Oggi le applicazioni aziendali sono virtuali, ibride e basate sul cloud. Devono anche rimanere sicure. Le sfide della sicurezza nel mondo delle applicazioni cloud vanno oltre gli aspetti più ovvi come l'autenticazione degli utenti, la crittografia dei dati e la prevenzione delle intrusioni. In un ambiente virtualizzato, in cui la maggior parte delle risorse informatiche sono remote, è necessario garantire che gli utenti non possano accedere a risorse non autorizzate. In un ambiente ibrido con postazioni pubbliche e private, dovete anche assicurarvi che gli utenti possano accedere alle risorse appropriate solo da postazioni autorizzate. In un ambiente basato sul cloud, dove le applicazioni possono essere fornite da diversi fornitori o partner su richiesta, è necessario sapere chi ha accesso a quali informazioni in qualsiasi momento. Questo post del blog si concentra su alcune delle sfide di sicurezza meno ovvie delle applicazioni aziendali di oggi:


Che cos'è la sicurezza delle applicazioni cloud?

Un'applicazione sicura è quella progettata per essere al sicuro da attacchi dannosi, proteggere i dati e garantire la conformità alle politiche aziendali. Molte organizzazioni utilizzano applicazioni e servizi basati sul cloud, il che significa che la sicurezza è un aspetto importante. La sicurezza del cloud è un sottoinsieme della sicurezza dei dati, che comprende il controllo dell'accesso ai dati, la crittografia, la verifica e l'autenticazione. La sicurezza del cloud fa parte di un ecosistema di sicurezza digitale più ampio che comprende l'intero panorama IT di un'organizzazione, tra cui l'architettura delle applicazioni, le reti, i server, il data center e i dispositivi degli utenti finali. Le organizzazioni che si affidano ad applicazioni e servizi cloud devono garantire che i loro dati siano protetti da accessi non autorizzati, sia da parte di addetti ai lavori che di soggetti esterni. La protezione dei dati durante il transito, l'archiviazione nel cloud e l'elaborazione da parte di applicazioni e servizi cloud è fondamentale per prevenire le violazioni dei dati.


Rischi di sicurezza nel cloud

Ci sono diversi rischi da considerare quando si decide di ospitare le applicazioni nel cloud. Le sfide maggiori derivano dal fatto che il cloud è un'infrastruttura pubblica e condivisa. Questi problemi possono essere risolti applicando i controlli appropriati. Tuttavia, a causa della mancanza di visibilità e controllo sull'ambiente, alcune informazioni sensibili sono più difficili da proteggere in un ambiente cloud. - Violazioni dei dati: Una violazione dei dati può verificarsi ovunque, ma un'architettura cloud ibrida può rendere più facile l'individuazione e la riparazione. Una violazione in un ambiente cloud pubblico può essere molto difficile da rilevare. I meccanismi di sicurezza tradizionali, come i firewall e i sistemi di prevenzione delle intrusioni, spesso non riescono a rilevare le violazioni in un ambiente cloud pubblico. In un ambiente cloud privato, gli elementi del piano di controllo sono di proprietà e gestiti dall'organizzazione. Ciò offre all'organizzazione un livello di visibilità più elevato e un migliore controllo sull'ambiente. - Perdita o corruzione dei dati: I meccanismi tradizionali di protezione dei dati, come il RAID, sono inadeguati per la protezione nel cloud pubblico. I fornitori di cloud pubblico spesso non riescono a fornire la protezione degli ambienti di cloud privato. La maggior parte dei fornitori di cloud utilizza hardware di base, che non è adatto per l'archiviazione a lungo termine di dati critici. - Trasferimento dei dati: I dati inviati via Internet sono spesso non criptati. Le informazioni sensibili non dovrebbero mai essere inviate via Internet in chiaro. È importante che un'organizzazione che dispone di un'architettura cloud ibrida cripti i dati mentre sono in transito su Internet.


Protezione dei dati nel cloud

I servizi di archiviazione basati sul cloud consentono a un'organizzazione di esternalizzare l'archiviazione dei dati. Tuttavia, questo significa anche che l'organizzazione non ha alcun controllo su dove vengono archiviati i dati e su come vengono gestiti. Ciò comporta alcune responsabilità per l'organizzazione, tra cui quella di garantire la protezione dei dati. Se i dati sono archiviati in un ambiente cloud pubblico, la loro protezione dipende dai meccanismi di sicurezza del fornitore del cloud. - Crittografia: La crittografia è un ottimo modo per proteggere i dati sensibili. Molti fornitori di cloud offrono servizi di crittografia, ma spesso non sono sufficienti a proteggere tutti i tipi di dati. Le organizzazioni devono assicurarsi di crittografare tutti i dati inviati al cloud e di fare in modo che i cloud provider non possano decifrarli. - Distruzione: La triturazione è un'alternativa alla crittografia per assicurarsi che nessuno possa leggere i dati. Si ottiene tagliando la carta in piccoli pezzi, in modo che non possa essere ricomposta. Le organizzazioni possono utilizzare distruggidocumenti per proteggere i loro documenti cartacei.


Gestione dell'identità nel cloud

Gli account utente e i meccanismi di controllo degli accessi sono spesso gestiti manualmente. Questo può essere problematico se le persone che hanno accesso al sistema cambiano spesso. Gli amministratori devono avere un modo per controllare e rivedere regolarmente l'accesso degli utenti. Di seguito sono riportate alcune opzioni per la gestione delle identità nel cloud: - Provisioning degli account utente: È il processo di creazione e gestione degli account utente. Questo processo dovrebbe essere eseguito da un sistema centrale di gestione delle identità che può anche controllare chi ha accesso al sistema e cosa può fare. Questo può essere ottenuto utilizzando un provider di identità, come Azure Active Directory. - Autenticazione a più fattori: L'autenticazione è il processo di identificazione nel sistema. Ciò avviene inserendo un nome utente e una password. Sebbene sia un modo comune per identificarsi, non è molto sicuro. Un'opzione migliore è quella di utilizzare l'autenticazione a più fattori. Si tratta di inserire un nome utente e una password e di fornire un'informazione aggiuntiva, come un'impronta digitale o un messaggio SMS.


Nuovi vettori di attacco

Molti meccanismi e architetture di sicurezza tradizionali sono progettati per implementazioni on-premise. Questo potrebbe non essere adatto ad ambienti ibridi o cloud. Con l'introduzione di nuovi vettori di attacco, le organizzazioni devono mettere in atto meccanismi per rilevare, prevenire e mitigare le minacce. Di seguito sono riportati alcuni esempi di nuove e vecchie minacce in un ambiente ibrido/cloud. - Attacchi DDoS: Un attacco DDoS è un tipo di attacco che inonda un server di richieste in modo che non possa rispondere alle richieste autentiche. Può essere difficile da rilevare in un ambiente ibrido o cloud perché gli indirizzi IP degli attaccanti non sono noti. Le soluzioni tradizionali, come l'uso di firewall, sono spesso insufficienti per rilevare e prevenire gli attacchi DDoS. - Scansione delle porte: La scansione delle porte è il processo di connessione a varie porte di un server, come la TCP/111 (utilizzata da molte macchine Unix come porta di pubblicità) e il tentativo di ottenere una risposta. Ciò costituisce la base di molti attacchi, tra cui il SYN Flood, il Worm TCP Wrapper e l'IP Fragmentation Attack. La scansione tradizionale delle porte può essere difficile in ambienti ibridi o cloud, perché spesso non si dispone dell'accesso amministrativo ai computer host.


Sicurezza dell'integrazione e delle API nel cloud

L'integrazione tra applicazioni cloud è una pratica comune. Tuttavia, ciò introduce anche rischi per la sicurezza. È necessario garantire che solo le parti autorizzate possano accedere all'applicazione e che vengano applicati controlli di autenticazione e autorizzazione adeguati. Esistono due modi popolari per proteggere l'accesso alle applicazioni: - Crittografia a livello di applicazione: Nella crittografia a livello di applicazione, le informazioni come i dati e i metadati (ad esempio, URL e intestazioni) vengono crittografate e trasferite su Internet. Questo approccio è adatto ai dati che devono essere protetti durante la trasmissione. - Crittografia a livello di API: Nella crittografia a livello di API, l'applicazione utilizza un token per autenticare l'utente. Questo token viene poi utilizzato per controllare l'accesso all'applicazione. Questo approccio è appropriato per i dati sensibili scambiati tra le applicazioni.

Oggi le applicazioni aziendali sono virtuali, ibride e basate su cloud. Devono anche rimanere sicure. Ciò richiede una comprensione dei rischi e delle sfide poste dall'ambiente cloud. Violazione dei dati, perdita o corruzione dei dati e trasferimento dei dati sono alcune delle minacce da considerare quando si ospitano applicazioni nel cloud.



Crediti immagine: FreeImages