Matt Chiodi, CSO Public Cloud Palo Alto Networks: perché i manager IT si preoccupano dei rischi cyber, ma poi trascurano la sicurezza cloud.Non stiamo parlando di un difetto trascurabile, ma di Docker, piattaforma container software più diffusa al mondo. Anche se non si è esperti di container (o delle applicazioni che spesso vi si eseguono, ad esempio i microservizi), posso garantirvi che CTO, CIO e sviluppatori la conoscono molto bene. Infatti, se un’organizzazione ha migrato i carichi di lavoro verso il cloud pubblico, il suo team IT sarà probabilmente sommerso da container e microservizi.
Fattori chiave della trasformazione digitale, container e microservizi hanno preso piede nella maggior parte delle aziende negli ultimi 18 mesi.
La sicurezza nel cloud. Quali gli elementi da considerare
- I microservizi riducono la complessità gestendo il software come piccole parti di codice fornito come “servizio” e non come software tradizionale. Si stanno sostituendo a quelle applicazioni legacy, costose e difficili da implementare, che hanno dominato i data center per decenni.
- I container agevolano la portabilità, consentendo l’esecuzione di applicazioni nei luoghi più appropriati e flessibili. Come ad esempio cloud pubblico e privato, on-premise o su infrastrutture fisiche o virtuali. Sono abbastanza leggeri dato che non contengono un sistema operativo come le macchine virtuali tradizionali.
- Gli ambienti containerizzati hanno molti più livelli di astrazione che richiedono strumenti specializzati per interpretare, monitorare e proteggere queste nuove applicazioni. In un ambiente di produzione di questo tipo, i livelli da salvaguardare sono numerosi.
Finora abbiamo evidenziato il lato positivo dei container, ma c’è anche un lato oscuro. Quando si tratta di gestire i nuovi rischi, molti team di sicurezza adottano uno dei due seguenti approcci. Il primo, e purtroppo il più comune, è quello di ignorarli completamente – e non è mai una buona strategia. Il secondo è quello di affrontarli in modo tattico adottando l’ennesima soluzione di sicurezza. Entrambi gli approcci non sono efficaci.
Strategia cloud olistica
Il vero valore di container e microservizi può essere raggiunto solo quando sono protetti all’interno di una strategia globale di sicurezza cloud basata su standard.
Nell’ultimo decennio, le aziende hanno pensato che utilizzare più strumenti di sicurezza equivalesse a una migliore protezione. Sfortunatamente, ora disponiamo di una vasta gamma di soluzioni, ma le violazioni continuano a ritmo incessante.
La sicurezza nel cloud
Questo ci riporta alla “falla nel Docker”. All’inizio del 2019 è stata segnalata una vulnerabilità critica che ha colpito il programma che supporta Docker e altri servizi correlati consentendo a un aggressore di controllare completamente i container in esecuzione sulla piattaforma.
Se il CISO o il CIO di un’organizzazione hanno sviluppato programmi di sicurezza completi per il cloud, che includono ciò che definisco la Triade della Container Security, si sono posizionati correttamente per evitare i rischi che questa vulnerabilità. Se invece non si dispone di una strategia di sicurezza cloud completa, ora potrebbe essere il momento per implementarla.
La Triade della Container Security
Questo programma di sicurezza contiene tre elementi critici di mitigazione del rischio: creazione, implementazione ed esecuzione. Nella fase di creazione dei container, il team di sicurezza dovrebbe concentrarsi sull’individuazione e la correzione delle vulnerabilità note, oltre che sull’identificazione di nuove vulnerabilità zero-day.
L’implementazione della sicurezza è una parte critica dell’equazione perché aiuta a garantire che i container mal progettati non arrivino in produzione.
Il tempo di esecuzione comporta rischi aggiuntivi. La sicurezza del runtime si concentra sulla protezione dei container e delle relative infrastrutture come Kubernetes, il motore Docker o l’host sottostante. Il modo più efficace per gestire il rischio è quello di misurare il comportamento dei container rispetto a uno standard, per agire in modo tempestivo in caso di eventuali deviazioni. E qui troviamo un altro vantaggio dei container, è semplice modellarne il comportamento e notare le anomalie.
Non esiste il concetto di “troppo veloce”
CEO, membri del consiglio di amministrazione e dirigenti sentono parlare dei vantaggi di container e microservizi. Quindi si stanno abituando all’idea che stiano aiutando le loro aziende a diventare più agili, resistenti e digitali. Ma bisognerebbe anche essere consapevoli del fatto che esiste il potenziale per un conflitto “interessante” relativo alla velocità con cui adottarli.
Ad esempio, il team di software engineering affermerà di non poter agire abbastanza velocemente in ambito DevOps senza container e microservizi. Invece chi si occupa di security non sempre condividerà questo entusiasmo.
La sicurezza nel cloud
Container e microservizi sono forze inesorabili che velocizzano il rilascio di nuovo software, ma possono aiutare a ridurre la complessità del codice, spesso fonte di vulnerabilità.
È qui che entra in gioco la Triade della Container Security. Se correttamente pianificata ed eseguita, può agevolare la mentalità “shift left” per la sicurezza, la nota DevSecOps.
Eliminando la complessità – che si tratti di container, microservizi o di qualsiasi tecnologia che faciliti l’erogazione agile e affidabile di servizi IT per l’azienda – saremo sulla strada giusta per rendere l’impresa più sicura. Al contrario, se stratifichiamo gli strumenti di protezione, non solo aumenterà la complessità, ma anche i rischi.