processi di sviluppo, traducendosi in un time to market più rapido.

Tuttavia, tale agilità e flessibilità comporta un costo in termini di sicurezza. In nome della comodità, gli amministratori del cloud spesso concedono ampi permessi agli utenti per consentire loro di operare senza problemi. In sostanza, la maggior parte degli utenti utilizza soltanto una piccola porzione dei permessi concessi e non ha bisogno di tutti. Ciò rappresenta una grave lacuna della sicurezza nel caso in cui le credenziali utente cadano nelle mani di malintenzionati; in tal caso gli aggressori avrebbero ampio accesso a dati e risorse sensibili.

Sfida 2: Errata configurazione IAM 

Data la velocità delle operazioni sul cloud – e l’incertezza su chi sia responsabile dei vari aspetti della sicurezza – molte organizzazioni spesso sono esposte a configurazioni errate nel cloud, anch’esse fonte di vulnerabilità.

La gestione delle identità e degli accessi è un’insidia particolare per molte organizzazioni a causa delle svariate configurazioni e potenziali insidie che la circondano, tra cui la politica delle password, le configurazioni errate di autenticazione utenti, le lacune di registrazione e segnalazione, e così via.

Tali preoccupazioni sono confermate anche dalle ricerche di settore. Secondo il report Managing Privileged Access in Cloud Infrastructure di Gartner, entro il 2023 il 75% dei problemi di sicurezza nel cloud saranno attribuibili a una gestione inadeguata di identità, accessi e privilegi. Questo comporta un’ulteriore complessità nella gestione e nel monitoraggio di comportamenti malevoli e non autorizzati nell’accesso a infrastrutture o applicazioni

[Ti è piaciuto il post? Registrati subito per ricevere ogni settimana le ultime novità Radware direttamente nella tua email oltre all’accesso esclusivo al Premium Content di Radware.] 

Sfida 3: Esposizione pubblica 

Il problema successivo è l’esposizione pubblica degli asset. Questo si riferisce all’esposizione accidentale di workloads senza misure di sicurezza adeguate o con misure di sicurezza inesistenti.

Passare al cloud mette le tue risorse “esterne” fuori dalla tua portata diretta. Pertanto, un problema chiave è la protezione contro l’esposizione pubblica di tali asset e assicurarsi che solo coloro che dovrebbero accedervi lo possano fare (e nessun altro). 

Tuttavia, la migrazione sul cloud è spinta frequentemente dal desiderio di maggiore agilità e flessibilità. Conseguentemente, le organizzazioni non sempre bloccano correttamente l’accesso ai loro sistemi. Secondo Gartner, entro il 2021 il 50% delle aziende avrà inconsapevolmente ed erroneamente servizi di storage IaaS, applicazioni o API direttamente esposti all’internet pubblico.

Sfida 4: Accesso malevolo

Da ultimo, un ulteriore argomento molto importante per la sicurezza sul cloud riguarda l’accesso malevolo da remoto. Ciò si riferisce all’accesso a workloads remoti cloud-based utilizzando credenziali utente rubate.

Secondo il Data Breach Investigations Report (DBIR) del 2020 di Verizon, le azioni di minaccia più comuni che hanno portato a violazioni aziendali sono state il phishing e l’uso di credenziali rubate. 

Inoltre, secondo il The Cost of Data Breach Report del 2021 di IBM, l’accesso malevolo mediante l’uso di credenziali rubate è la causa principale delle violazioni di dati, cui è imputabile il 20% dei casi di violazione dati e un costo medio di $4,37 milioni ad incidente causato da credenziali rubate.

Ciò significa che proteggere il proprio cloud da accessi malevoli, così come monitorare attivamente tali accessi, è essenziale per bloccare il proprio ambiente cloud.

[Ti potrebbe interessare anche: Come proteggere un ambiente applicativo in evoluzione su più piattaforme]

Bloccare il proprio accesso cloud

Radware ha recentemente collaborato con AWS per un webinar sulla gestione delle configurazioni IAM su AWS e il loro potenziamento contro l’abuso malevolo e l’uso improprio accidentale. Al webinar ha partecipato anche Perion Network, uno dei clienti di lunga data di Radware, per discutere della loro esperienza con Radware e di come li abbiamo aiutati a bloccare la loro postura di sicurezza nel cloud. Per informazioni complete su come proteggere la gestione di identità e accessi (IAM), clicca qui per vedere il webinar congiunto AWS e Radware.

Eyal Arazi

Eyal è un Product Marketing Manager nel gruppo di sicurezza Radware, responsabile della linea aziendale di prodotti per la sicurezza sul cloud, tra cui Cloud WAF, Cloud DDoS e Cloud Workload Protection Service. Eyal ha un ampio background nella sicurezza, avendo servito nelle Forze di Difesa Israeliane (IDF) in un’unità tecnologica d’élite. Prima di entrare a far parte di Radware, Eyal ha lavorato in ruoli di Product Management e Marketing in una serie di aziende nel settore dell’informatica aziendale e della sicurezza, sia sul lato delle startup su piccola scala, sia su quello delle grandi aziende, sviluppando quindi un’ampia visione del settore. Ha conseguito una laurea in gestione presso l’Interdisciplinary Center (IDC) Herzliya e un MBA presso la UCLA Anderson School of Management.

LEAVE A REPLY

Please enter your comment!
Please enter your name here