La nuova funzionalità individua gli errori di configurazione prima del deployment delle risorse cloud, anticipando in fase di sviluppo i controlli di sicurezza
Qualys, Inc. (NASDAQ: QLYS), pioniere e fornitore leader di soluzioni IT di sicurezza e compliance altamente innovative basate sul cloud, ha annunciato l’aggiunta della funzionalità di scansione IaC (Infrastructure as Code) alla propria app CloudView per individuare e correggere gli errori di configurazione nelle prime fasi di sviluppo del software ed evitare che vengano diffusi all’ambiente di produzione.
Come evidenziato nel 2021 Cloud Security Report di (ISC)2, la principale minaccia che i responsabili della sicurezza che si occupano di cloud pubblici devono contrastare, è l’errata configurazione delle risorse. Poiché spesso tali errori emergono solo successivamente all’implementazione, le aziende si ritrovano con una superficie di attacco ampliata e una maggiore vulnerabilità agli exploit. Sempre più spesso, le aziende scelgono l’approccio IaC per il deployment delle applicazioni cloud e il provisioning dell’infrastruttura cloud perché permette di anticipare i controlli di sicurezza alla fase di sviluppo e di individuare e correggere gli errori di configurazione applicando il modello IaC. Rilevare i problemi di sicurezza in una fase precoce del ciclo di sviluppo significa accelerare e rendere più sicura la fornitura delle applicazioni e promuovere la collaborazione tra i team DevOps e della sicurezza. Ma ancora di più, significa applicare policy di sicurezza più efficaci nell’ambiente di produzione.
“I responsabili della sicurezza e della gestione dei rischi che gestiscono le infrastrutture cloud devono facilitare il lavoro degli sviluppatori progettando ambienti a prova di errore tramite l’integrazione di strumenti di protezione intelligenti con le procedure di fornitura controllate (come la scansione IaC) che permettano di individuare precocemente i rischi e segnalare i workload non sicuri prima del loro deployment.” Gartner®, Cool Vendors™ in Cloud Security Posture Management, Tom Croll, Neil MacDonald, Mark Wah, Prateek Bhajanka, 9 giugno 2021.
Qualys CloudView assicura completa visibilità e totale controllo sui workload dei cloud pubblici, e ora analizza anche i modelli IaC per rilevare eventuali errori di configurazione. Le valutazioni IaC integrate nel ciclo di sviluppo del software permettono di distribuire solo il codice conforme agli standard di sicurezza dell’azienda. La Qualys Cloud Platform assicura completa visibilità mettendo a confronto le configurazioni runtime e build-time ed evidenziando eventuali differenze o modifiche in un unico dashboard.
Le nuove funzionalità consentono alle aziende di:
Valutare la postura di sicurezza lungo l’intera pipeline CI/CD
Le aziende possono valutare lo stato di sicurezza in una fase precoce del ciclo di sviluppo, riducendo drasticamente le vulnerabilità post-implementazione. Tramite l’interfaccia della command line di CloudView IaC Security è possibile valutare la sicurezza a livello locale. Sono disponibili anche funzionalità di controllo della distribuzione tramite gate nel caso in cui vengano rilevati errori di configurazione, plug-in per i repository utilizzati per il check-in del codice sorgente e piattaforme CI/CD.
Rispettare le best practice per la sicurezza
Con CloudView IaC Security le aziende riescono ad adottare più facilmente le best practice per la sicurezza promosse dai provider di piattaforme cloud. CloudView IaC Security supporta i linguaggi IaC più diffusi quali Terraform, CloudFormation (CF) e Azure Resource Manager (ARM) e controlla le configurazioni prendendo come riferimento migliaia di best practice per la sicurezza suggerite da Amazon Web Services, Azure, Google Cloud Platform e organismi normativi come il Center for Internet Security. Inoltre, CloudView suggerisce automaticamente opzioni di correzione nel caso in cui vengano rilevate configurazioni non conformi.
Garantire la conformità alle normative del settore
Con CloudView IaC Security le aziende possono assicurare la conformità a oltre 20 normative del settore quali PCI, HIPAA e NIST 800-53, riducendo il carico di lavoro dei team DevOps e della sicurezza e ottimizzando le verifiche obbligatorie in ambito conformità.
“Aggiungendo l’assessment IaC a CloudView, Qualys arricchisce la propria soluzione di gestione della sicurezza cloud (CSPM) rendendola adatta anche ai casi in cui è necessario anticipare i controlli di sicurezza alla fase di sviluppo,” ha dichiarato Sumedh Thakar, Presidente e CEO di Qualys. “Grazie alla Qualys Cloud Platform e alle app integrate, i clienti possono integrare l’automazione della sicurezza in tutte le varie fasi del ciclo di vita delle applicazioni ottenendo visibilità completa sulla loro configurazione runtime e build-time e visualizzandone i risultati in un dashboard centralizzato.”
Disponibilità
Qualys CloudView con la funzionalità IaC Security è in versione beta e sarà disponibile entro la fine dell’anno. Per coloro interessati a partecipare al programma beta, occorre registrarsi su qualys.com/iac-security-beta. Per informazioni, leggere il blog IaC Security.
