Cloud Computing
Il cloud computing, lo spostamento o la creazione di applicazioni o intere porzioni del proprio sistema informativo in ambienti remoti forniti da provider esterni, è una delle tendenze tecnologiche degli ultimi anni. I servizi cloud presentano vantaggi di flessibilità, scalabilità, economia di scala e semplicità di gestione, ma richiedono la dovuta accortezza.
Un contesto di infrastruttura distribuita infatti, aggiunge elementi di complessità ulteriori e introduce nuovi attori nella catena di controllo.
Penetration Test e Vulnerability Assessment Cloud
Oltre alle vulnerabilità interne, che possono essere controllate con opportune analisi, il Cloud in generale offre ai cybercriminali ulteriori punti di ingresso.
Un attacco informatico può avvenire dall’esterno o dall’interno del cloud; la minaccia può venire da outsider, hacker o cybercriminali, oppure insider, per esempio dipendenti o consulenti “infedeli” collocati nella struttura del provider, così come da coinquilini del medesimo cloud. Quest’ultimo rischio, chiamato tenant threat è particolarmente insidioso, perché dipende da fattori che non possono essere controllati dall’azienda. Per questo motivo effettuare un Vulnerability Assessment e un Penetration Test Cloud è indispensabile, anche per fronteggiare eventuali minacce indipendenti dalle buone pratiche messe in campo.
I rischi di sicurezza legati al Cloud valgono per qualsiasi tipo di struttura come Software as a service (SaaS), Platform as a Service (PaaS) o Infrastructure as a Service (IaaS).
Cloud security service di Safecore
Safecore ha una grande esperienza nell’implementazione e nella sicurezza cloud. Copriamo tutti gli aspetti di sicurezza di piattaforme basate sui maggiori cloud provider (AWS, Azure, GCP, Alibaba), così come quella di infrastrutture basate su cloud privati (Private Cloud) o ibridi (Hybrid Cloud). Il nostro know-how ci permette di valutare efficacemente un’infrastruttura cloud così come è implementata, fino ad arrivare agli aspetti più complessi e generali inerenti la sicurezza dell’architettura ed il contenimento e la mitigazione degli scenari di rischio tipici di questo paradigma.
Come funzionano Pt e Va per il Cloud?
Safecore effettua il proprio esaustivo pacchetto di Vulnerability Assessment e Penetration Test dedicati su tutte le componenti della struttura cloud: front- end, servizi REST, servizi accessori, network e rete di management, analisi di specifiche istanze e template, fino alla revisione delle configurazioni dei singoli tenant.
I nostri specialisti, quindi, rivolgono la propria attenzione al “contenitore” Cloud, per verificare che le impostazioni a livello di monitoring, logging, IAM, network o altro ancora siano in linea con le best practices di hardening. Questo Cloud Assessment completo permette di identificare tutte le potenziali minacce, sia derivanti da rischi di sicurezza interni, come scarsa applicazione delle buone pratiche, sia derivanti dal debolezze nel servizio di Cloud, intrinseche o causate, per esempio, da altre realtà che condividono lo stesso servizio.
Come avvengono Pt e Va per il Cloud?
Come per ogni altro servizio di analisi proposto da Safecore, gli esperti concordano con il cliente i test di sicurezza da effettuare, sia sulla base delle esigenze specifiche dell’azienda, sia sulla base di una analisi preliminare. I nostri servizi di analisi e verifica coprono tutte le potenziali falle di debolezza dei servizi in Cloud.
I parametri per simulare un potenziale pericolo
In particolare, si può agire sulla base di diversi parametri, per simulare diverse situazioni di potenziale pericolo. Ecco i principali:
- provenienza degli attacchi: è possibile emulare e verificare outsider, insider e tenant sospetti;
- agire in base ad informazioni o risorse messe a disposizione. A partire dalla base black-box, cioè senza conoscenze pregresse sull’infrastruttura da attaccare, oppure gray-box, cioè con informazioni parziali come le credenziali di tenant, per finire con white-box, cioè con conoscenza a priori dettagli di implementazione, schemi architetturali o altro.
Attraverso questo cloud security assessment è possibile identificare i potenziali punti di attacco e le debolezze dell’infrastruttura. Dopo questa prima fase di analisi gli esperti di Safecore suggeriranno al cliente le strategie di remediation necessarie per la messa in sicurezza del Cloud aziendale e per la prevenzione di eventuali ulteriori debolezze future.
Scopo e architettura del servizio
SCOPO
Le valutazioni della sicurezza del cloud interrogano il tuo ambiente cloud per identificare errori di configurazione e vulnerabilità della sicurezza che espongono la tua organizzazione a rischi indebiti.
Le configurazioni errate comuni includono accessi e autorizzazioni eccessivi concessi a ruoli e utenti, archiviazione cloud accessibile pubblicamente e mancanza di registrazione e monitoraggio.
Safecore sfrutta i nostri esperti di sicurezza AWS interni per dare un’occhiata pratica ai tuoi account AWS per convalidare l’aderenza alle best practice di sicurezza AWS.
ARCHITETTURA
Una architettura ed infrastruttura sicura delle applicazioni cloud sono imprescindibili per la protezione dei dati. La sicurezza va implementata già nella fase di design e sviluppo per essere efficace e quindi ri-verificata ad intervalli regolari man mano che l’architettura cresce, si adatta e matura. Questa efficacia è anche economica dato che integrare la sicurezza in un’architettura cloud troppo tardi è costoso ed impegnativo in termini di tempo. Ogni membro del nostro team ha una vasta esperienza sia nell’ingegneria del software che nella sicurezza cloud ed è proprio grazie a questa conoscenza che effettuiamo un security assessment di qualità e specifico rispetto le tecnologie utilizzate dal cliente.
Output
L’output fornito al cliente sarà un report dettagliato ed esplicativo delle conclusioni formulate dal team riassumendo i risultati dell’attività. Nello specifico il report è un documento che si divide in 3 aree tematiche:
Breve riassunto non tecnico dell’attività svolta e dello stato della sicurezza in atto sull’infrastruttura cloud. Documento destinato al Management.
Sezione dedicata al Security Manager: che entra nei dettagli dell’analisi. Si descrivono nel dettaglio le vulnerabilità riscontrate nell’infrastruttura cloud e l’impatto che queste possono avere sull’applicativo.
Sezione tecnica dedicata ai System Administrator contenente istruzioni precise su come risolvere le problematiche identificate e le vulnerabilità scoperte sul sistema cloud.
Chi ne può beneficiare?
Penetration Test e Vulnerability Assessment per il Cloud sono a disposizione di qualsiasi azienda e organizzazione che utilizzi provider di infrastrutture e piattaforme cloud pubbliche e i relativi servizi (basati su OpenStack, Azure, Google Cloud o AWS) per tenere sotto controllo i rischi associati e seguire le best practice di settore, per esempio quelli suggeriti dalla Cloud Security Alliance.
