Tutti i CISO dovrebbero saperlo riguardo alla sicurezza della rete cloud

May 30, 2023

La sicurezza della rete cloud potrebbe non sembrare molto diversa dalla sicurezza della rete tradizionale – e non lo è, almeno per alcuni aspetti. Le reti cloud utilizzano gli stessi paradigmi e protocolli fondamentali delle reti locali, pertanto esiste una certa sovrapposizione tra la sicurezza della rete cloud e la sicurezza della rete convenzionale. Secondo gli analisti del settore, i firewall sono fondamentali sia nel cloud che in locale; ad esempio, come osserva Gartner, “i firewall di rete rimangono controlli chiave per la sicurezza della rete”.

Ma se ritieni che le tradizionali soluzioni e i processi di sicurezza di rete che hai in atto possano proteggere le tue reti cloud, ripensaci. Nonostante alcune somiglianze tra le reti cloud e le reti locali, esistono anche differenze cruciali. Se distribuisci app native del cloud, ad esempio, è probabile che ti imbatterai in reti interne complesse e componenti aggiuntivi di gestione della rete, come mesh di servizi e controller di ingresso, che non incontreresti nella maggior parte degli ambienti on-premise.

Ciò significa che non è possibile semplicemente “sollevare e spostare” una strategia di sicurezza di rete convenzionale per proteggere le reti cloud. Come spiegato in questo blog, la sicurezza della rete cloud richiede funzionalità, strumenti e strategie aggiuntivi che potresti non avere a disposizione se i tuoi carichi di lavoro tradizionalmente venivano eseguiti in sede.

Per comprendere la sicurezza della rete cloud, è necessario prima comprendere la sicurezza del cloud in generale.

Oggi, un modello popolare per riflettere sul significato della sicurezza del cloud è il concetto di Gartner della Cloud Native Application Protection Platform, o CNAPP. I CNAPP sono progettati per proteggere le applicazioni native del cloud, ovvero quelle eseguite in ambienti basati su cloud, proteggendo tutti i livelli dello stack di hosting e tutte le fasi del ciclo di vita della distribuzione del software.

Poiché le app native del cloud spesso includono architetture di rete complesse, le CNAPP devono proteggere molteplici aspetti delle funzionalità di rete, dai firewall e bilanciatori di carico di nuova generazione alle app Web e alle API. Devono inoltre fornire una segmentazione granulare e proteggere il traffico sia nord-sud che est-ovest.

Dato che ogni distribuzione cloud si connette a una rete esterna al cloud e utilizza la rete per trasferire dati tra diverse risorse all'interno del cloud, una rete sicura costituisce la base per il resto della strategia di sicurezza del cloud.

Questo è vero, comunque, indipendentemente dal tipo di architettura cloud utilizzata. Potresti utilizzare un singolo cloud oppure potresti far parte del 90% delle organizzazioni che utilizzano più cloud. Potresti anche gestire un ambiente cloud ibrido che combina cloud privati ​​o risorse locali con servizi basati su cloud pubblico.

Indipendentemente dall’architettura cloud, tutti i tipi di ambienti cloud – single-cloud, multi-cloud e cloud ibrido – dipendono dalla rete per collegare insieme l’infrastruttura e i carichi di lavoro, quindi sono tutti soggetti a gravi rischi quando la sicurezza della rete cloud è compromessa. Ciò rende fondamentale implementare una soluzione di sicurezza di rete in grado di supportare tutte le risorse cloud in modo coerente ed efficiente, indipendentemente dal tipo di cloud che le ospita.

Si noti, inoltre, che i modelli di responsabilità condivisa non esentano le aziende dalla necessità di proteggere le reti cloud. I modelli di responsabilità condivisa sono accordi che i fornitori di servizi cloud stipulano con i propri clienti, in cui il fornitore di servizi cloud è responsabile della protezione di alcuni componenti dell'ambiente cloud e i suoi clienti sono responsabili di altri.

Dal punto di vista della sicurezza della rete, i modelli di responsabilità condivisa richiedono ai fornitori di servizi cloud di proteggere l’infrastruttura di rete fisica, come switch e router, che forniscono connettività alle loro infrastrutture cloud. Ma il compito di proteggere le reti virtuali configurate dai clienti e il traffico che entra ed esce dall'ambiente cloud attraversando tali reti virtuali ricade sui clienti.

Per dirla senza mezzi termini, il tuo fornitore di servizi cloud non ti salverà se lasci accidentalmente VM vulnerabili basate su cloud senza patch, ma un buon sistema di prevenzione delle intrusioni mitigherebbe questo rischio. Spetta a te gestire rischi per la sicurezza della rete cloud come questi adottando il giusto set di strumenti e soluzioni, siano essi strumenti di sicurezza dei fornitori di cloud, soluzioni fai da te autocostruite o prodotti di fornitori di sicurezza informatica, per proteggere il tuo cloud.