La migrazione delle applicazioni in cloud apre nuove sfide per la sicurezza che possono essere affrontate grazie a una soluzione di test e controllo avanzato come Fortify
È indubbio che le soluzioni cloud siano state un salvavita per le organizzazioni durante la pandemia da Covid-19, quando i famigerati DPCM consentivano solo di lavorare da remoto o in modalità ibrida e le aziende hanno dovuto modificare le strategie IT per assicurare continuità al business.
Da quell’epoca, anziché assestarsi, come forse si pensava potesse accadere, l’accelerazione che hanno assunto le imprese nei confronti dell’accesso al cloud è continuata. E non sembra mostrare alcun segno di arrestarsi. Tuttavia, questa trasformazione rapida e sistemica sta comportando sfide significative per la sicurezza, che inducono le aziende a ripensare le proprie strategie di cybersecurity a tutti i livelli operativi.
Due dinamiche differenti: Lift and shift e Cloud native
Non tutte le organizzazioni si stanno però muovendo alla stessa velocità: seguono dinamiche differenti che dipendono sia dalla struttura delle aziende stesse sia dalle decisioni tecnologiche prese. Questo porta a un panorama molto variegato, composto da varie fasi di transizione, dove lo stack software mischia scelte basate sul porting delle applicazioni di tipo lift-and-shift con applicazioni che invece poggiano su architetture cloud-native.
Quando si installa un’applicazione nel cloud, l’approccio lift-and-shift è quello più semplice perché prevede l’esecuzione della stessa applicazione su infrastrutture cloud, unicamente con le modifiche necessarie al funzionamento nella nuova infrastruttura.
Del tutto differente è invece l’approccio cloud-native, che sfrutta al massimo le opportunità fornite dal cloud e che è spesso scelto dalle organizzazioni di più grandi dimensioni.
Secondo la definizione della Cloud Native Computing Foundation, le tecnologie cloud-native consentono alle aziende di sviluppare ed eseguire applicazioni scalabili in ambienti moderni e dinamici come i cloud pubblici, privati e ibridi.
Alla base di questo approccio troviamo i container, il mesh dei servizi, i microservizi, l’infrastruttura immutabile e le API dichiarative. Queste tecniche consentono di creare sistemi resilienti, gestibili e osservabili. Combinate con una solida automazione, permettono di apportare frequenti modifiche ad alto impatto con il minimo sforzo.
“La sicurezza delle applicazioni è essenziale per costruire la resilienza aziendale – sottolinea Pierpaolo Alì, Director Southern Europe, CEE & Israel di OpenText Cybersecurity – e deve essere pensata come elemento integrato al momento stesso dello sviluppo e da garantire costantemente nel tempo durante l’intero ciclo di vita delle applicazioni, ovunque queste si trovino. La soluzione Fortify di OpenText è stata sviluppata proprio per rispondere a questa esigenza”.
Proteggere la cloud transformation con OpenText Fortify
Nonostante il cloud computing deleghi molte attività al service provider, l’azienda utente rimane responsabile della protezione dei dati che fa transitare nel cloud.
Il modello native cloud e l’adozione di container, API, Infrastructure as a Code (IaC) e di altre tecnologie cloud first introduce nuovi rischi da affrontare per la sicurezza delle applicazioni. Per esempio legati alla memorizzazione di codice segreto, alle pratiche CI/CD (Continuous Integration/Continuous Delivery) e al modello di deployment Serverless/Function-as-a-Service specifico per il cloud che prevede che i server applicativi, le macchine virtuali e i container siano gestiti dal cloud provider.
Se un’applicazione è completamente cloud native o ha appena iniziato il percorso di modernizzazione una soluzione come Fortify può aiutare a compiere in modo sicuro ogni fase del percorso di cloud transformation.
OpenText Fortify, infatti, è la prima soluzione che permette di:
- individuare e verificare le API per qualsiasi applicazione, durante l’intero ciclo di vita del software;
- rendere sicure le applicazioni Web;
- proteggere le applicazioni mobili con test di sicurezza su tutti i livelli del client, della rete e del servizio backend;
- fornire un’unica soluzione per la sicurezza al momento dello sviluppo (shift left) delle applicazioni cloud native, da IaC a Serverless;
- proteggere i container impedendo che le vulnerabilità e le configurazioni errate arrivino in produzione;
- costruire la resilienza per l’Internet of Things, i dispositivi connessi e applicazioni client.
La famiglia di soluzioni software OpenText Fortify consente di proteggere le moderne applicazioni Web grazie al fatto che è supportato dalla più recente intelligence sui nuovi vettori di attacco.
Fortify Static Code Analyzer è il componente per costruire velocemente software sicuro ed effettuare test statici (Static Application Security Testing), individuando tempestivamente i problemi di sicurezza e risolvendoli alla velocità di DevOps.
Fortify WebInspect è il software DAST (Dynamic Application Security Testing) che trova le vulnerabilità sfruttabili nelle applicazioni Web e assegna i criteri di priorità nella risposta.
Fortify on Demand mette a disposizione le funzioni di sicurezza delle applicazioni in forma di servizio con test, gestione delle vulnerabilità e supporto.
