Quali strategie adottare per un ambiente cloud e ibrido sicuri
La continua evoluzione del cloud e dei servizi che esso offre porta un numero sempre maggiore di aziende ad utilizzare tale soluzione, vista la sua flessibilità all’adattarsi alle più variegate esigenze professionali ed aziendali. Spesso abbiamo una concezione di cloud limitata allo storage. Spostare parte -o del tutto- della propria infrastruttura sul cloud (sia Azure, ma anche altri) consente di risparmiare investimenti sull’hardware e di semplificare la configurazione di rete dell’azienda beneficiando delle garanzie offerte dal cloud provider in termini di affidabilità, resilienza e flessibilità.
Vantaggi del Cloud
L’utilizzo di un ambiente misto o totalmente cloud comporta notevoli benefici:
- Riduzione dei costi fissi iniziali e di ammortamento: non è necessario investire risorse finanziare sul software e sull’hardware quindi sull’acquisto, sulla installazione e configurazione, sulla manutenzione ed infine dismissione. Non è necessario inoltre possedere computer di estremamente potenti per poter accedere ai servizi cloud online: i programmi e i dati risiedono nell’infrastruttura cloud.
- Flessibilità: è possibile dimensionare l’infrastruttura man mano che le nostre esigenze crescono: l’esborso sarà graduale e commisurato all’effettiva necessità
- Traslazione del rischio: l’integrità dei dati è a carico del provider cloud il quale a adotterà software di protezione più sicuri. Il backup è inoltre realizzato in automatico.
- Minori costi energetici: non avendo in casa hardware da mantenere acceso, l’azienda avrà minori costi di energia elettrica
- Accesso ai servizi: è possibile accedere ai propri dati ovunque sia disponibile una connessione dati
- Alta affidabilità: il provider garantisce la disponibilità del servizio con percentuali vicine al 100%: questo non sarebbe possibile per un privato con soluzioni on-premise, se non con costi molto elevati
I vantaggi sopra descritti richiedono tuttavia particolari cautele per ottenere un’efficace sicurezza. Quali best practice è opportuno seguire per ottenere una buona protezione? Soffermiamoci sul servizio cloud di casa Microsoft.
Multi Factor Authentication
Attivazione del Multi Factor Authentication: per gli utenti-amministratori è opportuno attivare l’autenticazione tramite meccanismi di Multi-factor Authentication (MFA). Inoltre, Microsoft consiglia di utilizzare un sistema passwordless, che consiste in una autenticazione con qualcosa che si è o con qualcosa che si ha. Microsoft attualmente ha tre distinti scenari di autenticazione passwordless:
- Windows Hello for Business, ideale per gli utenti che dispongono di un proprio PC Windows in azienda, dove le credenziali biometriche e PIN sono direttamente collegate al PC dell’utente.
- Accesso tramite FIDO2 Security keys, che consente a utenti e organizzazioni di sfruttare uno standard condiviso per accedere alle risorse senza nome utente o password usando una chiave di sicurezza esterna o una chiave della piattaforma incorporata in un dispositivo.
- Accesso tramite dispositivo mobile utilizzando l’App Microsoft Authenticator.
Anche Azure Active Directory consente di attivare meccanismi di MFA, questo perché l’autenticazione basata su messaggi di testo è più facilmente aggirabile.
Garantire soli i privilegi necessari
Buona cosa è ridurre al minimo il numero di persone, il relativo periodo temporale e i privilegi concessi alle risorse Azure: si riduce la possibilità che un malintenzionato ottenga un accesso amministrativo oppure che un utente autorizzato inavvertitamente modifica su una specifica risorsa. È possibile far eseguire azioni amministrative agli utenti autorizzati in modalità just-in-time alle risorse Azure ed Azure AD, servendosi del servizio Azure Active Directory Privileged Identity Management, la quale fornisce l’attivazione dei ruoli basata solo per il tempo necessario in modo mitigare i rischi di autorizzazioni di accesso eccessiv.
Segmentazione
Per limitare ulteriormente i rischi legati ai modelli di sicurezza convenzionali, basati su una sicurezza perimetrale, la quale tutto quello che avviene al suo interno è “trusted”, è bene adottare una strategia di micro-segmentazione con un approccio zero-trust, ossia le risorse sono segmentate in base ai ruoli e tutti i passaggi di informazioni tra i vari sistemi devono essere vagliati secondo le policy granulari.
Implementare una strategia firewall
È opportuno integrare una soluzione firewall che filtra e protegga tutte le informazioni in transito per la rete. Microsoft ha sviluppato Azure Firewall, in modo da registrare e controllare alle proprie risorse, filtrando le connessioni in entrata e uscita, supervisionando le reti ibride della propria infrastruttura, governando il traffico HTTP e HTTPS generate dalle applicazioni. Alternativamente, è possibile servirsi di prodotti di marchi che già conosci come network virtual appliance su Azure, in modo da avere un ambiente familiare che il proprio gruppo conosce e per sfruttare le conoscenze già in possesso.
Protezione dagli attacchi DDOS
Un attacco DDoS (Distributed Denial of Service) è un tentativo di interrompere il lavoro di un server, un servizio, una infrastruttura investendo l’obiettivo con un elevato traffico Internet. Gli attacchi DDoS vengono portati a termine utilizzando più sistemi informatici compromessi come fonti di traffico di attacco.
In Azure vi sono due livelli di protezione da attacchi DDos, Basic e Standard.
La protezione di base è compresa in Azure ed è gratuita. Fornisce difesa contro gli attacchi comuni a livello di rete attraverso il monitoraggio del traffico sempre attivo e la mitigazione in tempo reale. La protezione di base difende anche da attacchi di query DNS di livello 7 e dagli attacchi volumetrici che prendono di mira le zone DNS di Azure. La protezione standard offre funzionalità aggiuntive, ottimizzate per le necessità specifiche dell’ambiente di lavoro; le policy sono personalizzate attraverso un processo di machine learning che adatta le impostazioni in base al traffico generato dal proprio applicativo.
Azure Security Center
Questo servizio consente di prevenire eventuali minacce che interessano ambienti Azure e ibridi; anche qui si hanno due possibili licenze: licenza gratuita, la quale fornisce delle raccomandazioni in modo continuo sul nostro ambiente di lavoro, e la licenza standard, che aggiunge funzionalità avanzate di rilevamento delle minacce, contrastando exploit e zero day utilizzando metodologie di analisi comportamentale. È possibile effettuare in modo integrato un vulnerability assessment per le macchine virtuali.
Implementare la metodologia DevOps
L’utilizzo di tale metodologia permette di implementare un alto livello di sicurezza nei servizi e nelle applicazioni: coinvolgendo tra loro i gruppi di lavoro dedicati alle varie fasi di lavoro, si otterranno benefici sia in termini di sicurezza che di ottimizzazione delle tempistiche.
Non utilizzare tecnologia sorpassata
Nell’ambiente Azure non è consigliato servirsi di tecnologia che utilizza sistemi di IDS/IPS in quanto lo stesso Azure incorpora filtri di protezione e l’utilizzo di tale tecnologia legacy potrebbe generare falsi positivi.
Sicurezza sempre al primo posto
E’ opportuno sempre avere come obiettivo la sicurezza del proprio ambiente Azure e ibrido in modo da scongiurare qualsiasi possibile fonte di minacce; Nexsys propone corsi di formazione specifici per questo ambiente di lavoro, in modo da formare gli amministratori di sistema affinché riescano a mantenere un elevato standard di sicurezza e a proteggere i propri applicativi.