Aumenta la sicurezza con Red Hat Ansible Automation Platform

Per gestire la sicurezza di infrastrutture, applicazioni e ambienti cloud ibridi sempre più complessi, le aziende moderne puntano sull'automazione dell'IT. Molte organizzazioni avviano il loro percorso adottando soluzioni di automazione gratuite e basate sulla community. 

Queste soluzioni possono essere utili in determinati contesti, ma spesso non offrono il supporto e le capacità di sicurezza necessarie per gli ambienti di livello enterprise. Due mancanze che possono risultare dispendiose quando le organizzazioni si trovano ad affrontare le vulnerabilità tra i diversi team e settori aziendali.

Sono molte le aziende che scelgono Ansible® come base per la propria strategia di automazione su larga scala. Si tratta di un software open source sviluppato grazie al contributo della community: il progetto upstream di Ansible è composto da oltre 20 progetti della community, uniti tramite un wrapper GUI e API chiamato AWX. 

Le community open source rivestono un ruolo di primo piano nello sviluppo applicativo e nelle operazioni IT moderne, ma non tutte le versioni dei software open source sono ugualmente indicate per gli ambienti aziendali. Questo è evidente se confrontiamo ad esempio le diverse versioni di Ansible sviluppate dalla community con una piattaforma incentrata sulla sicurezza come Red Hat® Ansible Automation Platform.

Nessun ambiente è sicuro al 100 percento, è però essenziale che gli strumenti di automazione siano progettati per garantire un livello di sicurezza adatta ad ambienti enterprise. Gli attacchi alla catena di distribuzione del software, che possono causare sia danni economici che reputazionali, sono all'ordine del giorno:

• Negli ultimi tre anni il numero medio annuale di attacchi alla catena di distribuzione del software è cresciuto del 742%.¹
• Si stima che entro il 2025 il 45% delle organizzazioni avrà subito attacchi alla catena di distribuzione del software.²
• 1 violazione dei dati su 5 è causata da vulnerabilità nella catena di distribuzione del software.³
• Il pagamento di riscatti a seguito di attacchi ransomware aumenta del 71% ogni anno.⁴

Tenendo conto di questi dati, è chiaro che uno strumento open source non gestito che dispone unicamente del supporto della community può comportare dei rischi. I repository open source sono dislocati in ubicazioni diverse, il che ostacola l'uniformità, impedisce di tenere traccia in maniera efficiente delle modifiche e aumenta il rischio di trascurare qualche aggiornamento.

I progetti sviluppati dalla community hanno determinate misure di sicurezza, ma queste vengono applicate in maniera disomogenea e non standardizzata per cui i progetti della community risultano più vulnerabili. Questo non significa che tutti i progetti che incorporano componenti open source siano inadatti all'uso in ambienti enterprise, significa solo che prima di poterli utilizzare occorre unirli in pacchetti e testarli per assicurarsi che rispettino standard rigorosi.

Mentre i progetti della community come AWX non sono concepiti per le aziende che hanno bisogno di garantire elevati livelli di sicurezza, Ansible Automation Platform è una piattaforma incentrata sulla sicurezza che offre supporto, test delle prestazioni, correzioni di bug e altre procedure standardizzate che aumentano la coerenza e la robustezza degli ambienti enterprise.

Supporto

AWX è un progetto upstream supportato dalla community e in quanto tale non dispone di tutta una serie di servizi che le aziende si aspettano da uno strumento di automazione di importanza strategica. AWX non prevede accordi sul livello del servizio (SLA) per le vulnerabilità di sicurezza, contenuti certificati compatibili con le soluzioni dei partner ISV e il supporto durante l'upgrade a versioni più recenti della piattaforma.

Ansible Automation Platform prevede:

• Supporto sempre disponibile per tutti i componenti del pacchetto, risoluzione dei problemi avanzata e analisi delle root cause forniti dagli esperti Red Hat.
• Accesso self service al Red Hat Customer Portal dove trovare un'ampia raccolta di utili risorse.
• Assegnazione delle priorità alle correzioni di bug e alle funzionalità da parte del team Red Hat Ansible Engineering.

Test delle prestazioni

Le nuove versioni di AWX vengono testate dai membri della community. Ciò non garantisce però che i test basati sulla community assicurino i livelli di compatibilità e prestazioni necessari per gli ambienti enterprise. Quando sviluppa una nuova versione di Ansible Automation Platform, il team di Red Hat esegue intensi e continui test e registra i miglioramenti delle prestazioni durante tutto il processo in modo da assicurarsi di progettare nuove funzionalità affidabili per le esigenze aziendali in continua evoluzione.

Ansible Automation Platform prevede:

• Controllo qualità giornaliero e test d'integrazione.
• Penetration test regolari sul prodotto per evitare che gli hacker possano sfruttare le nuove vulnerabilità di sicurezza.
• Stress test su Automation Controller e Automation Mesh per l'applicazione scalabile degli Ansible Playbook e di altri contenuti.

Container Health Index e valutazione della sicurezza

Ansible Automation Platform pubblica ambienti di esecuzione supportati e ne indica il grado di sicurezza secondo il Container Health Index (CHI). Questo significa che le immagini dei container vengono certificate, aggiornate e supportate da Red Hat. Le versioni di AWX sviluppate dalla community non includono un servizio simile.

• Se un ambiente di esecuzione ottiene una valutazione inferiore ad "A", secondo gli accordi SLA il team ha 5 giorni lavorativi per riportarlo al livello "A". Questa garanzia non è presente per gli ambienti di esecuzione di AWX.

Procedure per la sicurezza del ciclo di vita dello sviluppo

Il Secure Development Lifecycle (SDL) è un set codificato di procedure consigliate suddivise in specifiche fasi standard adottato da Red Hat per lo sviluppo di nuovi prodotti. Ad esempio, lo sviluppo di Ansible Automation Platform segue l'SDL. Data la loro natura decentralizzata, AWX e i diversi sottoprogetti Ansible non hanno questa possibilità.

Le procedure e gli standard SDL servono a:

• Ridurre il numero di vulnerabilità nei software rilasciati.
• Ridurre l'impatto di possibili vulnerabilità non rilevate o irrisolte.
• Risolvere le root cause delle vulnerabilità per evitare che si verifichino nuovamente in futuro. 

Correzioni di bug

In Ansible Automation Platform si tiene traccia dei bug in un database centrale e un team di sviluppo li risolve con cadenza giornaliera. L'ordine di risoluzione dei bug si basa sul feedback diretto degli utenti. 

• I clienti possono accedere alle correzioni di bug identificati da Red Hat all'indirizzo access.redhat.com.
• Per richiedere assistenza i clienti possono aprire un ticket sul Customer Portal oppure per correzioni di bug più urgenti possono contattare telefonicamente il centro di supporto locale.

Nel progetto Ansible sviluppato dalla community invece non si tiene traccia dei bug in maniera centralizzata e l'ordine di priorità è dato dalla community. Inoltre, data la disomogeneità nelle correzioni di bug tra le diverse versioni, gli utenti possono riscontrare delle difficoltà nel passaggio da una versione all'altra di Ansible upstream. 

Ansible Automation Platform offre la coerenza e l'attenzione specifica necessarie alle imprese per risolvere i bug rapidamente e limitare eventuali ripercussioni sulle operazioni aziendali. 

Event-Driven Ansible

Ansible Automation Platform include Event-Driven Ansible, che permette di automatizzare numerose attività, compresi aggiornamenti software e correzioni, tramite un processo standardizzato e verificato. Event-Driven Ansible consente di:

• Ridurre gli errori umani spesso causati dall'esecuzione di attività lunghe e ripetitive, e limitare quindi le vulnerabilità nella catena di distribuzione.
• Automatizzare la risposta alle segnalazioni per risolvere le vulnerabilità di sicurezza tempestivamente prima che diventino urgenze.

Red Hat Ansible Automation Platform offre un framework coerente di strumenti pensato per le aziende con cui creare e gestire l'automazione dell'IT in maniera scalabile, mettendo in sicurezza ogni fase del percorso. Permette ai team di automatizzare sicurezza e conformità in tutta l'organizzazione, fornisce contenuti di automazione certificati per rispondere alle minacce in maniera sistematica e comprende il supporto sempre disponibile di Red Hat.

Il modello di sviluppo open source di Red Hat connette gli autori di Ansible Automation Platform con oltre una dozzina di altri progetti Ansible open source sviluppati dalla community. I membri della community collaborano per identificare e sviluppare i progetti migliori e Red Hat contribuisce alla creazione del codice e realizza prodotti a partire dai progetti upstream.

Ansible Automation Platform semplifica la creazione di pacchetti e la distribuzione e garantisce al contempo l'interoperabilità tra tutti i componenti. Questo unito a un ciclo di vita del supporto di 18 mesi, riduce l'incertezza e le vulnerabilità di sicurezza legate all'utilizzo di strumenti open source upstream.

Inoltre, Ansible Automation Platform può fungere da punto di integrazione per le soluzioni di sicurezza. Grazie ai contenuti di partner certificati, come CyberArk, IBM e Palo Alto Networks, la piattaforma si può anche utilizzare per gestire e integrare in maniera automatizzata un gran numero di tecnologie di sicurezza esterne.