L'Infrastruttura-as-a-service (IaaS) fornisce risorse informatiche virtualizzate, networking virtuale, storage virtuale e macchine virtuali accessibili via internet. I servizi di infrastruttura più diffusi includono Elastic Compute (EC2) di Amazon, Google Compute Engine e Microsoft Azure.
L'utilizzo di IaaS è in aumento grazie al basso costo iniziale. Le organizzazioni che utilizzano i servizi di infrastruttura non devono acquistare o mantenere l'hardware. Questo rende l'IaaS interessante per le organizzazioni di tutte le dimensioni.
L'IaaS è anche più scalabile e flessibile dell'hardware. L'infrastruttura cloud può essere ampliata su richiesta e ridimensionata quando non è più necessaria. Questo livello di scalabilità non è possibile con l'hardware on-premise.
Tuttavia, l'IaaS può essere un obiettivo per i cyberattacchi che tentano di dirottare le risorse IaaS per lanciare attacchi denial-of-service, eseguire botnet o estrarre criptovalute. Le risorse di storage e i database sono un obiettivo frequente per l'esfiltrazione dei dati in molte violazioni di dati. Inoltre, gli aggressori che si infiltrano con successo nei servizi infrastrutturali di un'organizzazione possono poi sfruttare questi account per accedere ad altre parti dell'architettura aziendale.
![]()
Come proteggere l'IaaS
I clienti IaaS sono responsabili della sicurezza dei loro dati, dell'accesso degli utenti, delle applicazioni, dei sistemi operativi e del traffico di rete virtuale. Le organizzazioni spesso commettono i seguenti errori quando utilizzano l'IaaS:
Dati non criptati: Negli ambienti ibridi e multi-cloud, i dati si spostano tra risorse on-premises e cloud-based, e tra diverse applicazioni cloud. La crittografia è essenziale per proteggere i dati dal furto o dall'accesso non autorizzato. Un'organizzazione può crittografare i dati on-premises, prima che vengano trasferiti nel cloud, o nel cloud. Può utilizzare le proprie chiavi di crittografia o la crittografia del fornitore IaaS. Il reparto IT può anche voler criptare i dati in transito. Molte normative governative e di settore richiedono la crittografia dei dati sensibili in ogni momento, sia a riposo che in movimento.
Errori di configurazione: Una causa comune degli incidenti di sicurezza del cloud è l'errata configurazione delle risorse del cloud. Il fornitore di cloud può offrire strumenti per proteggere le proprie risorse, ma il professionista IT è responsabile dell'uso corretto degli strumenti. Esempi di errori comuni sono:
- Porte in entrata o in uscita configurate in modo improprio
- L'autenticazione a più fattori non è stata attivata
- La crittografia dei dati è disattivata
- Accesso all'archivio aperto a Internet
Servizi ombra: Gli account cloud shadow o rogue sono più comuni nelle soluzioni software-as-a-service (SaaS), ma possono verificarsi anche negli IaaS. Quando i dipendenti hanno bisogno di fornire un'applicazione o una risorsa, possono utilizzare un provider cloud senza informare il reparto IT. Per proteggere i dati in questi servizi, l'IT deve prima identificare i servizi e gli utenti attraverso un audit. Per farlo, l'IT può utilizzare un cloud access security broker (CASB).
Servizi ombra: Gli account cloud shadow o rogue sono più comuni nelle soluzioni software-as-a-service (SaaS), ma possono verificarsi anche negli IaaS. Quando i dipendenti hanno bisogno di fornire un'applicazione o una risorsa, possono utilizzare un provider cloud senza informare il reparto IT. Per proteggere i dati in questi servizi, l'IT deve prima identificare i servizi e gli utenti attraverso un audit. Per farlo, l'IT può utilizzare un cloud access security broker (CASB).
![]()
Soluzioni per la sicurezza IaaS
Molte organizzazioni utilizzano ambienti multi-cloud, con servizi IaaS, PaaS e SaaS di fornitori diversi. Gli ambienti multi-cloud stanno diventando sempre più comuni, ma possono anche causare problemi di sicurezza. Le soluzioni di sicurezza aziendali tradizionali non sono costruite per i servizi cloud, che si trovano al di fuori del firewall dell'organizzazione. I servizi di infrastruttura virtuale (come le macchine virtuali, lo storage virtuale e le reti virtuali) richiedono soluzioni di sicurezza specificamente progettate per un ambiente cloud.
Quattro soluzioni importanti per la sicurezza IaaS sono: i broker di sicurezza degli accessi al cloud, le piattaforme di protezione dei carichi di lavoro del cloud, le piattaforme di sicurezza della rete virtuale e la gestione della postura di sicurezza del cloud.
- Cloud access security broker (CASB), alias gateway di sicurezza del cloud (CSG): I CASB forniscono visibilità e controllo sulle risorse cloud, compreso il monitoraggio dell'attività degli utenti, il monitoraggio IaaS, il rilevamento di malware nel cloud, data loss prevention, e la crittografia. Possono integrarsi con i firewall e le API delle piattaforme cloud, oltre a monitorare l'IaaS per individuare eventuali configurazioni errate e dati non protetti nello storage cloud. I CASB forniscono auditing e monitoraggio delle impostazioni e delle configurazioni di sicurezza, delle autorizzazioni di accesso ai file e degli account compromessi. Un CASB può anche includere il monitoraggio del carico di lavoro e la sicurezza.
- Piattaforme di protezione dei carichi di lavoro nel cloud (CWPP): Le CWPP scoprono i carichi di lavoro e i container, applicano la protezione contro il malware e gestiscono le istanze dei carichi di lavoro e i container che, se non gestiti, possono fornire a un criminale informatico un percorso nell'ambiente IaaS.
- Piattaforme di sicurezza della rete virtuale (VNSP): Le soluzioni VNSP analizzano il traffico di rete che si muove sia in direzione nord-sud che est-ovest tra le istanze virtuali all'interno degli ambienti IaaS. Includono il rilevamento e la prevenzione delle intrusioni di rete per proteggere le risorse virtuali.
- Gestione della postura di sicurezza del cloud (CSPM): Un cloud security posture manager verifica gli ambienti cloud IaaS per i problemi di sicurezza e conformità, oltre a fornire una correzione manuale o automatica. Sempre più spesso, i CASB aggiungono funzionalità CSPM.
![]()
Considerazioni sul provider IaaS
I fornitori di IaaS sono responsabili dei controlli che proteggono i server e i dati sottostanti. I responsabili IT possono valutare i fornitori di IaaS in base alle seguenti caratteristiche:
- Autorizzazioni di accesso fisico: Un fornitore IaaS è responsabile dell'implementazione di controlli di accesso sicuri alle strutture fisiche, ai sistemi IT e ai servizi cloud.
- Audit di conformità: I responsabili IT possono richiedere prove di conformità (audit e certificazioni) alle normative pertinenti, come le leggi sulla sicurezza delle informazioni sanitarie o i requisiti di privacy per i dati finanziari dei consumatori.
- Strumenti di monitoraggio e registrazione: Un fornitore IaaS può offrire strumenti per il monitoraggio, la registrazione e la gestione delle risorse cloud.
- Specifiche hardware e manutenzione: L'hardware alla base dei servizi di infrastruttura cloud influisce sulle prestazioni di tali servizi. Un'organizzazione IT può richiedere le specifiche hardware del fornitore, in particolare i dispositivi di sicurezza come i firewall, il rilevamento delle intrusioni e il filtraggio dei contenuti.
Man mano che i data center si spostano nel cloud, i responsabili IT devono creare strategie di sicurezza IaaS e implementare tecnologie di sicurezza cloud per proteggere la loro infrastruttura essenziale. La sicurezza del cloud di Skyhigh Security consente alle organizzazioni di accelerare il loro business, offrendo loro una visibilità e un controllo totali sui loro dati nel cloud. Per saperne di più sulla tecnologia di sicurezza del cloud diSkyhigh Security .