Con la continua digitalizzazione delle operazioni aziendali, diventa sempre più evidente che la sicurezza deve essere un processo continuo piuttosto che una fase applicata dopo i cicli di vita delle operazioni e dello sviluppo. La tecnologia della sicurezza, in particolare le idee e le pratiche di sicurezza, si sta sviluppando parallelamente. Le organizzazioni sanno che proteggere i propri dati dopo che sono stati messi in sicurezza è fondamentale.
Può essere difficile seguire gli standard di sicurezza mentre si naviga nella gamma di sicurezza cloud in un ambiente normativo in costante evoluzione. Mantenere la conformità al mutare delle normative è tanto più difficile quanto più complessa è l'infrastruttura di un'organizzazione. Le organizzazioni devono trovare un equilibrio tra la necessità di proteggere i dati e l'adattabilità del cloud. In questo articolo discuteremo i 15 principi fondamentali della sicurezza cloud.
I 15 principi fondamentali della sicurezza nel cloud
Le organizzazioni possono pianificare in modo più efficace il loro approccio alla sicurezza del cloud essendo aperte e oneste riguardo alle proprie procedure di sicurezza. La roadmap per la sicurezza del cloud dovrebbe tenere conto dei seguenti principi di sicurezza del cloud durante la sua creazione e implementazione. Tenerli a mente aiuterà la vostra organizzazione a ottenere il massimo dalla vostra piattaforma di sicurezza del cloud.
#1 Proteggere i dati in transito.
Il primo principio nella lista dei principi di sicurezza del cloud è la protezione dei dati in transito. Le reti che trasferiscono i dati degli utenti devono disporre di solide misure di protezione contro le intercettazioni e le manomissioni. Le organizzazioni possono raggiungere questo obiettivo utilizzando la protezione della rete e la crittografia. Ciò consente loro di impedire agli aggressori di accedere ai dati e di leggerli.
#2 Proteggere i dati inattivi.
Il prossimo principio di sicurezza cloud da seguire è la protezione dei dati inattivi. È essenziale garantire che i dati non siano accessibili a persone non autorizzate che hanno accesso all'infrastruttura. Qualunque sia il supporto di archiviazione, i dati degli utenti devono essere protetti. Se non vengono implementate le giuste misure di sicurezza, la divulgazione accidentale o la perdita di dati potrebbero essere pericolose.
#3 Protezione delle risorse e resilienza dei servizi
Le credenziali, i dati di configurazione, le informazioni derivate e i registri sono tra i tipi di dati che vengono spesso ignorati. Anche questi devono essere adeguatamente protetti.
Dovreste sentirvi sicuri sapendo dove si trovano i vostri dati e chi sono gli utenti autorizzati. Ciò dovrebbe valere anche per i dati derivati, come i registri verbosi e i modelli di machine learning a meno che le informazioni sensibili non siano state intenzionalmente omesse o rimosse.
#4 Separare i clienti l'uno dall'altro
Le strategie di separazione garantiscono che il servizio di un cliente non possa accedere o influire sul servizio (o sui dati) di un altro cliente. Si tratta di un passo fondamentale da seguire nei principi di sicurezza del cloud.
Dipendete dalle misure di sicurezza messe in atto dal vostro fornitore di servizi cloud per assicurarvi che:
Avete il controllo su chi ha accesso ai vostri dati e il servizio è abbastanza forte da proteggervi da codici dannosi utilizzati da un altro cliente per accedere al vostro account.
#5 Quadro di governance della sicurezza
Un quadro di governance è essenziale per coordinare e guidare la gestione del servizio.
Una solida struttura di governance garantirà il mantenimento dei controlli operativi, procedurali, umani, fisici e tecnici durante tutto il servizio. Inoltre, deve adattarsi alle modifiche del servizio, ai progressi tecnologici e all'emergere di nuovi pericoli.
#6 Proteggi le tue operazioni
Per riconoscere, mitigare o evitare gli attacchi, le operazioni e la gestione devono essere altamente sicure. Una solida sicurezza operativa non richiede una procedura complicata e lunga. La gestione del cambiamento, la configurazione, il monitoraggio proattivo, la gestione degli incidenti e la gestione delle vulnerabilità sono fattori importanti.
Guida al mercato CNAPP
La guida di mercato Gartner per le piattaforme di protezione delle applicazioni cloud-native fornisce informazioni chiave sullo stato del mercato delle CNAPP.
Leggi la guida#7 Proteggi il tuo personale
Controlla e limita il personale dei fornitori di servizi. Si tratta di un passo fondamentale da seguire nei principi di sicurezza del cloud. Quando i dipendenti dei fornitori di servizi hanno accesso ai tuoi dati e ai tuoi sistemi, devi avere sufficiente fiducia nella loro affidabilità e nei controlli tecnologici per monitorare e limitare il loro comportamento.
Per garantire l'efficacia sono necessari controlli equilibrati sul personale.
- Il fornitore di servizi dimostra come sviluppa una fiducia sufficiente nei propri dipendenti.
- Misure di sicurezza tecniche che riducono la possibilità e gli effetti di compromissioni involontarie o dolose da parte dei dipendenti del fornitore di servizi’.
#8 Sicurezza dello sviluppo
Il prossimo principio di sicurezza del cloud è la sicurezza dello sviluppo. La progettazione, lo sviluppo e l'implementazione dei servizi cloud devono ridurre al minimo e mitigare le vulnerabilità di sicurezza.
Se i servizi cloud non vengono creati, sviluppati e implementati in modo sicuro, possono insorgere problemi di sicurezza che mettono a rischio i dati, causano interruzioni del servizio o facilitano altri comportamenti criminali.
Durante tutto il processo di sviluppo e progettazione del servizio, è necessario tenere conto della sicurezza. È opportuno valutare le potenziali minacce e mettere in atto misure di mitigazione efficaci durante lo sviluppo di nuove funzionalità. È essenziale trovare un equilibrio tra utilità, costi e sicurezza.
#9 Proteggere la catena di fornitura.
Le catene di fornitura di terze parti devono supportare l'implementazione dichiarata del servizio di tutti i criteri di sicurezza.
I servizi cloud si basano su beni e servizi provenienti da fonti esterne. Pertanto, se questo concetto non viene implementato, una violazione della catena di fornitura potrebbe compromettere la sicurezza del servizio e interferire con l'applicazione di altri principi di sicurezza.
#10 Sicurezza della gestione degli utenti
Il prossimo principio di sicurezza del cloud è la sicurezza della gestione degli utenti. Il fornitore dovrebbe mettere a disposizione strumenti per gestire in modo sicuro l'utilizzo di un servizio.
Il fornitore di servizi dovrebbe fornire gli strumenti per controllare in modo sicuro l'accesso al servizio, impedendo l'accesso non autorizzato e l'alterazione dei dati, delle applicazioni e delle risorse.
Come nel caso del controllo degli accessi basato sui ruoli (RBAC), il controllo degli accessi dovrebbe basarsi su autorizzazioni specifiche applicate a un'identità umana o macchina. In questo modello, ogni autorizzazione dettagliata è limitata a una o più risorse e concessa a un ruolo (l'identità). Ciò rende possibile la creazione di ruoli con accesso solo alle risorse necessarie per svolgere la funzione prevista.
Aumentate le vostre capacità senza complessità con la nostra piattaforma di sicurezza cloud.
#11 Identità autorizzata e autenticazione
Solo gli utenti autenticati e autorizzati dovrebbero poter accedere alle interfacce di servizio.
Solo un'identità autenticata e autorizzata, sia essa un utente o un'identità di servizio, dovrebbe avere accesso ai servizi e ai dati.
È necessario avere fiducia nel processo di autenticazione utilizzato per stabilire l'identità della persona che effettua l'accesso al fine di implementare un controllo degli accessi efficace, come descritto nel Principio 9: gestione sicura degli utenti.
Un'autenticazione debole a queste interfacce può consentire l'accesso non autorizzato ai sistemi, con conseguente furto o alterazione dei dati, modifiche al servizio o attacchi di tipo denial of service.
#12 Protezione dell'interfaccia esterna
Tutte le interfacce di servizio esterne o meno affidabili devono essere individuate e protette. Questo è un punto essenziale nei principi di sicurezza del cloud.
Le misure difensive includono interfacce di programmazione delle applicazioni (API), console web, interfacce a riga di comando (CLI) e servizi di connessione diretta. Inoltre, tutte le interfacce dei vostri servizi sono create sopra il servizio cloud e le interfacce di amministrazione utilizzate dal fornitore di servizi cloud e da voi per accedere al servizio.
L'impatto di una compromissione può essere più significativo se le interfacce aperte sono private (come le interfacce di gestione). È possibile connettersi ai servizi cloud utilizzando vari metodi, esponendo i sistemi aziendali a diversi livelli di rischio.
#13 Sicurezza dell'amministrazione dei servizi
I fornitori di servizi cloud dovrebbero comprendere l'importanza dei sistemi amministrativi.
Tenendo presente il loro alto valore per gli aggressori, la progettazione, l'implementazione e la gestione dei sistemi amministrativi utilizzati dal vostro fornitore di servizi cloud dovrebbero aderire alle migliori pratiche aziendali.
I sistemi con privilegi elevati utilizzati dal fornitore per l'amministrazione dei servizi cloud avranno accesso a tale servizio. La loro compromissione avrebbe un impatto notevole, consentendo a qualcuno di aggirare le misure di sicurezza e rubare o manomettere enormi quantità di dati.
#14 Emissione di avvisi di sicurezza e informazioni di audit
Il prossimo principio di sicurezza cloud è l'emissione di avvisi di sicurezza e informazioni di audit. I fornitori dovrebbero fornire i registri necessari per tracciare l'accesso degli utenti al servizio e ai dati ivi memorizzati.
Dovreste essere in grado di riconoscere i problemi di sicurezza e avere le conoscenze necessarie per stabilire come e quando si sono verificati.
Devono essere rese disponibili le informazioni di audit necessarie per indagare sugli eventi che coinvolgono l'utilizzo del servizio e i dati in esso memorizzati. La capacità di reagire tempestivamente a comportamenti inappropriati o dannosi dipenderà direttamente dal tipo di informazioni di audit a cui è possibile accedere.
Il fornitore di servizi cloud deve inviare immediatamente avvisi di sicurezza in formati adeguati alle esigenze dell'utente. Dovrebbe essere incluso un modulo scritto per il personale operativo e un formato strutturato e leggibile da computer per l'analisi automatizzata.Per consentirvi di testare regolarmente l'elaborazione degli avvisi senza attendere un evento reale, il fornitore di servizi cloud dovrebbe fornire un modo per simulare gli avvisi e registrare ogni tipo di avviso che può inviare.
#15 Utilizzo sicuro del servizio
Il fornitore di servizi cloud dovrebbe semplificare l'adempimento dell'obbligo di proteggere adeguatamente i dati.
Anche se il fornitore adotta una politica di sicurezza predefinita, è comunque necessario configurare i servizi cloud. È consigliabile utilizzare la nostra guida all'uso sicuro dei servizi cloud per determinare se le raccomandazioni soddisfano i requisiti di sicurezza. Verificate regolarmente la vostra configurazione nell'ambito di un test di penetrazione o di una revisione completa della sicurezza.
Conclusione
La sicurezza del cloud deve affrontare varie difficoltà e potenziali aree di crescita, e i principi di sicurezza possono aiutare le imprese a colmare queste lacune. Tutti gli utenti e le aziende devono comprendere adeguatamente le minacce nel panorama della sicurezza cloud e seguire i Principi di sicurezza cloud. I finanziamenti e gli sforzi che un'organizzazione destina alla sicurezza cloud devono essere bilanciati con la comodità degli utenti e il time-to-market. Richiedi una demo della nostra piattaforma Singularity Cloud Security oggi stesso per scoprire come SentinelOne può aiutare la tua organizzazione.
"Domande frequenti sui principi di sicurezza cloud
I principi di sicurezza del cloud sono linee guida che aiutano a proteggere i dati e i servizi nel cloud. Riguardano la protezione dell'accesso, la garanzia della privacy dei dati e il mantenimento della disponibilità dei servizi. Si possono considerare come delle barriere di protezione: controllano chi può vedere o modificare le risorse, crittografano i dati in transito e inattivi e configurano i backup. Questi principi aiutano a mantenere l'organizzazione e a ridurre la possibilità di violazioni.
I principi di sicurezza del cloud sono importanti perché impediscono accessi non autorizzati, fughe di dati e tempi di inattività. Seguendo queste linee guida, è possibile fermare gli attacchi prima che abbiano inizio e ripristinare rapidamente il sistema in caso di problemi.
Inoltre, aiutano a soddisfare i requisiti legali e di settore. In breve, i principi del cloud offrono un percorso chiaro per proteggere i dati, i servizi e la reputazione senza perdere tempo in congetture.
I principi fondamentali della sicurezza cloud includono:
- Privilegio minimo: Concedere solo l'accesso necessario per eseguire un'attività.
- Difesa approfondita: Implementare più livelli di controllo di sicurezza in modo che, se uno fallisce, gli altri continuino a proteggerti.
- Crittografia ovunque: Crittografare i dati in transito e inattivi.
- Responsabilità condivisa: Comprendere quali sono le responsabilità di sicurezza proprie e del proprio fornitore.
- Monitoraggio continuo: Traccia e registra le attività per un rilevamento e una risposta rapidi.
SentinelOne è in linea con i principi di sicurezza cloud offrendo l'applicazione del principio del privilegio minimo, il rilevamento automatico delle minacce e la risposta in tempo reale. Il suo Singularity XDR aggiunge una protezione basata sull'intelligenza artificiale su endpoint, carichi di lavoro e applicazioni cloud, offrendo una difesa approfondita.
Crittografa le comunicazioni, registra tutti gli eventi per un monitoraggio continuo e si integra con i principali fornitori di servizi cloud per chiarire le responsabilità condivise. È inoltre possibile automatizzare i controlli di conformità per configurazioni sicure.
Responsabilità condivisa significa che sia voi che il vostro provider di servizi cloud avete dei doveri in materia di sicurezza. Il provider garantisce la sicurezza dei data center fisici, della rete e degli hypervisor. Tu sei responsabile della sicurezza dei tuoi dati, delle tue applicazioni, delle tue identità e delle tue configurazioni.
Se configuri in modo errato i bucket di archiviazione o ignori l'applicazione delle patch, possono verificarsi violazioni anche se il provider blocca il proprio lato. Conoscere questi confini impedisce lacune e sovrapposizioni nella tua posizione di sicurezza complessiva.
Per applicare il principio del privilegio minimo, iniziate verificando chi ha accesso e perché. Rimuovete le autorizzazioni non necessarie e utilizzate ruoli o gruppi invece di account individuali. Configurare l'autenticazione a più fattori ovunque e ruotare regolarmente le credenziali.
Utilizzare strumenti di gestione delle identità e degli accessi per monitorare chi effettua l'accesso e da dove. Automatizzare le revisioni degli accessi in modo che le autorizzazioni vengano aggiornate quando le persone cambiano ruolo o lasciano l'azienda.
La configurazione sicura garantisce che le risorse cloud siano avviate in uno stato sicuro, evitando porte aperte o credenziali predefinite. La scansione Infrastructure-as-Code (IaC) controlla i modelli di distribuzione alla ricerca di configurazioni errate prima che vengano messi in produzione.
Insieme, impediscono errori comuni come bucket di archiviazione esposti pubblicamente o politiche eccessivamente permissive. Automatizzando questi controlli, è possibile individuare gli errori in anticipo e mantenere l'ambiente cloud coerente e sicuro.
In primo luogo, centralizza i log e le metriche di tutte le risorse cloud in un sistema SIEM (Security Information and Event Management). Imposta avvisi per comportamenti insoliti come errori di accesso o picchi di traffico improvvisi. Utilizza playbook automatizzati per contenere immediatamente le minacce. Verifica regolarmente il tuo piano di risposta agli incidenti con esercitazioni.
Infine, esamina gli incidenti per individuare eventuali lacune e aggiornare i controlli, in modo che ogni risposta ti renda più forte.
Considerate la protezione dei dati come un ciclo di vita: classificate le informazioni in base alla loro sensibilità, crittografatele durante il trasferimento e quando sono inattive e archiviate i backup in luoghi isolati e fuori sede. Applicate la tokenizzazione o la crittografia a livello di campo per i dati critici. Utilizzate controlli di accesso basati sui ruoli per limitare chi può visualizzare o modificare i dati. Verificare regolarmente i flussi di dati e le politiche di conservazione per garantire che nulla rimanga oltre la sua vita utile o il periodo di conformità.
La governance e la conformità stabiliscono le regole da seguire per garantire la legalità e la sicurezza. La governance definisce processi quali la gestione delle modifiche, la valutazione dei rischi e le revisioni di sicurezza. La conformità garantisce che tali processi soddisfino standard quali GDPR, HIPAA o PCI DSS.
Incorporando questi elementi nelle operazioni quotidiane, utilizzando policy-as-code e audit automatizzati, è possibile mantenere la responsabilità, ridurre le multe e conservare la fiducia dei clienti senza rallentare l'innovazione.
