![\"\"](\"https:\/\/www.paloaltonetworks.com\/blog\/wp-content\/uploads\/2019\/07\/The-Big-Cloud-5-IT-500x318.png\")
<\/span><\/div><\/p>\nFigura 1: The 5 Big Cloud Security Strategy<\/p>\n
Una mancata o carente consapevolezza situazionale \u00e8 uno dei fattori primari degli incidenti attribuiti a errore umano. \u2013<\/em> Nullmeyer, Stella, Montijo & Harden, 2005<\/p>\n Il primo passo per semplificare la sicurezza e la conformit\u00e0 del cloud \u00e8 capire come viene usato il cloud dagli sviluppatori e dai team aziendali nel momento presente<\/em>. L'utilizzo del cloud tramite shadow IT \u00e8 il primo livello di dettaglio richiesto, ma \u00e8 necessario approfondire ulteriormente. Seguendo la regola 80\/20, il tuo team sapr\u00e0 su quale piattaforma cloud dovr\u00e0 prima concentrarsi. I team della sicurezza devono capire non solo quali piattaforme<\/em> cloud sono al momento utilizzate, ma anche cosa viene eseguito su di esse<\/em>. Diventano indispensabili, a questo proposito, le API del fornitore cloud.<\/p>\n Le API sono una delle principali tecnologie che differenziano il cloud dalla maggior parte degli ambienti on-premise. Consentono di ottenere e mantenere consapevolezza su ci\u00f2 che accade nei tuoi ambienti cloud. Non solo si possono identificare le applicazioni cloud utilizzate dalla tua organizzazione, ma sfruttando le API del fornitore cloud si possono tracciare costantemente i cambiamenti sul layer dei metadati.<\/p>\n Pensa a quali configurazioni (erronee o antipattern) non dovrebbero mai esistere nel tuo ambiente. Ad esempio, un database che riceve traffico direttamente da Internet. Malgrado sia una \u201ccattiva prassi\u201d, la ricerca sulle minacce di Unit 42 ha dimostrato che \u00e8 adottata nel 28% degli ambienti cloud. Compila una lista iniziale e continua ad espanderla di pari passo con il procedere del tuo programma di sicurezza cloud. Due avvertenze importanti: ogni volta che si automatizzano le protezioni, \u00e8 consigliabile partire con piccoli esperimenti per scongiurare l'eventualit\u00e0 di conseguenze inattese (ad es. un denial of service autoinflitto). Collabora strettamente con i team di sviluppo. Non cercare di implementare protezioni automatiche senza avere l'approvazione dei team di sviluppo. Collabora con i team di sviluppo dal primo giorno, inizia in piccolo per poi crescere rapidamente.<\/p>\n Molti team parlano di automazione senza avere ancora implementato uno standard di sicurezza. Un obiettivo ambizioso \u00e8 automatizzare nel tempo l'80% di questi. Se il tuo programma si basa sugli standard, la parte relativa all'automazione diventa pi\u00f9 immediata. Non aspettarti di passare da automazione zero ad automazione totale in 90 giorni, a meno che tu non abbia una startup. Nelle grandi organizzazioni, il processo richiede almeno nove mesi per raggiungere l'obiettivo.<\/p>\n A differenza dei tradizionali data center, gli ambienti di cloud pubblico sono incentrati sulle API. Un'adeguata gestione del rischio nel cloud richiede ai team della sicurezza di sfruttare le API.<\/p>\n A seconda delle dimensioni dell'azienda, inizia con una valutazione delle competenze che gi\u00e0 esistono all'interno. Hai gi\u00e0 membri del team che sanno scrivere codice in Python o Ruby? Se s\u00ec, investi fortemente su queste persone e imposta gli obiettivi in base al grado di maturit\u00e0 dell'automazione. Non hai persone competenti nel team? Allora hai diverse opzioni. Cerca persone che vogliano imparare e identifica all'interno del team di sviluppo i membri che hanno interesse nella sicurezza. Se gli obiettivi sono chiari e le risorse adeguate, la formazione \u00e8 possibile in entrambe le direzioni: sicurezza per gli sviluppatori e scrittura di codice per gli ingegneri della sicurezza.<\/p>\n Se la tua azienda ha scarse competenze di programmazione, il progetto pu\u00f2 essere assegnato a un consulente a breve termine che ha gi\u00e0 esperienze simili in altre organizzazioni. L'importante \u00e8 non restare con pagine di codice che i tuoi team non sanno modificare o utilizzare. Una volta avviato il processo, sarai pronto a integrare completamente la sicurezza nella tua pipeline di sviluppo.<\/p>\n Si tratta di mappare ogni aspetto - chi, cosa, quando e dove - di come la tua organizzazione immette codice nel cloud. Conclusa l'operazione, l'obiettivo \u00e8 individuare i punti di inserimento meno problematici per i processi e gli strumenti di sicurezza. \u00c8 essenziale ottenere l'approvazione preliminare dei team di sviluppo.<\/p>\n Conclusione<\/strong><\/p>\n Impostando una strategia di sicurezza cloud basata su \u201cThe 5 Big Cloud Security Strategy,\u201d le organizzazioni di sicurezza di tutte le dimensioni potranno godere dei benefici del cloud pubblico, di solito appannaggio esclusivo dei team di sviluppo. Comincia in piccolo, e cresci rapidamente.<\/p>\n","protected":false},"excerpt":{"rendered":" The 5 Big Cloud Security Strategy nasce dall'esperienza acquisita con centinaia di clienti. Bench\u00e9 non sia concepito come sistema esaustivo, se dotato di adeguate risorse, pu\u00f2 aiutare il tuo team a costruire …<\/p>\n","protected":false},"author":623,"featured_media":96984,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_jetpack_memberships_contains_paid_content":false,"footnotes":""},"categories":[5085],"tags":[],"coauthors":[6679],"class_list":["post-99850","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-non-categorizzato"],"jetpack_featured_media_url":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-content\/uploads\/2019\/02\/corp-blog-cloud-600x300.png","jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/posts\/99850","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/users\/623"}],"replies":[{"embeddable":true,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/comments?post=99850"}],"version-history":[{"count":1,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/posts\/99850\/revisions"}],"predecessor-version":[{"id":99864,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/posts\/99850\/revisions\/99864"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/media\/96984"}],"wp:attachment":[{"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/media?parent=99850"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/categories?post=99850"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/tags?post=99850"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/coauthors?post=99850"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}\n
\n
\n
\n
\n