AWS, Google Cloud e Azure: confronto tra le funzionalità di sicurezza
I CISO che cercano di determinare quale dei tre principali fornitori di servizi cloud (CSP) offre la migliore esigenza di sicurezza affrontano la questione facendosi essenzialmente due domande: quale fornitore protegge meglio la propria infrastruttura e quale fa il lavoro migliore aiutandovi a proteggere i vostri dati e le vostre applicazioni?
La sicurezza nel cloud pubblico si basa sul modello di responsabilità condivisa, ovvero l’idea che è possibile creare una linea netta che separa il ruolo del fornitore di servizi cloud (protezione della piattaforma) dal ruolo del cliente (protezione delle proprie risorse nel cloud ). In teoria questo modello funziona bene, ma in pratica il modello di responsabilità condivisa può essere complicato quando i CISO hanno a che fare con un fornitore di cloud, ma esponenzialmente ben più difficile in un mondo multi-cloud.
Come afferma il veterano esperto di sicurezza Andy Ellis, “è difficile per le organizzazioni analizzare le interconnessioni tra la piattaforma cloud e le applicazioni in esecuzione su di essa. La realtà è che il modo in cui un cliente configura un servizio cloud è fondamentale per la sicurezza delle applicazioni. L’elenco dei modi in cui un cliente può farsi male da solo è straordinariamente ampio”.
Tuttavia, quel solido muro che separa la responsabilità del CSP e il ruolo del cliente sta cominciando a sgretolarsi. Per differenziarsi, i fornitori di servizi cloud stanno riconoscendo le carenze nel modello di responsabilità condivisa e stanno cercando di sviluppare più di una relazione di partnership con i clienti, afferma Melinda Marks, analista senior presso Enterprise Strategy Group (ESG). Quindi, come può un CISO determinare in che modo i tre principali fornitori di servizi cloud (Amazon AWS, Microsoft Azure e Google Cloud) differiscono nel modo in cui affrontano questi problemi e forniscono una piattaforma cloud sicura e resiliente?
Prima di approfondire le specifiche di ciascun fornitore, ecco tre punti di partenza fondamentali secondo Richard Mogull, analista e CEO di Securosis.
- Tutti i “Big 3” svolgono un ottimo lavoro nel proteggere la sicurezza fisica dei loro data center, difendendosi dagli attacchi interni e proteggendo il livello di virtualizzazione su cui girano le applicazioni e le piattaforme di sviluppo.
- Il cloud è essenzialmente un nuovo tipo di data center e ogni CSP è fondamentalmente diverso a livello tecnico. I dettagli di implementazione effettivi sono infatti diversi per ciascuno di questi fornitori. La cosa migliore che le organizzazioni possono fare è investire per formare i dipendenti in modo che acquisiscano esperienza su come operare in questi ambienti cloud.
- Al di là dei dadi specifici della piattaforma di ciascun fornitore, Mogull sostiene che la quota di mercato è correlata all’avere il set più ampio di strumenti di terze parti, la base di conoscenze più profonda e la comunità più ampia. AWS ha una quota di mercato del 33%, Azure è il secondo con il 21% e Google è staccato piuttosto nettamente con solo l’8%, secondo un’analisi sulle entrate dei servizi cloud del primo trimestre 2022 condotta dalla società di analisi Canalys.
Google Cloud: scambiare la responsabilità condivisa con il destino condiviso
Per superare il modello di responsabilità condivisa, Google ha coniato un nuovo termine: destino condiviso. Secondo il CISO di Google Phil Venables, “il modello di responsabilità condivisa ha creato incertezza su chi gestisce determinati aspetti del rilevamento delle minacce, delle migliori pratiche di configurazione e degli avvisi per violazioni della sicurezza e attività anomale”. Il destino condiviso rappresenta “il prossimo passo evolutivo per creare una partnership più stretta tra i fornitori di servizi cloud e i loro clienti, in modo che tutti possano affrontare meglio le sfide di sicurezza attuali e crescenti pur mantenendo la promessa della trasformazione digitale”.
Le funzionalità di questo destino condiviso includono configurazioni predefinite progettate per garantire le basi della sicurezza, progetti per aiutare i clienti a configurare più facilmente prodotti e servizi e proteggere le gerarchie delle policy. Inoltre, Google ha un programma che mette in contatto i clienti cloud con assicuratori che offrono assicurazioni specializzate per i carichi di lavoro Google Cloud, fornendo un componente unico di gestione del rischio. Quando si confrontano i Big 3, Google si trova in una posizione interessante. Mogull sottolinea che Google Cloud è “costruito sull’ingegneria e sulle operazioni globali a lungo termine di Google, che sono in effetti qualcosa di impressionante”.
Tuttavia, la quota di mercato dell’8% di Google è un problema perché ci sono meno esperti di sicurezza con una profonda esperienza di Google Cloud, il che si traduce in una comunità meno solida e in meno strumenti. Nel complesso, sempre secondo Mogull, Google Cloud “non è maturo come AWS” e non ha la stessa ampiezza di funzionalità di sicurezza. Google sta affrontando questo problema con il recente annuncio di quella che chiama “sicurezza invisibile”. L’idea è che Google continuerà ad espandere le sue offerte di sicurezza cloud-native in modo che le organizzazioni possano ridurre la loro dipendenza da strumenti di terze parti. Un esempio di ciò è Cloud IDS, un sistema di rilevamento delle intrusioni gestito che le aziende possono implementare in pochi clic per proteggersi da malware, spyware, attacchi di comando e controllo e altre minacce basate sulla rete.
Microsoft Azure affronta la sicurezza multi-cloud
Microsoft ha affrontato la sfida della protezione degli ambienti multi-cloud con il rilascio di Microsoft Defender for Cloud, che fornisce la gestione della postura di sicurezza nel cloud (CSPM) e la protezione del carico di lavoro nel cloud (CWP) in Azure, AWS e Google Cloud. L’obiettivo è individuare i punti deboli nelle configurazioni cloud, contribuire a rafforzare la posizione di sicurezza generale e proteggere i carichi di lavoro dalle minacce in evoluzione negli ambienti multi-cloud e ibridi. Microsoft Defender for Cloud copre macchine virtuali, container, database, storage e servizi applicativi.
Tuttavia, il modello di responsabilità condivisa rimane in vigore nel cloud di Azure. Le organizzazioni sono infatti responsabili della protezione della sicurezza dei propri dati e identità, delle risorse locali, degli endpoint, degli account e della gestione degli accessi. Mogull afferma che Azure è solo un po’ “più approssimativo in termini di maturità” rispetto ad AWS, in particolare nelle aree di coerenza, documentazione e nel fatto che molti servizi utilizzano per impostazione predefinita configurazioni meno sicure. Azure ha però anche alcuni vantaggi. Azure Active Directory può essere collegato ad Active Directory per fornire un’unica fonte attendibile per la gestione delle autorizzazioni e dei permessi, il che significa che tutto può essere gestito da un’unica directory. La gestione dell’identità e dell’accesso di Azure è molto gerarchica e più facile da gestire rispetto ad AWS.
In termini di slancio del mercato, Mogull afferma che “Microsoft sta andando forte” perché sa come sfruttare le relazioni esistenti con i suoi clienti aziendali. Tuttavia, avverte che le aziende dovrebbero considerare che la sicurezza non è incorporata nel DNA di Microsoft come lo è presso i fornitori di soluzioni di sicurezza pure.
Amazon Web Services (AWS) offre un ampio set di strumenti di sicurezza
In quanto fornitore dominante del mercato, AWS ha un vantaggio in termini di conoscenza e strumenti. “È più facile ottenere risposte, trovare aiuto e strumenti supportati”, afferma Mogull. AWS ha un enorme mercato di fornitori di terze parti e offre un’ampia varietà di offerte aggiuntive, oltre a servizi di consulenza, formazione e certificazione. A tal proposito Marks cita Inspector, un servizio che scansiona continuamente le istanze Amazon EC2 e le immagini dei container alla ricerca di vulnerabilità software ed esposizioni di rete non intenzionali.
Amazon GuardDuty è invece un servizio di rilevamento delle minacce che monitora continuamente account e carichi di lavoro AWS per attività dannose e fornisce risultati dettagliati sulla sicurezza. Questi servizi aggiuntivi e altri rientrano nell’ambito di AWS Security Hub, che raccoglie i dati di sicurezza dai servizi AWS e dai partner di terze parti e fornisce una visione consolidata dello stato di sicurezza di un cliente.
“Due delle migliori funzionalità di sicurezza di AWS sono l’eccellente implementazione di gruppi di sicurezza (firewall) e IAM granulare”. Tuttavia, la sicurezza di AWS si basa sull’isolamento reciproco dei servizi, a meno che l’accesso non sia esplicitamente abilitato. Funziona bene dal punto di vista della sicurezza, ma il compromesso è che rende la gestione su scala enterprise più difficile di quanto dovrebbe essere e rende più complicata la gestione di IAM su larga scala, conclude Mogull. “Nonostante queste limitazioni, AWS rappresenta solitamente il punto di partenza migliore ed è dove si verificano meno problemi di sicurezza”.