L'impatto di Red Hat sulla sicurezza Linux

Red Hat si basa sull'open source e su una community invisibile, diffusa in tutto il mondo, di ingegneri che mettono della tecnologia la sicurezza al primo posto. Sarà per questo che Red Hat Enterprise Linux (RHEL) è il sistema operativo a cui si affida oltre il 90% delle aziende e dei clienti Fortune 500 in oltre 174 Paesi. Questa fiducia è dovuta principalmente all'affidabilità e alla stabilità di RHEL, ma anche alla lunga esperienza di Red Hat e al suo contributo attivo nei progetti open source. 

C'è un aspetto chiave di Linux che spesso viene sottovalutato: è considerato un sistema operativo più sicuro rispetto agli altri. Per quanto questa reputazione sia più che meritata, in termini di sicurezza, non tutte le distribuzioni Linux si equivalgono. Nel corso degli anni Red Hat si è molto impegnata per offrire agli utenti RHEL le capacità adeguate per risultare conformi agli stringenti requisiti di sicurezza e per sfruttare le best practice di sicurezza nel modo più efficiente possibile. In questo articolo parleremo di alcuni degli investimenti dedicati alla sicurezza e del loro impatto sugli utenti in tre aree chiave: ricerca e strategia, deployment e pratica e supporto per la sicurezza post-vendita. 

Ricerca e strategia

Requisiti di conformità diversi in tutto il mondo

Con oltre 100 uffici in oltre 40 nazioni, il team Red Hat sa benissimo che le normative di conformità sono moltissime e che variano da paese a paese. Una parte fondamentale della fase di ricerca e strategia di RHEL consiste nell'esaminare i requisiti attuali e prevedere quelli futuri.

Ad esempio, sempre più dati vengono convogliati verso il cloud, mentre l'intelligenza artificiale è sempre più diffusa e richiede l'accesso a un numero sempre maggiore di set di dati, quindi i dubbi e le preoccupazioni sulla sovranità dei dati non possono che crescere. In nostri clienti operano in settori e paesi diversi e conosciamo bene i requisiti relativi a controllo, governance e attestazione che molti si trovano ad affrontare. Se vuoi sapere di più sulle normative dei diversi paesi, abbiamo una pagina web che illustra convalide e certificazioni relative alla sicurezza informatica dei nostri prodotti e servizi nei mercati di tutto il mondo, che continueranno a evolversi man mano che vengono introdotte nuove norme.

Attenzione alle minacce future

Il nostro team di prodotto scruta costantemente l'orizzonte per identificare in anticipo le minacce che potrebbero presentarsi in futuro. Secondo una pratica sviluppata inizialmente dall'esercito, se un membro del team identifica una minaccia o un problema potenziale, produce un documento chiamato SBAR che sta per Situation, Background, Assessment, Recommendation (situazione, contesto, valutazione e interventi consigliati).

Come suggerisce il nome, si tratta di un documento che illustra la minaccia futura, cosa comporti per i nostri clienti e per il prodotto, se è possibile intervenire e come farlo, oltre a consigli sulle misure che dovrebbe adottare Red Hat. In linea con la natura open source dell'azienda, lo SBAR viene condiviso con tutti i membri di Red Hat per poter raccogliere eventuali informazioni aggiuntive e, grazie a questa collaborazione, scegliere la risoluzione più adatta. Ad esempio, partendo da uno SBAR scritto anni prima, nell'aprile 2022 era già stato elaborato un piano interno su come il team di prodotto avrebbe dovuto affrontare la sfida futura della crittografia post-quantistica. 

Procedure per la sicurezza del ciclo di vita dello sviluppo

Garantire la sicurezza del software fin dalle prime fasi dello sviluppo è una necessità e Red Hat segue un approccio conforme al Secure Software Development Framework (NIST SSDF SP-800-218) del National Institute of Standards and Technology (NIST), all'Open Web Application Security Project (OWASP) e altri standard ISO. Ogni membro del team per la sicurezza dei prodotti Red Hat non solo comprende le aspettative relative alla gestione del ciclo di vita del software sicuro (SSML), ma sa anche bene come seguire indicazioni e processi ideati per affrontare queste situazioni. Per maggiori dettagli sui diversi aspetti del framework, leggi l'articolo della knowledge base redatto dal nostro team di sicurezza del prodotto. 

Più siamo, meno rischi si corrono

Molti fornitori condividono progetti open source in sola lettura, restando quindi gli unici a parteciparvi attivamente. Tra le start-up e le grandi aziende tecnologiche ci sono molti esempi di questo tipo. L'open source in questi casi è solo uno strumento di marketing per fare sì che altri utilizzino le loro tecnologie, mentre se ne perde il vero valore: le potenzialità in termini di innovazione. Queste aziende vogliono che si utilizzi il loro software open source, ma non gradiscono ricevere patch e contributi, a meno che non si tratti di documentazione o gruppi di utenti. Non vogliono che tu contribuisca con il tuo codice. Devono mantenere il pieno controllo per trarre profitto da ciò che hanno realizzato partendo da un progetto open source.

Noi di Red Hat riteniamo invece che la vera forza dell'open source sia la community, che contribuisce creando il codice in un processo collaborativo che coinvolge utenti in tutto il mondo. Solo così è possibile ricevere e selezionare le idee più brillanti e portare avanti la tradizione secondo cui, come disse una volta Linus Torvalds, "se ci sono abbastanza occhi, i problemi hanno vita breve". In una community ben funzionante di contributori, se un partecipante non rileva un problema, chiunque altro può farlo. È come trovarsi tutti nella stessa stanza ed essere al contempo osservatori e osservati. Se non si riesce a risolvere un problema, chiunque può prendere una copia del codice e creare la propria versione concorrente del progetto. 

Dal punto di vista della sicurezza, la natura aperta, trasparente e collaborativa dell'approccio open source basato sul lavoro di una community riduce il rischio che nel codice finiscano vulnerabilità dannose. Se tutti osservano gli altri e il codice, è molto più difficile imbattersi in qualcosa di potenzialmente dannoso, che sia stato introdotto intenzionalmente o per caso.

Deployment e pratica

Migliora la sicurezza durante la progettazione

Red Hat include all'interno dei suoi prodotti diversi meccanismi di sicurezza, come configurazioni di sicurezza predefinite, controlli degli accessi con privilegi minimi e rigorose revisioni del codice. Una delle funzionalità più apprezzate dagli utenti è la possibilità di usare profili di sicurezza con configurazioni predefinite. Per scegliere valori di riferimento in fase di progettazione, gli amministratori possono sfruttare l'automazione e verificare che la configurazione soddisfi le best practice di conformità e sicurezza. In questo modo aumenta l'efficienza, mentre i rischi e le possibilità di introdurre errori umani durante quelle che, altrimenti, sarebbero attività manuali eseguite dopo la compilazione sono ridotti. 

Efficienza senza rinunciare alla sicurezza

Nel 2024 Red Hat ha introdotto la modalità immagine, un nuovo metodo di deployment per RHEL che distribuisce la piattaforma come immagine container. Applica quindi un approccio container native a creazione, deployment e gestione del sistema operativo, fornendo un unico flusso di lavoro per gestire l'intero ambiente IT, dalle applicazioni al sistema operativo, utilizzando tecniche e strumenti condivisi. I team di sicurezza possono così ora utilizzare gli strumenti di sicurezza dei container che già conoscono, dalla scansione alla convalida, fino alla crittografia, all'attestazione e agli elementi di base del sistema operativo, semplificando notevolmente il lavoro.

Informazioni dettagliate sulla sicurezza

Con nuove minacce che emergono ogni giorno e le richieste dei team IT che aumentano esponenzialmente, Red Hat Insights è stato progettato per identificare e segnalare problemi, stabilire la priorità dei rischi in base all'impatto per l'azienda e persino avviare l'azione successiva prevista nella tua toolchain di automazione. Insights infatti offre strumenti di analisi per gestire i rischi in modo più efficace. Puoi scansionare i sistemi per individuare le Common Vulnerabilities and Exposures (CVE), raccogliere i dati dell'analisi e accedere alle istruzioni per la risoluzione dei problemi, il tutto da un'unica interfaccia. 

Puoi anche assegnare una priorità alle attività di correzione in base a gravità, tipo di rischio ed effetti della modifica e aumentare la proattività in modo semplice, verificando la conformità ai criteri OpenSCAP, correggendo i sistemi in caso di mancanze e generando report. Infine, con Insights identifichi rapidamente i sistemi che contengono firme malware attive all'interno dell'ambiente hybrid cloud.

Supporto per la sicurezza post-vendita

Red Hat è un partner affidabile a livello globale in termini di sicurezza

La sicurezza è una priorità per Red Hat e partecipiamo a programmi di divulgazione responsabile coordinati. Da molti anni collaboriamo con organizzazioni e partner a livello mondiale e nazionale per migliorare e condividere soluzioni per la sicurezza dei dati.

Red Hat, una delle poche organizzazioni a livello globale che ricopre il ruolo di root nelle iniziative di identificazione di vulnerabilità ed esposizioni comuni, collabora con CVE.org per identificare, definire e catalogare le vulnerabilità della sicurezza informatica pubblicamente note. Oltre ad avere il ruolo di root, Red Hat è anche un'autorità di numerazione CVE (CNA, acronimo di CVE Numbering Authority), il che significa che siamo autorizzati dal programma CVE ad assegnare ID CVE alle vulnerabilità e a pubblicare i record delle segnalazioni raccolte.

Cosa significa per chi usa la nostra soluzione? Che nel momento in cui riceve la notifica di un nuovo CVE ha la sicurezza che un team di esperti di RHEL è già stato attivamente coinvolto nella valutazione della vulnerabilità. Quando delle vulnerabilità hanno interessato i prodotti Red Hat, il nostro team stava già decidendo quali fossero le eventuali azioni correttive necessarie.

Infine, per supportare le community open source da cui dipendiamo e con cui interagiamo, Red Hat è anche una CVE Numbering Authority of Last Resort (CNA-LR), quindi può assegnare CVE e pubblicarli per le vulnerabilità che interessano i progetti open source non coperti da altri CNA.

Massima trasparenza su sicurezza, vulnerabilità e correzioni

Sebbene il nostro focus sia ovviamente incentrato su RHEL, quando si tratta di sicurezza, Red Hat condivide attivamente e pubblicamente le informazioni su sicurezza e vulnerabilità. La trasparenza fa parte del nostro DNA e uno degli obiettivi del nostro team di sicurezza dei prodotti è fornire informazioni di qualità necessarie per ridurre i rischi relativi a sicurezza e privacy, nonché gli strumenti per proteggersi.

Quindi non includiamo solo i nostri clienti, ma anche la community con cui collaboriamo per patch e strategie di riduzione delle minacce per tutti gli utenti Linux. Come community, per noi è importante lavorare per mantenere la reputazione di Linux come uno dei sistemi operativi più sicuri al mondo. Come già detto in precedenza, questo vale anche per il nostro codice. Il nostro codice è aperto. Ognuno è libero di leggerlo, controllarlo, verificarlo e contribuire.

Collaboriamo con colleghi di tutto il mondo allo sviluppo di procedure di sicurezza open source che forniscano un framework fondamentale che possa essere adottato in tutto il mondo. Ma questo non è una novità: negli ultimi 30 anni abbiamo infatti contribuito alla creazione di OpenSCAP, partecipato a organizzazioni come OpenSSF e CoSAI e supportato OSV.dev. 

Cosa succederà nei prossimi 30 anni?

Anche se non è una società di sicurezza nel senso tradizionale, Red Hat per decenni ha considerato la protezione un elemento fondamentale e necessario. Rispetto al 1993, quando Marc Ewing creò la prima distribuzione Linux chiamata Red Hat Linux, il mondo è cambiato e nessuno può prevedere cosa ci riservano i prossimi 30 anni, ma sappiamo che a livello globale dovremo continuare a mantenere la conformità con dei requisiti di sicurezza. 

Ecco cosa continueremo a fare:

• ricercare e definire le strategie necessarie affinché i nostri prodotti soddisfino le esigenze di sicurezza dei nostri clienti in tutto il mondo;
• progettare i nostri prodotti in modo che applicare le soluzioni di sicurezza durante la progettazione per aumentare l'efficienza e ridurre i rischi sia sempre più semplice;
• offrire supporto per la nostra base e per la community Linux a livello globale nella correzione delle minacce, partecipando attivamente a iniziative incentrate sulla sicurezza, come il programma CVE.

Teniamo a Linux e vogliamo proteggere la nostra community. Non vediamo l'ora che tu ci dia una mano in questa missione. 

Resta sempre al passo con le novità sulla sicurezza open source: iscriviti al feed del blog.