Come semplificare l’adesione alla NIS2 con i servizi cloud di AWS

Un’infrastruttura globale per garantire sicurezza e business continuity

Con l’arrivo della NIS2 – la nuova direttiva europea sulla sicurezza informatica – le aziende sono chiamate a rafforzare i propri requisiti di sicurezza per operare in conformità. Se non sai cos’è la NIS2, ne abbiamo parlato recentemente sul nostro blog in un altro articolo (“Conformità alla NIS2: gli strumenti Microsoft 365 per rispettare la normativa”). In questo post spiegheremo come semplificare l’adesione alla NIS2 grazie ai servizi cloud AWS.  Se ti interessa scendere nei dettagli tecnici dell’argomento e sei un CIO, IT Manager, DPO, Compliance Officer  o chiunque debba guidare o supportare l’adeguamento alla NIS2 nella propria azienda, non perderti il nostro prossimo evento in collaborazione con AWS, mercoledì 9 luglio, dalle 9.00 alle 13.00, presso We Work, in via Vittor Pisani 15, Milano. La partecipazione è gratuita, ma i posti sono limitati: iscriviti qui. Ecco alcuni tra gli argomenti che affronteremo: 

• Punti chiave della NIS2: come rispettarli con soluzioni cloud native AWS 

• Strumenti cloud AWS per la conformità alla NIS2   

• Business continuity e resilienza con l’infrastruttura globale AWS 

• Zero Trust Architecture su AWS: cos’è e su quali principi si basa 

• Migrazione al cloud: impatto sulla NIS2 per le aziende  

Punti chiave della NIS2: come rispettarli con soluzioni Cloud Native di AWS

La nuova direttiva si prefigge l’obbiettivo di rafforzare il livello comune di sicurezza delle reti e dei sistemi informativi di aziende e Pubbliche Amministrazioni del Paese, in armonia con gli altri Stati membri dell’Unione Europea. Tra i punti chiave della NIS2, con maggiore impatto per le aziende, ci sono: 

• Gestione del rischio di cybersecurity 

• Business continuity 

• Gestione e notifica di eventuali incidenti 

• Resilienza operativa 

• Gestione degli accessi 

Affidarsi alle soluzioni cloud native di AWS permette di essere compliant per molti di questi punti, oltre ad aggiungere vantaggi a livello di efficienza, scalabilità e affidabilità dei propri sistemi. Alla base della maggiore sicurezza garantita dai servizi di cloud computing di AWS ci sono: 

• La possibilità di delegare al provider cloud parte della responsabilità sulla gestione sicura dei sistemi 

• Un network globale in grado di garantire resilienza anche in caso di guasti locali 

• Un framework di buone pratiche di sicurezza replicabile in ogni organizzazione 

• Un’ampia rosa di servizi per automatizzare monitoraggio, risoluzione e gestione di incidenti 

Strumenti cloud AWS per la conformità alla NIS2 

Quali strumenti cloud di AWS, approcci e framework possono essere utili per accelerare la conformità alla NIS2? Vediamone alcuni. L’AWS Shared Responsibility Model semplifica il percorso verso la compliance in quanto si basa su un approccio condiviso alla cyber security, che permette di delegare molti aspetti critici al cloud provider. AWS è responsabile per la sicurezza DEL cloud: cloud computing, storage, database, networking, oltre alla propria infrastruttura fisica globale. Di contro, le aziende utenti, avranno la responsabilità della sicurezza NEL cloud, ossia della gestione dei propri dati, applicazioni, firewall, controllo degli accessi e così via. Ci sono diversi livelli di delega di responsabilità ad AWS: IaaS (servizi di infrastruttura),  Container Services e Managed Services. I servizi gestiti sono quelli che permettono di alleggerire il cliente dalla maggior parte delle responsabilità, semplificando la conformità alla NIS2. AWS Well-Architected Framework è uno strumento molto utile per le aziende che intendono operare in conformità con la NIS2. Fornisce una serie di linee guida per costruire infrastrutture cloud robuste, scalabili ed efficienti, in linea con molti requisiti richiesti dalla direttiva. Quali sono i principali pilastri dell’AWS Well-Architected Framework? 

• Sicurezza: proteggere i sistemi e i relativi dati 

• Ottimizzazione dei costi: evitare inefficienze 

• Eccellenza operativa: far funzionare e monitorare sistemi in grado di generare valore e migliorare continuamente i processi  

• Affidabilità: assicurarsi che ogni carico di lavoro faccia ciò per cui è stato creato e quando serve 

• Sostenibilità: ridurre al minimo l’impatto ambientale del cloud 

• Efficienza: utilizzare risorse IT e di cloud computing in modo efficiente 

Questi principi possono fornire alle aziende e ai responsabili della sicurezza una checklist iniziale per valutare lo stato delle proprie infrastrutture, utile ad individuare e risolvere eventuali criticità, per rendersi compliant alla NIS2. 

Business continuity e resilienza con l’infrastruttura globale AWS   

Business ontinuity e resilienza non sono solo principi chiave per allinearsi alla NIS2. Se gestione di backup, disaster recovery e gestione delle crisi non vengono affrontati con alti standard di sicurezza, possono esserci ripercussioni fatali per le aziende e l’intero ecosistema in cui gravitano. Migrare al cloud AWS i propri sistemi può fare la differenza, se pensiamo all’infrastruttura globale su cui si basano i servizi del cloud provider. L’infrastruttura AWS è distribuita su diverse Regioni a livello globale ed è monitorata 24/7. All’interno delle Regioni AWS si trovano diverse “Availability Zones” (AZ), indipendenti tra loro fisicamente, collegate da una rete ad alta ridondanza per garantire sempre l’affidabilità dei servizi. In pratica, se in una AZ si verificano dei problemi, le altre continuano a funzionare, riducendo al minimo i tempi di inattività, con la garanzia di continuità operativa per le aziende. 

Zero Trust Architecture su AWS: cos’è e su quali principi si basa 

Lo Zero Trust Security Model applicato ai servizi cloud AWS permette di creare Zero Trust Architecture (ZTA): un’architettura progettata per ridurre al minimo i rischi di attacco tramite accessi non autorizzati ai sistemi aziendali. Zero Trust è un principio fondamentale per la conformità alla NIS2. Si tratta di un modello di sicurezza basato sull’interazione fra controlli a livello Network e a livello Identity.  L’accesso ai dati e alle applicazioni viene valutato in modo continuativo in base a fattori quali:   

• chi richiede l’accesso  

• da dove si richiede l’accesso  

• da quale dispositivo si richiede l’accesso  

 Lo Zero Trust Security Model si basa sul principio del least privilege: quando due componenti non hanno bisogno di comunicare, non dovrebbero poterlo fare, anche se si trovano nello stesso segmento di rete. Quali sono i pilastri di una architettura Zero Trust? 

• Verifica e autenticazione Ogni richiesta di accesso sul cloud AWS viene autenticata in modo forte, tramite credenziali, MFA e segnali contestuali (posizione, orario, dispositivo). Nessuna identità è mai considerata “di fiducia” per impostazione predefinita. 

• Least privilege access Ogni utente, applicazione o servizio riceve solo i permessi minimi necessari per svolgere una specifica azione. Questo limita l’impatto di eventuali violazioni o errori. 

• Micro-segmentazione Le risorse vengono suddivise in piccoli blocchi isolati. Ogni comunicazione è autorizzata esplicitamente, anche all’interno della stessa VPC, riducendo il rischio di accesso ad altri sistemi o dati all’interno della rete 

• Monitoraggio continuo e analitycs I log e gli eventi vengono raccolti in tempo reale e analizzati con servizi dedicati per individuare comportamenti anomali o potenziali minacce. 

• Automazione e orchestrazione I controlli di sicurezza vengono gestiti tramite policy automatiche, riducendo gli errori manuali e migliorando la risposta agli incidenti. 

• Autorizzazione Ogni richiesta deve essere esplicitamente autorizzata. Le policy IAM, basate su identità e risorse, regolano con precisione chi può fare cosa, quando e da dove. 

Migrazione al cloud e NIS2: vantaggi per le aziende 

Con la migrazione al cloud dei propri sistemi in ottica Zero Trust, si ottengono diversi vantaggi per le aziende, in vista della conformità alla NIS2. In particolare, la Zero Trust Architecture, migliora l’approccio generale alla sicurezza dei sistemi e la protezione dei dati, facilitando l’allineamento ai principi della direttiva. Inoltre, semplificando l’adozione del cloud nei processi aziendali, accelera la trasformazione digitale e la resilienza nelle PMI. Non da ultimo, accresce la produttività dei propri team tecnici e di sviluppo, grazie all’automatizzazione di molte funzioni di manutenzione e sicurezza. Se vuoi capire come migrare in cloud i tuoi sistemi o valutare il tuo ambiente AWS con gli esperti di ELEVA, iscriviti all’evento del 9 luglio NIS2 ready con AWS   e resta aggiornato sui prossimi appuntamenti di formazione sulla nostra pagina Linkedin.