Demistificare la sicurezza del cloud: I fondamenti

Il 23 aprile 2020 abbiamo ospitato il nostro webinar "Demistificare la sicurezza del cloud: I fondamenti", in cui il nostro CTO Ralph Moonen e lo specialista senior di sicurezza Tom Tervoort hanno discusso le basi della sicurezza del cloud. I partecipanti hanno posto alcune buone domande, che abbiamo riassunto di seguito in un QandA. Se avesse ancora delle domande, la invitiamo a contattare cybersecurity@bureauveritas.com.

È curioso di conoscere i nostri altri Webinar? Visiti: https: //cybersecurity.bureauveritas.com/webinars

QandA

Grazie per tutte le sue domande durante il webinar, ne abbiamo ricevute parecchie! Quelle che non hanno trovato risposta nel corso del webinar trovano risposta qui di seguito.

Se avesse ancora delle domande, la preghiamo di contattare cybersecurity@bureauveritas.com.

Non è forse vero che per molte organizzazioni le soluzioni cloud sono più sicure rispetto alle aziende che fanno da sole? (soprattutto per quanto riguarda l'infrastruttura)

In molti casi questo è vero per le parti dell'infrastruttura di cui il provider di servizi cloud è pienamente responsabile, in quanto soprattutto i grandi provider dispongono di una grande esperienza in materia di sicurezza e di enormi team per la protezione di questa infrastruttura, probabilmente più di quanto ne disponga la maggior parte delle organizzazioni stesse. Naturalmente ci sono delle eccezioni, quando le aziende hanno dei requisiti di sicurezza (o legali/di privacy/di disponibilità) molto specifici, che non possono essere soddisfatti nemmeno da soggetti come Google o Microsoft. Inoltre, nei casi in cui la configurazione sicura è responsabilità dell'azienda stessa, il cloud è un'arma a doppio taglio: da un lato i servizi cloud possono rendere più facile o più economico adottare le giuste misure di sicurezza, ma dall'altro una configurazione errata può avere un impatto maggiore a causa di un livello più elevato di esposizione a Internet.

Azure, Google o AWS sono più o meno sicuri? E lo stesso vale per SaaS/Paas/IaaS?

Non c'è una risposta valida a questa domanda. Quando si tratta di pratiche di sicurezza generali, tutti e tre hanno un profilo molto buono e non c'è un chiaro vincitore. Ma potrebbe essere più interessante sapere quali servizi del fornitore sono più inclini a configurazioni errate, hanno una migliore documentazione sulla sicurezza o hanno migliori impostazioni predefinite. Si tratta però di un aspetto molto soggettivo e non mi permetto di affermare che uno sia migliore dell'altro.

Quando si tratta di SaaS/PaaS/IaaS in generale, si può dire che il tipo di servizio che richiede la minore configurazione o manutenzione ha la minore possibilità di essere vulnerabile. Pertanto, spesso è più facile proteggere i SaaS rispetto ai PaaS, o i Paas rispetto agli IaaS.

Responsabilità condivisa: chi è responsabile degli utenti privilegiati/amministratori?

I grandi fornitori di servizi cloud non si assumono alcuna responsabilità per la protezione delle credenziali degli utenti e per la configurazione dei ruoli e dei privilegi degli utenti. Pertanto, l'organizzazione di questo aspetto è di completa responsabilità dell'azienda che utilizza il servizio cloud. I fornitori forniscono comunque una documentazione su alcune best practice relative alla gestione dell'identità e degli accessi, ma lasciano a lei la responsabilità dell'implementazione.

Ci sono aspetti legali specifici di cui essere consapevoli?

Quando si esegue un test di sicurezza in un ambiente cloud, il fornitore di servizi cloud è sempre una parte coinvolta che deve essere presa in considerazione. Fortunatamente, i grandi provider come AWS e Azure offrono termini e condizioni chiari in merito al pentesting, e non è necessario che un rappresentante di AWS/Microsoft dia l'approvazione esplicita per ogni test. Tuttavia, bisogna essere consapevoli di ciò che è o non è coperto da questi termini e condizioni, e che questi possono essere diversi per altri fornitori di cloud.

Questa domanda riguarda i Security testing. Se un ambiente viene esternalizzato (compresi i componenti infrastrutturali) a un provider di servizi cloud, e il CSP dispone di una certificazione ISO27001 e di un TPM ISAE3402, raccomanda comunque di eseguire dei security testing sui singoli componenti dell'ambiente?

In generale, non consiglierei di testare i componenti infrastrutturali certificati, purché questi componenti non richiedano configurazioni o personalizzazioni specifiche per l'utente dell'ambiente. In pratica, di solito c'è spazio per la configurazione e, a causa del modello di responsabilità condivisa della maggior parte dei fornitori, queste configurazioni non sono coperte dalla certificazione e sono quindi probabilmente preziose da testare.

Guardando alle autorità di regolamentazione come la DNB nell'ambito della finanza, sarebbe obbligatorio eseguire un pentesting del cloud come parte di un Risk Assessment del cloud?

Non sono un esperto di normative finanziarie, quindi purtroppo non sono in grado di rispondere su quali tecniche di test siano obbligatorie. Ritengo che, in generale, il pentesting sia un'aggiunta preziosa alla valutazione del rischio, sia che si tratti di un ambiente cloud o meno.

Se ha altre domande, ci contatti all'indirizzo cybersecurity@bureauveritas.com.