Strategia "Zero trust": sicurezza del cloud fin dalla progettazione

Invito al cambiamento

Come abbiamo potuto constatare negli ultimi 18 mesi, il cloud apre le porte all'agilità organizzativa su una scala senza precedenti. Ma la sicurezza è essenziale per sfruttare il potenziale del cloud. Accenture, grazie alla nostra dimensione, alla nostra portata e alla nostra complessità, ha potuto sperimentare direttamente il potere della sicurezza del cloud.

Sei anni fa, Accenture ha avviato il passaggio al cloud. Sebbene la nostra recente ricerca abbia messo in luce che il rischio di sicurezza e conformità è considerato uno dei due principali punti critici nell'adozione del cloud, abbiamo sostenuto una posizione chiara fin dall'inizio secondo cui la sicurezza del cloud sarà un componente essenziale per sostenere le nostre esigenze aziendali.

Il passaggio da un'infrastruttura locale, dove avevamo il controllo totale, alla collaborazione nel cloud con i fornitori e alla necessità di affidarci alla loro tecnologia e al loro ambiente di lavoro è stato un cambiamento significativo. L'infrastruttura e le nuove funzionalità dei servizi nel cloud sono diverse; non potevamo semplicemente tradurre ciò che avevamo in sede direttamente nel cloud.

Abbiamo dovuto ripensare l'approccio all'implementazione del nostro modello di sicurezza per sfruttare le capacità delle soluzioni native del cloud. Abbiamo evoluto i principi guida alla sicurezza per soddisfare i requisiti di funzionamento nel cloud. Abbiamo ridefinito le nostre regole di sicurezza per adattarci all'infrastruttura aggiornata basata su cloud. Quando consideriamo il nostro approccio alla sicurezza, guadiamo oltre l'infrastruttura al fine di includere anche il livello delle applicazioni, dei dati e del codice.

Attualmente, l'infrastruttura IT di Accenture è ospitata nel cloud ibrido e ci costa significativamente meno rispetto ai nostri modelli di fornitura tradizionali. La nostra strategia doveva essere sicura fin dall'inizio, attraverso una ricontestualizzazione della nostra sicurezza in termini di funzionalità di cloud, il che ci ha aiutato a capire in che modo le nostre soluzioni cloud sono in grado di supportare ogni elemento di sicurezza necessario all'interno dell'azienda.

Combinare tecnologia e ingegno umano

All'inizio del percorso verso il cloud continuum, abbiamo riconosciuto la necessità di evolvere le nostre procedure di sicurezza per soddisfare i valori di sicurezza fondamentali per il cloud. Volevamo essere potenziati da un approccio definito dal software, proteggendo fin dall'inizio il codice dell'infrastruttura e dell'applicazione. Abbiamo integrato analisi basate sul comportamento, utilizzando l'analisi comportamentale automatizzata dell'AI per individuare le anomalie in modo più rapido e con maggiore precisione quando lavoriamo su tutte le nostre piattaforme cloud. Per noi era importante essere indipendenti dal cloud, adatti a un ambiente multi-cloud, in modo che il framework e i principi di sicurezza si possano applicare a qualsiasi fornitore cloud con verificabilità.

Inoltre, abbiamo integrato una solida difesa, affidandoci a più livelli di sicurezza a diverse profondità: cloud, rete, accesso, dati ed endpoint. Abbiamo incentrato la nostra strategia su un approccio "zero trust", proteggendo ogni aspetto del percorso verso la sicurezza sul cloud trattando tutto come non attendibile. Con l'obiettivo "zero trust", abbiamo seguito un approccio orientato all'identità, basando tutti gli accessi sull'identità in cui ogni richiesta viene esplicitamente verificata.

Cinque funzioni fondamentali hanno contribuito a un percorso di sicurezza cloud di successo:

abbiamo condiviso le responsabilità. Man mano che abbiamo incrementato il consumo di software as-a-service (SaaS) e Platform as-a-Service (PaaS) nel cloud, ci siamo concentrati e abbiamo fatto affidamento su un modello di responsabilità condivisa con i nostri fornitori cloud. Condividendo la responsabilità con i nostri operatori hyperscale anziché assumerla, diventiamo intrinsecamente più sicuri. Le nostre partnership con i servizi cloud Microsoft, Amazon e Google hanno sfruttato la loro maturità sul mercato, le loro ampie certificazioni di sicurezza e il fatto che apprezzano la sicurezza esattamente come noi.

Abbiamo cercato soluzioni basate sul cloud. I provider di servizi cloud investono molto nelle loro offerte di innovazione e sicurezza. Utilizzando policy, controlli, processi e tecnologie native e basate sul cloud, siamo stati in grado di attingere a un'agilità e a una scalabilità intrinseche quando si tratta di supportare la nostra sicurezza del cloud.

Abbiamo attivato la funzione di conformità. Collaborando con i nostri provider, la nostra strategia di sicurezza sul cloud si integra con standard riconosciuti nel settore e si adatta continuamente alle esigenze aziendali. Rispettiamo le policy definite dal settore, utilizzando alert, seguendo il principio "zero trust" e gestendo la sicurezza tramite codice per mantenere la conformità. In tal modo, i nostri servizi, utenti, carichi di lavoro e dati sono al sicuro fin dall'inizio e rimangono protetti dal panorama delle minacce in continua evoluzione, nonché verificabili per la convalida di terze parti.

Abbiamo accresciuto la visibilità. Abbiamo adottato un approccio multilivello, migliorando la sicurezza tramite la tecnologia dei fornitori di cloud e soluzioni avanzate di rilevamento delle minacce. Abbiamo ottenuto visibilità non solo per la nostra gestione operativa, ma anche per la verificabilità esterna.

Abbiamo intriso tutti i processi di fiducia. Riteniamo che l'identità sia il nuovo firewall. Il nostro approccio incentrato sull'identità significa che abbiamo adottato una strategia "zero trust" in cui incorporiamo una convalida delle identità corretta e continua. La fiducia sarà ora guidata fondamentalmente dall'identità e dal ruolo.

Una differenza che vale

Abbiamo ricavato una visione completa dei vari componenti del cloud per creare una strategia di sicurezza cloud realmente olistica. Implementando questo approccio trasformazionale alla sicurezza in un'infrastruttura multi-cloud, possiamo continuare ad applicare policy, risorse e servizi di sicurezza altamente efficaci.

Ecco alcuni degli insegnamenti appresi sull'efficacia della sicurezza del cloud.

• Progetta basandoti sul cloud: un percorso Cloud Continuum richiede un modello operativo molto diverso rispetto a qualsiasi soluzione locale. Reinventa i tuoi principi di sicurezza in termini di cloud, per sbloccare il potere della sicurezza nel cloud e trasformare la tua azienda.

• Effettua un cambiamento culturale: colma il divario culturale relativo ai servizi nativi del cloud dall'alto verso il basso. L'istruzione e la formazione possono contribuire a cambiare mentalità in modo che le persone comprendano i vantaggi del cloud e capiscano perché il tuo approccio alla sicurezza è importante.

• Promuovi la partnership: qualsiasi percorso di Cloud Continuum implica non solo il trasferimento di una determinata percentuale di controllo a terze parti, ma anche l'eredità della ricercatezza delle soluzioni cloud. È fondamentale instaurare relazioni di fiducia con i provider e considerare la sicurezza come un bene condiviso, da gestire insieme.

In futuro, per proteggere e gestire i controlli degli accessi in un ambiente multi-cloud, ci siamo proposti di operare un allineamento multipiattaforma in modo che tutte le identità siano allineate a tutte le piattaforme e a tutti i fornitori. Utilizzando i dati come fattore chiave, la nostra sicurezza sul cloud continuerà a essere completa man mano che le funzionalità cloud si evolveranno su tutte le piattaforme.

E intendiamo scoprire nuove soluzioni e potenziare la nostra sicurezza con l'AI per il rilevamento delle minacce e l'apprendimento automatico per risolvere il nostro codice e prevenire potenziali vulnerabilità. Tale intento, unito alla strategia di prevenzione, protezione, rilevamento e recupero, può rafforzare il nostro imperativo "zero trust".