.
Il Cloud Computing ha indubbi vantaggi per le infrastrutture IT di qualsiasi livello. Tuttavia, con l’aumento della complessità strutturale aumentano anche i rischi, anche per il maggior numero di protagonisti coinvolti. Effettuare penetration test e vulnerability assessment su cloud permette alle aziende di controllare e mettere in sicurezza tutti i tipi di servizio distribuito, sia su public cloud, sia su servizi privati.
Il cloud computing, lo spostamento o la creazione di applicazioni o intere porzioni del proprio sistema informativo in ambienti remoti forniti da provider esterni, è una delle tendenze tecnologiche degli ultimi anni. I servizi cloud presentano vantaggi di flessibilità, scalabilità, economia di scala e semplicità di gestione, ma richiedono la dovuta accortezza.
Un contesto di infrastruttura distribuita infatti, aggiunge elementi di complessità ulteriori e introduce nuovi attori nella catena di controllo.
Oltre alle vulnerabilità interne, che possono essere controllate con opportune analisi, il Cloud in generale offre ai cybercriminali ulteriori punti di ingresso.
Un attacco informatico può avvenire dall’esterno o dall’interno del cloud; la minaccia può venire da outsider, hacker o cybercriminali, oppure insider, per esempio dipendenti o consulenti “infedeli” collocati nella struttura del provider, così come da coinquilini del medesimo cloud. Quest’ultimo rischio, chiamato tenant threat è particolarmente insidioso, perché dipende da fattori che non possono essere controllati dall’azienda. Per questo motivo effettuare un Vulnerability Assessment e un Penetration Test Cloud è indispensabile, anche per fronteggiare eventuali minacce indipendenti dalle buone pratiche messe in campo.
I rischi di sicurezza legati al Cloud valgono per qualsiasi tipo di struttura come Software as a service (SaaS), Platform as a Service (PaaS) o Infrastructure as a Service (IaaS).
Come funzionano Penetration Test e Vulnerability Assessment per il Cloud
CryptoNet Labs effettua il proprio esaustivo pacchetto di Vulnerability Assessment e Penetration Testi dedicati su tutte le componenti della struttura cloud: front-end, servizi REST, servizi accessori, network e rete di management, analisi di specifiche istanze e template fino, e questo è uno dei punti fondamentali, alla revisione delle configurazioni dei singoli tenant. I nostri specialisti, quindi, rivolgono la propria attenzione al “contenitore” Cloud, per verificare che le impostazioni a livello di monitoring, logging, IAM, network o altro ancora siano in linea con le best practices di hardening.
Questo Cloud Assessment completo permette di identificare tutte le potenziali minacce, sia derivanti da rischi di sicurezza interni, come scarsa applicazione delle buone pratiche, sia derivanti dal debolezze nel servizio di Cloud, intrinseche o causate, per esempio, da altre realtà che condividono lo stesso servizio.
Come avvengono Penetration Test e Vulnerability Assessment per il Cloud
Come per ogni altro servizio di analisi proposto da CryptoNet Labs, gli esperti concordano con il cliente i test di sicurezza da effettuare, sia sulla base delle esigenze specifiche dell’azienda, sia sulla base di una analisi preliminare.
I nostri servizi di analisi e verifica coprono tutte le potenziali falle di debolezza dei servizi in Cloud.
In particolare, si può agire sulla base di diversi parametri, per simulare diverse situazioni di potenziale pericolo. Ecco i principali:
- provenienza degli attacchi: è possibile emulare e verificare outsider, insider e tenant sospetti;
- agire in base a informazioni o risorse messe a disposizione. A partire dalla base black-box, cioè senza conoscenze pregresse sull’infrastruttura da attaccare, oppure gray-box, cioè con informazioni parziali come le credenziali di tenant, per finire con white-box, cioè con conoscenza a priori dettagli di implementazione, schemi architetturali o altro.
Attraverso questo cloud security assessment è possibile identificare i potenziali punti di attacco e le debolezze dell’infrastruttura. Dopo questa prima fase di analisi gli esperti di CryptoNet Labs suggeriranno al cliente le strategie di remediation necessarie per la messa in sicurezza del Cloud aziendale e per la prevenzione di eventuali ulteriori debolezze future.
Chi ne può beneficiare
Penetration Test e Vulnerability Assessment per il Cloud sono a disposizione di qualsiasi azienda e organizzazione utilizzi provider di infrastrutture e piattaforme cloud pubbliche, e i relativi servizi (basati su OpenStack, Azure, Google Cloud o AWS) per tenere sotto controllo i rischi associati e seguire le best practice di settore, per esempio quelli suggeriti dalla Cloud Security Alliance.