Cybersecurity: come proteggere i propri cluster Kubernetes

Con la spinta del Piano Triennale AgID e del PNRR, che dettano le linee guida e le tempistiche per la transizione al Cloud e la trasformazione digitale della PA, le amministrazioni pubbliche hanno avuto modo di conoscere, utilizzare e apprezzare la tecnologia container. Per sviluppare applicazioni, infatti, i container si sono rivelati non solo adeguati, ma perfino strategici, potendo garantire velocità ed efficienza nella creazione e nell’erogazione dei servizi digitali.

Tuttavia, non è solo la possibilità di una rapida progettazione dei nuovi servizi ad aver conquistato l’interesse degli sviluppatori che lavorano alla digitalizzazione della PA. Ci sono almeno altre due caratteristiche della tecnologia container che la rendono così diffusa e popolare: la prima è il ridotto tempo di deployment, ossia il tempo che intercorre fra la produzione del prodotto digitale e l’utilizzo degli stesso da parte degli utenti finali; la seconda deriva dal poter lavorare su ogni container indipendentemente dall’intera infrastruttura dei servizi. Difatti, ogni container si presenta come un ambiente software che contiene tutto quanto serve per l’esecuzione dell’applicazione al suo interno. Potremmo paragonare un container a una stanza chiusa ermeticamente, nella quale l’applicazione viene eseguita e può essere gestita, aggiornata o modificata in un ambiente isolato dal resto delle applicazioni e dell’infrastruttura.

Gli sviluppatori, dunque, possono costruire tanti piccoli ambienti di esecuzione e poi combinarli insieme attraverso un tool di orchestrazione per creare diversi servizi: l’architettura a micro-servizi, per esempio, funziona in questo modo e permette di realizzare sistemi composti da tanti piccoli “moduli indipendenti”, che interagiscono tra loro attraverso l’azione di un tool orchestratore come la piattaforma open source Kubernetes, che è la più utilizzata.

Le Amministrazioni Pubbliche più evolute dal punto di vista informatico stanno già utilizzando (o sperimentando) questa metodologia di sviluppo delle applicazioni, aumentando sia la flessibilità sia la produttività in termini di servizi.

Un rischio informatico sottovalutato

A fronte di diversi vantaggi, però, la tecnologia container presenta anche una zona d’ombra: la vulnerabilità del tool di orchestrazione. L’organizzazione di sicurezza “The Shadowserver Foundation”, per esempio, ha recentemente rivelato che l’84% dei sistemi che ospitano Kubernetes sono accessibili tramite Internet. Kubernetes e i container rappresentano una evoluzione recente nel panorama dello sviluppo dei servizi; pertanto, espongono al cyber crime nuove superfici di possibile attacco, sulle quali gli aggressori informatici costruiscono vettori e tattiche specifiche e originali.

La vulnerabilità della PA, dunque, è aumentata. Occorre aggiungere che, non di rado, le amministrazioni si trovano a lavorare su progetti container-based che portano con sé una certa complessità, avendo a disposizione cluster estesi di container creati in ambienti diversi: ibridi, on premise, cloud pubblico singolo, multi-cloud, multi-provider. I rischi di perdita di dati, di danno reputazionale e di non rispetto delle normative di sicurezza e privacy che derivano da un attacco informatico sono direttamente proporzionali alla complessità dei sistemi sviluppati e al numero delle fonti da cui si attinge per il reperimento dei container necessari allo sviluppo dei servizi.

La risoluzione di questi problemi risiede nella possibilità di incrementare i livelli di visibilità e di sicurezza degli ambienti Kubernetes attraverso strumenti appositamente sviluppati.

Nel suo sondaggio annuale sulla sicurezza dei container, però, NeuVector (azienda acquisita di recente da SUSE) ha messo in evidenza che solo il 20% degli sviluppatori riferisce di utilizzare uno strumento di conformità e sicurezza per i propri container e ambienti Kubernetes.

Un’aggravante del problema è la seria difficoltà nel reperimento di figure professionali in grado di implementare e gestire Kubernetes. Il modello di sviluppo cloud native, difatti, si sta imponendo troppo velocemente e, di contro, scarseggiano le figure competenti sulla specifica tecnologia container. I team DevOps, invece, dovrebbero essere numerosi e altamente specializzati, in modo da rendere sicuri i sistemi per la creazione di servizi sin dalle prime fasi del loro sviluppo.

Le opportunità per reagire al nuovo panorama di minacce cyber

Oggi, la PA ha a disposizione ingenti risorse per innalzare i propri livelli di sicurezza informatica. In particolare, il PNRR prevede investimenti per 623 milioni di euro in strumenti e competenze di cybersecurity (nella Missione 1) e ulteriori fondi per la ricerca e la creazione di partenariati su temi innovativi, tra cui la sicurezza informatica (nella Missione 4).

Nell’alveo di queste opportunità s’inserisce la proposta di SUSE, che, insieme a molti altri vendor e software house, sta affiancando la PA nella fase di orientamento e di procurement di soluzioni per la cyber security. Nello specifico, l’azienda fornisce ai team DevOps uno strumento di sicurezza intuitivo e automatizzato per la protezione ottimale della piattaforma Kubernetes. Si tratta di SUSE NeuVector 5.0, frutto della recente acquisizione di NeuVector e dell’integrazione del suo prodotto nella console Rancher di SUSE.

Le cifre distintive di Suse NeuVector 5.0

Il tool fornisce ai team di sviluppo uno stack zero-trust completo e totalmente automatizzato che garantisce sia la sicurezza informatica degli ambienti Kubernetes sia la loro compliance, attraverso la sua capacità di ispezione profonda e continuativa del software e le sue innovative feature in ”fase di esecuzione”. NeuVector 5.0, infatti, è in grado di analizzare le applicazioni in esecuzione all’interno dei cluster Kubernetes, “fotografando” il comportamento desiderato, ed usare questo status zero per autorizzare l’accesso solo ai network testati ed eseguire solamente processi sicuri.

Dal punto di vista operativo, il prodotto garantisce un’esperienza utente lineare e coerente, che semplifica concretamente la gestione della sicurezza dell’ambiente Kubernetes. Al team DevOps, infatti, non sono richiesti interventi manuali; pertanto, gli sviluppatori hanno modo di concentrarsi solo sulla creazione dei servizi.

Inoltre, SUSE NeuVector 5.0 non incide minimamente sulla velocità di sviluppo e garantisce la continuità nell’impiego dei container.

Conclusioni

La sicurezza informatica tradizionale non è adatta a un ambiente distribuito come quello creato dalla tecnologia container. Il prodotto sviluppato da SUSE è appositamente pensato per garantire la cyber security e la compliance della piattaforma Kubernetes. L’implementazione del tool consente di investire con maggiore determinazione su una tecnologia che, nel tempo, si sta rivelando la più adatta e la più veloce per la creazione dei servizi.