Risorse > Glossario dei termini sulla sicurezza > Cosa si intende per cloud enclaving?

Cosa si intende per cloud enclaving?

Definizione di cloud enclaving

Il cloud enclaving è un metodo di segmentazione dei carichi di lavoro in un ambiente cloud volto a impedire un accesso con privilegi eccessivi alle risorse interne di un'organizzazione e a proteggere l'infrastruttura cloud, le applicazioni e i dati sensibili da malware autopropaganti, violazioni dei dati e altri attacchi informatici.

Le enclave cloud utilizzano un perimetro definito da software (SDP) per creare un'infrastruttura come servizio (IaaS) protetta, in cui le organizzazioni possono distribuire il controllo degli accessi basato sui ruoli, la valutazione dell'attendibilità, la gestione dei certificati e altre funzioni essenziali di sicurezza sul cloud.

Il cloud enclaving è chiamato anche segmentazione dei carichi di lavoro cloud o microsegmentazione cloud.

 

Che cos'è un'enclave?

Un'enclave è una porzione di rete separata dal resto della rete e disciplinata da policy di sicurezza granulari. Lo scopo di un'enclave sicura è quello di applicare l'accesso a privilegi minimi alle risorse critiche nell'ambito di una strategia di sicurezza basata su misure di difesa avanzate.

Qual è la differenza tra il cloud enclaving e la sicurezza della rete tradizionale?

Il cloud enclaving è concepito per soddisfare le esigenze delle aziende digitali moderne in un modo semplicemente irrealizzabile con delle soluzioni di sicurezza tradizionali. Cerchiamo di capirne il motivo con un po' di contesto storico.

Anni fa, quando le applicazioni e i dati risiedevano nel data center on-premise di un'organizzazione e i dipendenti lavoravano in gran parte dagli stessi locali, la sicurezza di rete tradizionale basata sul perimetro offriva un livello di sicurezza adeguato. Oggi, la globalizzazione e il lavoro ibrido hanno favorito la diffusione del cloud computing, rendendo i modelli precedenti inefficaci.

Sul cloud, i diversi carichi di lavoro critici di una singola organizzazione possono risiedere su più provider di servizi cloud (ad esempio, Amazon Web Service [AWS] o Microsoft Azure) e gli utenti possono accedervi tramite Internet. In termini pratici, ciò significa che non esiste più un "perimetro della rete", e questo apre la strada a molti più attacchi. Il cloud enclaving risponde a questo rischio con policy di sicurezza su misura, che limitano il traffico da e verso carichi di lavoro specifici, e lo autorizzano solamente verso entità espressamente consentite.

Segmentazione della rete e cloud enclaving a confronto

La segmentazione della rete è più indicata per il traffico nord-sud (tra il tuo ambiente e le sedi esterne), mentre il cloud enclaving aggiunge un livello di protezione per il traffico est-ovest (da server a server, da app a server, da web a server e così via, all'interno dell'ambiente). Analizziamo entrambe le soluzioni nel dettaglio.

Segmentazione della rete
Rispetto a un modello basato sul perimetro, che si limita a proteggere una rete dall'esterno, la segmentazione della rete è un approccio più articolato, che divide una rete in "sottoreti" e applica a ciascuna di esse dei protocolli di sicurezza e conformità. In genere, il traffico tra segmenti viene separato mediante una VLAN, prima di passare attraverso un firewall.

Purtroppo, poiché questo approccio si basa sugli indirizzi IP, è in grado di identificare solo il modo in cui una richiesta è arrivata (ad esempio, il suo indirizzo IP originario, la porta o il protocollo), non il contesto o l'identità dell'entità che l'ha effettuata. Le comunicazioni ritenute sicure vengono quindi consentite, anche se l'IT non sa esattamente cosa siano. Una volta all'interno di un segmento, l'entità viene considerata attendibile, anche se si tratta di un utente malintenzionato che cerca di spostarsi lateralmente all'interno dell'ambiente.

La segmentazione della rete crea una rete "piatta", e lascia scoperti percorsi non protetti che consentono agli aggressori di spostarsi lateralmente e compromettere i carichi di lavoro negli ambienti cloud e nei data center. Inoltre, i costi, la complessità e il tempo necessari per gestire la segmentazione della rete utilizzando firewall o macchine virtuali (VM) legacy, vanificano il vantaggio che ne deriverebbe in termini di sicurezza.

Il cloud enclaving
Il cloud enclaving, cioè la microsegmentazione con base cloud, consente un controllo più granulare del traffico, riduce al minimo la superficie di attacco di un'organizzazione e permette di ottenere la segmentazione in modo più semplice e sicuro rispetto alla segmentazione della rete. Il modo in cui ottiene questo risultato è guardando oltre gli indirizzi IP, le porte e i protocolli, e autenticando le richieste in base all'identità e al contesto. Offre inoltre una protezione granulare a livello dei singoli carichi di lavoro, per controllarne in modo più efficace le comunicazioni.

Il cloud enclaving non solo riduce al minimo le minacce interne, offrendo una protezione molto più vicina ai carichi di lavoro stessi, ma impedisce anche la diffusione di minacce provenienti dall'esterno in caso di violazione del perimetro.

Differenza tra microsegmentazione e segmentazione di rete

Leggi il blog
Differenza tra microsegmentazione e segmentazione di rete

Zero trust in un clic

Consulta la scheda tecnica
Zero trust in un clic

Guida di mercato di Gartner sullo ZTNA 2020

Leggi la guida
Guida di mercato di Gartner sullo ZTNA 2020

Guida per gli architetti di rete per lo ZTNA

Leggi il white paper
Guida per gli architetti di rete per lo ZTNA

Implementare la segmentazione in fasi

Leggi il documento
Tecnologie ZTNA: cosa sono e come sceglierle

Quali sono i vantaggi del cloud enclaving?

Proprio come la segmentazione della rete, il cloud enclaving esiste per rafforzare la sicurezza della rete e dei dati di fronte a un panorama di minacce informatiche in continua evoluzione. I criminali informatici sviluppano tecniche sempre più sofisticate per eludere le misure di sicurezza e le organizzazioni di ogni regione e settore sono sotto assedio. Per rimanere al passo e difendersi, le organizzazioni stesse devono adattare loro stesse e la loro sicurezza.

Un approccio efficace di microsegmentazione con base cloud offre:

  • Sicurezza proattiva della rete e dell'IT: il cloud enclaving crea policy sensibili alle applicazioni che viaggiano con tutte le app e i servizi che possono potenzialmente contenere violazioni dei dati delle risorse interessate, e non con l'intero ambiente. Alcuni servizi di enclave sfruttano l'automazione per identificare tutte le comunicazioni, suggerire policy zero trust e applicare queste ultime in un solo clic.
  • Vulnerabilità ridotta: anziché controlli statici basati su indirizzi IP, porte e protocolli, il team di sicurezza può creare delle impronte digitali per ogni carico di lavoro e fornire una protezione uniforme, che si operi in un data center interno o sul cloud. La creazione di impronte digitali svincola la sicurezza dei carichi di lavoro dai costrutti degli indirizzi IP, e in questo modo è possibile evitare i problemi dei controlli basati sugli IP.
  • Valutazione continua del rischio: le enclave cloud consentono di misurare automaticamente la superficie di attacco visibile per quantificare il rischio. I servizi di enclave più efficaci verificano l'identità di un'entità ogni volta che effettua una richiesta; questo consente di ridurre ulteriormente il rischio, supportare gli obblighi di conformità alle normative e fornire informazioni per generare report con visualizzazione dei rischi
  • Gestione più semplice delle policy: poiché le policy delle enclave cloud si applicano ai carichi di lavoro e non agli indirizzi IP, alle porte, ai protocolli o all'hardware, rimangono inalterate, anche se l'infrastruttura cambia. Il team di sicurezza può quindi estendere il set di controlli ovunque e proteggere un segmento con poche policy basate sull'identità, invece che con centinaia di regole basate sull'indirizzo.

Il cloud enclaving è una delle procedure consigliate?

Il cloud enclaving risponde a numerosi casi d'uso della sicurezza sul cloud che gli approcci tradizionali non sono in grado di supportare. Mentre la segmentazione della rete si basa su controlli grossolani, che richiedono una gestione intensiva, la microsegmentazione applica controlli ai singoli carichi di lavoro e li seguono in tutto l'ambiente cloud. Nel nostro mondo all'insegna del lavoro ibrido, dei dati distribuiti e in cui si verificano attacchi sempre più audaci, il cloud enclaving è uno strumento essenziale per ottenere:

Visibilità su tutto l'ambiente
Le enclave cloud offrono un contesto più ampio, in base al quale il team di sicurezza può creare policy basate su applicazione, ambiente, conformità e altro ancora, concentrandosi sull'identità, e non unicamente sul punto di origine. In questo modo, è possibile creare policy più granulari e rafforzare la sicurezza.

Protezione per tutti i provider e le distribuzioni
Un approccio efficace di microsegmentazione protegge i carichi di lavoro in modo uniforme, coprendo tutti i provider di servizi cloud e favorendo così la creazione di ambienti ibridi e multicloud che meglio si adattano al budget e alle esigenze di distribuzione.Questa maggiore flessibilità permette di adottare più facilmente container, servizi di serverless computing e molto altro.

Riduzione dei costi Capex e Opex
Nel lungo periodo, il cloud enclaving consente di risparmiare sia in termini di manodopera che di risorse. Rispetto ai firewall e ad altri tipi di hardware, è molto meno costoso, impegnativo e dispendioso in termini di tempo eseguire le operazioni di implementazione, gestione e manutenzione della microsegmentazione con base cloud.

Zscaler e il cloud enclaving

Zscaler Workload Segmentation™ (ZWS™) è un nuovo modo per creare delle enclave sicure sul cloud. Con un solo clic, è possibile rafforzare la sicurezza, consentendo a ZWS di rivelare il rischio e applicare la protezione basata sull'identità ai carichi di lavoro, senza apportare modifiche alla rete.

ZWS offre una protezione completa grazie a policy che si adattano automaticamente ai cambiamenti ambientali, eliminando così la superficie di attacco della rete. Inoltre, è una soluzione basata su API, e può quindi integrarsi con gli strumenti di sicurezza e con i processi DevOps esistenti, consentendo di eseguire la segmentazione automatica in un solo clic.

Basandosi sull'approccio zero trust, Zscaler consente solo ai carichi di lavoro verificati di comunicare nell'ambiente cloud pubblico, privato o ibrido, mitigando così il rischio e offrendo il massimo livello di protezione dalle violazioni dei dati.

Zscaler Workload Segmentation comprende:

Protezione basata sull'identità del software
ZWS va oltre gli indirizzi di rete e verifica l'identità sicura delle app e dei carichi di lavoro in comunicazione su cloud pubblici o privati, cloud ibridi, data center on-premise o ambienti container. 

Motore di automazione delle policy
ZWS utilizza il machine learning per automatizzare l'intero ciclo di vita delle policy per la microsegmentazione e la protezione dei carichi di lavoro. Non è necessario creare policy manualmente durante la distribuzione o mentre sono in corso le operazioni; inoltre, quando vengono aggiunte o modificate app, ZWS suggerirà policy nuove o aggiornate.

Visibilità e misurazione della superficie di attacco
ZWS crea automaticamente una topologia delle applicazioni in tempo reale e una mappa delle dipendenze fino a livello di processo. Evidenzia quindi i percorsi necessari e li confronta con il totale dei percorsi di rete disponibili, e suggerisce policy per ridurre al minimo la superficie di attacco e proteggere ciò che è necessario.

 

Guardalo in azione

Richiedi una dimostrazione per scoprire in prima persona in che modo Zscaler Workload Segmentation consente di creare delle enclave cloud per migliorare la sicurezza.