Penetration test nel Cloud: tutto quello che c’è da sapere prima di iniziare la procedura

Prima di iniziare la procedura di penetration testing per il cloud bisogna considerare una serie di aspetti. Ecco i consigli degli esperti su come effettuare un test conforme alle richieste del proprio Cloud service provider, salvaguardando la sicurezza

Secondo gli esperti, un approccio olistico alla sicurezza IT dovrebbe sempre includere anche una fase di penetration test, ovvero la simulazione di un attacco informatico a un sistema IT o a una rete.

Questa fase, infatti non solo è una buona pratica da condurre regolarmente su tutti i sistemi IT aziendali, ma è spesso anche un requisito per mantenere la conformità con PCI DSS o altre normative.

Con il diffondersi dell’impiego della tecnologia cloud, tuttavia, possono sorgere alcune complicazioni relative a tale attività. I fornitori di servizi cloud come Amazon Web Services, Microsoft Azure e Google gestiscono la sicurezza e la disponibilità della loro infrastruttura cloud come qualsiasi grande impresa, ovvero monitorando la sicurezza IT e indagando su eventuali incidenti.

Tali provider devono essere in grado di distinguere tra penetration test e attacchi veri e propri: in caso di equivoco, infatti, un sito potrebbe essere bloccato o eliminato dai sistemi di protezione anti DDoS o di prevenzione delle intrusioni. Questo potrebbe costare al Cloud service provider non solo tempo e risorse preziose ma, data a natura condivisa dell’ambiente Cloud, potrebbe avere anche un impatto negativo su altri utenti..

Penetration test sul cloud: l’importanza della comunicazione

Avvisare prontamente il Cloud service provider che si sta per effettuare un penetration test prima è senza dubbio la soluzione più semplice e banale, ma secondo gli esperti ci sono alcune cose su cui riflettere. Se la comunicazione, infatti, è la chiave affinché tutto si svolga per il meglio occorre tenere a mente che il modo in cui si comunica qualcosa è importante tanto quanto il messaggio stesso che si vuole trasmettere. Il Cloud service provider dovrà essere avvisato in modo tempestivo, chiaro e preciso: la notifica dovrà includere le tempistiche esatte e la portata del test previsto e la prova effettiva non dovrebbe discostarsi da quanto comunicato.

A questo proposito, la maggior parte dei provider come Amazon e Microsoft offre sui propri siti istruzioni e moduli di richiesta di autorizzazione. Google, invece, ha un approccio un po’ diverso: non occorre contattarlo quando si avvia un penetration test sul cloud, purché si aderisca alle relative norme di utilizzo e alle condizioni di servizio.

Continua a leggere su: Digital4Biz