Il cloud computing ha creato un cambiamento maggiore nel settore IT negli ultimi 20 anni rispetto a qualsiasi altro fattore. Con la tecnologia cloud, le aziende possono creare, distribuire e ridimensionare le proprie applicazioni più velocemente che mai. Tuttavia, man mano che il cloud computing diventa più diffuso, sono emerse nuove sfide per la sicurezza. Tra la complessità dell'infrastruttura cloud e l'espansione dei servizi basati su cloud, gli aggressori hanno accesso a una superficie di attacco più ampia rispetto a qualche anno fa.
Snyk ha recentemente condotto una ricerca per dare un'occhiata più da vicino all'impatto che la sicurezza del cloud ha sulle organizzazioni e sulle sfide teams faccia mentre cercano di proteggere l'infrastruttura cloud pur continuando a implementare su larga scala. I risultati di questa ricerca sono summarised nel 2022 Rapporto sullo stato del cloud di Snyk.
Il rapporto si basa su un sondaggio condotto da Propeller Insights, che chiede il contributo di oltre 400 professionisti e leader di ingegneria e sicurezza del cloud in vari tipi di organizzazioni e settori. Nel rapporto risultante, i ricercatori di sicurezza cloud di Snyk hanno combinato l'analisi dei dati del sondaggio con le osservazioni tratte dalla propria esperienza.
Quali sono le sfide poste dalla sicurezza del cloud?
Il rapporto discute i complessi rischi per la sicurezza derivanti dalla rapida adozione della tecnologia cloud. Esamina inoltre il modo in cui i professionisti della sicurezza e gli ingegneri della sicurezza del cloud affrontano la sfida di proteggere le applicazioni cloud e infrastruttura pur continuando a implementare rapidamente.
Gli eventi di sicurezza del cloud sono molto diffusi
Alcune delle statistiche più interessanti del rapporto includono quanto segue:
- L'80% delle organizzazioni ha subito almeno un grave incidente di sicurezza nel cloud nell'ultimo anno (come violazioni dei dati, fughe di dati e intrusioni nel loro ambiente).
- Il 41% degli intervistati afferma che i servizi cloud native aumentano la complessità, complicando ulteriormente i loro sforzi di sicurezza.
- Quasi la metà (49%) delle organizzazioni ritiene che l'implementazione sia più rapida grazie a una migliore sicurezza del cloud.
Organizzazioni di varie dimensioni e settori hanno riferito di essere state colpite dai principali eventi di sicurezza del cloud negli ultimi 12 mesi, con startups (89%) e organizzazioni del settore pubblico (88%) i più colpiti. Enterprise le aziende hanno fatto meglio (molto probabilmente a causa di maggiori investimenti nell'infrastruttura cloud), mentre le piccole e medie imprese hanno riferito di aver ottenuto i risultati migliori (probabilmente a causa di una minore impronta del cloud e una minore complessità dell'infrastruttura).
Teams ha bisogno di chiari obiettivi di sicurezza
Un'altra osservazione chiave del sondaggio è che molti teamManca chiarezza su chi è responsabile della sicurezza del cloud nella propria organizzazione. Tra gli intervistati, il 42% degli ingegneri cloud afferma che il loro team è responsabile della sicurezza del cloud, ma solo il 19% dei professionisti della sicurezza ritiene che sia così.
La protezione delle risorse cloud richiede uno sforzo e una consapevolezza coordinati teams — una pratica che molte organizzazioni non hanno ancora adottato. La sicurezza del cloud evidenzia l'importanza di avere responsabilità ben comprese, ma anche ben definite. Questo aiuta le aziende a mantenere la chiarezza quando lavorano per raggiungere l'obiettivo comune di mantenere i propri ambienti cloud al sicuro dagli attacchi.
Training teams sulla sicurezza, l'infrastruttura di apprendimento come codice
Il 77% delle organizzazioni intervistate ritiene che molti di oggi errori di sicurezza del cloud derivare da una mancanza di efficace cross-team collaborazione e formazione. Quando diverso teams utilizzare diversi strumenti o quadri politici, conciliando il lavoro tra di essi teams e garantire un'applicazione coerente può essere difficile. Inoltre, strumenti insufficienti che producono falsi positivi possono portare a un affaticamento degli avvisi sulla sicurezza teams, contribuendo all'errore umano quando i problemi critici devono essere identificati e affrontati.
I dati del sondaggio mostrano anche che il 55% delle organizzazioni sta sfruttando l'infrastruttura come codice (IaC) per garantire la sicurezza prima dell'implementazione. L'uso di IaC garantisce a software ciclo di vita dello sviluppo per l'infrastruttura cloud e l'opportunità di spostarsi a sinistra sulla sicurezza del cloud.
Non solo l'infrastruttura come codice aiuta teams operare in modo più efficiente e coerente su larga scala; rappresenta una grande opportunità per spostare a sinistra la sicurezza del cloud prima che le applicazioni vengano distribuite. La riduzione mediana dell'errata configurazione del cloud derivante da IaC è del 70%.
Proteggendo IaC con controlli automatizzati che utilizzano i criteri come codice, ingegneria del cloud teams può creare ambienti di sviluppo e test che rispecchiano la produzione e tutti i relativi controlli di sicurezza.
Guardando verso il futuro
Ogni giorno, sempre più organizzazioni sfruttano il cloud per sviluppare ed eseguire le proprie applicazioni. In tal modo, stanno adottando più architetture cloud native, come ambienti basati su container e serverless. Gli sviluppatori e gli ingegneri che lavorano con l'infrastruttura cloud creano, ripetono e distribuiscono costantemente. Riscrivono il codice e apportano modifiche alla configurazione spesso.
Ma molti cambiamenti che si verificano durante il software il ciclo di vita dello sviluppo può esporre un progetto al rischio di attacco. Conoscere i rischi inerenti all'infrastruttura cloud e potenziarli teams con strumenti e politiche per proteggerli da tali rischi, fornisce risultati misurabili.
Nel corso del tempo, mentre il cloud computing continua a guadagnare popolarità, la sicurezza del cloud diventerà sempre più critica per qualsiasi organizzazione nel panorama digitale. Un approccio alla sicurezza del cloud incentrato sullo sviluppatore aiuta le organizzazioni a innovare più velocemente e in modo più sicuro, con vantaggi che vanno ben oltre la semplice risoluzione delle vulnerabilità.