La tecnologia DevOps ha cambiato il modo di sviluppare le applicazioni. A differenza del passato, in cui si scrivevano pagine e pagine di codice, oggi le applicazioni sono divise in numerosi segmenti. I frammenti di codice così creati vengono salvati in container informatici: pacchetti di software che virtualizzano il sistema operativo per l’esecuzione in qualsiasi ambiente.
In questo contesto, un orchestratore stabilisce flussi e regole di comunicazione fra tutti i micro segmenti. Questo facilita sia lo sviluppo che la manutenzione delle applicazioni, perché i singoli gruppi di lavoro possono essere responsabili di uniche parti dell’ambiente complessivo.
Dati sensibili e necessità di garantire la sicurezza dei container
Sebbene i container informatici fossero già da tempo utilizzati nelle grandi realtà, negli ultimi anni hanno preso piede anche tra le organizzazioni di piccole e medie dimensioni. Ad oggi, anche i dati “passano o risiedono” nei container, e di conseguenza i pirati informatici stanno prendendo di mira queste architetture. In questo caso non utilizzeranno un comune ransomware, ma vettori di attacco specifici.
Come sempre, ad ogni problema la sua soluzione: ecco quindi che attori nuovi e vecchi stanno proponendo servizi (non prodotti) di sicurezza dei container.
La principale novità in questo caso è che per la prima volta sono presenti quasi esclusivamente dei servizi e non dei prodotti. Questo perché quasi tutte le nuove applicazioni sono ospitate in cloud e quindi è più difficile installare un prodotto a protezione di un qualcosa che sta su una infrastruttura che non possiamo gestire.
I principali rischi della Cloud Container Security
I servizi offerti sono volti a colmare alcune lacune dei prodotti tradizionali e ad attivarne di nuovi.
Infatti, sui dati “containerizzati” gli strumenti EDR e XDR rallentano drasticamente le indagini, ritardando i tempi di risposta e indebolendo la postura di cloud container security. Allo stesso tempo i team di sicurezza e piattaforma (red team e blue team) mancano di strumenti e processi comuni, che possono ritardare o bloccare la collaborazione di cui entrambi i team hanno bisogno per costruire una posizione di sicurezza più forte su dati di queste architetture.
L’approccio delle principali Container Security Solutions
La garanzia di un livello superiore di sicurezza da parte dei servizi offerti deriva dalla loro capacità di:
- Rilevare minacce, note e sconosciute, in tutto il nostro ambiente container-cloud in tempo reale
- Rispondere più velocemente ad attacchi reali e potenziali con un ricco contesto cloud-native, ovvero correlando in tempo reale eventi, vulnerabilità e identità, consentendo agli analisti di anticipare gli attacchi e rispondere con sicurezza, velocità e precisione chirurgica
In questo caso siamo di fronte a servizi SOC Security Operation Center specifici per gli ambienti Container – DevOps.
In sostanza, le funzioni chiave delle principali container security solutions sul mercato sono molteplici:
- Identificare e dare priorità ai rischi reali
- Accelerare la maturità delle applicazioni containerizzate in base alle autorizzazioni in uso
- Mitigare il rischio di conformità
- Risparmiare tempo anticipando le soluzioni preventive (remediation) sulla base dei rischi concreti
- Ridurre i costi consolidando gli strumenti di sicurezza grazie al servizio esterno di gestione della container security
Giuseppe Mazzoli
Amministratore Unico di 3CiME Technology
