I cloud service provider stanno cercando di invogliare le industrie a spostare più funzioni aziendali essenziali sulle loro piattaforme cloud per una maggiore sicurezza e crescita e il settore dei servizi finanziari sta abbracciando sempre di più questi servizi cloud.
Tuttavia, ci sono crescenti preoccupazioni perché data l’enorme varietà di tecnologie, architetture e approcci all’implementazione e alla gestione della tecnologia nel panorama del cloud, la visibilità su tutti i fronti è un problema sempre più comune. I flussi di dati sono incerti e gli impatti normativi non sono chiari. Inoltre, i leader della sicurezza devono garantire che l’adozione di qualsiasi nuovo approccio non introduca nuovi rischi e minacce a dati e sistemi essenziali.
Ecco quali sono le cinque aree chiave che, secondo Check Point Software Technologies sono molto rilevanti per la maggior parte delle aziende di servizi finanziari:
- Implementazioni multi-cloud:
La decisione di lavorare con una “soluzione cloud” raramente coinvolge solo un singolo fornitore o applicazione. Passare al cloud significa tipicamente integrare i sistemi legacy in sistemi ospitati nel cloud, a volte in più ambienti, il tutto mentre si proteggono i dati e si fornisce sicurezza ai componenti rivolti al pubblico.
Oggi, gli ambienti misti sono diventati comuni, rendendo meno valide le misure di sicurezza tradizionali per le implementazioni in cloud private, pubbliche e ibride. Per esempio, molti sistemi assumono approcci iper-ibridi che coinvolgono architetture creative per massimizzare la riservatezza e la disponibilità. I sistemi rivolti al pubblico sono collocati su ambienti SaaS attraverso più fornitori pubblici per la ridondanza con le loro funzioni backend (core) ospitate in data center privati.
Inoltre, molte aziende stanno utilizzando strumenti e capacità con diversi modelli di distribuzione (ad esempio, provider IaaS e PaaS), con il risultato di ambienti cloud misti nelle fasi di sviluppo o di ciclo di vita amministrativo di un sistema. Il risultato è che pochi sistemi risiedono su una sola piattaforma in un singolo data center – una nuova realtà che la sicurezza, la conformità e la gestione dei rischi devono affrontare.
La triade tradizionale della sicurezza basata su riservatezza, integrità e disponibilità è significativamente più complessa quando si deve gestire un’architettura multi-cloud. Per esempio, quando si tratta di protezione dei dati, potrebbe essere necessario conformarsi a varie normative specifiche del paese se il sistema si trova in più sedi fisiche. Anche la disponibilità in tempo reale dei servizi in un ambiente multi-cloud può essere difficile. Infine, garantire l’integrità dei vostri sistemi con più fornitori può richiedere una riorganizzazione per affrontare le limitazioni tecniche sottostanti.
Un’architettura complessa del cloud non nega le misure di sicurezza tradizionali, come la crittografia, la gestione delle identità e degli accessi, il backup e il monitoraggio. Ma spesso complica le mitigazioni come l’autenticazione single sign-on e i controlli di sicurezza fisica. Inoltre, i confini del sistema possono essere difficili da tracciare, rendendo la comprensione del flusso di dati ancora più importante quando si tratta di conformità normativa. Infine, la gestione del rischio, che è la base per la maggior parte delle valutazioni di conformità, deve essere in grado di affrontare complessi ambienti multi-cloud.
- Conformità:
I regolamenti definiscono l’ambiente di lavoro di un’organizzazione di servizi finanziari, e l’adozione di successo delle soluzioni cloud deve essere in grado di soddisfare i requisiti di conformità in evoluzione. Molti fornitori di cloud sono ben consapevoli di questo e forniscono dashboard e reportistica per aiutare le organizzazioni ad aderire ai vari controlli di conformità. Tuttavia, come molte organizzazioni hanno scoperto, le funzioni di conformità di un fornitore di cloud non garantiscono la conformità. Questa disconnessione è spesso il risultato di una competizione tra il fornitore di cloud (che cerca di fornire una piattaforma coerente per più clienti) e ogni organizzazione (che cerca di utilizzare il cloud entro i limiti del proprio programma di conformità).
Le aziende finanziarie hanno probabilmente già familiarità con varie normative, come AICPA-SOC2, Payment Card Industry (PCI-DSS), GDPR dell’UE e CCPA della California. Tutte queste richiedono una conformità verificata con controlli tecnici che regolano, per esempio, l’elaborazione dei dati, la sicurezza e la gestione dei fornitori. È importante che il fornitore di cloud scelto per monitorare l’ambiente garantisca che la l’infrastruttura cloud e le applicazioni aderiscano alla versione più recente di un requisito di conformità; è ancora meglio se è possibile personalizzare i set di regole e le policy.
- DevSecOps:
Insieme all’accettazione dei servizi cloud da parte del settore finanziario, c’è stato anche un aumento nell’uso della metodologia DevOps, un mezzo per migliorare la velocità di rilascio e aggiornamento delle applicazioni.
DevSecOps introduce l’integrazione della sicurezza nel processo di “pipeline” formato dalla catena costruire >testare> rilasciare> distribuire> per mettere in funzione e monitorare il codice e l’infrastruttura in modo più rapido. Le fasi della pipeline possono migliorare in modo misurabile la velocità, così come l’efficienza e la conformità se fatte bene.
Per implementare DevSecOps serve tempo e bisogna esaminare i processi per lo sviluppo delle applicazioni e gli aggiornamenti e i rilasci dell’infrastruttura. Per la codifica, il tradizionale ciclo di vita dello sviluppo dovrebbe essere spostato verso sprint più brevi con una maggiore enfasi sulla costruzione dei requisiti di sicurezza nella fase dei requisiti. Per l’infrastruttura, automatizzate il processo di compilazione e rilascio, compresi gli aggiornamenti delle patch e i test di sicurezza.
Spostare il controllo della qualità e i test di vulnerabilità all’inizio del ciclo di rilascio. Questo aiuterà a ridurre le istanze di rilasci falliti a causa di modifiche inaspettate alle librerie integrate, alle patch o agli aggiornamenti.
Assicurarsi che i requisiti di conformità siano incorporati nei requisiti per lo sviluppo e l’automazione dell’infrastruttura, quando possibile. Questo fornirà una migliore garanzia che gli aggiornamenti non causino la caduta di un sistema dalla conformità.
Praticare e migliorare continuamente il processo di pipeline per integrare meglio l’approccio DevSecOps nella vostra cultura aziendale e migliorare l’efficacia delle risorse e la resilienza del sistema.
Mentre il valore dell’approccio DevOps è attraente per la sua alta velocità e l’automazione, ci deve essere grande attenzione nella sua progettazione e ingegneria. Una pipeline che può applicare una modifica alla codebase e spostarla in produzione con un solo clic presuppone che l’automazione abbia controllato correttamente il codice per le vulnerabilità e assicurato che il codice non usi o distribuisca caratteristiche e funzioni non sicure; presuppone anche che l’integrazione con altro codice non rompa il sistema attraverso qualche incoerenza precedentemente non riconosciuta. È necessario un processo di verifica che “rallenti” la pipeline abbastanza da catturare problemi, minacce ed errori e confermare che il sistema rimane funzionale, accettabile e conforme.
- Controllo e visibilità:
Mentre la migrazione al cloud è un bene per il business, l’impatto operativo dell’utilizzo delle risorse cloud è una sfida. I fornitori di cloud hanno una vasta gamma di sofisticazione tecnica e di strumenti associati per l’amministrazione e la gestione; tuttavia, l’impatto operativo di strumenti e funzionalità dissimili può rendere la gestione della conformità una vera sfida.
I team SecOps di oggi hanno bisogno di strumenti per affrontare questa nuova complessità: amministrare gli ambienti cloud, ridurre le sfide tecniche e di sicurezza e soddisfare i requisiti di conformità.
Prodotti come CloudGuard forniscono un mezzo per affrontare la sicurezza, la conformità e la visibilità per più ambienti cloud, aiutando a proteggere i carichi di lavoro tra i siti e a mantenere una postura sicura nell’intera infrastruttura. Inoltre, CloudGuard fornisce funzioni per assistere iniziative come DevSecOps e l’automazione, che facilitano le operazioni di produzione efficienti. Con CloudGuard, gli ingegneri della sicurezza e il personale addetto alla conformità possono eseguire attività di governance su risorse e servizi multi-cloud, compresa la visualizzazione e la valutazione della vostra posizione di sicurezza, il rilevamento di configurazioni errate e l’applicazione delle best practice di sicurezza e dei framework di conformità.
Inoltre, il reporting di conformità su specifici controlli tecnici è reso più facile tramite strumenti che sono multi-cloud-aware e possono assistere con i requisiti del programma di conformità interno tracciando specifiche configurazioni di sicurezza. Utilizzando un prodotto di sicurezza come CloudGuard, un’azienda di servizi finanziari può migliorare la visibilità del proprio investimento nel cloud e proteggersi dalle minacce alla sicurezza del cloud.
- Sicurezza delle applicazioni
Molte organizzazioni di servizi finanziari utilizzano moderne applicazioni basate sul web che compilano vari tipi di dati, rendendole un obiettivo primario per gli hacker. Inoltre, le applicazioni basate sul web introducono una serie completamente nuova di considerazioni sulla sicurezza, compreso l’uso di più API per fornire funzioni importanti come le comunicazioni, la crittografia e la gestione della crittografia e l’autenticazione forte.
In un’infrastruttura di rete tradizionale, la sicurezza delle applicazioni dipendeva in gran parte dalla rete su cui venivano eseguite, con il controllo degli accessi, i backup dei dati e i rollout controllati all’interno dell’azienda. Ma per le aziende orientate al cloud, il modello deve cambiare. Le reti non vengono più eseguite su un singolo sistema operativo con punti statici. I meccanismi del cloud come il bilanciamento del carico virtuale, i firewall virtuali e una serie di altri dispositivi concettuali presentano una complessità architettonica e maggiori rischi per la sicurezza delle applicazioni.
Le organizzazioni devono quindi abbracciare un nuovo tipo di sviluppo delle applicazioni che costruisce la consapevolezza della sicurezza direttamente nelle applicazioni e fornisce un accesso granulare all’applicazione mentre la protegge contestualmente dagli attacchi. Sfruttando l’AI, CloudGuard può mantenere la sicurezza delle applicazioni anche con processi di distribuzione dinamici.
