I pregiudizi sulla sicurezza del cloud hanno dominato il settore IT da quando, quindici anni fa, il cloud è diventato una scelta pratica per l'hosting delle infrastrutture. Esistono molti miti sulla sicurezza del cloud riguardo alla fattibilità di ospitare servizi nel cloud mantenendo la sicurezza e la conformità normativa.
Da allora, il settore IT e il cloud sono cambiati in modo radicale e l'utilità e la forza del modello di cloud computing sono ormai ampiamente riconosciute.
Nonostante il cloud sia cambiato, continuano a circolare miti sulla sicurezza del cloud, in particolare quelli relativi alla sicurezza del cloud. Le versioni precedenti dei miti sulla sicurezza del cloud erano eccessivamente pessimistiche. Oggi, sono altrettanto inclini a visioni eccessivamente ottimistiche sulla conformità e la sicurezza del cloud.
Che cos'è la sicurezza del cloud?
La sicurezza del cloud è un insieme di procedure e strumenti volti a proteggere le organizzazioni dalle minacce esterne e interne. Man mano che le aziende abbracciano la trasformazione digitale e includono strumenti e servizi basati sul cloud nella loro infrastruttura, è fondamentale disporre di una solida sicurezza del cloud. Per garantire un ambiente di cloud computing sicuro e protetto per le operazioni e la gestione dei dati dell'organizzazione, ciò contribuisce a proteggere i dati sensibili, le app e le risorse da potenziali pericoli.
I rischi per la sicurezza sono diventati più complessi a causa della rapidità con cui cambia il mondo digitale, in particolare per le aziende di cloud computing. Le organizzazioni spesso hanno poco controllo su come i loro dati vengono consultati e trasferiti sul cloud. Senza cercare attivamente di aumentare la sicurezza del cloud, le aziende corrono molti rischi nella gestione delle informazioni dei clienti in termini di governance e conformità.
Quali sono i miti e le realtà sulla sicurezza del cloud?
Ecco alcuni miti sulla sicurezza del cloud:
Mito 1: Più strumenti di sicurezza implicano una maggiore sicurezza
Le persone tendono generalmente ad avere miti sulla sicurezza del cloud secondo cui avere più strumenti aumenta la sicurezza del cloud.
Al contrario, avere più strumenti di sicurezza non aumenta automaticamente la sicurezza. Il rapporto Oracle e KPMG Cloud Threat Report 2020 afferma che, secondo il 70% degli intervistati, sono necessarie troppe tecnologie per salvaguardare gli ambienti cloud pubblici. Ciascuno di essi impiega in media più di 100 controlli di sicurezza distinti. Diversi fornitori di sicurezza, soluzioni diverse e il blocco di vari canali di attacco causano lacune. E queste aperture offrono agli aggressori opportunità di accesso.
Troppe opzioni di sicurezza combinate con un'infrastruttura cloud complessa e soluzioni non cooperative comportano una mancanza di intelligence condivisa e un design rischioso.
L'implementazione di strumenti e risorse per semplificare la gestione della sicurezza del cloud e aiutare ad assumere il controllo della sicurezza è essenziale per colmare queste lacune.
Mito 2: Il CSP è l'unico responsabile della sicurezza
Uno dei più grandi miti sulla sicurezza del cloud è che il fornitore di servizi cloud sia pienamente responsabile della sicurezza.
In qualità di cliente cloud, l'organizzazione dell'utente finale continua a proteggere i dati che carica sul servizio, secondo il noto “modello di responsabilità condivisa.” Dato che i vostri compiti variano a seconda dei servizi che utilizzate, è fondamentale sapere esattamente quali sono i vostri obblighi quando si tratta di salvaguardare l'infrastruttura cloud-native.
Le organizzazioni non riescono ad attuare la maggior parte dei diversi approcci per proteggere i dati nel cloud.
Mito 3: le violazioni riuscite sono il risultato di attacchi complessi
Il mito sulla sicurezza del cloud secondo cui le violazioni sono dovute ad attacchi complessi non è vero. Sebbene esistano aggressori altamente sofisticati, la maggior parte degli attacchi riusciti non è necessariamente il risultato della loro crescente sofisticazione. Gli errori degli utenti finali e le impostazioni errate causano la stragrande maggioranza degli attacchi.
Mito 4: la visibilità del cloud è semplice e facile
Un altro dei miti sulla sicurezza del cloud è che la visibilità nel cloud sia semplice e facile. È necessario essere pienamente consapevoli di tutti i dettagli rilevanti, poiché si paga per utilizzare le risorse del cloud, come ad esempio il numero di account di cui si dispone, se i progettisti hanno rilasciato nuove funzionalità, se sono state configurate correttamente, eventuali punti deboli, ecc.
Sfortunatamente, tenere traccia di tutte queste informazioni è molto più difficile di quanto la maggior parte delle persone creda. Non è possibile individuare deviazioni nel comportamento delle risorse se non si sa come dovrebbero comportarsi. Senza dashboard centralizzate, è estremamente difficile riconoscere le minacce e rispondere tempestivamente.
Mito 5: la conformità è garantita quando si utilizzano servizi di sicurezza cloud
Un altro dei miti sulla sicurezza cloud di cui parleremo oggi è che la conformità è garantita quando si utilizza un servizio di sicurezza cloud. Molti fornitori di servizi cloud pubblicizzano la conformità delle loro offerte alle leggi sulla sicurezza delle informazioni.
Ad esempio, il servizio di archiviazione S3 di Amazon ha ricevuto la certificazione di conformità a SOC, PCI DSS, HIPAA e altri requisiti legali. Ma cosa significa questo? Non implica che un sistema di archiviazione dati basato su S3 sia automaticamente conforme a tali criteri. S3 può essere utilizzato come componente di un sistema conforme allo standard PCI grazie alla sua conformità PCI, ma ciò richiede una configurazione adeguata. Qualsiasi sistema basato su S3 può diventare non conforme a causa di un semplice errore di configurazione ed è responsabilità dell'utente garantire che ciò non accada.
La buona notizia è che l'utilizzo dello strumento di sicurezza cloud di SentinelOne può aiutarti a garantire la conformità.
Mito 6: non è necessario un audit di sicurezza cloud.
CSPM e le funzionalità di gestione delle vulnerabilità o di scansione sono, in pratica, un tipo di audit di sicurezza cloud. Ma non sono sufficienti e tralasciano altre aree. Per un contesto più ampio, è necessario implementare le migliori pratiche di sicurezza cloud. I principali strumenti e piattaforme di sicurezza cloud possono offrire la capacità di eseguire audit approfonditi in modo efficace. È necessario considerare gli audit di sicurezza nel loro complesso e non limitarsi a considerare la gestione delle vulnerabilità o la conformità. Gli strumenti e le tecnologie di sicurezza cloud affrontano diverse aree o elementi. Pertanto, per ottenere i migliori risultati, è importante combinare le migliori soluzioni di sicurezza con le migliori misure e pratiche di sicurezza.
Mito 7: le funzioni serverless e i container sono intrinsecamente più sicuri
Miti sulla sicurezza del cloud secondo cui le funzioni serverless e i container sono fondamentalmente più sicuri sono falsi. La natura effimera dei container, delle funzioni serverless e la loro tendenza ad avere una durata breve migliorano la sicurezza. Gli aggressori hanno difficoltà a stabilire una presenza prolungata nel sistema.
Sebbene questa affermazione sia sostanzialmente corretta, l'uso di trigger basati su eventi provenienti da molte fonti offre agli aggressori l'accesso a più obiettivi e opzioni di attacco. Queste tecnologie cloud native possono aumentare la sicurezza se configurate in modo appropriato, ma solo se eseguite correttamente.
Mito 8: il cloud è generalmente più sicuro
Questo particolare mito contenuto in Miti sulla sicurezza del cloud è più un fattoide, una combinazione di verità e finzione.
In generale, i fornitori di servizi cloud sono più affidabili in operazioni come l'applicazione di patch ai server. Affidarsi a loro ha senso e i fornitori di servizi cloud godono di un meritato alto livello di fiducia.
Tuttavia, la protezione di tutti i dati su numerosi cloud richiede una serie di passaggi, tra cui la gestione delle identità, la protezione degli accessi e controlli periodici. È necessario un contesto più completo per la gestione dei rischi, data la crescente diffusione dei carichi di lavoro su numerosi cloud pubblici e privati. Le falle di sicurezza inevitabili con rimedi incoerenti non fanno che aggravare questi problemi.
Mito 9: i criminali evitano di prendere di mira il cloud
I criminali informatici prendono di mira il cloud perché:
- Si tratta di una nuova tecnologia, quindi esistono lacune di sicurezza. Il cloud non è sicuro per sua natura o per impostazione predefinita.
- Le infrastrutture cloud possono diventare sempre più complesse. Le organizzazioni crescono e si ridimensionano. Possono affittare o rimuovere servizi cloud nuovi o esistenti. La natura interconnessa del cloud, unita alle dimensioni dell'organizzazione, lo rende particolarmente vulnerabile.
- Gli aggressori non si preoccupano necessariamente delle superfici. A loro interessa la loro missione. Cercano di sfruttare le risorse dei clienti, ottenere l'accesso a dati sensibili e manipolarli indirettamente (o direttamente) per ottenere informazioni riservate. E nel 2025, questo fenomeno è destinato a verificarsi sempre più spesso, sia sui cloud pubblici che su quelli privati.
Mito 10: Le aziende stanno abbandonando il cloud pubblico
I miti sulla sicurezza del cloud secondo cui i carichi di lavoro stanno tornando dal cloud sono diffusi principalmente dai fornitori tradizionali che hanno tutto da guadagnare dal fatto che ciò sia vero. In realtà, la maggior parte delle aziende non ha riportato indietro i carichi di lavoro dal cloud. La maggior parte delle persone che si sono trasferite proviene da SaaS, colocation e outsourcer piuttosto che da infrastrutture cloud (IaaS).
Ciò non significa che tutte le migrazioni al cloud abbiano successo. Invece di abbandonare la loro strategia cloud e trasferire le applicazioni nella loro posizione originale, le aziende sono più inclini ad affrontare i problemi man mano che si presentano.
Mito 11: Per essere bravi, bisogna essere cloud.
Il cloud washing, ovvero riferirsi a cose che non sono cloud come se fossero cloud, può essere involontario e il risultato di una confusione comprensibile. Tuttavia, al fine di raccogliere fondi, aumentare le vendite e soddisfare aspettative e obiettivi cloud poco chiari, le aziende IT e i fornitori si riferiscono a una vasta gamma di prodotti come "cloud". Ciò porta a miti sulla sicurezza del cloud secondo cui un servizio o un prodotto IT deve essere nel cloud per essere efficace.
Chiamate le cose con il loro nome invece di affidarvi al cloud-washing. La virtualizzazione e l'automazione sono solo due esempi delle molte altre funzionalità che possono essere indipendenti.
Mito 12: Tutto dovrebbe essere fatto nel cloud
Il cloud è perfetto in alcuni casi d'uso, tra cui carichi di lavoro altamente variabili o imprevedibili o quelli in cui il provisioning self-service è fondamentale. Tuttavia, non tutti i carichi di lavoro e le applicazioni sono adatti al cloud. Ad esempio, il trasferimento di un programma legacy non è in genere un caso d'uso valido, a meno che non sia possibile generare vantaggi dimostrabili in termini di costi.
Non tutti i carichi di lavoro possono trarre uguale vantaggio dal cloud. Quando opportuno, non esitate a suggerire alternative non basate sul cloud.
Mito 13: le violazioni del cloud iniziano sempre con le vulnerabilità del cloud
È un errore comune pensare che le violazioni del cloud inizino sempre con le vulnerabilità del cloud. In realtà, la maggior parte delle violazioni gravi non ha origine nel cloud stesso. Gli attacchi spesso iniziano invece con un endpoint compromesso, un'identità rubata o un segreto esposto, indipendentemente da dove siano ospitate le risorse. Gli incidenti di alto profilo continuano a fare notizia, non a causa di difetti intrinseci nell'infrastruttura cloud, ma perché gli aggressori sfruttano le lacune nella sicurezza digitale in ambienti ibridi, endpoint e identità. Gli strumenti di sicurezza tradizionali possono non rilevare queste minacce, consentendo anche a piccole vulnerabilità di diventare punti di accesso per i malintenzionati. Una sicurezza cloud efficace deve proteggere non solo i carichi di lavoro cloud, ma l'intero ambiente. Questi strumenti bloccheranno gli attacchi ovunque abbiano origine e forniranno difese unificate e automatizzate che si adattano alle minacce ovunque emergano.
Mito 14: Rispetto all'infrastruttura on-premise, il cloud è meno sicuro
Questi miti sulla sicurezza del cloud sono principalmente una questione di percezione, perché ci sono state pochissime violazioni della sicurezza nel cloud pubblico, mentre la maggior parte delle violazioni continua a riguardare gli ambienti on-premise.
La sicurezza di qualsiasi sistema IT dipende dalle misure di protezione messe in atto per garantirla. Poiché riguarda la loro attività principale, le aziende di servizi cloud possono investire più facilmente in una sicurezza robusta, creando un'infrastruttura migliore.
Mito 15: i cloud multi-tenant (pubblici) sono meno sicuri dei cloud single-tenant (privati)
Questo mito sulla sicurezza del cloud sembra logico: gli ambienti utilizzati da una singola organizzazione tenant dedicata sono più sicuri degli ambienti utilizzati da più organizzazioni.
Tuttavia, non è sempre così. I sistemi multi-tenant "forniscono un ulteriore livello di protezione dei contenuti... come gli inquilini di un condominio che utilizzano una chiave per entrare nell'edificio e un'altra per entrare nel proprio appartamento, i sistemi multi-tenant richiedono in modo unico sia la sicurezza perimetrale che quella "a livello di appartamento", come affermato in un articolo del CIO sui miti relativi alla sicurezza del cloud. Ciò rende più difficile l'accesso al sistema da parte di hacker esterni.
Perché scegliere SentinelOne per la sicurezza del cloud?
Il panorama cloud odierno richiede un approccio unificato e basato sull'intelligenza artificiale alla sicurezza, e Singularity™ Cloud Security di SentinelOne risponde alla sfida con il suo CNAPP basato sull'intelligenza artificiale e senza agenti. Si tratta di un'unica piattaforma che offre una visibilità approfondita dell'intero ambiente (container, Kubernetes, VM e carichi di lavoro serverless), consentendo ai team di sicurezza di rilevare e neutralizzare le minacce in tempo reale. Con CSPM senza agenti, è possibile eseguire l'implementazione in pochi minuti, eliminare le configurazioni errate e garantire la conformità multi-cloud, mentre AI-SPM consente di individuare pipeline e modelli di intelligenza artificiale e valutare i servizi di intelligenza artificiale con controlli di configurazione avanzati e Verified Exploit Paths™. Ma questo è solo l'inizio.
- CWPP offre una difesa attiva basata sull'intelligenza artificiale in qualsiasi ambiente cloud o on-premise, mentre CDR fornisce telemetria forense granulare e rilevamento personalizzabile per un rapido contenimento e una risposta esperta agli incidenti. CIEM consente di rafforzare i diritti e prevenire la fuga di informazioni riservate, EASM scopre risorse sconosciute e automatizza la gestione delle superfici di attacco esterne, mentre Graph Explorer correla visivamente gli avvisi tra le risorse cloud, endpoint e di identità per valutare l'impatto delle minacce a colpo d'occhio. Integrandosi perfettamente con le pipeline CI/CD, SentinelOne applica la sicurezza shift-left sin dalle prime fasi. Monitora e rileva le minacce in modo continuo con oltre 1.000 regole predefinite e personalizzate. KSPM garantisce protezione e conformità continue per gli ambienti containerizzati e Kubernetes.
- SentinelOne utilizza l'iperautomazione senza codice, è dotato di un analista di sicurezza AI e fornisce informazioni sulle minacce di livello mondiale.
- Una sola piattaforma. Tutte le superfici. Nessun punto cieco. Zero falsi positivi.
Guida al mercato CNAPP
La guida di mercato Gartner per le piattaforme di protezione delle applicazioni cloud-native fornisce informazioni chiave sullo stato del mercato delle CNAPP.
Leggi la guidaConclusione
I responsabili delle organizzazioni incaricati della sicurezza del cloud computing devono comprendere i comuni malintesi che circondano la sicurezza del cloud computing. Coloro che sono in grado di distinguere tra fatti e Miti sulla sicurezza del cloud possono trarre vantaggi significativamente maggiori dal cloud computing e utilizzarlo per far progredire la propria attività e assistere i propri clienti in modo sicuro e sostenibile.
Le aziende che adottano tecnologie cloud devono sviluppare soluzioni di sicurezza adeguate per difendersi dai rischi legati al cloud e contribuire a proteggere l'intera superficie cloud, i dati e le risorse.
Domande frequenti sui miti della sicurezza cloud
No. Le piattaforme cloud investono molto nella sicurezza delle infrastrutture: data center fisici, hypervisor e reti. I loro team aggiornano i sistemi 24 ore su 24. Infatti, molti cloud pubblici soddisfano elevati standard di sicurezza come ISO 27001 e SOC 2. La chiave sta nel modo in cui si configurano e si utilizzano tali servizi; sono le configurazioni errate, non il cloud stesso, a causare la maggior parte delle violazioni.
Assolutamente no. Nel modello di responsabilità condivisa, i provider garantiscono la sicurezza dell'infrastruttura sottostante, mentre voi gestite i dati, le identità e la configurazione. Siete voi a scegliere le chiavi di crittografia, le politiche di accesso e i controlli di rete. Se configurato correttamente, mantenete il pieno controllo su chi può vedere o modificare i vostri dati, anche quando questi risiedono fuori sede.
No. I provider garantiscono la sicurezza dei componenti "del cloud": hardware, sistema operativo host e livelli di virtualizzazione. L'utente è responsabile di ciò che si trova "nel cloud": carichi di lavoro, dati, autorizzazioni utente e impostazioni di rete. Ignorare la propria parte del modello crea delle lacune che gli aggressori possono sfruttare, quindi è comunque necessario applicare le migliori pratiche di sicurezza e un monitoraggio continuo.
Le password sono utili, ma sono solo uno dei livelli di protezione. L'autenticazione a più fattori è essenziale per impedire il furto delle credenziali. Sono inoltre necessari controlli di accesso basati sui ruoli, autorizzazioni just-in-time e monitoraggio delle sessioni per proteggersi dal furto delle credenziali. La visibilità continua sui modelli di accesso e gli avvisi di anomalie completano una difesa efficace.
No. I framework di conformità elencano i controlli e gli audit richiesti, ma il superamento di un controllo di conformità non garantisce la protezione da nuove minacce. Sono comunque necessari il monitoraggio in tempo reale, la correzione delle vulnerabilità e la risposta agli incidenti. La conformità è una linea di base; la sicurezza è una pratica continua che si adatta al mutare delle tattiche degli aggressori.
I log e gli avvisi sono fondamentali, ma sono di natura reattiva. Per prevenire gli incidenti è necessario adottare misure proattive, quali il rafforzamento della configurazione, la scansione automatizzata delle configurazioni errate e la gestione continua della postura. Gli avvisi dovrebbero essere collegati a playbook XDR o SOAR che contengono e isolano le minacce prima che si aggravino.
Gli strumenti di sicurezza cloud-native spesso utilizzano modelli di prezzo pay-as-you-go, rendendoli accessibili alle PMI. Si evitano così ingenti costi iniziali per hardware o software. Molti provider includono funzionalità di sicurezza integrate, come IAM, crittografia e rilevamento delle minacce di base, senza costi aggiuntivi. Sfruttandole e integrandole con componenti aggiuntivi mirati è possibile tenere sotto controllo i costi.
La sicurezza shift-left si applica altrettanto bene nel cloud. Incorporando i controlli di sicurezza nei modelli Infrastructure-as-Code e nelle pipeline CI/CD, è possibile individuare le configurazioni errate prima che le risorse vengano avviate. Ciò evita costosi hotfix sugli ambienti live e garantisce che i nuovi servizi vengano lanciati con impostazioni sicure fin dal primo giorno.
