Il cloud native è una delle principali tendenze, nel settore dello sviluppo, ma sono pochi a porsi il problema della sicurezza delle applicazioni che lo sfruttano. Da una parte c’è la convinzione che un’architettura così strutturata sia difficile da attaccare, dall’altra esiste la diffusa percezione che le soluzioni Saas (Software as a Service) integrino la sicurezza a monte, e cioè nel cloud. Si tratta, nel migliore dei casi, di ingenuità che possono portare a grossi problemi nella sicurezza delle applicazioni cloud native. Per capire dove sta l’inghippo, e scoprire 5 regole da non dimenticare per garantire la sicurezza delle app, occorre prima capire cos’è e come funziona il modello cloud native.
Indice degli argomenti
Cos’è un’applicazione cloud native
In breve, per applicazione cloud native si intende un software as a service offerto come web-app, di solito con una formula gratuita o legata a un abbonamento. Come il nome lascia presagire, infatti, l’applicazione è integrata in un vero e proprio tessuto cloud, dal quale si espone più come servizio che come software. Questo concetto sottende all’utilizzo combinato di diverse soluzioni architetturali, come il computational grid, la scalabilità dell’infrastruttura e, soprattutto, i microservizi.
L’applicazione, quindi, si appoggia a una piattaforma cloud, ed è a sua volta composta da microservizi integrati tra loro. In questo modo, si garantisce la possibilità di un refactoring continuo, veloce ed efficiente, tratto distintivo di un’architettura moderna e flessibile.
Altra caratteristica specifica del cloud native, e che ha molto a che fare con la sicurezza delle applicazioni, è ovviamente l’utilizzo di container. Questi, infatti, permettono di inserire app di questo tipo in qualsiasi piattaforma cloud, con un deployment semplice e platform-agnostic.
Tutti i presupposti per la massima sicurezza di un’app, quindi. Eppure, anche in questo caso, i problemi non mancano: ecco 5 regole d’oro da non dimenticare per garantire la sicurezza delle applicazioni cloud native.
Regola 1: security by design
Mai come nel caso delle applicazioni native cloud diventa essenziale garantire la sicurezza del codice. Stando a una recente ricerca, l’89% dei CISO sostiene che microservizi, Kubernetes e container creano punti ciechi nella sicurezza delle applicazioni. Il processo di contenimento, oltre agli innumerevoli vantaggi, porta infatti a “sigillare” le vulnerabilità e renderle meno visibili, proprio perché si tende a installare il contenitore così com’è.
Per questo motivo è necessario un approccio allo sviluppo secondo un modello Devsecops, che inserisca la sicurezza nel processo produttivo del software. Sinthera, da lungo tempo, ha investito sia nella filosofia DevSecOps sia nel vulnerability assessment delle applicazioni, proprio per lavorare su soluzioni software stabili e affidabili, indipendentemente dai contesti in cui vengono installate. Una concezione di security by design evoluta, che non lascia nulla al caso e che si sposa alla perfezione con lo sviluppo a container.
Regola 2: sicurezza della piattaforma
Se da un lato occorre garantire la sicurezza delle applicazioni, e quindi occuparsi di container e microservizi, dall’altra è necessario prendersi cura delle piattaforme dove saranno installati. E questo si traduce nell’assicurarsi che l’infrastruttura cloud sia dotata dei migliori standard di sicurezza.
Se la sicurezza degli applicativi dipende da chi li sviluppa, non altrettanto succede con le piattaforme cloud, di solito gestite da realtà esterne. Per questo motivo, innanzitutto, è necessario affidarsi a provider cloud di fama consolidata, che possano vantare uno storico importante di casi di successo e che offrano la piena trasparenza su tecnologie e infrastrutture offerte.
A valutazioni di questo tipo è necessario aggiungere le poche accortezze tecniche di competenza di chi utilizza la piattaforma cloud. Ci riferiamo, in particolare, alla “misconfiguration”, cioè l’errata configurazione dell’infrastruttura che può portare a conseguenze devastanti sotto il profilo della sicurezza. Solo un’adeguata documentazione e l’eventuale supporto da parte di system integrator qualificati può scongiurare eventualità di questo tipo che sono alla base di alcuni dei più gravi attacchi, in particolare i data breach. L’approccio software-defined di Sinthera, e la sua vasta esperienza come system integrator, sono alla base proprio di una strategia votata alla sicurezza totale, sia lato container sia lato infrastruttura cloud.
Regola 3: controllo degli accessi
L’estensione e il frastagliamento del perimetro digitale rende molto più complessa la gestione della sicurezza delle applicazioni. Che passa, come detto, per l’assessment e la mitigazione delle vulnerabilità, e per una corretta gestione delle piattaforme, ma oggi più che mai, specie con la diffusione dello smart working, richiede una verifica continua degli accessi. Allo stato attuale, la sicurezza delle applicazioni si gioca soprattutto sul piano delle tecnologie di autenticazione alle infrastrutture a cui si rifanno. Per questo è necessario verificare le tecnologie utilizzate e potenziarle, o integrarle, con efficaci soluzioni di controllo degli accessi. La divisione Cyber Security di Sinthera offre tutta la professionalità e le risorse necessarie per valutare la sicurezza delle tecnologie esistenti e, se necessario, adeguarle ai migliori standard, anche tramite la progettazione di sistemi di autenticazione ex novo.
Regola 4: mettere in sicurezza le API
Le Application Programming Interface, e relative chiamate, sono quell’intricato sottobosco di connessione che consente alle applicazioni cloud native di svolgere i propri compiti senza stravolgere l’architettura designata. La gestione delle API costituisce, per questo, buona parte del lavoro di sviluppo e implementazione, ed è per questo che la sicurezza delle applicazioni cloud native passa, obbligatoriamente, di qui. Il vulnerability assessment di Api è un’attività complessa, che richiede competenza e organizzazione. Occorre, dapprima, raccogliere tutte le chiamate all’Api, comprenderne il funzionamento e le connessioni, e verificare che ciascuna rispetti in modo rigoroso gli obiettivi assegnati. Solo a questo punto, si procede a un audit di sicurezza, che va fatto sia a livello progettuale, sia a livello tecnico, con l’affiacamento di un partner affidabile, come Sinthera.
Regola 5: monitoraggio continuo
La sicurezza delle applicazioni, e la sicurezza in genere, è un processo: e va gestito come tale. Significa che alla sicurezza non vi è mai fine e va integrata in modo attivo e continuativo sia nello sviluppo sia nel funzionamento delle applicazioni cloud native. L’utilizzo del cloud, del resto, si sposa alla perfezione con questo concetto, poiché offre possibilità di monitoraggio continuo. A seconda della piattaforma scelta, può variare l’offerta di parametri monitorabili, ma tra quelli essenziali ve ne sono sempre di riconducibili alla verifica della sicurezza in tempo reale. E in ogni caso, grazie all’estensibilità dei moderni sistemi cloud, e all’architettura a microservizi, è possibile integrare opzioni aggiuntive di monitoraggio. Sinthera, grazie alla sua offerta di framework di controllo e sicurezza, è in prima linea negli audit di sicurezza in ogni fase di sviluppo, deployment e attività delle applicazioni cloud-native, in modo da garantire una protezione continua e totale a progetti di qualsiasi portata.
