Uno degli aspetti positivi del Cloud risiede nella sua natura. Spostare dati, applicazioni o intere infrastrutture sulla Nuvola costringe a rivedere flussi e processi, networking e cyber security incluse.

La revisione dei flussi e dei processi, infatti, è un esercizio che le aziende dovrebbero svolgere con una certa periodicità.

Il Cloud in quanto tale è oggetto di continue metamorfosi e le organizzazioni si trovano confrontate con un’idea di perimetro di rete sempre più liquida. Tuttavia, ci sono adeguate risposte che si possono dare alle criticità che il Cloud può portarsi appresso in materia di cyber security.

Ecco, allora, alcuni suggerimenti sulle più opportune configurazioni della rete, anche con il supporto di adeguate tecnologie, per garantire la sicurezza dei flussi di dati da e verso il Cloud.

La segmentazione di una rete

La rete dell’organizzazione può essere compartimentata. Per fare un paragone, si può pensare alla rete come a un grande contenitore e alle sottoreti come degli scomparti che permettono di gestire meglio lo spazio al suo interno.

La segmentazione di una rete giova anche alla cyber security ma è, prima ancora, una questione organizzativa. Si pensi a una grande azienda la cui sede è suddivisa in un palazzo a più piani. Assegnando una sottorete a ogni piano e a ogni unità aziendale, l’indirizzo IP di un device diventa parlante: agli amministratori IT è sufficiente leggere gli ottetti per capire a colpo d’occhio in quale piano e in quale unità si trova il dispositivo.

Allo stesso modo, sempre per questioni organizzative, è possibile confinare i server, i pc, le stampanti e altre periferiche ognuna nella propria sottorete.

Questo spiega perché molte grandi aziende scelgono indirizzi IP di classe A, la cui notazione va da 0.0.0.0 a 127.255.255.255, laddove il primo byte rappresenta la rete mentre i tre byte seguenti indentificano l’host.

Di fatto, la classe A offre più di 16 milioni di indirizzi IP e permette di creare migliaia di sottoreti migliorando anche la gestione del traffico.

Quanto scritto fino a qui è preambolo propedeutico alla cyber security nel cui quadro la creazione di sottoreti (il subnetting) consente la limitazione delle superfici di attacco e impedisce la propagazione laterale, ossia la tecnica grazie a cui i criminal hacker, riuscendo ad avere accesso alla rete – magari violando un singolo client – riescono a spostarsi all’interno dell’intera infrastruttura.

Isolare i sistemi critici grazie alle sottoreti rende anche più facile allestire e applicare politiche di sicurezza e di risposta agli incidenti.

Le tecniche più comuni per la segmentazione della rete

Le Virtual Local Area Network (VLAN) sono reti virtuali che suddividono logicamente in più segmenti una rete fisica, permettendo così di separare dei dispositivi collegati alle medesime parti attive come se fossero in reti differenti tra loro.

I puristi possono affermare, giustamente peraltro, che VLAN e subnetting sono due cose differenti. Infatti, le VLAN operano al livello Data Link (livello 2 del modello OSI) mentre le sottoreti operano al livello 3 (Network). VLAN e sottoreti, tuttavia, possono essere usati insieme proprio per migliorare la gestione della rete e assottigliare le superfici d’attacco.

Quali che siano la filosofia e le pratiche di subnetting adottate da un’organizzazione, i Software-Defined Networking (SDN, a cui abbiamo dedicato un Whitepaper) consentono il controllo centralizzato e programmabile della segmentazione.

L’SDN suddivide il controllo della rete dall’hardware e ne lascia la gestione a un software centrale, chiamato controller.
C’è poi la zona demilitarizzata (DMZ), un segmento di rete isolato al cui interno risiedono macchine e servizi esposti a internet.

Una DMZ (Demilitarized Zone) è da intendere come una zona situata tra la rete interna e la rete esterna. Tipicamente, gli utenti esterni accedono alla DMZ e non alla rete aziendale e, parallelamente, eventuali attacchi rivolti a un server nella DMZ non danno all’attaccante immediato accesso alla rete interna.

Nelle DMZ si situano anche i Bastion host dei quali parleremo sotto.

Il controllo degli accessi

Definisce chi può accedere a cosa e con quali permessi. Lineare e schematico, il controllo degli accessi diventa vieppiù importante e macchinoso con l’aumentare della diffusione delle risorse in Cloud e della dimensione dell’architettura di rete, tenendo conto anche di variabili quali l’Internet of Things (IoT) il Bring Your Own Device (BYOD) e il Bring Your Own Personal Computer (BYOPC), ossia dell’uso che i dipendenti fanno dei device personali (tipicamente pc, smartphone e tablet).

Gli obiettivi del controllo degli accessi sono principalmente:

• Garantire la disponibilità, l’integrità e la confidenzialità dei dati
• Potere usare il principio del privilegio minimo, tecnica mediante la quale qualsiasi oggetto della rete accede alle risorse con i privilegi sufficienti a svolgere i propri compiti
• Consentire l’audit.

Modelli e tecnologie a supporto del controllo degli accessi

Ci sono diversi modelli per gestire il controllo degli accessi e ognuno di questi è basato su una filosofia di varia ampiezza di respiro. Va da sé che in infrastrutture molto gradi la gestione degli accessi è più macchinosa ma, come sempre, ogni processo e procedura aziendale nasce da un’organizzazione attenta, certosina e persino maniacale.

La filosofia Role Based Access Control (RBAC) fonda i permessi in base ai ruoli ovvero, tipicamente, admin – user – ospite. Elementare ma non per forza di cose inefficace.

C’è anche l’Attribute Based Access Control (ABAC) che fa dipendere gli accessi dagli attributi. In pratica, mentre l’approccio RBAC considera chi è l’utente, ABAC valuta anche cosa questo sta cercando di fare, da quale luogo e quando sta cercando di farlo. È ideale nei contesti aziendali che ricorrono a dispositivi IoT.

Il Mandatory Access Control è un modello di accesso basato su indici di sicurezza. È il sistema che decide chi ha accesso a quali risorse in base alla sensibilità dei dati. È rigoroso e gerarchico, non a caso è adottato anche da forze militari.

Il DAC, Discretionary Accesso Control è un modello nel quale il proprietario della risorsa condivisa decide a chi dare l’accesso.

Queste modalità di approccio, da considerare tra le più diffuse e non le uniche, sono supportate da diverse tecnologie, tra le quali spiccano:

• Le soluzioni Identity and Access Management (IAM) gestiscono le identità e i ruoli degli oggetti che stanno cercando di accedere a una risorsa. Laddove i confini delle reti diventano sempre meno definibili, la domanda “Chi ha accesso a una risorsa e perché?” diventa fondamentale.
• Zero Trust, architetture implementate sulla totale assenza di fiducia. Qualsiasi oggetto stia cercando di accedere a una risorsa deve dimostrare di essere autorizzato.

Ci sono tante altre tecnologie che possono essere messe in atto, ma IAM e Zero Trust sono due pilastri sui quali cominciare a edificare una fortezza digitale.

Il firewalling e i gruppi di sicurezza

I firewall gestiscono, controllano e filtrano il traffico tra almeno due reti, di norma una interna e privata e una pubblica (internet) con l’obiettivo di bloccare il traffico non sicuro e gli accessi non autorizzati. Sono cruciali per la cyber security e abbiamo sviscerato l’argomento anche prendendo in analisi le questioni tecniche.

Con il passare degli anni i firewall sono diventati sempre più performanti fino a confluire in quelli di nuova generazione (NGFW) che integrano pratiche di controllo approfondito dei pacchetti di dati in transito, controllo delle applicazioni e antivirus. Un firewall mal configurato o non sicuro può comportare problemi di spessore.

I gruppi di sicurezza, la cui adozione è associata alle risorse Cloud, sono un insieme di regole di firewall però applicate al traffico da e verso server e risorse esterne. Come i firewall, consentono di accettare o bloccare traffico di rete su principi quali gli indirizzi IP, le porte e i protocolli usati.

Firewall e gruppi di sicurezza sono complementari nella misura in cui, per creare un paragone, il primo è la guardia di Buckingham Palace, mentre i gruppi di sicurezza sono le guardie che sorvegliano le stanze interne del palazzo. Se il firewalling non è stato sufficiente a respingere un imbucato, saranno i gruppi di sicurezza a scovarlo.

In qualche modo, la filosofia Zero Trust si applica anche al firewalling. Ha un nome diverso, si parla di Default deny ma si basa sulla stessa precauzione: si comincia bloccando tutto il traffico, creando poi regole che lasciano passare solo quello autorizzato.

VPN e crittografia del traffico

Ci sono tecnologie emergenti ed altre che, essendo uscite abbondantemente dalla fase di rodaggio, sono relativamente poco usate.

Le Virtual Private Network (VPN) non fanno ovviamente parte di queste e sono largamente usate per collegare gli emisferi interni ed esterni delle reti.

Ci sono però i Bastion host, server “corazzati” di tutto punto per resistere agli attacchi e che diventano i gateway d’accesso alla rete aziendale. Di norma vengono posizionati in una zona della rete esposta (la DMZ) e controlla traffico e accessi provenienti da Internet.

Può sembrare un concetto fumoso, quindi facciamo un esempio per semplificare il quadro.

Un’azienda chimica conserva delle formule rivoluzionarie in file salvati su un server non accessibile dall’esterno. Tuttavia, ricercatori e periti esterni devono potere accedere a tali file per continuare il lavoro e, allo stesso modo, l’azienda che fornisce il software con cui i file sono stati creati deve potere installare aggiornamenti e intervenire in caso di problemi.

In uno scenario simile i Bastion host si rivelano preziosi. Infatti, ricercatori e amministratori vi si connettono con un protocollo sicuro (laddove sicuro non vuole dire inespugnabile) sottostando alle regole di firewaling, a un sistema di autenticazione a più fattori e a sistemi di controllo delle identità e degli accessi. Un Bastion host registra e monitora le connessioni e ciò consente verifiche anche automatizzate del traffico e delle connessioni stesse.

Solo dopo avere superato la procedura di autenticazione sarà possibile raggiungere il server interno. Inoltre, il Bastion host può essere configurato per utilizzare misure aggiuntive come la segmentazione della rete e l’uso di VPN.

I Bastion host sembrano appartenere a un’epoca lontana ma, in realtà, vengono ancora usati. Ci sono delle evoluzioni, tipicamente delle tecnologie Cloud native in parte messe a disposizione dai provider, che non sono ancora entrate definitivamente nelle attenzioni delle aziende.

I miti sulla crittografia

Aleggia la convinzione che il traffico da e verso le risorse Cloud sia crittografato, così come sono crittografati i dati a riposo.

Il paragrafo sopra, iniziato volutamente in modo sibillino, vuole attirare l’attenzione su alcuni principi che alle aziende non devono sfuggire:

• Quando si usa una risorsa Cloud, i principali provider criptano i dati in transito usando protocolli quali TLS / SSL e offrono la crittografia anche per i dati a riposo. Prima di scegliere un fornitore di servizi o risorse Cloud è opportuno verificare quali politiche di crittografia usano, perché occuparsene in seguito può essere deleterio
• Alcuni provider offrono la possibilità ai rispettivi clienti di gestire le proprie chiavi crittografiche e, in questo caso, si parla di responsabilità condivisa. È importante che ogni azienda conosca questo modello e decida se vale la pena usarlo
• C’è sempre la possibilità di usare tecniche di crittografia lato client che consiste nel cifrare i dati prima di caricarli sul Cloud. Una misura di sicurezza in più che non tutte le organizzazioni conoscono e, di conseguenza, possono scegliere di adottare.

Non di meno, prima di chiudere il paragrafo sulla crittografia, la modalità end-to-end consente di proteggere le comunicazioni sensibili anche all’interno delle reti aziendali.

Si pensa alla cifratura dei dati solo come strumento di protezione all’esterno del perimetro aziendale e, in realtà, è un mito da sfatare.

Due modi per minimizzare l’esposizione (indirizzi IP e automazione policy sicurezza)

Ridurre la superficie d’attacco è un obiettivo strategico e può essere conseguito anche mediante il controllo degli indirizzi IP e l’automazione delle policy di sicurezza.

Il controllo degli indirizzi IP è noto con il nome di whitelisting, ovvero l’attività di limitare l’accesso alle risorse di rete solo a indirizzi singoli o all’interno di un range specifico.

Tuttavia, se in teoria sembra essere simile a una panacea, intervengono diverse difficoltà, tanto da rendere il whitelisting valido solo per piccole realtà aziendali.

Infatti, è difficile fare in modo che collaboratori in movimento, dispositivi terzi e stakeholder abbiano e mantengano sempre il medesimo indirizzo IP ma, ancora prima e per usare una figura retorica abusata, il controllo degli IP è come una serratura che può essere aperta da una specifica chiave ma non dà certezze su chi sta aprendo la porta. In qualche modo tradisce la filosofia Zero Trust e non dà lustro alle politiche IAM.

Però non è tutto da buttare. Il controllo degli IP ha ancora un suo vantaggio pratico se considerato in sinergia al firewalling e alle ACL, le Access Control List: se un’applicazione deve essere accessibile solo a un numero ristretto di utenti o agli utenti appartenenti a una determinata unità aziendale, il controllo degli IP può avere una propria attendibilità soprattutto se associato a un principio di automazione delle policy di sicurezza.

L’automazione delle policy di sicurezza

Garantisce che le configurazioni dei sistemi di difesa siano applicate in modo costante e, proprio nei contesti in cui le infrastrutture IT sono complesse, si rivela essere un toccasana perché permette di implementare e aggiornare le misure di sicurezza in tempo reale riducendo il sempiterno rischio dell’errore umano.

Ci son diversi strumenti di tipo Infrastructure as Code (Iac) che consentono di eseguire controlli automatici sulle configurazioni affinché le regole di sicurezza vengano sempre rispettate.

A corredo, esiste una quantità di sistemi di monitoraggio automatico tra Security information and Event management (SIEM), modelli Security orchestration Automation and Response (SOAR) che permettono di rilevare anomalie e applicare le misure opportune in tempo reale.

Per esempio, laddove avvenisse una modifica non autorizzata a una configurazione di sicurezza, questa verrebbe immediatamente ripristinata alla condizione iniziale.

Così, per esempio, un dispositivo IoT interno a un’azienda che deve connettersi a una risorsa Cloud ogni 30 minuti pe depositare dati ed è associato a un indirizzo IP fisso riconosciuto dal server, può operare con la supervisione di un sistema Infrastructure as Code, il quale applica automaticamente le policy decise dall’azienda stessa. Qualsiasi regola dovesse essere stata modificata, le policy originali verrebbero applicate immediatamente.

L’automazione consente di verificare che le policy siano mantenute e, non di meno, si presta a generare report destinati all’audit.

Infine, giova ricordare che una singola misura non è in grado di garantire un buon livello di sicurezza che, in realtà, si raggiunge lasciando che diverse filosofie e tecnologie agiscano in sinergia.