La differenza tra la gestione della cybersecurity in ambienti on-premise e in ambienti cloud non è di poco conto. Sebbene le tattiche siano simili e gli obiettivi siano gli stessi – ridurre il rischio, proteggere i dati riservati, soddisfare i requisiti di compliance – il cloud aggiunge una complessità che cambia completamente le dinamiche. L’architettura del cloud, la mancanza di controlli sulle modifiche e le differenze più o meno sottili nella progettazione e nelle operazioni di base delle varie piattaforme cloud rendono questo tipo di sicurezza più complessa.
Sebbene la migrazione verso Infrastructure as a service (IaaS), Platform as a service (PaaS), Software as a service (SaaS) e serverless computing sia ormai consolidata, alcuni esponenti del management o dello staff tecnico che si sono formati in ambienti on-premise portano ancora con sé dei bias operativi nella gestione del cloud. La natura degli ambienti cloud richiede, però, ai team tecnici e di sicurezza di adottare un mindset diverso per comprendere e gestire la nuova superficie di attacco.
Tre cloud, tre ambienti
Le organizzazioni spesso utilizzano i cloud di più fornitori, per soddisfare specifiche esigenze operative, per ottimizzare prezzi e prestazioni o per accedere a funzionalità specifiche. La maggior parte delle organizzazioni di medie e grandi dimensioni utilizza due o più cloud (multicloud) insieme a server e infrastrutture on-premise (cloud ibrido).
Microsoft Azure è la scelta più diffusa se si utilizza Windows per le applicazioni in-house. Il passaggio ad Azure appare quasi naturale quando si comprende che non ha più senso distribuire altri rack nel proprio data center. Se l’organizzazione sta sviluppando applicazioni web su larga scala, la scelta naturale è quella di Amazon Web Services (AWS), sebbene anche Google Cloud Platform (GCP) sia interessante per questi casi d’uso. GCP è noto anche per le sue capacità di analytics (BigQuery), per cui alcune organizzazioni lo utilizzano esclusivamente come data lake con analytics avanzati.
Per proteggere efficacemente ogni ambiente cloud, i team di cybersecurity devono essere esperti di sicurezza su ciascuno di essi. La superficie di attacco di ogni cloud è diversa, pertanto suddividere i workload su due cloud significa quasi raddoppiare le conoscenze e il lavoro necessari rispetto all’esecuzione di tutti i workload in un unico cloud.
Differenze DMZ
Un’altra differenza è che un data center on-premise ha una Demilitarized Zone (DMZ), ovvero una sottorete perimetrale ben definita per proteggere i servizi rivolti all’esterno, mentre gli ambienti cloud per lo più ne sono privi. Un data center fisico dispone di una chiara Demilitarized Zone (spesso fisica) in cui sono implementati molteplici controlli di sicurezza e monitoraggio. Esistono percorsi chiari per entrare e uscire da un data center che le strategie di command and control e di esfiltrazione di un attaccante dovrebbero attraversare.
Nel cloud, la DMZ è più che altro un costrutto logico e spesso nella realtà non si allinea con il modello dell’organizzazione. Non è raro che a un controllo emergano falle inaspettate che espongono i dati dell’organizzazione all’esterno dell’ambiente aziendale. La ricerca e la gestione della DMZ richiedono competenze specializzate di cui potrebbero essere privi i security architect che si concentrano sulle reti on-prem.
Servizi cloud non funzionanti
Gli attaccanti possono sfruttare molti servizi cloud multitenant per comunicare all’interno e all’esterno di un ambiente cloud, in modo da bypassare la rete del tenant. Un esempio classico è quello dell’attaccante che si introduce in un ambiente AWS ed espande l’accesso (da Internet o da un altro tenant AWS) a un bucket S3. Non è possibile osservare un attaccante che legge 10 GB di contenuti dal bucket S3 sulla rete del tenant: poiché ciò avviene nel backplane del provider di servizi cloud, è sostanzialmente invisibile al tenant.
Se gli stessi 10 GB di contenuti venissero esfiltrati da una rete on-prem, probabilmente ciò verrebbe segnalato e il team di sicurezza ne sarebbe informato. Se si trattasse solo di predisporre i giusti controlli per i servizi di cloud storage, si tratterebbe di un problema gestibile. Ma nel cloud ogni servizio ha le sue caratteristiche e i suoi controlli, e alcuni possono consentire comunicazioni esterne nascoste. Il team di cybersecurity deve essere in grado di individuarli tutti (non solo quelli che l’organizzazione intende utilizzare) e di predisporre i necessari controlli e monitoraggi.
Problemi con gli aggiornamenti
I cloud provider dispongono aggiornamenti regolari, aggiungendo nuovi servizi, migliorando le funzionalità di quelli esistenti o modificando le impostazioni predefinite di un servizio. Anche i servizi che l’organizzazione non intende utilizzare possono esporla a rischi, poiché gli attaccanti che si sono introdotti nell’ambiente aziendale possono sfruttare un servizio non funzionante per stabilire comunicazioni esterne. Oppure, il provider potrebbe modificare la configurazione predefinita di un servizio passando da policy restrittive ad altre più permissive ed esponendo così l’organizzazione al rischio. Non si tratta di scenari teorici: gli attaccanti stanno già sfruttando queste possibilità.
Basta fare un confronto con un data center on-prem, dove è l’organizzazione stessa a controllare gli aggiornamenti del software. Non installerebbe mai un software che non intende utilizzare, perché la esporrebbe a maggiori rischi e a più lavoro. I data center on- prem tendono ad avere il problema opposto: le vulnerabilità conosciute non vengono corrette abbastanza rapidamente. Spesso le organizzazioni spendono molto tempo e denaro per decidere quali patch software siano decisive, in modo da poter ridurre il più possibile la superficie di attacco con il minor numero di aggiornamenti software.
Proteggere il cloud è essenziale
Comprendere le differenze strutturali e operative tra le operazioni on-prem e quelle in cloud è essenziale e deve essere un imperativo per le aziende. Per cominciare, anche se può sembrare conveniente consentire a ogni business unit di scegliere la propria piattaforma cloud preferita, ogni nuovo cloud comporta un notevole lavoro aggiuntivo per garantirne la sicurezza. Ignorare i rischi, comprese le priorità di formazione e di personale, esporrà l’organizzazione al rischio, soprattutto quando gli autori di attacchi avanzati si concentreranno sul cloud footprint dell’azienda. Gli innovativi attacchi cloud di oggi saranno le violazioni ordinarie di domani.
di Alessio Mercuri, Security Engineer di Vectra AI
