Cinque miti da sfatare sulla sicurezza dei container
Ci sono ancora alcuni luoghi comuni che accompagnano l’uso dell’open source e quindi anche dei container. Spesso questa disinformazione porta le aziende a non adottare misure di sicurezza elementari o ad adottarle in maniera inadeguata. Marie Innes, Solution Architect di Red Hat, illustra questi luoghi comuni e spiega come le aziende che hanno adottato i container possono mettersi in sicurezza.
-
- Tweet
- Pin It
- Condividi per email
-
L’open source è alla base della maggior parte delle tecnologie innovative, come l’intelligenza artificiale e machine learning, l’edge computing, il serverless computing e, non ultima, la containerizzazione. Come in ogni settore dell’IT, la questione della sicurezza non deve essere trascurata quando si utilizzano software open source e container. Ci sono alcuni preconcetti e luoghi comuni che impediscono un approccio olistico e multilivello alla sicurezza, che mette in primo piano la IT Security dell’intera catena logistica, considerando quest’ultima in tutte le sue tre fasi: creazione, distribuzione ed esecuzione. In questo modo, nulla ostacola l’utilizzo dei container con un fattore di rischio ridotto.
Ecco cinque luoghi comuni che è il momento di sfatare:
1° Mito: La comunità è l’unica responsabile della sicurezza delle tecnologie open source.
L’open source è caratterizzato da un elevato livello di innovazione e sicurezza, sostenuto da una comunità composta da migliaia di collaboratori. Tuttavia, le aziende devono adottare alcune misure di base, ad esempio per le immagini utilizzate, il processo di creazione o la distribuzione. Soprattutto, è importante utilizzare solo immagini di container provenienti da fonti affidabili. Esempi sono quelle comprovate per il sistema operativo Linux o quelle certificate per linguaggi di programmazione, middleware e database. Oltre a verificarne l’origine, un’azienda dovrebbe anche controllarne il contenuto tramite un sistema di sicurezza che permetta di rilevare eventuali vulnerabilità. Inoltre, non c’è quasi modo di evitare l’uso di una piattaforma che supporti lo sviluppo e la scalabilità coerente delle applicazioni containerizzate, che dovrebbe offrire principalmente la gestione del ciclo di vita, delle identità e degli accessi e la protezione dei dati della piattaforma.
2° Mito: I concetti di sicurezza consolidati sono sufficienti.
Dal data center all’edge, il carico di lavoro dei container è distribuito su molte e diverse infrastrutture. Di conseguenza, anche ogni livello dello stack infrastrutturale e ogni fase del ciclo di sviluppo dell’applicazione deve essere protetto. In linea di principio, un’azienda può fare affidamento su meccanismi di sicurezza consolidati, ma questi devono essere adattati alle nuove circostanze. Nell’era del software-defined everything, in cui vengono utilizzate numerose tecnologie basate su software, sono necessari anche diversi livelli di sicurezza, ad esempio per la rete software-defined o lo storage software-defined.
3° Mito: La sicurezza riguarda solamente gli audit.
La sicurezza è spesso vista come un ostacolo che impedisce alle attività di svilupparsi. Tale questione viene quindi frequentemente affrontata attivamente solo alla fine del processo di sviluppo. Invece, deve essere sempre considerata come parte di un intero corso di produzione. Non si tratta solo di questioni tecnologiche, ma soprattutto di dipendenze organizzative e di una stretta collaborazione tra tutti gli attori con responsabilità condivise. La sicurezza non può quindi essere una pura questione di audit, ma piuttosto, deve essere inserita all’interno dei processi di progettazione. Tornando ai container e all’obiettivo di “costruire una volta, distribuire ovunque”, ciò significa che il processo di creazione deve produrre un sistema privo di errori che venga utilizzato nelle operazioni produttive.
4° Mito: Le scansioni delle vulnerabilità sono sufficienti per garantirsi sicurezza.
È giusto eseguire le scansioni di sicurezza dei container con strumenti che utilizzano database di vulnerabilità costantemente aggiornati. Poiché emergono continuamente nuove fragilità, le aziende devono controllare il contenuto degli elementi dei loro container nel momento in cui vengono scaricati e monitorare lo stato di sicurezza. Tuttavia, questo è solo un aspetto, poiché la sicurezza deve essere sempre intesa come un processo olistico e non può essere ridotta alla mera scansione delle vulnerabilità. Alla fine, si tratta sempre dell’intero ciclo di vita di uno stack di soluzioni. Ad esempio, si può implementare anche nella creazione di una pipeline DevSecOps che includa il monitoraggio della sicurezza delle applicazioni, la protezione della piattaforma e la reazione alle minacce del runtime.
5° Mito: La sicurezza non è compito degli sviluppatori.
Con oltre un milione di progetti open source, gli sviluppatori possono adottare quelli esistenti con relativa facilità, adattarli alle proprie esigenze aziendali e utilizzarli in modo produttivo. Tuttavia, sono indispensabili anche policy e indicazioni regolamentari chiare, ad esempio per controllare e automatizzare la creazione dei container. Le aziende dovrebbero anche osservare best practice per la sicurezza applicativa, soprattutto tramite l’integrazione di test di sicurezza automatici.
Affrontare questi diversi preconcetti dimostra come che il tema della sicurezza debba assumere una priorità molto più alta durante l’intero ciclo di vita di un’applicazione containerizzata, sia dal punto di vista organizzativo che tecnologico, ossia nelle fasi di “Design”, “Build”, “Run”, “Manage & Automate” e “Adapt”. La fase di progettazione consiste nell’identificazione dei requisiti di sicurezza, mentre la fase di realizzazione nell’integrare direttamente la sicurezza nello stack applicativo. Per ridurre l’onere delle operazioni, è opportuno utilizzare piattaforme affidabili con funzioni di sicurezza avanzate. La fase Manage & Automate prevede l’automazione dei sistemi per la sicurezza e la conformità, e infine Adapt prevede aggiornamenti regolari in caso di cambiamenti nel panorama dell’IT Security.
Con questo approccio olistico, che si concentra sulla sicurezza dell’intera catena di approvvigionamento, un’azienda sarebbe strutturata in modo ottimale per l’utilizzo dei container. La sicurezza non deve più essere vista come un ostacolo, ma può piuttosto come fattore abilitante di una moderna infrastruttura IT.
Contenuti correlati
-
Dall’università al mondo del lavoro: come colmare il divario di competenze nella sicurezza informaticaCon l’intensificarsi delle minacce informatiche, la sicurezza del software è diventata una priorità per le aziende. È sorprendente notare che oltre il 70% delle organizzazioni è vittima di un crescente accumulo di debiti di sicurezza, con quasi...
-
Servizio ai clienti in un podcast nella proposta di automazione Turck BannerTurck Banner Italia ha avviato una nuova iniziativa per coinvolgere i propri clienti con una modalità in cui il contenuto tecnico si integra in una forma di comunicazione diretta come una telefonata di lavoro, ma trasposta in...
-
Soluzioni di automazione su misura Keba in SPS 2024Keba Industrial Automation sarà presente SPS 2024 di Norimberga (Pad. 7, Stand 470) dove punterà su soluzioni integrate, digitalizzazione e intelligenza artificiale. La versatilità del portfolio prodotti si riflette in Kemro X, la piattaforma aperta e flessibile...
-
Wibu-Systems guiderà tour esclusivi a SPS 2024, mostrando CodeMeter in azioneWibu-Systems ospiterà tour guidati esclusivi ad SPS 2024, l’evento principe nel campo dell’automazione, che si terrà a Norimberga, Germania, dal 12 al 14 novembre 2024. Tra gli innovatori ivi riuniti, Wibu-Systems dimostrerà come la sua tecnologia di...
-
L’uso del PA12 colorato nella manifattura industriale: una soluzione innovativaIn ambito industriale, l’identificazione rapida e precisa delle componenti è fondamentale per garantire sicurezza ed efficienza operativa. Un esempio emblematico è rappresentato dal tappo dell’olio motore, comunemente di colore giallo. Questa scelta cromatica permette agli operatori di...
-
Troppi IoT? L’Industria 4.0 ha bisogno di sicurezzaNell’era dell’Industria 4.0 le esigenze di interconnessione ed efficienza portano con sé una necessità fondamentale: la sicurezza. Adottare l’IoT e altre tecnologie per sviluppare processi e pratiche aziendali più efficienti e sostenibili può essere un’arma a doppio...
-
Direttiva NIS 2: un’opportunità per la sicurezzaSei fasi per gestire il processo di conformità alla Direttiva NIS 2 e migliorare la sicurezza informatica di settori critici per la vita di tutti Le nuove norme di sicurezza, come la Direttiva NIS 2, mirano a...
-
Proteggere persone e sistemi con azionamenti di sicurezza, ottimizzando la produttivitàIn passato, la sicurezza delle macchine comportava banchi di relay che interrompevano l’alimentazione a ogni violazione delle condizioni, ad esempio quando un operatore entrava in una cabina o calpestava un tappeto a pressione. L’obiettivo era separare gli...
-
Nuovo interruttore di sicurezza Rfid con blocco serie NXIl nuovo interruttore di sicurezza Rfid con blocco serie NX segna una svolta significativa nell’ambito della sicurezza industriale. Grazie infatti alle sue dimensioni ridotte, si afferma come il più piccolo interruttore di sicurezza con blocco e tecnologia...
-
Grande successo per l’IO-Link Day 2024: oltre 250 i professionisti presentiGiunto alla sua seconda edizione l’ IO-Link Day 2024, organizzato da Consorzio PI Italia, si è confermato un evento di riferimento nel panorama dell’automazione industriale. Lo scorso 1° ottobre, nella splendida cornice di Palazzo de’ Rossi a...
Scopri le novità scelte per te
-
Dall’università al mondo del lavoro: come colmare il divario di competenze nella sicurezza informatica
Con l’intensificarsi delle minacce informatiche, la sicurezza del software è diventata una priorità per le aziende. È...
-
Servizio ai clienti in un podcast nella proposta di automazione Turck Banner
Turck Banner Italia ha avviato una nuova iniziativa per coinvolgere i propri clienti con una modalità in...
Notizie Tutti ▶
-
La partnership tra ifm e il Gruppo Gaser ha il suo cuore pulsante in IO-LinkLa collaborazione con il Gruppo Gaser è indicativa di quanto ifm, attraverso la varietà...
-
Garanzia di 5 anni diventa standard per i prodotti Nidec DrivesNidec Drives, protagonista mondiale nel settore degli azionamenti e dell’automazione industriale, presenta una grande...
-
Centro Software alla A&T Automation & testing Nordest di VicenzaCentro Software, azienda di riferimento nel mercato italiano nello sviluppo di soluzioni ERP, partecipa...
Prodotti Tutti ▶
-
Parker amplia le soluzioni di gestione termica con la nuova serie di raccordi a sgancio rapido a cartuccia e raccordi a viteParker Hannifin annuncia il lancio di quattro serie rivoluzionarie di soluzioni di gestione termica:...
-
Alimentazione intelligente e compatta nei data center con Delta ElectronicsDelta Electronics, attore globale nella gestione dell’energia e fornitore di soluzioni ecologiche intelligenti basate...
-
Azionamento ad asse singolo Keba a elevata dinamica e precisioneKeba, azienda dalla vasta esperienza nel settore dell’automazione con sede a Linz, in Austria,...
