0
0
A maioria dos vazamentos de dados em nuvem devastadores são causados pelos mesmos tipos de desafios comuns de segurança na nuvem e erros de configuração. Aqui está o que você precisa saber.
Embora os serviços em nuvem possuam muitos benefícios bem-vindos – economia de custos, menos pessoal, ganhos de produtividade – os profissionais da infosec estão enfrentando alguns desafios regulares de configuração à medida que transferem mais das funções de segurança de suas organizações para a nuvem, dizem os especialistas.
“Quando vemos problemas, vemos problemas de configuração no lado do cliente”, diz Ryan Bergsma, diretor de treinamento da Cloud Security Alliance (CSA). Os problemas mais comuns? “Vemos muitos desafios com gerenciamento de chaves, controle de acesso e armazenamento de dados expostos”, diz ele.
Esses problemas geralmente são simples de resolver, mas primeiro é útil examinar por que os serviços de segurança na nuvem apresentam desafios diferentes dos serviços de nuvem típicos.
Limitações dos provedores de serviços
Os serviços de segurança (e suas configurações de presença) não são uma proposta única, diferentemente de outras ofertas de nuvem X-as-a-service, muitas das quais contam com uma abordagem de modelo para acessar e armazenar dados . No entanto, com a segurança, as configurações do cliente são altamente personalizadas para lidar com uma combinação de sistemas legados, requisitos regulatórios e práticas organizacionais para proteger clientes, usuários e todos os seus dados.
Então, por que o Amazon Web Services (AWS), Microsoft Azure e Google não solucionam mais os problemas dos clientes corporativos? Como todo bom praticante de segurança sabe, há uma linha tênue entre vigilante e assustador, e a maioria dos provedores de serviços em nuvem (CSPs) trabalha duro para garantir que não o atravessem.
Os CSPs fazem um bom trabalho ao aconselhar os clientes com as melhores práticas de segurança na nuvem, de acordo com Doug Cahill, analista sênior e diretor de grupo da consultoria Enterprise Strategy Group. Mas eles compartilham com moderação. “Os principais CSPs são justamente reticentes em fornecer muitos detalhes sobre como as coisas são configuradas na nuvem, para que não entreguem seu manual aos possíveis adversários”, acrescenta ele.
Os CSPs podem fornecer conselhos sobre configuração específica do cliente; A Microsoft verifica algumas postagens do GitHub para ver o que foi armazenado no código-fonte, por exemplo, e a AWS alerta os clientes se eles tiverem configurado mal os buckets S3, explica Cahill.
“Mas quanto um CSP deve escanear o ambiente de um cliente e avisá-lo sobre um mau gerenciamento ou dados sensíveis e abertos?” Cahill se pergunta em voz alta. “Isso é algo com o qual os principais CSPs realmente lutam”.
Exposição pública por padrão
O armazenamento de dados mal configurado é um problema que pode levar a acesso não autorizado e perda de dados. De fato, pesquisas recentes da Digital Shadows descobriram que 2,3 bilhões de arquivos são expostos dessa maneira . Infelizmente, “público” é a configuração de acesso padrão para muitas configurações de armazenamento de dados na nuvem, diz John Yeoh, vice-presidente global de pesquisa da CSA.
“O gerenciamento adequado de serviços com arquitetos e desenvolvedores instruídos é necessário para uso seguro”, diz ele. Ele gostaria que os CSPs acelerassem seu jogo de notificação no que diz respeito a configurações incorretas do usuário final, alteração de serviços e padrões. Por exemplo, a Amazon lançou recentemente sua ferramenta Bloquear acesso público para contas EC2 para solucionar esse problema.
Controle de acesso
O controle de acesso, incluindo acesso privilegiado ao usuário, parece ser a maior causa de violação ou perda de dados, de acordo com o Bergsma da CSA. A raiz do problema está nas configurações padrão inseguras, bem como na manutenção desleixada dos controles de acesso, como usuários antigos não removidos ou uso excessivo dos controles administrativos permitidos, acrescenta.
Consequentemente, algumas redes estão adotando abordagens de confiança zero, permitindo apenas o acesso a recursos previamente examinados e protegendo ainda mais essas conexões com uma rede que também usa perímetros definidos por software.
“Para serviços públicos e nuvem, a autenticação multifator e o uso de várias contas para privilégios é uma maneira de limitar o comprometimento das contas e o acesso a quaisquer contas comprometidas”, diz Bergsma.
Uma das principais preocupações da Internet como serviço (IaaS), em particular, é bloquear a conta raiz imediatamente após sua criação e criar contas de superadministrador para o trabalho começar. “A chave para essa conta raiz precisa ser gerenciada de forma que nunca seja perdida ou comprometida”, enfatiza.
A questão geral, no entanto, está permitindo muito acesso, acrescenta Bergsma. “Documentar e implementar políticas de privilégios mínimos é uma obrigação.”
Gerenciamento de chaves
A maioria dos clientes em nuvem usa criptografia até certo ponto, o que exige que eles tenham processos de gerenciamento de chaves flexíveis e robustos. Yeoh, da CSA, recomenda que as empresas deixem claro seus requisitos, especificamente:
- Verifique os requisitos de conformidade para ver se você é obrigado a usar um HSM (hardware security module), um dispositivo externo que gerencia e protege chaves digitais para autenticação forte e também lida com processos criptográficos.
- As políticas de governança criadas internamente da organização também podem apontar para a necessidade de uma abordagem específica de gerenciamento de chaves. Verifique com executivos legais e de gerenciamento de riscos.
- Certos contratos de clientes podem exigir o manuseio de chaves de uma certa maneira. O pessoal de vendas e jurídico pode ajudar aqui.
Independentemente de os dados criptografados estarem no local ou na nuvem, expandir o gerenciamento de chaves de maneira viável é um desafio principal do cliente, acrescenta Yeoh.
“Os maiores riscos são a segregação de tarefas e a segregação de dados para os principais componentes de gerenciamento serem usados em vários serviços em nuvem, ambientes locais, corretores em nuvem e clientes que gerenciam suas próprias chaves”, explica ele. Para complicar ainda mais a situação, o fato de os CSPs ainda usarem suas próprias soluções de gerenciamento de chaves.
E é por isso que muitos clientes passaram a usar intermediários de gerenciamento de chaves de terceiros. Mas isso não funcionará para todos os clientes, sem mencionar a adição de outro provedor de serviços para gerenciar – e pagar.
“A adesão da indústria de uma API aberta para gerenciamento de chaves na nuvem pode ser uma solução potencial para gerenciar chaves nos ambientes IaaS, PaaS, SaaS e no local”, diz Yeoh. “Usar soluções-chave gerenciadas pelo cliente sempre que possível é uma das recomendações da CSA.”
Avançando
Tomadas coletivamente, as sugestões da CSA não apenas melhorarão o funcionamento seguro dos serviços de segurança baseados em nuvem, mas todos os serviços em nuvem em geral. Mas está claro que o dia ainda está no horizonte.
“Há uma lacuna de prontidão de segurança na nuvem”, observa Cahill da ESG. “O grau em que as organizações já estão consumindo nuvem está bem à frente de sua capacidade de garantir o uso desses serviços”.
FONTE: Dark Reading