Persone, Processi e Tecnologia: sei Best Practice per il Cloud Least Privilege
Se la vostra organizzazione è come la maggior parte delle altre, lo scorso anno avrete implementato opzioni di lavoro a distanza flessibili e avviato (o accelerato) la trasformazione digitale, il tutto grazie al cloud. E probabilmente oggi vi affidate a più servizi cloud e applicazioni SaaS di quanti ne abbiate mai avuti in precedenza.
Tuttavia, man mano che l’utilizzo del cloud da parte delle organizzazioni cresce – e si estende a sempre più fornitori cloud – la creazione di identità per umani, applicazioni e macchine accelera. La mappatura delle relazioni tra tutte queste identità e le risorse cloud è diventata estremamente complicata.
Un recente sondaggio realizzato da ESG (Enterprise Strategy Group) ha rilevato che il mantenimento di controlli coerenti di identità e gestione degli accessi (IAM) attraverso i cloud pubblici e privati è la principale sfida per i professionisti IT e della sicurezza informatica incaricati di attività IAM. Tuttavia, è il raggiungimento di un approccio unificato allo IAM che rappresenta la priorità numero uno, dato che spetta al cliente gestire e proteggere l’accesso ai suoi ambienti cloud, come indicato nel modello di responsabilità condivisa dei principali fornitori cloud.
L’attuazione del principio del “minimo privilegio” – una best practice essenziale per la sicurezza IT – è uno dei cinque passi chiave per garantire l’accesso privilegiato e l’identità delle infrastrutture e delle applicazioni basate sul cloud.
In un mondo perfetto, ogni identità sarebbe configurata in modo da avere solo i privilegi e i permessi per svolgere le funzioni previste – niente di più, niente di meno. Questo è il punto cruciale del principio del minimo privilegio, ed è il cuore dell’approccio Zero Trust. Tuttavia, anche il team di sicurezza più sofisticato vi confermerà che l’attuazione di questo principio è più facile a dirsi che a farsi.
Configurazione errata delle autorizzazioni per il cloud: un vettore di attacco critico
Soprattutto su grande scala, la natura dinamica di ruoli, infrastrutture, applicazioni e servizi cloud spesso porta a configurazioni errate che possono portare all’accumulo di autorizzazioni inutilizzate. Gli attaccanti possono sfruttare questi permessi per accedere a infrastrutture cloud critiche, rubare o alterare dati sensibili o interrompere i servizi in hosting cloud.
Secondo lo stesso studio ESG, gli account ed i ruoli con autorizzazioni eccessive sono oggi al primo posto tra gli errori di configurazione del cloud, e sono stati ricondotti ad alcune delle più ingenti violazioni della storia. Lo studio realizzato da IBM “Report del 2020 sul costo di una violazione dei dati” ha rivelato che il 19% di tutte le violazioni sono state causate da errate configurazioni di server cloud e macchine virtuali (VM) e sono più costose di altre tipologie di violazioni, con un costo medio di 4,41 milioni di dollari.
Sei passi verso l’implementazione del Cloud Least Privilege
È dunque chiaro che la gestione del minimo privilegio deve diventare una priorità per le configurazioni IAM in ambienti cloud. Ecco sei best practice per ridurre il rischio e guidare il cambiamento tra persone, processi e tecnologia:
- Mettere tutti sullo stesso piano. Le ricerche di CyberArk e della Cloud Security Alliance dimostrano che la responsabilità per la progettazione e l’operatività degli IAM cloud varia notevolmente da un’organizzazione all’altra. Gli stakeholder dovrebbero allinearsi per identificare quali team e individui “saranno responsabili” (principio di “Accountability”)dell’implementazione delle strategie least privilege e garantire che queste responsabilità siano comprese chiaramente.
- Non prendere decisioni sulla sicurezza da soli. Consultate i cloud architect e i team di sviluppo su tutte le decisioni relative ai processi e alle tecnologie all’inizio del programma e in fase di implementazione. Questo aiuta a massimizzare il buy-in da parte dei principali stakeholder e ad aumentare l’efficacia a lungo termine.
- Mappare tutte le autorizzazioni IAM esistenti. Le organizzazioni non possono difendersi da minacce di cui non sono a conoscenza. In primo luogo, identificare e visualizzare tutti i permessi IAM negli ambienti dei provider cloud e nei servizi Kubernetes. A seguire, mappare le relazioni di accesso tra identità e risorse per scoprire potenziali vulnerabilità.
- Rimediare ai diritti inutilizzati e rischiosi. Rimuovere immediatamente i permessi eccessivi per le identità di persone, macchine e applicazioni. Le raccomandazioni basate sull’IA possono velocizzare e semplificare questo processo, e le soluzioni più efficaci possono anche scoprire rischi nascosti e specifici della piattaforma come gli“Shadow Admins”. Se si sta adottando un approccio graduale, iniziare eliminando i privilegi eccessivi per le risorse cloud più preziose, per poi applicare le policy meno privilegiate in modo più ampio nel tempo.
- Ridurre al minimo indispensabilei permessi per i nuovi carichi di lavoro:i cloud provider (AWS in particolare) sono chiari su questo punto, consigliando alle organizzazioni di “Iniziare con un set minimo di permessi e concedere ulteriori permessi, se necessario”.
- Misurare e verificare in modo coerente il minimoprivilegio possibile. Il profilo di minimo privilegio non dura per sempre. Revisioni regolari e periodiche per ripulire i permessi inutilizzati che si accumulano nel tempo sono essenziali per combattere l’insinuarsi dei permessi. Quantificare la riduzione del rischio nel tempo con valutazioni analitiche per ogni singolo ambiente. Tanto più frequenti i controlli, quanto più tempestiva sarà la rilevazione di eventuali scostamenti rispetto alla configurazione desiderata.
I controlli coerenti sono la chiave per una sicurezza scalabile
È probabile che oggi si stiano utilizzando le capacità di più fornitori di cloud per ottenere risparmi, una maggiore disponibilità o caratteristiche tecniche uniche, e configurare le innumerevoli combinazioni di accesso dall’utente all’applicazione – in qualsiasi momento e da qualsiasi luogo o dispositivo – è una vera sfida. Aggiungete la complessità degli strumenti DevOps, una maggiore automazione e molteplici data center on-premise, e le cose diventano ancora più… nuvolose. La messa in sicurezza del codice richiede un approccio unificato.
Le strategie più efficaci impiegano controlli IAM e di gestione degli accessi privilegiati (PAM) centralizzati e coerenti che consentono il minor numero di privilegi per tutte le identità legate alle risorse – dalle console di gestione del cloud alle applicazioni SaaS – in ambienti ibridi e multi-cloud. È anche importante rinforzare questi controlli con l’autenticazione Single Sign-On (SSO) e Multi-Factor (MFA) dinamica e basata sul contesto (entrambe protette anche da PAM) per un ulteriore accesso sicuro agli ambienti in-the-cloud. In questo tipo di approccio si parla di sicurezza “adattiva”.
Sia che ci si concentri sulla sicurezza di un progetto iniziale in un ambiente ibrido o che si adottino completamente le applicazioni native del cloud, un approccio coerente è la chiave per controllare la gestione degli accessi privilegiati e delle identità nel cloud.
Presales Team Leader di CyberArk