A nuvem, uma vez apresentada como uma panacéia de TI, tem um outro lado que vemos frequentemente nas manchetes quando atores mal-intencionados aproveitam as lacunas na segurança. Isso não pode ser repetido o suficiente: proteger dados e redes em um ambiente de nuvem é muito diferente de fazê-lo no local.
Os elementos de infraestrutura que eram estáticos no local agora são abstraídos para o software. Os firewalls devem ser projetados para operar em uma infraestrutura inerentemente fluida. E na nuvem, você precisará se concentrar mais em aplicativos, interfaces de programação de aplicativos e funções de usuário.
Com base em nossa experiência com clientes de nuvem comercial e governamental, aqui estão cinco dicas que enfatizam e expandem os fundamentos.
Controle o acesso às ferramentas de gerenciamento e configuração da nuvem
Como as ferramentas de gerenciamento e configuração da nuvem – consoles do provedor de serviços em nuvem (CSP), interfaces de linha de comando e APIs – oferecem aos usuários finais grande flexibilidade e autonomia, um forte controle de acesso baseado em funções é vital para proteger a organização contra ameaças externas e internas.
- Autentique e autorize usuários privilegiados com autenticação de dois fatores, assinaturas digitais e certificados.
- Torne as avaliações de treinamento e habilidades obrigatórias antes de conceder funções na nuvem.
- Separe estritamente as credenciais do usuário e do administrador e restrinja o acesso do usuário aos sistemas de produção.
- Padronize processos para o gerenciamento do ciclo de vida da conta.
Criptografe dados confidenciais (e talvez todos)
Na nuvem, a violação e o derramamento de dados são inevitáveis. A proteção de dados em trânsito por meio de técnicas como criptografia se torna mais crítica à medida que “as próprias noções de dados em movimento e dados em repouso ficam embaçadas”.
Criptografe todos os dados confidenciais e segmente-os usando várias chaves para minimizar o impacto de uma chave comprometida. As chaves devem girar regularmente, com políticas fortes de controle de acesso.
- Implemente criptografia para dados em trânsito e em repouso.
- Revise a criptografia de rede CSP. (Nem todo o tráfego de rede entre os datacenters pode ser criptografado nativamente.)
- Avalie as soluções de criptografia em nuvem nativa e de terceiros.
Use a automação para minimizar erros humanos devido a configurações incorretas
A configuração manual eventualmente leva a erros humanos e suas conseqüências: configurações de implantação inconsistentes, derramamentos de dados inadvertidos e vulnerabilidades a atividades maliciosas. Esse é um grande risco de segurança. De acordo com a pesquisa do Gartner, quase todas – 99% – das “falhas de segurança na nuvem serão culpa do cliente”.
A automação, com configurações pré-testadas e auditadas, garante que a infraestrutura seja implantada e configurada corretamente. Recomendamos o seguinte:
- Automatização de construções de infraestrutura e plataforma, testes de segurança, grades de segurança e configurações de linha de base.
- Implementar configurações de alta disponibilidade para reduzir os riscos de regiões ou zonas indisponíveis devido a erros do provedor de nuvem.
- Realizar periodicamente verificações de configuração e avaliações de rotina de comprometimento.
Adapte o gerenciamento de visibilidade e vulnerabilidade para gerenciar tipos efêmeros e novos de ativos na nuvem
Com uma solução em nuvem – conforme dados, sistemas e responsabilidades se espalham pelos ambientes – as organizações podem não ter visibilidade suficiente para monitorar ameaças e garantir a conformidade. Além disso, os métodos herdados que envolvem a detecção de vulnerabilidades humanas e o gerenciamento da correção podem ser muito lentos ou pesados na nuvem, onde os incidentes se movem em alta velocidade nos sistemas e dados interconectados.
Uma mudança para a nuvem gera muitas questões de visibilidade:
- Sua infraestrutura permite visibilidade em todo o ambiente em nuvem? Por exemplo, existe um sistema agregado de logs, painéis e relatórios para coletar dados de dispositivos de rede, infraestrutura de nuvem, sistemas operacionais, aplicativos e assim por diante?
- Você entende os contratos de nível de serviço de resposta a incidentes do seu fornecedor de nuvem e como eles se integram aos seus próprios processos?
As organizações precisarão estender as ferramentas de gerenciamento de vulnerabilidades às arquiteturas de contêiner e sem servidor e adaptar essas ferramentas para ciclos rápidos de implantação de infraestrutura e novos serviços em nuvem. Eles também se beneficiarão de serviços em linha, como proxies e sobreposições de rede, para replicar o tráfego para serviços de segurança “transparentes”.
Implementar aprimoramentos ao longo do ciclo de vida das operações
Freqüentemente, a implementação inicial da nuvem é apenas o começo. À medida que os aplicativos são introduzidos, as equipes de TI precisarão fazer aprimoramentos contínuos. E as operações de TI tradicionais “sem solução” podem impedir a jornada para a agilidade na nuvem.
A abordagem DevSecOps pode ajudar. Ao adotar essa abordagem, faça o seguinte:
- Implemente as funções de engenheiro de confiabilidade do site para que a equipe de operações possa continuar a atualizar o ambiente.
- Integre o DevSecOps à equipe de segurança no desenvolvimento e operações.
- Acompanhe novos produtos e serviços, com um roteiro para integração futura.
Com esses cinco fundamentos em mente, as organizações podem reduzir seus riscos de segurança e conformidade, pois colhem os muitos benefícios da nuvem: economia de custos, menor custo total de propriedade e rapidez para avaliar.
FONTE: DARK READING