Zpedia 

/ Cosa si intende per cloud enclaving?

Cosa si intende per cloud enclaving?

Il cloud enclaving è un metodo di segmentazione dei workload in un ambiente cloud che crea vere e proprie "enclavi". È volto a controllare l'accesso e a proteggere l'infrastruttura cloud, le app e i dati sensibili da malware che si propagano automaticamente, violazioni dei dati e altri attacchi informatici. Le enclavi cloud utilizzano un perimetro definito da software (SDP) per creare un'infrastruttura protetta in cui implementare il controllo degli accessi, la valutazione dell'attendibilità, la gestione dei certificati e altro. Il cloud enclaving è chiamato anche segmentazione dei workload sul cloud o microsegmentazione cloud.
Zero TrustSicurezza sul cloud
  1. Cloud tradizionale e cloud enclaving a confronto
  2. Vantaggi
  3. Zscaler e il cloud enclaving
  4. Risorse suggerite
  5. Argomenti correlati

Qual è la differenza tra il cloud enclaving e la sicurezza informatica tradizionale?

Il cloud enclaving è concepito per soddisfare le esigenze delle aziende digitali moderne in un modo semplicemente irrealizzabile con delle soluzioni di sicurezza tradizionali. Cerchiamo di capirne il motivo con un po' di contesto storico.

Anni fa, quando le applicazioni e i dati risiedevano nel data center on-premise di un'organizzazione e i dipendenti lavoravano in gran parte dagli stessi locali, la sicurezza di rete tradizionale basata sul perimetro offriva un livello di sicurezza adeguato. Oggi, la globalizzazione e il lavoro ibrido hanno favorito la diffusione del cloud computing, rendendo i modelli precedenti inefficaci.

Sul cloud, i diversi carichi di lavoro critici di una singola organizzazione possono risiedere su più provider di servizi cloud (ad esempio, Amazon Web Service [AWS] o Microsoft Azure) e gli utenti possono accedervi tramite Internet. In termini pratici, ciò significa che non esiste più un "perimetro della rete", e questo apre la strada a molti più attacchi. Il cloud enclaving risponde a questo rischio con policy di sicurezza su misura, che limitano il traffico da e verso carichi di lavoro specifici, e lo autorizzano solamente verso entità espressamente consentite.

Che cos'è un'enclave?

Un'enclave è una porzione di rete separata dal resto e disciplinata da policy di sicurezza granulari. Lo scopo di un'enclave sicura è quello di imporre l'accesso con privilegi minimi alle risorse critiche nell'ambito di una strategia di sicurezza di difesa avanzata.

Segmentazione della rete e cloud enclaving a confronto

La segmentazione della rete è più indicata per il traffico nord-sud (tra l'ambiente interno e le sedi esterne), mentre il cloud enclaving aggiunge un livello di protezione per il traffico est-ovest (da server a server, da app a server, da web a server e così via, all'interno dell'ambiente). Analizziamo entrambe le soluzioni nel dettaglio.

Segmentazione della rete

Rispetto a un modello basato sul perimetro, che protegge la rete solo dall'esterno, la segmentazione della rete è un approccio più articolato. In particolare, divide una rete in "sottoreti" e applica a ciascuna di esse protocolli di sicurezza e conformità. In genere, il traffico tra segmenti viene separato mediante una VLAN, prima di passare attraverso un firewall.

Purtroppo, poiché questo approccio si basa sugli indirizzi IP, è in grado di identificare solo il modo in cui una richiesta è arrivata (ad esempio, il suo indirizzo IP originario, la porta o il protocollo), non il contesto o l'identità dell'entità che l'ha effettuata. Le comunicazioni ritenute sicure vengono quindi consentite, anche se l'IT non sa esattamente cosa siano. Una volta all'interno di un segmento, l'entità viene considerata attendibile, anche se si tratta di un utente malintenzionato che cerca di spostarsi lateralmente all'interno dell'ambiente.

La segmentazione della rete crea una rete "piatta", e lascia scoperti percorsi non protetti che consentono agli aggressori di spostarsi lateralmente e compromettere i carichi di lavoro negli ambienti cloud e nei data center. Inoltre, i costi, la complessità e il tempo necessari per gestire la segmentazione della rete utilizzando firewall o macchine virtuali (VM) legacy, vanificano il vantaggio che ne deriverebbe in termini di sicurezza.

Creazioni di enclavi cloud

Il cloud enclaving, ovvero la microsegmentazione con base cloud, consente un controllo del traffico più granulare, riducendo al minimo la superficie di attacco di un'organizzazione e permettendo, rispetto alla segmentazione della rete, di ottenere una segmentazione più semplice e sicura a livello operativo. Questo è il risultato di un approccio che va oltre gli indirizzi IP, le porte e i protocolli e autentica le richieste in base a identità e contesto. Inoltre, offre una protezione granulare a livello dei singoli workload, per controllarne in modo più efficace le comunicazioni.

Il cloud enclaving non solo riduce al minimo le minacce interne, offrendo una protezione molto più vicina ai carichi di lavoro stessi, ma impedisce anche la diffusione di minacce provenienti dall'esterno in caso di violazione del perimetro.

Quali sono i vantaggi del cloud enclaving?

Proprio come la segmentazione della rete, il cloud enclaving esiste per rafforzare la sicurezza della rete e dei dati di fronte a un panorama di minacce informatiche in continua evoluzione. I criminali informatici sviluppano tecniche sempre più sofisticate per eludere le misure di sicurezza, e le organizzazioni di ogni regione e settore sono sotto assedio. Per rimanere al passo e difendersi, le organizzazioni stesse devono adattare loro stesse e la loro sicurezza.

Un approccio efficace di microsegmentazione con base cloud offre:

  • Sicurezza proattiva della rete e dell'IT: il cloud enclaving crea policy sensibili alle applicazioni che viaggiano con tutte le app e i servizi che possono potenzialmente contenere violazioni dei dati delle risorse interessate, e non con l'intero ambiente. Alcuni servizi di enclave sfruttano l'automazione per identificare tutte le comunicazioni, suggerire policy zero trust e applicare queste ultime in un solo clic.
  • Vulnerabilità ridotta: anziché controlli statici basati su indirizzi IP, porte e protocolli, il team di sicurezza può creare delle impronte digitali per ogni carico di lavoro e fornire una protezione uniforme, che si operi in un data center interno o sul cloud. La creazione di impronte digitali svincola la sicurezza dei carichi di lavoro dai costrutti degli indirizzi IP, e in questo modo è possibile evitare i problemi dei controlli basati sugli IP.
  • Valutazione continua del rischio: le enclavi cloud consentono di misurare automaticamente la superficie di attacco visibile per quantificare il rischio. I servizi di enclaving più efficaci verificano l'identità di un'entità ogni volta che effettua una richiesta; ciò consente di ridurre ulteriormente il rischio, rispondere agli obblighi di conformità alle normative e fornire informazioni per generare report sui rischi.
  • Gestione più semplice delle policy: poiché le policy delle enclave cloud si applicano ai carichi di lavoro e non agli indirizzi IP, alle porte, ai protocolli o all'hardware, rimangono inalterate, anche se l'infrastruttura cambia. Il team di sicurezza può quindi estendere il set di controlli ovunque e proteggere un segmento con poche policy basate sull'identità, invece che con centinaia di regole basate sull'indirizzo.

Il cloud enclaving è una delle procedure consigliate?

Il cloud enclaving risponde a numerosi casi d'uso della sicurezza sul cloud che gli approcci tradizionali non sono in grado di supportare. Mentre la segmentazione della rete si basa su controlli grossolani, che richiedono una gestione intensiva, la microsegmentazione applica controlli che seguono i singoli carichi di lavoro in tutto l'ambiente cloud. Nel nostro mondo all'insegna del lavoro ibrido, dei dati distribuiti e in cui si verificano attacchi sempre più audaci, il cloud enclaving è uno strumento essenziale per ottenere:

Visibilità su tutto l'ambiente

Le enclavi cloud offrono un contesto più ampio attorno al quale il team responsabile della sicurezza può creare policy basate su applicazione, ambiente, conformità e altro, concentrandosi sull'identità anziché solo sul punto di origine. In questo modo, il team è in grado di creare policy più granulari e rafforzare la sicurezza.

Protezione di provider e distribuzioni

Un approccio efficace alla microsegmentazione protegge i workload in modo coerente per tutti i vari provider di servizi cloud, offrendo all'azienda la libertà di creare ambienti ibridi e multicloud che si adattano al meglio al budget e alle esigenze di distribuzione. Questa maggiore flessibilità permette di adottare più facilmente container, servizi di serverless computing e altro.

Costi Capex e Opex ridotti

A lungo termine, il cloud enclaving consentirà di risparmiare manodopera e risorse. Rispetto ai firewall e ad altri tipi di hardware, eseguire le operazioni di implementazione, gestione e manutenzione della microsegmentazione con base cloud è molto meno costoso, impegnativo e dispendioso in termini di tempo.

Zscaler e il cloud enclaving

Zscaler Workload Communications è un nuovo modo per creare enclavi sicure sul cloud. Con un solo clic puoi rafforzare la sicurezza, consentendo a ZWS di rivelare il livello di rischio e applicare una protezione basata sull'identità ai workload, senza apportare modifiche alla rete.

Workload Communications offre una protezione completa grazie a policy che si adattano automaticamente ai cambiamenti negli ambienti, eliminando così la superficie di attacco della rete. Inoltre, Zscaler Workload Communications è una soluzione basata su API, e può quindi integrarsi con gli strumenti di sicurezza e con i processi di DevOps esistenti, con la possibilità di eseguire la segmentazione automatica in un solo clic.

Basandosi sull'approccio zero trust, Zscaler consente solo ai carichi di lavoro verificati di comunicare nell'ambiente cloud pubblico, privato o ibrido, mitigando così il rischio e offrendo il massimo livello di protezione dalle violazioni dei dati.

Workload Communications include:

Protezione basata sull'identità del software

Vai oltre gli indirizzi di rete e verifica la sicurezza dell'identità delle applicazioni e dei workload che comunicano su cloud pubblici o privati, cloud ibridi, data center on-premise o ambienti container.

Motore di automazione delle policy

Utilizza il machine learning per automatizzare l'intero ciclo di vita delle policy per la microsegmentazione e la protezione dei workload. Non è necessario creare policy manualmente durante la distribuzione o mentre sono in corso le operazioni: quando vengono aggiunte o modificate app, Workload Communications suggerirà policy nuove o aggiornate.

Visibilità e misurazione della superficie di attacco

Costruisci automaticamente una topologia delle applicazioni in tempo reale e una mappa delle dipendenze fino al livello del processo. La soluzione evidenzia quindi i percorsi necessari, li confronta con il totale dei percorsi di rete disponibili e suggerisce policy per ridurre al minimo la superficie di attacco e proteggere il necessario.

Guardalo in azione

Richiedi una dimostrazione per scoprire in prima persona il modo in cui Zscaler Workload Communications ti consente di creare enclavi cloud per potenziare la tua sicurezza.

Risorse suggerite

Differenza tra microsegmentazione e segmentazione di rete
Leggi il blog
Zero trust in un clic
Consulta la scheda tecnica
Guida di mercato di Gartner sullo ZTNA 2020
Leggi la guida
Guida per gli architetti di rete per lo ZTNA
Leggi il white paper
Implementare la segmentazione in fasi
Leggi il documento

01 / 03