L’adozione massiva dei servizi cloud e l’utilizzo sempre più spinto del modello di lavoro ibrido hanno declinato in un nuovo modo tre importanti sfide del mondo della cybersecurity: visibilità, controllo e trust.
Le moderne architetture, ibride e multi-cloud, introducono la necessità di gestire gli accessi e l’utilizzo delle risorse secondo un approccio dinamico e identity-centric.
Questi principi sono alla base delle soluzioni di sicurezza Security Service Edge (SSE) che presidiano gli accessi e l’utilizzo dei servizi cloud, del web e delle applicazioni private, centralizzandone e semplificandone la gestione.
L’adozione massiva del cloud
L’adozione dei servizi cloud ha subito un forte incremento negli ultimi anni. Oggi, molte aziende adottano molteplici servizi, affidandosi a Cloud Service Provider differenti. Questo ha introdotto una certa complessità derivante non solo dal numero di servizi utilizzati, ma anche dalla loro eterogeneità.
Per avere il polso della situazione basta pensare a quante applicazioni di tipo SaaS ognuno di noi utilizza nella propria attività lavorativa. Senza contare che esiste un ampio “sommerso”, di applicazioni sulle quali non si ha visibilità.
Quali sono i problemi che ne derivano? Esistono diverse criticità:
- Le applicazioni sono numerose e una parte di esse è “unsanctioned”, ovvero non gestita/regolamentata dal reparto IT. Questo, potenzialmente, aumenta l’esposizione al rischio dell’azienda.
- Alcuni dei servizi utilizzati potrebbero non aderire a specifiche normative. Questo è un problema in ottica di compliance, se si pensa che un servizio SaaS, ove utilizzato per gestire informazioni e processi aziendali, è a tutti gli effetti un fornitore esterno.
- Molti dei servizi utilizzati sono ridondanti ed ognuno di essi ha le proprie regole di gestione. Questo conduce ad una gestione frammentata di questi sistemi e incrementa la difficoltà di poter applicare processi di governance efficaci.
- La facilità di utilizzo di alcuni servizi, in particolare di storage, affiancata alla mancata applicazione di regole, introduce delle criticità importanti legate alla dispersione dei dati.
Il modello di lavoro ibrido
Il nostro modo di lavorare è cambiato. Molte aziende sposano la politica del “remote first”. Ognuno di noi ha potenzialmente la possibilità di lavorare da qualsiasi luogo e con qualsiasi dispositivo.
Il modello ibrido, derivato dalla digital transformation, dai modelli di Bring Your Own Device (BYOD) e accelerato dalla pandemia, è ormai una realtà di fatto e deve essere gestito in maniera corretta per evitare inefficienze e soddisfare il principio di zero-trust, sul quale le moderne architetture ed i processi a supporto devono fondarsi.
Questo porta alla necessità di costruire un nuovo paradigma che ha come perno centrale l’identità. La modalità di accesso alle risorse tuttavia non può essere più basata su fattori statici (sei dentro/fuori dalla rete aziendale), ma deve essere definito in maniera dinamica, sulla base di diversi parametri legati al contesto del richiedente.
Security challenges
In un’architettura ibrida e multi-cloud, il modello di accesso “tradizionale”, dove tutto il traffico è instradato da un unico punto centrale (il data center), non è più sostenibile. Allo stesso tempo, la flessibilità richiesta dalle aziende per poter mantenere ed incrementare la propria produttività, non deve andare a discapito della sicurezza.
Le sfide principali sono tre:
- Visibilità: Per poter proteggere qualcosa, è indispensabile sapere cosa proteggere e qual è il grado di esposizione al rischio. E’ necessario quindi avere una mappatura completa dei servizi utilizzati, delle interazioni tra gli utenti e questi servizi e dei dati che fluiscono al loro interno.
- Controllo: Una volta ottenuta la visibilità, è fondamentale poter governare l’utilizzo di questi servizi. E’ quindi importante poter stabilire, in modo flessibile e granulare, chi può accedere ad un servizio e come può interagire con esso.
- Trust: Fattori statici come l’appartenenza o meno alla rete aziendale, non sono più sufficienti, da soli, a determinare un rapporto di trust. E’ necessario quindi che l’accesso e l’utilizzo delle risorse vengano implementati nel rispetto dei principi di Zero-Trust, che nel caso più semplice potrebbe tradursi nell’applicazione dei noti principi di least-priviledge e always-verify.
A queste tre sfide si affianca, in maniera trasversale, il rispetto della compliance normativa. La complessità delle architetture moderne deve comunque consentire una gestione efficace della compliance, permettendo alle aziende di estendere le verifiche e l’applicazione dei meccanismi di protezione più adeguati, anche al mondo cloud.
Il modello SASE
In questo contesto si colloca il Secure Access Service Edge (SASE), termine coniato per identificare un’architettura di sicurezza che supporta l’accesso e l’utilizzo dinamico delle risorse.
Le soluzioni SASE si fondano su tre principi fondamentali:
- Centralità dell’identità che accede o utilizza il servizio
- Valutazione continua del rischio, come parametro decisionale per determinare l’accesso, che tiene conto non solo dell’identità ma anche del suo contesto
- Modello as-a-service
Le architetture SASE hanno una duplice anima, una costituita da servizi di rete e l’altra da servizi di sicurezza. Il sottoinsieme di servizi di sicurezza del SASE è chiamato Security Service Edge (SSE).
Soluzioni di sicurezza SSE
Le soluzioni SSE sfruttano diverse tecnologie tra le quali Cloud Access Security Broker (CASB), Secure Web Gateway (SWG) e Zero-Trust Access Network (ZTNA), per offrire servizi di sicurezza a presidio dei servizi cloud, del web e delle applicazioni private.
Le capability di sicurezza sono diverse. Tra le principali troviamo:
- Discovery, che consente di rispondere a domande come: quali servizi cloud vengono utilizzati? Quali servizi vengono utilizzati ma non sono approvati dall’IT? Che livello di rischio hanno? Quali attività utente sono potenzialmente a rischio?
- Access Control, che permette di implementare regole per concedere, limitare o inibire l’accesso ai servizi e ai dati e di farlo a diversi livelli di granularità. Per esempio: impedire l’accesso ad una specifica categoria di SaaS, limitare le attività su un SaaS ad alcuni gruppi di utenti o in presenza di determinate condizioni, impedire azioni su particolari categorie di dato. Quest’ultima funzionalità è di particolare utilità in ottica di compliance.
- Data Security. Il dato può essere protetto sia quando è a riposo, sia quando è in uso. Il concetto di Data Security include in maniera intrinseca Data Discovery, Data Classification e Data Loss Prevention (DLP). E’ possibile quindi identificare specifiche categorie di dati, come I dati GDPR, PCI, dati confidenziali. E’ possibile monitorare l’utilizzo di questi dati e applicare delle regole di Data Right Management come ad esempio: cifratura, filigrana e mascheramento.
Infine, la possibilità di gestire i tre target – web, servizi SaaS e applicazioni private – da un unico strumento, consente di centralizzare l’applicazione delle regole, il monitoraggio e la governance, semplificandone e consolidandone la gestione.
Se vuoi approfondire la tematica, scrivici a info@radsec.it