Os Desafios de Cyber Segurança durante a Migração para Nuvem

Conforme as organizações planejam mover suas cargas de trabalho e aplicativos para a nuvem, elas se deparam com uma realidade fundamental. Os controles e práticas de segurança para ambientes on-premisses não são exatamente os mesmos necessários para ambientes em nuvem, onde tudo é baseado em software e profundamente integrado.

A nuvem apresenta novas oportunidades para as empresas, mas também traz novos riscos, além de considerações e estratégias para mitigar esses riscos. Vamos explorar como as empresas devem abordar os aspectos de segurança de uma migração para a nuvem, desde fundamentos de controle de acesso e governança até integrações de API e monitoramento contínuo.

Como a segurança na nuvem difere da segurança local?

Existem três diferenças significativas entre a segurança na nuvem e no local:

Responsabilidades compartilhadas

O conceito do modelo de responsabilidade compartilhada para proteção de dados e segurança cibernética faz parte da maioria dos acordos de terceirização há muitos anos, mas a natureza das responsabilidades de segurança compartilhada mudou com o advento da nuvem. Todos os principais provedores de nuvem suportam responsabilidade compartilhada na nuvem, mas nem todos esses modelos são criados iguais.

O contrato de provedor de nuvem IaaS deve delinear claramente essas responsabilidades. A AWS, por exemplo, divide seu modelo de responsabilidade em duas categorias principais:

  • A segurança na nuvem é de responsabilidade do cliente. Isso inclui proteção de dados, identidade e gerenciamento de acesso (IAM), configuração do sistema operacional, segurança de rede e criptografia.
  • A segurança da nuvem é responsabilidade da AWS. Isso significa as partes subjacentes da infraestrutura, incluindo os elementos de computação, hipervisores, infraestrutura de armazenamento, bancos de dados e rede.

Todos os provedores de nuvem são totalmente responsáveis ​​pela segurança física de seus ambientes de data center. Além disso, eles são responsáveis ​​pelo planejamento de recuperação de desastres do data center, continuidade dos negócios e requisitos legais e de pessoal relacionados à segurança de seus ambientes operacionais.

Os clientes de nuvem, por sua vez, precisam planejar seus próprios processos de continuidade e recuperação de desastres, principalmente em nuvens IaaS, onde constroem infraestrutura. Os clientes que desejam gerenciar backups de dados em ambientes SaaS e PaaS devem incorporá-los às estratégias existentes de proteção e recuperação de dados.

Softwares e Ferramentas

Outra grande diferença entre segurança local e na nuvem é que tudo na nuvem é baseado em software. Isso traz requisitos exclusivos para controles e processos e potencialmente novas ferramentas e serviços para atender aos objetivos de segurança. Novamente, o provedor de nuvem é responsável por gerenciar e proteger o hardware que sustenta seus serviços.

Governança

Esteja preparado para reestruturar fluxos de trabalho e alinhamentos de governança. Na nuvem, eles precisam ser muito mais ágeis e contínuos, com representação de diversos grupos de stakeholders e disciplinas técnicas. Você precisará envolver uma variedade maior de partes interessadas para tomar decisões com muito mais rapidez do que o normal nas práticas de governança locais.

Considerações de segurança da migração para a nuvem

Existem inúmeras considerações importantes sobre segurança na nuvem, mas essas devem ser suas principais prioridades:

Requisitos regulamentares e de conformidade

Qualquer ambiente de nuvem deve atender aos regulamentos e requisitos de conformidade necessários. Todos os principais provedores de serviços em nuvem oferecem uma variedade de atestados de conformidade e auditoria relacionados aos recursos e controles que mantêm, de acordo com o modelo de responsabilidade compartilhada mencionado anteriormente. No entanto, as organizações devem garantir que atendam aos requisitos de privacidade em sua parte da responsabilidade compartilhada. Por exemplo, eles podem precisar de serviços e controles de segurança de nuvem especializados para atender aos requisitos rigorosos do setor, como os de finanças, saúde e agências governamentais.

Visibilidade do plano de controle de nuvem

O plano de controle de nuvem fornece um conjunto de controles e configurações. Ele permite vários tipos de funcionalidade, como ativação de registro e acesso administrativo. Ambientes grandes e complexos, como AWS ou Microsoft Azure, podem ter uma quantidade enorme de configurações para habilitar e monitorar. As organizações devem aproveitar as práticas recomendadas do setor, como aplicar os benchmarks do CIS para configurar e proteger inicialmente contas e assinaturas na nuvem e monitorar cuidadosamente as alterações e definições de configuração arriscadas.

Controles de acesso privilegiado

Uma migração para a nuvem apresenta novos tipos de usuários privilegiados, como arquitetos de nuvem, engenheiros de confiabilidade do site e engenheiros de DevOps. Planeje implementar uma forte supervisão de privilégios ao migrar para ambientes de nuvem.

Automação e APIs

As organizações devem projetar controles de segurança com algum grau de automação para se adaptar e se dimensionar durante uma migração, incluindo o ritmo das operações em nuvem em andamento. Isso geralmente é feito por meio do uso extensivo de APIs de provedores de nuvem, bem como ferramentas e serviços especializados que podem ajudar a simplificar e integrar a automação de segurança para os casos de uso desejados.

Desafios de segurança da migração para a nuvem

Juntamente com a infinidade de considerações de segurança na nuvem durante as migrações, as equipes de segurança devem se preparar para enfrentar e mitigar uma série de desafios ao longo do caminho:

  • Falta de habilidade e conhecimento: Muitas equipes de DevOps e engenharia de nuvem “fazem as coisas com as próprias mãos” devido à falta de experiência na tecnologia de nuvem e compreensão de segurança;
  • Exposição de dados: Grandes ambientes de serviços em nuvem contêm uma ampla variedade de serviços de armazenamento e processamento de dados. É fácil expor dados acidentalmente por meio de controles de acesso mal configurados, criptografia e outras medidas de proteção de dados;
  • Falta de visibilidade e monitoramento: As migrações para a nuvem introduzem um ritmo muito mais dinâmico de mudança e operações diárias. As equipes de segurança geralmente precisam se esforçar para entender o que está acontecendo em ambientes de nuvem, especialmente ao lidar com um ambiente multicloud;
  • IAM: É um desafio identificar funções de privilégio mínimo e políticas de identidade apropriadas, especialmente em cenários grandes e de várias nuvens que envolvem vários tipos de casos de uso e diferentes mecanismos de política de identidade para cada provedor. Políticas e permissões de identidade fracas ou aplicadas incorretamente são um alvo vulnerável para invasores na nuvem;
  • Configurações do Control Plane: Além do IAM, o control plane da nuvem lida com várias definições de configuração que, se gerenciadas incorretamente, podem levar à exposição ou aumentar a superfície de ameaças. Isso pode incluir acesso ao console administrativo, requisitos de autenticação fracos, controles de acesso à rede porosos e APIs expostas.

Como mitigar os riscos de segurança da migração para a nuvem

As organizações podem tomar várias medidas para se preparar com sucesso e mitigar os desafios de segurança da migração para a nuvem.

A etapa mais importante em um plano de migração para a nuvem é estabelecer uma governança de nuvem adequada. Para engenharia de nuvem diária, supervisão e administração, incluindo gerenciamento de mudanças, crie um modelo de governança com a seguinte divisão de equipe:

  • DevOps central e engenharia de nuvem: essa equipe gerencia o pipeline de DevOps – código, compilações, validação e implantação. Idealmente, eles integram ferramentas de segurança, como avaliação de código estático e verificação dinâmica da Web, em todo esse pipeline com automação. É uma equipe multidisciplinar que inclui desenvolvedores e especialistas em infraestrutura que adaptaram suas habilidades para infraestrutura como código (IaC) e ambientes mais definidos por software.
  • Gerenciamento de imagens: idealmente, essa equipe tem funções separadas para criar e manter um repositório de imagens de contêiner e carga de trabalho. Os desenvolvedores usam essas imagens nos pipelines destinados à implantação na nuvem.
  • IAM: os modelos de governança maduros incluem uma equipe de IAM separada que gerencia a integração de serviço de diretório, federação e logon único, bem como definições de política e função em ambientes SaaS, PaaS e IaaS. Se não houver uma equipe definitiva, pelo menos comprometa algumas operações de TI e/ou engenheiros de DevOps para focar nisso.
  • Segurança da informação: todas as equipes devem incorporar infosec para integrar ferramentas e padrões de varredura para código aceitável, vulnerabilidades de sistema/imagem, monitoramento de pipeline e gerenciamento de senhas. Eles também devem definir políticas e manter definições padrão para parâmetros e ferramentas de segurança de rede.

Para garantir a coesão entre as equipes, forme um comitê de governança de nuvem com representantes de todas as áreas acima, bem como representantes de liderança jurídica, de conformidade, auditoria e tecnologia.

Estabeleça um conjunto de padrões e linhas de base de segurança

Desenvolva padrões básicos de segurança em colaboração com a equipe de governança. No mínimo, a lista deve incluir configuração de control plane, modelos de IaC (Infraestrutura como Código), postura de gerenciamento de vulnerabilidades para cargas de trabalho em nuvem, DevOps e gestão de acessos.

Uma vez que você tenha uma estrutura central de governança de nuvem, aqui estão algumas outras prioridades de segurança para qualquer organização que está migrando para a nuvem:

  • Crie roles dedicadas de IAM: As identidades e a atribuição de funções/privilégios são essenciais na nuvem, portanto, dedique um foco operacional a essa área. (Acredite. Roles fazem um papel quase mágico no que diz respeito a restrições de acesso);
  • Exigir autenticação multifator para todos os acessos administrativos: Habilite a autenticação multifator para qualquer acesso privilegiado ao ambiente de nuvem. Isso ajudará a mitigar ataques comuns de força bruta contra contas administrativas;
  • Habilite os logs em toda a nuvem: Todos os principais provedores de serviços de nuvem oferecem serviços de log, como AWS CloudTrail e Azure Monitor. Ligue-os e envie os logs para um coletor ou serviço centralizado para análise. Use logs para desenvolver linhas de base de comportamento de nuvem e detectar eventos ou incidentes de segurança;
  • Invista no gerenciamento de nuvem e na postura de segurança em nuvem: As organizações devem monitorar continuamente o estado de todas as coisas, desde o control plane da nuvem até a configuração atual dos ativos. À medida que as implantações de nuvem aumentam em número e complexidade, um serviço que rastreia todas as definições de configuração em várias nuvens ou contas de nuvem torna-se inestimável para ajudar a detectar configurações incorretas que podem causar problemas de segurança.

Migrando para a Nuvem Imediatamente e com Tranquilidade

Eu costumo comentar que plataformas de nuvem são como restaurantes self-service, onde você pode se servir de absolutamente tudo, nas quantidades que você desejar. O grande detalhe é que esse tipo de restaurante vai lhe cobrar pelo desperdício.

O momento em que fazemos o primeiro contato com ambientes PaaS é uma quebra de paradigma gigantesca, onde praticamente qualquer ferramenta ou recurso está a apenas um ou dois cliques de distância. Esse novo paradigma precisa ser usado com sabedoria ou pode facilmente deixar de ser uma benesse para se tornar um ônus.

A EximiaCo é especialista em migração de cargas de trabalho multi cloud. Entre em contato conosco e conheça nossos serviços de gestão, migração e cybersec para ambiente em nuvem. Conduzimos você durante toda esta nova jornada, garantindo aderência às melhores práticas do mercado e, principalmente, aderência ao seu negócio.

Compartilhe este insight:

Comentários

Participe deixando seu comentário sobre este artigo a seguir:

Subscribe
Notify of
guest
0 Comentários
Inline Feedbacks
View all comments

AUTOR

Wendel Siota
Mais de 25 anos de experiência em cyber security em grandes corporações.

INSIGHTS EXIMIACO

Segurança da Informação

Ambientes mais seguros para sua empresa crescer com confiança.

NOVOS HORIZONTES PARA O SEU NEGÓCIO

Nosso time está preparado para superar junto com você grandes desafios tecnológicos.

Entre em contato e vamos juntos utilizar a tecnologia do jeito certo para gerar mais resultados.

Insights EximiaCo

Confira os conteúdos de negócios e tecnologia desenvolvidos pelos nossos consultores:

Segurança da Informação

Boas e Más Notícias para a Cibersegurança

Especialista em Segurança da Informação
Segurança da Informação

Backdoor Descoberto em Biblioteca de Compactação Afeta Distribuições Linux

Especialista em Segurança da Informação
Segurança da Informação

Integrando o Conceito de Security by Design ao Planejamento Estratégico em um Mundo VUCA

Especialista em Segurança da Informação
0
Queremos saber a sua opinião, deixe seu comentáriox

Muito obrigado!

Deu tudo certo com seu envio!
Logo entraremos em contato

Os Desafios de Cyber Segurança durante a Migração para Nuvem

Para se candidatar nesta turma aberta, preencha o formulário a seguir:

Os Desafios de Cyber Segurança durante a Migração para Nuvem

Para se candidatar nesta turma aberta, preencha o formulário a seguir:

Condição especial de pré-venda: R$ 14.000,00 - contratando a mentoria até até 31/01/2023 e R$ 15.000,00 - contratando a mentoria a partir de 01/02/2023, em até 12x com taxas.

Tenho interesse nessa capacitação

Para solicitar mais informações sobre essa capacitação para a sua empresa, preencha o formulário a seguir:

Tenho interesse em conversar

Se você está querendo gerar resultados através da tecnologia, preencha este formulário que um de nossos consultores entrará em contato com você:

O seu insight foi excluído com sucesso!

O seu insight foi excluído e não está mais disponível.

O seu insight foi salvo com sucesso!

Ele está na fila de espera, aguardando ser revisado para ter sua publicação programada.

Tenho interesse em conversar

Se você está querendo gerar resultados através da tecnologia, preencha este formulário que um de nossos consultores entrará em contato com você:

Tenho interesse nessa solução

Se você está procurando este tipo de solução para o seu negócio, preencha este formulário que um de nossos consultores entrará em contato com você:

Tenho interesse neste serviço

Se você está procurando este tipo de solução para o seu negócio, preencha este formulário que um de nossos consultores entrará em contato com você:

× Precisa de ajuda?