I multi-cloud sono sempre più di uso comune nell’ambito dei servizi finanziari, dovuto ala maggiore sicurezza e crescita che queste piattaforme conferiscono al settore. Proprio per questo motivo, i cloud service provider, stanno cercando di invogliare le industrie a spostare più funzioni aziendali essenziali sulle loro piattaforme cloud.
Tuttavia, ci sono crescenti preoccupazioni perché data l’enorme varietà di tecnologie, architetture e approcci all’implementazione e alla gestione della tecnologia nel panorama del cloud, la visibilità su tutti i fronti è un problema sempre più comune. I flussi di dati che viaggiano sul multi-cloud dei servizi finanziari, sono incerti e gli impatti normativi non sono chiari. Inoltre, i leader della sicurezza devono garantire che l’adozione di qualsiasi nuovo approccio non introduca nuovi rischi e minacce a dati e sistemi essenziali.
I servizi finanziari, però, per garantire sicurezza ai multi-cloud, possono ricorrere a 5 aree chiave che, secondo Check Point Software Technologies, sono molto rilevanti:
1. Implementazioni multi-cloud:
La decisione di lavorare con una “soluzione cloud” raramente coinvolge solo un singolo fornitore o applicazione. Passare al cloud significa tipicamente integrare i sistemi legacy in sistemi ospitati nel cloud, a volte in più ambienti, il tutto mentre si proteggono i dati e si fornisce sicurezza ai componenti rivolti al pubblico, ma soprattutto alle società che offrono servizi finanziari.
Oggi, gli ambienti misti sono diventati comuni, rendendo meno valide le misure di sicurezza tradizionali per le implementazioni in cloud private, pubbliche e ibride.
Inoltre, molte aziende stanno utilizzando strumenti e capacità con diversi modelli di distribuzione (ad esempio, provider IaaS e PaaS), con il risultato di ambienti cloud misti nelle fasi di sviluppo o di ciclo di vita amministrativo di un sistema. Il risultato è che pochi sistemi risiedono su una sola piattaforma in un singolo data center – una nuova realtà che la sicurezza, la conformità e la gestione dei rischi devono affrontare.
La triade tradizionale della sicurezza basata su riservatezza, integrità e disponibilità è significativamente più complessa quando si deve gestire un’architettura multi-cloud.
Anche la disponibilità in tempo reale dei servizi in un ambiente multi-cloud può essere difficile. Infine, garantire l’integrità dei vostri sistemi con più fornitori può richiedere una riorganizzazione per affrontare le limitazioni tecniche sottostanti.
Infine, la gestione del rischio, che è la base per la maggior parte delle valutazioni di conformità, deve essere in grado di affrontare complessi ambienti multi-cloud.
2. Conformità:
I regolamenti definiscono l’ambiente di lavoro di un’organizzazione di servizi finanziari, e l’adozione di successo delle soluzioni cloud deve essere in grado di soddisfare i requisiti di conformità in evoluzione. Molti fornitori di cloud sono ben consapevoli di questo e forniscono dashboard e reportistica per aiutare le organizzazioni ad aderire ai vari controlli di conformità. Tuttavia, come molte organizzazioni hanno scoperto, le funzioni di conformità di un fornitore di cloud non garantiscono la conformità. Questa disconnessione è spesso il risultato di una competizione tra il fornitore di cloud (che cerca di fornire una piattaforma coerente per più clienti) e ogni organizzazione (che cerca di utilizzare il cloud entro i limiti del proprio programma di conformità).
È importante che il fornitore di cloud scelto, per monitorare l’ambiente , garantisca che la l’infrastruttura cloud e le applicazioni aderiscano alla versione più recente di un requisito di conformità; è ancora meglio se è possibile personalizzare i set di regole e le policy.
3. DevSecOps:
Insieme all’accettazione dei servizi cloud da parte del settore dei servizi finanziari, c’è stato anche un aumento nell’uso della metodologia DevOps, un mezzo per migliorare la velocità di rilascio e aggiornamento delle applicazioni.
DevSecOps introduce l’integrazione della sicurezza multi-cloud nel processo di “pipeline” formato dalla catena costruire >testare> rilasciare> distribuire> per mettere in funzione e monitorare il codice e l’infrastruttura in modo più rapido. Le fasi della pipeline possono migliorare in modo misurabile la velocità, così come l’efficienza e la conformità se fatte bene.
Spostare il controllo della qualità e i test di vulnerabilità all’inizio del ciclo di rilascio. Questo aiuterà a ridurre le istanze di rilasci falliti a causa di modifiche inaspettate alle librerie integrate, alle patch o agli aggiornamenti.
Assicurarsi che i requisiti di conformità siano incorporati nei requisiti per lo sviluppo e l’automazione dell’infrastruttura, quando possibile. Questo fornirà una migliore garanzia che gli aggiornamenti non causino la caduta di un sistema dalla conformità.
È necessario, affinchè il multi-cloud funzioni in sicurezza, un processo di verifica che “rallenti” la pipeline abbastanza da catturare problemi, minacce ed errori e confermare che il sistema rimane funzionale, accettabile e conforme.
4. Controllo e visibilità:
Mentre la migrazione al cloud è un bene nell’ambito soprattutto dei servizi finanziari, l’impatto operativo dell’utilizzo delle risorse cloud è una sfida. I fornitori di cloud hanno una vasta gamma di sofisticazione tecnica e di strumenti associati per l’amministrazione e la gestione; tuttavia, l’impatto operativo di strumenti e funzionalità dissimili può rendere la gestione della conformità una vera sfida.
Per mettere in sicurezza gli ambienti cloud, i team SecOps necessitano degli strumenti necessari, in modo da ridurre le sfide tecniche e di sicurezza e soddisfare i requisiti di conformità.
Per mettere in sicurezza i cloud, si ricorre a prodotti come CloudGuard, i quali aiutando a proteggere i carichi di lavoro tra i siti e a mantenere una postura sicura nell’intera infrastruttura. Inoltre, CloudGuard fornisce funzioni per assistere iniziative come DevSecOps e l’automazione, che facilitano le operazioni di produzione efficienti. Con CloudGuard, gli ingegneri della sicurezza e il personale addetto alla conformità possono eseguire attività di governance su risorse e servizi multi-cloud, compresa la visualizzazione e la valutazione della vostra posizione di sicurezza, il rilevamento di configurazioni errate e l’applicazione delle best practice di sicurezza e dei framework di conformità.
Inoltre, il reporting di conformità su specifici controlli tecnici è reso più facile tramite strumenti che sono multi-cloud-aware e possono assistere con i requisiti del programma di conformità interno tracciando specifiche configurazioni di sicurezza. Utilizzando un prodotto di sicurezza come CloudGuard, un’azienda di servizi finanziari può migliorare la visibilità del proprio investimento nel cloud e proteggersi dalle minacce alla sicurezza del cloud.
5. Sicurezza delle applicazioni
Molte organizzazioni di servizi finanziari utilizzano moderne applicazioni basate sul web che compilano vari tipi di dati, rendendole un obiettivo primario per gli hacker. Inoltre, le applicazioni basate sul web introducono una serie completamente nuova di considerazioni sulla sicurezza, compreso l’uso di più API per fornire funzioni importanti come le comunicazioni, la crittografia e la gestione della crittografia e l’autenticazione forte.
Per le aziende orientate al cloud, le reti non vengono più eseguite su un singolo sistema operativo con punti statici. I meccanismi del cloud come il bilanciamento del carico virtuale, i firewall virtuali e una serie di altri dispositivi concettuali presentano una complessità architettonica e maggiori rischi per la sicurezza delle applicazioni.
Le organizzazioni devono quindi abbracciare un nuovo tipo di sviluppo delle applicazioni che costruisce la consapevolezza della sicurezza direttamente nelle applicazioni e fornisce un accesso granulare all’applicazione mentre la protegge contestualmente dagli attacchi. Sfruttando l’AI, CloudGuard può mantenere la sicurezza delle applicazioni anche con processi di distribuzione dinamici.